Подразумевано даљински рдп-приступ на радну површину контролери домена Само чланови Ацтиве Дирецтори-а администратори домена. У овом чланку ћемо показати како рдп приступ контролерима домена обичним корисницима без административних привилегија..
Многи могу с правом да аргументирају зашто, у ствари, обичним корисницима треба даљински приступ ДЦ радној површини. Заиста, у малим и средњим инфраструктурама, када целу инфраструктуру опслужује неколико администратора са правима администратора домена, таква потреба вероватно неће бити потребна. Међутим, у великим корпоративним мрежама које сервисира велики број особља често је потребно омогућити рдп приступ ДЦ-у (обично подружници ДЦ-а или РОДЦ-а) различитим групама администратора сервера, тимом за надгледање, дежурним администраторима и другим техничким стручњацима. Постоје и ситуације када се на ДЦ-у распоређују услуге трећих произвођача којима управљају администратори који нису домени и који такође морају бити некако сервисирани..
Савет. Истовремени суживот улога Ацтиве Дирецтори домена и услуга удаљене радне површине (улога терминалног сервера) на истом серверу није подржан. Ако постоји само један физички сервер на којем желите да имплементирате и ДЦ и терминалне услуге, боље је прибећи виртуализацији, што више Мицрософтова политика лиценцирања омогућава покретање два виртуелна сервера на истој лиценци за Виндовс Сервер 2016/2012 Р2 у Стандард Едитион.Након што је сервер промовисан у контролер домена, алати за управљање локалним корисницима и групама нестају из додатака за управљање рачунаром. При покушају отварања конзоле за локалне кориснике и групе (лусрмгр.мсц). појављује се грешка:
Рачунар ккк је контролер домена. Овај снап-ин се не може користити на контролеру домена. Домене рачунима управља се помоћу прикључка Ацтиве Дирецтори за кориснике и рачунаре.
Као што видите, на регулатору домена не постоје локалне групе. Уместо локалне групе Ремоте Десктоп Усерс, ДЦ користи уграђену домену Гроуп Ремоте Десктоп Усерс (која се налази у Буилтин контејнеру). Овом групом можете управљати из АДУЦ конзоле или из командне линије на ДЦ-у.
На листи контролера домена наводимо састав локалне групе удаљених радних површина:
нет лоцалгроуп "Корисници удаљених радних површина"
Као што видите, празан је. Додајте му корисника домена итпро (у нашем примеру, итпро је редован корисник домена без административних привилегија).
нет лоцалгроуп "Корисници удаљених радних површина" / адд цорп \ итпро
Уверите се да је корисник додат у групу.
нет лоцалгроуп "Корисници удаљених радних површина"
Такође можете да проверите да ли је корисник сада члан домене групе удаљених корисника.
Међутим, чак и након тога, корисник се не може повезати са ДЦ-ом преко удаљене радне површине.
Да бисте се даљински пријавили, потребна су вам права за пријаву на услуге удаљене радне површине. Ово право подразумевано имају само чланови групе Администратори. Ако група у којој се налазите нема то право, или ако је право уклоњено из групе Администратори, морате то право да вам доделите ручно.
Чињеница је да способност повезивања с РДП-ом на Виндовс системима одређује политика Дозволи записник на кроз Услуге удаљене радне површине (у оперативном систему Виндовс 2003 и раније, политика се назива Дозволите пријаву путем терминалских услуга) Након промовисања сервера у ДЦ, у овој политици остаје само Администраторска група (то су администратори домена) ...
Да бисте омогућили везу са члановима групе корисника удаљене радне површине, морате да управљате доменом:
- Покрените локални уредник смерница (гпедит.мсц)
- Идите на одељак Конфигурација рачунара -> Подешавања оперативног система Виндовс -> Подешавања безбедности -> Локалне смернице -> Додела права корисника
- Пронађите политику са именом Омогући пријаву путем услуга удаљене радне површине
- Уредите смернице додавањем групе домена удаљене радне површине корисника (у формату) домаин \ Ремоте Десктоп Усерс), или директно кориснику или групи домена (у формату) домен \ име неке групе)
- Покрените ажурирање локалне политике
гпупдате / форце
Имајте на уму да потребне групе не би требало да буду присутне у евиденцији забране одбијања путем смерница за услуге удаљене радне површине, као има предност (погледајте чланак Ограничавање приступа мрежи у домену под локалним налозима).
Напомена. Да би се кориснику омогућило да се локално пријави у ДЦ (преко конзоле сервера), у налог се морају додати и његов налог или група у којој је члан. Дозволи записник на локално. Следеће групе домена подразумевано имају ово право- Оператори рачуна
- Администратори
- Резервни оператори
- Оператори за штампање
- Оператори сервера.
Најбоље је створити нову безбедносну групу у домену, на пример, АлловДЦЛогин и на њу додати корисничке налоге који морају да омогуће даљински приступ ДЦ-у. Ако требате дозволити приступ свим АД контролерима домена одједном, уместо да уређујете локалну политику на сваком ДЦ-ју, боље је да додате групу корисника у подразумевану политику домена подразумеваних контролера домена (Конфигурација рачунара \ Подешавања Виндовс-а \ Безбедносна подешавања \ Локалне политике \ Корисник путем ГПМЦ конзоле) Додела права -> Омогући пријаву путем услуга удаљене радне површине).
Важно је. Ако промените смернице домена, не заборавите да додате групе администратора домена / предузећа, у супротном ће изгубити даљински приступ контролерима домена
Након ових измјена, одређени корисници и групе моћи ће се рдп повезати с контролером домене. Покушајте да користите РДП да бисте се повезали са ДЦ-ом под корисничким налогом. Требало би да се види радна површина контролера домена. Обичним корисницима се може дати право покретања / заустављања одређених услуга на ДЦ-у на следећи начин.
