Kontrolery domeny wymagają obiektu zasad grupy „Logowanie lokalne” do połączeń klienta usług terminalowych

Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Symptomy
Podczas próby połączenia się z kontrolerem domeny z systemem Microsoft Windows 2000 i usługami terminalowymi może się pojawić następujący komunikat o błędzie:
Lokalne zasady tego systemu nie pozwalają na logowanie interakcyjne.
Ten komunikat o błędzie nie jest generowany, jeśli konto użytkownika użyte do zalogowania się jest członkiem następujących grup domyślnych:
  • Operatorzy kont
  • Administratorzy
  • Operatorzy kopii zapasowych
  • Operatorzy drukowania
  • Operatorzy serwera
  • Inne, oparte na usługach zainstalowanych na komputerze, takie jak TsInternetUser
UWAGA: Serwery członkowskie i serwery autonomiczne mają grupę użytkowników uwzględnioną w prawie użytkownika „Logowanie lokalne”. Z tego względu nie zapobiegają one logowaniu się użytkowników bez uprawnień administracyjnych.
Przyczyna
Takie zachowanie może wystąpić, jeśli kontroler domeny z systemem Windows 2000 i usługami terminalowymi nie ma dodanej grupy globalnej Użytkownicy, Użytkownicy uwierzytelnieni lub Wszyscy do obiektu zasad grupy dla prawa użytkownika „Logowanie lokalne”.
Rozwiązanie
Aby obejść ten problem, zmodyfikuj obiekt zasad grupy dla kontrolera domeny:
  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zasady zabezpieczeń kontrolera domeny.
  2. Kliknij dwukrotnie folder Ustawienia zabezpieczeń, kliknij dwukrotnie folder Zasady lokalne, a następnie kliknij pozycję Przypisywanie praw użytkownika.
  3. W kolumnie Zasada kliknij pozycję Logowanie lokalne, a następnie kliknij przycisk Dodaj.
  4. Kliknij przycisk Przeglądaj, kliknij odpowiednią grupę, a następnie kliknij przycisk Dodaj.
  5. Kliknij przycisk OK, kliknij przycisk OK, a następnie kliknij przycisk OK.
  6. W wierszu polecenia wpisz secedit /refreshpolicy machine_policy /enforce, a następnie naciśnij klawisz ENTER.
Stan
Takie zachowanie jest zgodne z projektem programu.
Więcej informacji
Problem opisany w tym artykule występuje na kontrolerach domeny z systemem Windows 2000 i usługami terminalowymi skonfigurowanymi do używania trybu serwera aplikacji dla dostępu użytkowników. Kontrolery domeny z systemem Windows 2000 i usługami terminalowymi skonfigurowanymi do używania trybu administracji zdalnej nie zezwalają na logowanie użytkownika, z wyjątkiem równoczesnego zalogowania dwóch kont administratora w celu zarządzania serwerem. Gdy użytkownik próbuje ustanowić połączenie z kontrolerem domeny z systemem Microsoft Windows 2000 i usługami terminalowymi w celu użycia trybu administracji zdalnej, jest generowany następujący komunikat o błędzie:
Nie masz dostępu do logowania do tej sesji.
„Logowanie lokalne” jest wymaganym prawem użytkownika w systemie Microsoft Windows NT 4.0 Terminal Server Edition i w usługach terminalowych systemu Windows 2000. Jest to spowodowane tym, że sesje usług terminalowych są środowiskiem pulpitu użytkownika i użytkownik potrzebuje takich samych praw na komputerze usług terminalowych jakie ma na innych stacjach roboczych.

Problem opisany w tym artykule występuje, gdy komputer z systemem Windows 2000 i usługami terminalowymi jest kontrolerem domeny, ponieważ kontrolery domeny współużytkują jedną bazę danych zabezpieczeń. Kontrolery domeny z systemem Windows NT 4.0 korzystają z bazy danych Menedżera kont zabezpieczeń (SAM, Security Accounts Manager), a kontrolery domeny z systemem Windows 2000 — z usługi Active Directory, która jest wspólna dla wszystkich kontrolerów domeny. Prawo użytkownika „Logowanie lokalne” jest przypisywane do grupy w systemie Windows NT 4.0 i obiektów zasad grupy w systemie Windows 2000. W systemie Windows 2000 jeden kontroler domeny, któremu udzielono prawa użytkownika „Logowanie lokalne”, współużytkuje to prawo ze wszystkimi kontrolerami domeny w domenie.

Aby uzyskać dodatkowe informacje na temat komunikatów o błędach połączeń klienta usług terminalowych, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
246109 Podczas logowania za pomocą klienta usług terminalowych są generowane komunikaty o błędach
224395 Error Message: You Do Not Have Access to Logon to This Session

UWAGA: Prawo użytkownika „Logowanie lokalne” można dodać zdalnie za pomocą narzędzia Ntrights.exe.

Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
279664 How to Set Logon User Rights with the Ntrights.exe Utility
Właściwości

Identyfikator artykułu: 247989 — ostatni przegląd: 12/05/2015 17:48:46 — zmiana: 2.6

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbnosurvey kbarchive kberrmsg kbprb KB247989
Opinia