Подключение было запрещено так как учетная запись не имеет прав для удаленного входа в систему 2019
Перейти к содержимому

Подключение было запрещено так как учетная запись не имеет прав для удаленного входа в систему 2019

Как разрешить обычным пользователям RDP доступ к Windows Server?

date

17.05.2023

user

itpro

directory

Active Directory, Windows Server 2016, Windows Server 2019, Групповые политики

comments

комментариев 15

По умолчанию удаленный RDP доступ к рабочему столу рядовых серверов с Windows Server или к контроллерам домена Active Directory разрешен только пользователям, добавленных в локальную группу Administrators, или администраторам домена (Domain Admins). В этой статье мы покажем, как предоставить RDP доступ к хостам Windows Server или контроллерам домена обычным пользователям без предоставления прав административных полномочий.

По умолчанию настройки безопасности Windows позволяют RDP подключение удаленному пользователю через службу Remote Desktop Services (TermService) если:

  • Пользователь состоит в локальной группе Administrators или Remote Desktop Users;
  • Пользователю разрешено подключение через локальную политику Allow the log on through Remote Desktop Services.

Чтобы войти в систему, вам нужно право на вход через службу удаленных рабочих столов

При попытке удаленно подключиться к рабочему столу Windows Server, у пользователя появится ошибка:

To sign in remotely, you need the rights to sign in Remote Desktop Services. By default only members of the Administrators group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from Administrators group, you need to be granted this right manually.
Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов. По умолчанию такое право имеют члены группы Администраторы. Если у вашей группы нет этого права или оно было удалено для группы Администраторы, попросите предоставить его вам вручную.

Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов

Если на удаленном хосте для RDP включена проверка подлинности NLA (Network Level Authentication), то при подключении появится другая ошибка:

The connection was denied because the user account is not authorized for remote login.
Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему.

Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему

В этом случае, чтобы разрешить пользователю подключаться к Windows Server по RDP, вам достаточно добавить его в локальную группу Remote Desktop User. Для этого:

Добавить пользователя в локлаьную группу remote desktop users

  1. Откройте mmc оснастку Local Users and Groups MMC ( lusrmgr.msc ) и перейдите в раздел Groups;
  2. Щелкните по группе Remote Desktop User (Пользователи удаленного рабочего стола);
  3. Нажмите кнопку Add и укажите имя пользователя (или группы), которому вы хотите предоставить RDP доступ;
  4. После этого пользователь сможет подключиться к этому хосту Windows по RDP.

Также вы можете добавить пользователя в группу доступа RDP из командной строки:

net localgroup «Remote Desktop Users» /add winitpro\kbuldogov

Add-LocalGroupMember -Group «Remote Desktop Users» -Member kbuldogov

Вывести список пользователей в группе Remote Desktop Users

Get-LocalGroupMember -Group ‘Remote Desktop Users’

список пользователей с правами rdp доступа

По аналогии вы можете предоставить пользователям RDP доступ к рабочим станциям с Windows 10 или 11 (не забудьте включить на них RDP)

По умолчанию Windows Server разрешает две одновременные удаленные RDP сессии. Т.е. два пользователю могут одновременно работать в собственных Remote Desktop сеансах. Если вам нужно большее количество одновременных RDP подключений, придется приобрести и активировать лицензии (RDP CAL) на сервере лицензирования RDS и установить роль Remote Desktop Services (это может быть отдельностоящий сервер с ролью RDSH или полноценная RDS ферма из нескольких серверов).

В RDS ферме для предоставления удаленного доступа можно использовать RDS коллекции. Откройте Server Manager > Remote Desktop Services > Tasks > Edit Deployment Properties.

Откройте коллекцию и в разделе User Group будут указаны группу безопасности, которым разрешено подключаться к RDSH хостам в этой коллекции.

Права на подключение к серверам в RDS коллекции

Как предоставить RDP доступ к контроллеру домена Active Directory?

Если вам нужно предоставить рядовому пользователю, удаленный доступ к рабочему столу контроллера домена, то способ, описанный выше не сработает.

Дело в том, что после повышения роли сервера до контроллера домена Active Directory в оснастке управления компьютером пропадает возможность управления локальными пользователями и группами. При попытке открыть консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:

Как вы видите, на контроллере домена отсутствуют локальные группы. Вместо локальной группы Remote Desktop Users, на DC используется встроенная доменная группа Remote Desktop Users (находятся в контейнере Builtin). Управлять данной группой можно из консоли ADUC или из командной строки на DC.

доменная группа Remote Desktop Users

Однако использовать эту группу для предоставления доступа нежелательно, т.к. она предоставит пользователю доступ ко всем DC в домене. В этом случае для предоставления прав лучше использовать политику Allow log on through Remote Desktop Services.

Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям нужен удаленный доступ к рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру обслуживают несколько администраторов, обладающих правами администратора домена, такая необходимость вряд ли понадобится. Обычно хватает возможностей делегирования пользователям административных полномочия в Active Directory или предоставления прав с помощью PowerShell Just Enough Administration (JEA).

Однако в больших корпоративных сетях, обслуживаемых большим количеством персонала, нередко возникает необходимость предоставления RDP доступа к DC (как правило к филиальным DC или RODC) различным группам администраторов серверов, команде мониторинга, дежурным администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC разворачивают сторонние службы, управляемые не доменными администраторами, которое также необходимо как-то обслуживать.

Политика “Разрешить вход в систему через службу удаленных рабочих столов”

Чтобы разрешить доменному пользователю или группе удаленное RDP подключение к Windows, необходимо предоставить ему право SeRemoteInteractiveLogonRight. Вы можете предоставить это полномочие с помощью политики Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов).

В Windows Server 2003 и ранее политика называется Allow log on through terminal services.

Чтобы разрешить RDP подключение к DC членам группы SPB-Server-Admin, нужно изменить настройку этой политики на контроллере домена:

  1. Запустите редактор локальной политики ( gpedit.msc );
  2. Перейдите в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment;
  3. Найдите политику с именем Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов);

После повышения роли сервера до DC в этой локальной политике остается только группа Administrators (это администраторы домена).

Политика Allow log on through Remote Desktop Services
Отредактируйте политику, добавьте в нее непосредственно доменного пользователя или группу (в формате domain\somegroupname);Групповая политика Разрешить вход в систему через службу удаленных рабочих столов

Обратите внимание, что группа, которую вы добавили в политику Allow log on through Remote Desktop Services, не должны присутствовать в политике “Deny log on through Remote Desktop Services”, т.к. она имеет приоритет (см статью Ограничение сетевого доступа в домене под локальными учетками). Также, если вы ограничиваете список компьютеров, на которые могут логиниться пользователи, нужно добавить имя сервера в свойствах учетной записи в AD (поле Log on to в атрибуте LogonWorkstations).

Примечание. Чтобы разрешить пользователю локальный вход на DC (через консоль сервера), его учетную запись или группу, нужно добавить также в политику Allow log on locally. По умолчанию это право есть у следующих доменных групп:

  • Account Operators
  • Administrators
  • Backup Operators
  • Print Operators
  • Server Operators.

Если это не сделать, при входе появится ошибка Этот метод входа запрещено использовать.

Для удобства вы можете создать в домене новую группу безопасности, например, AllowDCLogin. Затем нужно добавить в нее учетные записи пользователей, которым нужно разрешить удаленный доступ к DC. Если нужно разрешить доступ сразу на все контроллеры домена AD, вместо редактирования локальной политики на каждом DC, лучше через консоль управления доменными политиками ( GPMC.msc ) добавить группу пользователей в доменную политику Default Domain Controllers Policy (политика Allow log on through Remote Desktop Services находится в разделе Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment).

Важно. Если вы изменяете доменную политику, не забудьте добавить в нее группы администраторов домена/предприятия, иначе они потеряют удаленный доступ к контроллерам домена.

Теперь пользователи, которых вы добавили в политику, смогут подключаться к рабочему столу контроллеру домена по RDP.

Если вам нужно предоставить обычным пользователями права на запуск/остановку определенных служб на DC, воспользуйтесь следующей инструкцией.

Доступ к требуемому сеансу RDP отклонен

В нескорых случаях при подключении по RDP к контроллеру домена, вы можете получить ошибку:

The requested session access is denied
Доступ к требуемому сеансу отклонен

Доступ к требуемому RDP сеансу отклонен

Если вы подключаетесь к DC под неадминистративной учетной записью, это может быть связано с двумя проблемами:

  • Вы пытаетесь подключиться к консоли сервера (с помощью mstsc /admin ). Такой режим подключения разрешен только пользователям с правами администратора сервера. Попробуйте подключиться к серверу в обычном режиме (без параметра /admin );
  • Возможно на сервере уже есть две активные RDP сессии (по умолчанию к Windows Server без службы RDS можно одновременно подключиться не более чем двумя RDP сеансами). Список активных сессий на удалённом компьютере и залогиненых пользователей можно вывести так:
    qwinsta /server:dc01
    Без прав администратора вы не сможете завершить сессии других пользователей. Нужно дождаться, пока администраторы освободят или завершат одну из сессий;
  • На хосте Windows Server включен режим Restricted Admin или Windows Defender Remote Credential Guard

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Подключение было запрещено, учетная запись пользователя не имеет прав

Настройка серверов windows и linux

rdp

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в российском сегменте интернета Pyatilistnik.org. В прошлый раз мы с вами научились находить скрытые папки в Windows, разобрали их применение. Сегодня мы разберем ситуацию, когда у вас не получается подключиться к RDS ферме, получая ошибку «Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему«.

Описание инфраструктуры

И так есть RDS ферма построенная на базе Windows Server 2012 R2 и работающая в режиме HA. В какой-то момент пользователи стали обращаться в техническую поддержку, что у них возникла проблема со входом на терминальный стол и сбрасывали скриншот ошибки:

Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему

Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему

Алгоритм решения ошибки подключения к RDS ферме

Просмотр свойств доступа в RDS ферме

На вкладке «Группы пользователей» будут перечислены пользователи и группы, для которых вы позволили удаленное подключение к вашим хостам подключений.

Группы доступа к RDS хосту

По сути данные группы будут добавлены на каждом хосте RDCH в локальную группу «Пользователи удаленного рабочего стола». Убедитесь, что на нужных хостах RDSH и RDCB (Брокерах подключений). ваши группы присутствуют. Если их нет то добавьте их в ручную.

Проверка членства в группе пользователи удаленного рабочего стола

Если вы до сих пор получаете ошибку с отсутствием прав на подключение, то тут может быть вариант, как у меня из-за ошибки на DNS сервере. В большинстве случаев при работе с RDS фермой используют балансировку подключений DNS Round-Robin, так как не у всех есть оборудования по типу KEMP. Round-Robin, это поочередное переключение одного DNS имени на разные ip-адреса. За счет этого каждый пользователь уже будет обращаться к следующей записи. В моем случае есть DNS запись, по которой подключаются все пользователи к RDS ферме terminal.root.pyatilistnik.org. Данное DNS имя ссылается на два брокера подключений RDCB01 и RDCB02. В результате этого пользователи поочередно обращаются к разным брокерам. Так же может быть ситуация, что брокеров вообще может не быть и у вас есть две и более A записи ссылающихся на разные ip-адреса ваших хостов с терминальной службой. Проверить, это можно через команду nslookup или командлет Resolve-DnsName.

nslookup terminal

Как видим в моем примере имя terminal ответило, как два хоста с адресами 192.168.31.10 и 192.168.31.1. Теперь сделаем nslookup к данным хостам:

nslookup 192.168.31.1 && nslookup 192.168.31.10

В итоге я увидел, что у одной записи не верное значение, оно ссылается на контроллер домена dc01.root.pyatilistnik.org.

Выявление ошибки подключения к терминальному серверу через nslookup

Как показало дальнейшее разбирательство один из коллег не правильно восстановил удаленные ранее записи. В результате этого, каждый второй пользователь за счет чередования Round-Robin хотел подключиться к контроллеру домена, и логично, что он получал ошибку об отсутствии прав на него.

Resolve-DnsName terminal
Resolve-DnsName 192.168.31.1
Resolve-DnsName 192.168.31.10

Выявление ошибки подключения к терминальному серверу через powershell

В итоге я вернул все в привычное русло, но есть еще два нюанса, это локальный кэш на пользовательских машинах и на самом DNS сервере, который нужно почистить. Первым делом на всех ваших контроллерах домена открываем оснастку DNS и кликаем правой кнопкой мыши по имени вашего сервера. Из контекстного меню выберите пункт «Очистить кэш«. Напоминаю, что сделать это нужно на всех контроллерах.

Очистка DNS кэша на контроллерах домена

Так же со стороны пользователя вы можете почистить локальный кэш DNS. После этого у вас должна пропасть ошибка подключения к RDS ферме «Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему» С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Популярные Похожие записи:
  • Ошибка Remote Desktop Connection Broker Client failed to redirect the user
  • Get-ADGroup: Управление группами Active DirectoryGet-ADGroup: Управление группами Active Directory
  • Ошибка RDS: Cannot get role and feature dataОшибка RDS: Cannot get role and feature data
  • Как удалить sIDHistory у объектов Active Directory
  • Как дать права на Deleted Objects в Active DirectoryКак дать права на Deleted Objects в Active Directory
  • Ошибка The number of connections to this computer is limitedОшибка The number of connections to this computer is limited

Июл 29, 2019 23:12 Автор — Сёмин Иван

2 Responses to Подключение было запрещено, учетная запись пользователя не имеет прав

Подобная проблема появилась на обычном ПК пользователя. Есть домен. Завёл новую учётку юзверю, залогинился, всё ок. А по RDP из под любой действующей учётки не пускает с такой же ошибкой

Подключение было запрещено, учетная запись пользователя не имеет прав

rdp

Windows

Таким образом, существует ферма RDS, построенная на основе Windows Server 2012 R2 и работающая в режиме высокой доступности. В какой-то момент пользователи начали обращаться в техподдержку, у которых возникла проблема с доступом к таблице терминала, и загрузили снимок экрана с ошибкой:

В соединении было отказано, поскольку учетная запись пользователя не имеет прав для удаленного входа в систему

В соединении было отказано, поскольку учетная запись пользователя не имеет прав для удаленного входа в систему

Алгоритм решения ошибки подключения к RDS ферме

Первое, что нужно проверить, – это правильно ли у ваших пользователей подключаться к вашим RDSH-хостам. Для этого откройте консоль управления фермой RDS и получите доступ к нужной вам коллекции. В левом верхнем углу будут свойства коллекции, нажмите на кнопку «Действия – Изменить свойства”

Просмотр свойств входа в ферму RDS

На вкладке «Группы пользователей» будут перечислены пользователи и группы, которым вы разрешили удаленные подключения к подключающимся узлам.

Группы доступа к хостам RDS

По сути, эти группы будут добавлены на каждом хосте RDCH в локальную группу пользователей удаленного рабочего стола. Убедитесь, что правильные хосты – это RDSH и RDCB (брокеры соединений), в которых присутствуют ваши группы. Если их нет, добавьте их вручную.

Проверить членство в группе для пользователей удаленного рабочего стола

Если вы по-прежнему получаете сообщение об ошибке без прав на подключение, возможно, есть вариант, как у меня, из-за ошибки на DNS-сервере. В большинстве случаев при работе с фермой RDS используется циклическая балансировка DNS-соединений, так как не у всех есть оборудование типа KEMP. Round-Robin – это альтернативная передача DNS-имени на разные IP-адреса. По этой причине каждый пользователь уже будет обращаться к следующей записи. В моем случае есть DNS-запись, по которой все пользователи подключаются к ферме RDS terminal.root.zhivye-oboi-windows.ru. Это DNS-имя относится к двум брокерам соединений RDCB01 и RDCB02. В результате пользователи обращаются к разным брокерам один за другим. Также может быть, что нет брокеров, а у вас есть две или более A-записи, которые относятся к разным IP-адресам ваших хостов с терминальной службой. Вы можете проверить это с помощью команды nslookup или командлета Resolve-DnsName.

+ zhivye-oboi-windows.ru Как в Windows 10 Fall Crеаtors снять ограничение на количество закрепляемых на панели задач контактов

Зная это, вам необходимо проверить на стороне клиента, что имя терминальной фермы разрешено, откройте командную строку и введите:

Как вы можете видеть в моем примере, имя терминала ответило как два хоста с адресами 192.168.31.10 и 192.168.31.1. Теперь посмотрим на эти хосты:

nslookup 192.168.31.1 && nslookup 192.168.31.10

В результате я увидел, что у записи неверное значение, она относится к контроллеру домена dc01.root.zhivye-oboi-windows.ru.

Выявление ошибки при подключении к терминальному серверу с помощью nslookup

Как показало дальнейшее расследование, одному из коллег не удалось восстановить ранее удаленные записи. В результате каждый второй пользователь хотел подключиться к контроллеру домена из-за циклической ротации и логично, что они получили ошибку об отсутствии на нем прав.

То же самое можно вычислить с помощью PowerShell, где вам нужно сделать:

Терминал Resolve-DnsName
Разрешить-DnsName 192.168.31.1
Разрешение DNS-имени 192.168.31.10

Выявление ошибки при подключении к терминальному серверу с помощью powershell

В итоге я привел все на круги своя, но есть еще два нюанса, это локальный кеш на машинах пользователей и сам DNS-сервер, который нужно почистить. Прежде всего, на всех контроллерах домена откройте оснастку DNS и щелкните правой кнопкой мыши имя своего сервера. В контекстном меню выберите пункт «Очистить кеш». Напомню, что это нужно делать на всех контроллерах.

Очистка кеша DNS на контроллерах домена

Кроме того, на стороне пользователя вы можете очистить локальный кеш DNS. После этого вы должны пропустить ошибку подключения к ферме RDS «Подключение отклонено, потому что учетная запись пользователя не имеет прав для удаленного входа».

Алексей Игнатьев/ автор статьи

Специалист и эксперт zhivye-oboi-windows.ru — профессиональный консультант, системный администратор.
Опыт работы в этой сфере 7 лет.

Подключение по RDP к серверу возможно только при добавлении пользователя в группу «Администраторы домена», как это изменить?

Подключение по RDP к серверу возможно только при добавлении пользователя в группу «Администраторы домена».
При попытке подключиться выдает «Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему».
Я хочу дать доступ на подключения для своей группы.
В настройках групповой политики для «Разрешить вход в систему через службу удаленных рабочих столов» я добавил свою группу, но это не помогло.
В настройках удаленного рабочего стола для компьютера также добавил группу, не помогло.
Какие настройки нужно изменить, чтобы появился доступ?

  • Вопрос задан более года назад
  • 4855 просмотров

Комментировать

Решения вопроса 1

Сергей @bimbibim Автор вопроса

Не было разрешения на удаленный вход внутри виртуальной машины для группы пользователей, в самой пользовательской винде это назначение не так интуитивно понятно расположено и не смог сначала найти. Теперь всё работает.

Ответ написан более года назад

Комментировать

Нравится Комментировать

Ответы на вопрос 2

firedragon

Владимир Коротенко @firedragon

Не джун-мидл-сеньор, а трус-балбес-бывалый.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *