вход запрещен локальной политикой», и я никак не могу определить, где эта политика отключается?
Отвечает Сергей Мороз
Чтобы пользователь мог подключиться к терминальному серверу Windows 2000, должно соблюдаться три условия.
- В свойствах учетной записи пользователя на вкладке Terminal Services Profile должен быть включен режим Allow logon to terminal server ("по умолчанию включен для всех учетных записей").
- Пользователю необходимо предоставить разрешения (permissions) на протокол RDP-TCP, используемый для подключения к терминальному серверу. Как минимум - разрешение User Access (предусматривает подключение и просмотр статуса других пользователей терминального сервера) или Guest Access (только подключение). Разрешения по умолчанию зависят от режима работы терминального сервера. В режиме Application Server разрешено неограниченное количество подключений, но требуютcя лицензии для каждого пользователя (без лицензий сервер работает только 90 дней). В этом случае всем пользователям по умолчанию предоставляется разрешение User Access. В режиме Remote Administration покупка лицензий на терминальный доступ не требуется, и ограничений по времени нет, но разрешены только два одновременных подключения с правами администратора, т. е. режим предназначен для удаленного администрирования. При этом разрешения на протокол RDP-TCP даны только группе Administrators. Чтобы предоставить обычному пользователю право на подключение к серверу в этом режиме, нужно открыть пункт меню Start -> Programs -> Administrative Tools, запустить утилиту Terminal Services Configuration, открыть папку Connections -> свойства объекта RDP-TCP -> вкладка Permissions. Откроется список контроля доступа к протоколу RDP-TCP, в котором следует предоставить соответствующему пользователю разрешение User Access.
- У пользователя должно быть разрешение на интерактивный вход в систему (регистрация с клавиатуры), поскольку подключение к терминальному серверу приравнивается системой безопасности Windows 2000 к интерактивному. На обычном сервере и рабочей станции это разрешение есть у всех пользователей, но на контроллере домена для обычных пользователей, не входящих в группы администраторов или операторов (Server Operators и т. д.), интерактивный вход по умолчанию запрещен. Как следствие, пользователи не могут подключиться к терминальному серверу, если он является контроллером домена. Сообщение об ошибке при этом выдается именно такое, которое указано в письме. Чтобы сменить разрешения на интерактивный вход, необходимо изменить групповую политику контроллеров домена. Следует открыть оснастку Active Directory Users and Computers -> [имя-домена] -> папка Domain Controllers -> свойства -> вкладка Group Policy. Там вы найдете объект групповой политики (GPO) под названием "Default Domain Controllers Policy". Нужно выделить этот объект и нажать кнопку Edit - запустится редактор групповой политики. В редакторе следует открыть раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assigment. В этом разделе нужно найти разрешения на системные действия, такие, как интерактивный вход, перевод системных часов и т. д. Разрешение на интерактивный вход называется "Log on Locally". Требуется открыть его двойным щелчком мыши, добавить в список соответствующих пользователей, нажать OK. Записывать на диск ничего не нужно. Далее следует либо подождать 5 мин, либо вручную ускорить процесс применения групповой политики, набрав в командной строке: secedit /refreshpolicy machine_policy. Имейте в виду - если контроллеров домена несколько, может потребоваться дополнительное время на репликацию групповой политики с контроллера на контроллер.
В Windows NT 4.0 была возможность через пункты меню Start — Settings — Control Panel — Devices останавливать и запускать драйверы устройств. А что стало с возможностью остановки драйверов в Windows 2000? В модуле «Управление компьютером — служебные программы — программная среда — драйверы» можно только просмотреть текущее состояние драйверов.
Описанная утилита (в английской версии это Computer Management -> System Tools -> System Information -> Software Environment -> Drivers) действительно показывает только статус драйверов, поскольку сам инструмент System Information предназначен лишь для просмотра системной информации.
Вместо него необходимо открыть Computer Management -> System Tools -> Device Manager. Там вы увидите список всех устройств системы, и для каждого из них (исключая видеоадаптер, клавиатуру и некоторые другие) при нажатии правой кнопки мыши в контекстном меню доступны функции Enable/Disable. Эти функции выполняют загрузку и выгрузку драйверов устройств на ходу, т. е., в отличие от Windows NT 4.0, перезагрузка в большинстве случаев не нужна. Кстати, назначенный вами статус устройства — Enable или Disable — при последующей перезагрузке сохранится. Если ни для одного устройства эти функции не доступны, значит, либо вы не имеете административных прав (драйверами может управлять только администратор), либо подключились к этому компьютеру по сети, используя в утилите Computer Management функцию Connect to another computer. Удаленное включение и выключение драйверов средствами Computer Management невозможно — для этого нужно использовать терминальный сервер.
Надо отметить, что кроме драйверов устройств в Windows NT/2000 существуют и другие, например драйверы сетевых протоколов. По умолчанию в Windows 2000 они не видны. Чтобы можно было их увидеть в Device Manager, нужно
в утилите Computer Management поставить курсор на объект Device Manager и в контекстном меню включить функцию View -> Show hidden devices. После этого в списке устройств появляется объект под названием «Non-Plug and Play Drivers». Его нужно развернуть, и тогда будут видны все драйверы, не показанные по умолчанию.
Сергей Мороз — преподаватель Учебного центра информационных технологий Академии народного хозяйства при Правительстве РФ. Имеет сертификаты MCSE, MCT. С ним можно связаться по адресу: SergeyM@ane.ru.