Вы заметили, что в Windows Server 2003 и Windows Server 2008 поле проверка "Запретить этому пользователю разрешения на вход на сервер узла сеансов удаленных рабочих столов" в Windows Server 2003 и Windows Server 2008 работает по-разному.

  • Статья

В этой статье показано, как решить проблему, из-за которой функция Запретить этому пользователю разрешения на вход на сервер узла сеансов удаленных рабочих столов в разных версиях Windows Server работает по-разному.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2258492

Симптомы

Вы можете заметить, что поведение запрета этому пользователю на вход на сервер узла сеансов удаленного рабочего стола отличается в Windows Server 2003 и Windows Server 2008. В Windows Server 2003 этот параметр называется Запретить этому пользователю разрешение на вход на любой сервер терминалов.

Рассмотрите следующую настройку:

  1. Рядовой сервер Windows 2008 Server.

  2. Рядовой сервер Windows Server 2003.

  3. В оснастке Пользователи и компьютеры Active Directory выберите пользователя и перейдите на вкладку Профиль служб удаленных рабочих столов. Если контроллер домена работает под управлением Windows Server 2003, он будет называться Профилем служб терминалов. Здесь задайте параметр "Запретить этому пользователю разрешение на вход на сервер узла сеансов удаленного рабочего стола". Опять же, в Windows Server 2003 это называется "Запретить этому пользователю разрешение на вход в любой сервер терминалов".

  4. Задайте этого пользователя членом группы "Пользователи удаленных рабочих столов" или локальной группы "Администраторы" на серверах Windows Server 2003 и Windows Server 2008.

Теперь используйте учетные данные этого пользователя для входа на рядовой сервер Windows 2003 по протоколу RDP. Вы заметите, что этот пользователь будет заблокирован. Однако этот пользователь сможет выполнить вход на сервер Windows Server 2008.

Причина

Такое поведение является особенностью данного продукта. В Windows Server 2003 этот параметр проверяется независимо от того, находится ли сервер в режиме сервера терминалов удаленного администрирования или сервера терминалов приложений. Однако в Windows Server 2008 этот параметр установлен на компьютере со службами удаленных рабочих столов только в режиме приложения. Режим удаленного администрирования не будет проверка этот параметр. Если вы измените сервер Windows Server 2008 на режим приложения служб удаленных рабочих столов путем установки роли, этому пользователю не будет отказано в входе по протоколу RDP.

Разрешение

Чтобы запретить вход пользователя или группы по протоколу RDP, явно задайте привилегию "Запретить вход через службы удаленных рабочих столов". Для этого получите доступ к редактору групповой политики (локальному серверу или из подразделения) и задайте следующие привилегии:

  1. Пуск | Запуск | Gpedit.msc, если измените локальную политику или выберите соответствующую политику и измените ее.

  2. Конфигурация компьютера | Параметры Windows | Параметры безопасности | Локальные политики | Назначение прав пользователя.

  3. Найдите и дважды щелкните "Запретить вход через службы удаленных рабочих столов".

  4. Добавьте пользователя и /или группу, доступ к которым вы хотите запретить.

  5. Нажмите кнопку ОК.

  6. Запустите gpupdate /force /target:computer или дождитесь следующего обновления политики, чтобы этот параметр войдет в силу.