Na serveru se systémem Windows Server 2008 nemusí být možné spustit Terminálovou službu

Příznaky

Na serveru se systémem Windows Server 2008 nemusí být možné spustit Terminálovou službu.

K tomuto chování dochází obvykle po upgradu starší verze operačního systému Windows na systém Windows Server 2008. K tomuto chování může dojít například po upgradu systému Windows Server 2003 na systém Windows Server 2008.

Pokud dochází k tomuto chování, mohou být do systémového protokolu zaznamenány události podobné následujícím:

Příčina

K tomuto chování dochází, protože účtu NETWORK SERVICE nejsou přiřazena následující uživatelská práva:
 • Upravit příděly paměti pro proces (SeIncreaseQuotaPrivilege)
 • Generovat audity zabezpečení (SeAuditPrivilege)
 • Nahradit token úrovně procesu (SeAssignPrimaryTokenPrivilege)
Poznámka: Stejné příznaky se mohou vyskytnout u kterékoli služby, která je nakonfigurovaná ke spouštění pomocí účtu NETWORK SERVICE.

Řešení

Chcete-li toto chování vyřešit, udělte účtu NETWORK SERVICE uživatelská práva popsaná v části Příčina.

Poznámka: Platná uživatelská práva v počítači můžete zobrazit pomocí modulu snap-in Secpol.msc konzoly MMC.

Pokud server není doménovým řadičem, použijte metodu 1 nebo metodu 2. Pokud server doménovým řadičem je, použijte metodu 3 nebo metodu 4.

Metoda 1: Udělení uživatelských práv v nastavení Místních zásad zabezpečení

Postupujte takto:
 1. Klepněte na tlačítko Start a pak na příkaz Spustit, zadejte příkaz Secpol.msc a klepněte na tlačítko OK.
 2. V konzole Místní zásady zabezpečení rozbalte položku Místní zásady a pak klepněte na položku Přiřazení uživatelských práv.
 3. Poklepejte na uživatelské právo Upravit příděly paměti pro proces.
 4. V dialogovém okně Vlastnosti klepněte na tlačítko Přidat uživatele nebo skupinu.
 5. V dialogovém okně Vyberte uživatele, počítače nebo skupiny zadejte do pole Zadejte názvy objektů k výběru text NETWORK SERVICE a pak klepněte na tlačítko OK.
 6. V dialogovém okně Vlastnosti klepněte na tlačítko OK.
 7. Opakujte kroky 3 až 6 pro uživatelská práva Generovat audity zabezpečení a Nahradit token úrovně procesu.
 8. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpupdate a pak klepněte na tlačítko OK.

Metoda 2: Udělení uživatelských práv v objektu zásad skupiny, který se vztahuje na členské servery

Postupujte takto:
 1. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpmc.msc a pak klepněte na tlačítko OK.
 2. V konzole Správa zásad skupiny rozbalte položky Doménová struktura: Název_domény, Domény, Název_domény a Objekty zásad skupiny, klepněte pravým tlačítkem myši na objekt zásad skupiny použitý na členské servery a pak klepněte na příkaz Upravit.
 3. V konzole Editor pro správu zásad skupiny rozbalte položky Konfigurace počítače, Zásady, Nastavení systému Windows, Nastavení zabezpečení, Místní zásady a pak klepněte na položku Přiřazení uživatelských práv.
 4. Poklepejte na uživatelské právo Upravit příděly paměti pro proces.
 5. V dialogovém okně Vlastnosti klepněte na tlačítko Přidat uživatele nebo skupinu.
 6. V dialogovém okně Přidat uživatele nebo skupinu zadejte do pole Jména uživatelů a názvy skupin text NETWORK SERVICE a pak klepněte na tlačítko OK.
 7. V dialogovém okně Vlastnosti klepněte na tlačítko OK.
 8. Opakováním kroků 4 až 7 přidejte účet NETWORK SERVICE k uživatelským právům Generovat audity zabezpečení a Nahradit token úrovně procesu.
 9. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpupdate a pak klepněte na tlačítko OK.

Metoda 3: Udělení uživatelských práv v nastavení Zásady skupiny

Postupujte takto:
 1. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpmc.msc a pak klepněte na tlačítko OK.
 2. V konzole Správa zásad skupiny rozbalte položky Doménová struktura: Název_domény, Domény, Název_domény a Objekty zásad skupiny, klepněte pravým tlačítkem myši na položku Výchozí zásada řadičů domény a pak klepněte na příkaz Upravit.
 3. V konzole Editor pro správu zásad skupiny rozbalte položky Konfigurace počítače, Zásady, Nastavení systému Windows, Nastavení zabezpečení, Místní zásady a pak klepněte na položku Přiřazení uživatelských práv.
 4. Poklepejte na uživatelské právo Upravit příděly paměti pro proces.
 5. V dialogovém okně Vlastnosti klepněte na tlačítko Přidat uživatele nebo skupinu.
 6. V dialogovém okně Přidat uživatele nebo skupinu zadejte do pole Jména uživatelů a názvy skupin text NETWORK SERVICE a pak klepněte na tlačítko OK.
 7. V dialogovém okně Vlastnosti klepněte na tlačítko OK.
 8. Opakováním kroků 4 až 7 přidejte účet NETWORK SERVICE k uživatelským právům Generovat audity zabezpečení a Nahradit token úrovně procesu.
 9. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpupdate a pak klepněte na tlačítko OK.

Metoda 4: Aktualizace souboru GptTmpl.inf

Postupujte takto:
 1. V libovolném textovém editoru, například v programu Poznámkový blok, otevřete soubor GptTmpl.inf.

  Poznámka: Soubor GptTmpl.inf se nachází v následující složce:
  %systemroot%\SYSVOL\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
 2. Aktualizujte uživatelská práva na následující výchozí nastavení:
  SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544
  SeAuditPrivilege = *S-1-5-19,*S-1-5-20
  SeAssignPrimaryTokenPrivilege =*S-1-5-19,*S-1-5-20
 3. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpupdate a pak klepněte na tlačítko OK.

Prohlášení

Toto chování je záměrné.

Další informace

Ve výchozím nastavení se v systémech Windows 2000 Server a Windows Server 2003 spustí Terminálová služba pomocí účtu Místní systém. V systému Windows Server 2008 se Terminálová služba spustí pomocí účtu NETWORK SERVICE. Důvodem je zvýšení zabezpečení. Pokud účtu NETWORK SERVICE neudělíte uživatelská práva popsaná v části Příčina, nemůže se Terminálová služba spustit.

Pokud ve výchozích zásadách řadičů domény tato uživatelská práva účtu NETWORK SERVICE odeberete, nelze Terminálovou službu spustit v řadičích domény se systémem Windows Server 2008. Lze ji ale spustit v řadičích domény se systémy Windows 2000 Server nebo Windows Server 2003.

Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:

245207 Jak určit názvy a významy práv NTRIGHTS (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
243330 Známé identifikátory zabezpečení v operačních systémech Windows (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Vlastnosti

ID článku: 946399 - Poslední kontrola: 20. 3. 2008 - Revize: 1

Váš názor