Kontrolery domeny wymagają obiektu zasad grupy „Logowanie lokalne” do połączeń klienta usług terminalowych

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 247989 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Symptomy

Podczas próby połączenia się z kontrolerem domeny z systemem Microsoft Windows 2000 i usługami terminalowymi może się pojawić następujący komunikat o błędzie:
Lokalne zasady tego systemu nie pozwalają na logowanie interakcyjne.
Ten komunikat o błędzie nie jest generowany, jeśli konto użytkownika użyte do zalogowania się jest członkiem następujących grup domyślnych:
  • Operatorzy kont
  • Administratorzy
  • Operatorzy kopii zapasowych
  • Operatorzy drukowania
  • Operatorzy serwera
  • Inne, oparte na usługach zainstalowanych na komputerze, takie jak TsInternetUser
UWAGA: Serwery członkowskie i serwery autonomiczne mają grupę użytkowników uwzględnioną w prawie użytkownika „Logowanie lokalne”. Z tego względu nie zapobiegają one logowaniu się użytkowników bez uprawnień administracyjnych.

Przyczyna

Takie zachowanie może wystąpić, jeśli kontroler domeny z systemem Windows 2000 i usługami terminalowymi nie ma dodanej grupy globalnej Użytkownicy, Użytkownicy uwierzytelnieni lub Wszyscy do obiektu zasad grupy dla prawa użytkownika „Logowanie lokalne”.

Rozwiązanie

Aby obejść ten problem, zmodyfikuj obiekt zasad grupy dla kontrolera domeny:
  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zasady zabezpieczeń kontrolera domeny.
  2. Kliknij dwukrotnie folder Ustawienia zabezpieczeń, kliknij dwukrotnie folder Zasady lokalne, a następnie kliknij pozycję Przypisywanie praw użytkownika.
  3. W kolumnie Zasada kliknij pozycję Logowanie lokalne, a następnie kliknij przycisk Dodaj.
  4. Kliknij przycisk Przeglądaj, kliknij odpowiednią grupę, a następnie kliknij przycisk Dodaj.
  5. Kliknij przycisk OK, kliknij przycisk OK, a następnie kliknij przycisk OK.
  6. W wierszu polecenia wpisz secedit /refreshpolicy machine_policy /enforce, a następnie naciśnij klawisz ENTER.

Stan

Takie zachowanie jest zgodne z projektem programu.

Więcej informacji

Problem opisany w tym artykule występuje na kontrolerach domeny z systemem Windows 2000 i usługami terminalowymi skonfigurowanymi do używania trybu serwera aplikacji dla dostępu użytkowników. Kontrolery domeny z systemem Windows 2000 i usługami terminalowymi skonfigurowanymi do używania trybu administracji zdalnej nie zezwalają na logowanie użytkownika, z wyjątkiem równoczesnego zalogowania dwóch kont administratora w celu zarządzania serwerem. Gdy użytkownik próbuje ustanowić połączenie z kontrolerem domeny z systemem Microsoft Windows 2000 i usługami terminalowymi w celu użycia trybu administracji zdalnej, jest generowany następujący komunikat o błędzie:
Nie masz dostępu do logowania do tej sesji.
„Logowanie lokalne” jest wymaganym prawem użytkownika w systemie Microsoft Windows NT 4.0 Terminal Server Edition i w usługach terminalowych systemu Windows 2000. Jest to spowodowane tym, że sesje usług terminalowych są środowiskiem pulpitu użytkownika i użytkownik potrzebuje takich samych praw na komputerze usług terminalowych jakie ma na innych stacjach roboczych.

Problem opisany w tym artykule występuje, gdy komputer z systemem Windows 2000 i usługami terminalowymi jest kontrolerem domeny, ponieważ kontrolery domeny współużytkują jedną bazę danych zabezpieczeń. Kontrolery domeny z systemem Windows NT 4.0 korzystają z bazy danych Menedżera kont zabezpieczeń (SAM, Security Accounts Manager), a kontrolery domeny z systemem Windows 2000 — z usługi Active Directory, która jest wspólna dla wszystkich kontrolerów domeny. Prawo użytkownika „Logowanie lokalne” jest przypisywane do grupy w systemie Windows NT 4.0 i obiektów zasad grupy w systemie Windows 2000. W systemie Windows 2000 jeden kontroler domeny, któremu udzielono prawa użytkownika „Logowanie lokalne”, współużytkuje to prawo ze wszystkimi kontrolerami domeny w domenie.

Aby uzyskać dodatkowe informacje na temat komunikatów o błędach połączeń klienta usług terminalowych, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
246109 Podczas logowania za pomocą klienta usług terminalowych są generowane komunikaty o błędach
224395 Error Message: You Do Not Have Access to Logon to This Session

UWAGA: Prawo użytkownika „Logowanie lokalne” można dodać zdalnie za pomocą narzędzia Ntrights.exe.

Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
279664 How to Set Logon User Rights with the Ntrights.exe Utility

Właściwości

Numer ID artykułu: 247989 - Ostatnia weryfikacja: 13 czerwca 2007 - Weryfikacja: 2.6
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Słowa kluczowe: 
kberrmsg kbprb KB247989

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com