Разное

Чтобы войти в систему удаленно вам нужно право на вход через службы 2020: Право на вход через службы удаленных рабочих столов

Содержание

Чтобы выполнить вход на этот удаленный компьютер нужно иметь

При настройке удаленного подключения (RDP) к терминальному серверу очень часто возникает проблемы. Особенно когда создаются новые пользователи. В принципе ошибка достаточно простая и решается всего в несколько действий. Давайте рассмотрим решение данной проблемы на примере Windows Server 2012. Данная инструкция подойдет и для других версий.

Как дать разрешение на вход через службу терминалов

И так вы создали пользователя и пытаетесь подключиться к удаленному рабочему столу с его учетными данными. Но видите следующею ошибку.

Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы пользователей удаленного рабочего стола имеют такое разрешение. Если вы не являетесь членом группы пользователей удаленного рабочего стола или другой группы, имеющей такое разрешение, или если группа пользователей удаленного рабочего стола не имеет такое разрешение, нужно предоставить это разрешение вручную.

Прочитав внимательно данное сообщение можно догадаться что у пользователя или у группы в которой он состоит нет прав.

Решить проблему можно несколькими способами, добавив права группе которой состоит пользователь либо добавить пользователя в группу.

И так заходим на сервер к которому пользователь не может подключиться. Далее идем в пуск и открываем «Управление компьютером».

Идем в раздел пользователи, открываем свойства проблема пользователя.

Переходим во вкладку «Членство в группах» и жмем «Добавить».

Открываем пункт «Дополнительно».

Кликаем на «Поиск» и ищем группу «Пользователи удаленного рабочего стола».

В итоге пользователь для подключения должен состоят в группе.

Пробуем подключиться!

Все достаточно просто самое главное это внимательно читать сообщения которые выдает операционная система.

Несколько одновременных RDP сессий пользователей в Windows 10 | Windows для системных администраторов

Удаленные пользователи могут подключаться к своим компьютерам Windows 10 через службу удаленных рабочих столов (RDP) в редакциях Pro и Enterprise (но не в Home/Single Language). Но есть ограничение на количество одновременных RDP сессии – допускается одновременная работа только одного удаленного пользователя. Если вы попробуете открыть вторую RDP сессию, появится предупреждение с запросом отключить сеанс первого пользователя.

В систему вошел другой пользователь. Если вы продолжите, он будет отключен. Вы все равно хотите войти в систему?

В английской версии предупреждение такое:

Another user is signed in. If you continue, they’ll be disconnected. Do you want to sign in anyway?

Рассмотрим основные ограничения на использование службы удаленного рабочего стола в Windows 10 (и всех предыдущих десктопных версиях Windows):

  1. Вы можете удаленно подключиться через RDP только к старшим редакциям Windows (Professional и выше). В домашних редакциях (Home) RDP доступ заблокирован.
  2. Поддерживается только одно одновременное RDP подключение. При попытке запустить вторую RDP-сессию, пользователю предлагается завершить существующее подключение.
  3. Если пользователь работает за консолью компьютера (локально), то при удаленном подключении по RDP, его локальный сеанс будет отключен (заблокирован). Правильно и обратное утверждение: удаленный RDP сеанс принудительно завершается, если пользователь авторизуется на консоле системы.

По сути, ограничение на количество одновременных RDP подключений является не техническим, а скорее лицензионным. Таким образом Microsoft запрещает создавать терминальный RDP сервер на базе рабочей станции для одновременной работы нескольких пользователей. Логика Microsoft проста: если вам нужен терминальный сервер — купите лицензию Windows Server, лицензии RDS CAL, установите и настройте роль Remote Desktop Session Host (RDSH).

Хотя с технической точки зрения любая редакция Windows при наличии достаточного количества оперативной памяти может обслуживать одновременную работу нескольких десятков удаленных пользователей. В среднем на одну RDP сессию пользователя без учета запускаемых приложений требуется 150-200 Мб памяти. Т.е. максимальное количество одновременных RDP сессий в теории ограничивается только ресурсами компьютера.

Мы рассмотрим два способа отключить ограничение на количество одновременных RDP подключений к Windows 10: с помощью приложения RDP Wrapper и с помощью правки файла termsrv.dll.

Важно. Изначально в самой первой версии статьи основным рабочим вариантом, позволяющим снять ограничение на количество одновременных RDP подключений пользователей в Windows был способ модификации и подмены файла termsrv.dll в папке %SystemRoot%\System32. Однако при установке нового билда Windows 10 или некоторых обновлений безопасности, этот файл обновляется.

В результате приходится каждый раз редактировать этот файл Hex редактором, что довольно утомительно. Поэтому в качестве основного способа организации бесплатного терминального сервера на клиентской Windows 10 стоит считать утилиту RDP Wrapper Library.

Примечание. Модификации системы, описанные в этой статье, считаются нарушением лицензионного соглашения Windows и вы можете выполнять их на свой страх и риск.

RDP Wrapper: разрешить несколько RDP сеансов в Windows 10

OpenSource проект RDP Wrapper Library позволяет включить конкурентные RDP сессии в Windows 10 без замены файла termsrv.dll. Эта программа работает в качестве прослойки между менеджером управления службами (SCM — Service Control Manager) и службой терминалов (Remote Desktop Services). RDPWrap позволяет включить не только поддержку нескольких одновременных RDP сессии, но и реализовать RDP сервер на домашних редакциях Windows 10. RDP Wrapper не вносит никаких изменений в файл termsrv.dll, просто подгружая termsrv с изменёнными параметрами.

Таким образом, RDPWrap будет работать даже при обновлении версии файла termsrv.dll, что позволяет не опасаться обновлений Windows.

Важно. Перед установкой RDP Wrapper важно убедится, чтобы у вас использовалась оригинальная (непропатченная) версия файл termsrv.dll. В противном случае RDP Wrapper может работать не стабильно, или вообще не запускаться.

Вы можете скачать RDP Wrapper из репозитория GitHub: https://github.com/binarymaster/rdpwrap/releases (последняя доступная версия RDP Wrapper Library v1.6.2). Судя по информации на странице разработчика, поддерживаются все версии Windows. Windows 10 поддерживается вплоть до 1809 (хотя в 1909 тоже все прекрасно работает, см. ниже).

Архив RDPWrap-v1.6.2.zip содержит несколько файлов:

  • RDPWinst.exe —программа установки/удаления RDP Wrapper Library;
  • RDPConf.exe — утилита настройки RDP Wrapper;
  • RDPCheck.exe — Local RDP Checker — утилита проверки RDP;
  • install.bat, uninstall.bat, update.bat — пакетные файлы для установки, удаления и обновления RDP Wrapper.

Чтобы установить RDPWrap, запустите файл install.bat с правами администратора.

После окончания установки запустите RDPConfig.exe. Проверьте, что в секции Diagnostics все элементы окрашены в зеленый цвет.

Запустите RDPCheck.exe и попробуйте открыть вторую RDP сессию (или подключитесь несколькими сессиями RDP с удаленных компьютеров) Все получилось! Теперь ваша Windows 10 позволяет одновременно подключаться по RDP сразу двум удаленным пользователям.

Утилита RDPWrap поддерживается во редакциях Windows: Windows Vista, Windows 7, Windows 8, Windows 8.1 и Windows 10. Таким образом из любой клиентской версии Windows можно сделать сервер терминалов.

Также из интересных возможностей RDP Wrapper можно выделить:

Не работает RDP Wrapper в Windows 10

Рассмотрим, что делать, если у вас в Windows 10 при установленной утилите RDP Wrapper не получается использовать несколько RDP подключений..

В моем случае утилита RDConfig в окне статуса показывала [not supported]. Проблема была в том, что на компьютере отсутствовал прямой доступ в Интернет и программа не смогла скачать с GitHub актуальную версию файла rdpwrap.ini с настройками для последних версий Windows (как вручную обновить rdpwrap.ini см. ниже).

Скачайте файл rdpwrap.ini с ресурса разработчика и поместите его в каталог установки (C:\Program Files\RDP Wrapper\rdpwrap.ini). Перезапустите службу TermService и убедитесь, что надпись [not supported] сменилась на [fully supported].

Если утилита RDP Wrapper не работает после обновления файла rdpwrap.ini, возможно у вас новая версия Windows 10. Попробуйте скачать готовый ini файл для вашей версии Windows 10 здесь (https://github.com/fre4kyC0de/rdpwrap) или для Windows 10 1909 (10.0.18363.476) здесь — rdpwrap_10.0.18363.476_1909.zip.

Также при проблемах с RDPWrap вы можете открыть ветку в https://github.com/stascorp/rdpwrap/issues. Здесь же можно найти актуальные файлы rdpwrap.ini до момента обновления в официальном репозитории.

Чтобы заменить файл rdpwrap.ini:

  1. Остановите службу termservice: get-service termservice|stop-service
  2. Замените файл rdpwrap.ini в каталоге C:\Program Files\RDP Wrapper\;
  3. Перезагрузите компьютер;
  4. После перезагрузки запустите RDPConf и убедитесь, что все статусы стали зелеными.

Если после установки обновлений безопасности или после апгрейда билда Windows 10, RDP Wrapper не работает, проверьте, возможно в секции Diagnostics присутствует надпись Listener state: Not listening.

Попробуйте обновить ini файл «C:\Program Files\RDP Wrapper\rdpwrap.ini» скриптом update.bat (либо вручную) и переустановить службу:

rdpwinst.exe -u
rdpwinst.exe -i

Бывает, что при попытке второго RDP подключения под другим пользователем у вас появляется надпись:

Число разрешенных подключений к этому компьютеру ограничено и все подключений уже используются. Попробуйте подключиться позже или обратитесь к системному администратору.

The number of connections to this computer is limited and all connections are in use right now. Try connecting later or contact your system administrator.

В этом случае нужно с помощью редактора групповых политики gpedit.msc в секции Конфигурация компьютера –> Административные шаблоны ->  Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов ->  Подключения включить политику “Ограничить количество подключений” и изменить ее значение на 999999 (Computer Configuration -> Administrative Templates -> Windows Components ->Remote Desktop Services ->Remote Desktop Session Host -> Connections-> Limit number of connections).

Перезагрузите компьютер для применения настроек.

Модификация файла termsrv.dll  для снятия ограничений RDP в Windows 10

Чтобы убрать ограничение на количество RDP подключений пользователей в Windows 10 без использования rdpwraper, можно заменить файл termsrv.dll. Это файл библиотеки, которая используется службой Remote Desktop Services. Файл находится в каталоге C:\Windows\System32.

Прежде, чем править или заменять файл termsrv.dll желательно создать его резервную копию. Это поможет вам в случае необходимости можно будет вернуться к исходной версии файла. Запустите командную строку с правами администратора и выполните команду:

copy c:\Windows\System32\termsrv.dll termsrv.dll_backup

Прежде чем править файл termsrv.dll, вам нужно стать его владельцем и предоставить группе администраторов полные права на него. Проще всего это сделать из командной строки. Чтобы сменить владельца файла с TrustedInstaller на группу локальных администраторов с помощью команды:

takeown /F c:\Windows\System32\termsrv.dll /A

Должно появится сообщение: «SUCCESS: The file (or folder): «c:\Windows\System32\termsrv.dll» now owned by the administrators group».

Теперь предоставим группе локальных администраторов полные права на файл termsrv.dll (Full Control):

icacls c:\Windows\System32\termsrv.dll /grant Administrators:F (или Администраторы в русской версии Windows). Должно появится сообщение: «processed file: c:\Windows\System32\termsrv.dll Successfully processed 1 files; Failed processing 0 files«.

Теперь нужно остановить службу Remote Desktop Service (TermService) из консоли services.msc или из командной строки:

Net stop TermService

Прежде чем идти дальше, вам нужно узнать вашу версию (билд) Windows 10. Проще всего это сделать с помощью следующей команды PowerShell:

Get-ComputerInfo | select WindowsProductName, WindowsVersion

В моем случае установлена Windows 10 билд 1909.

Затем откройте файл termsrv.dll с помощью любого HEX редактора (к примеру, Tiny Hexer). В зависимости от билда нужно найти и заменить строку:

Версия Windows 10 Найти строку Заменить на
Windows 10 x64 1909 39 81 3C 06 00 00 0F 84 5D 61 01 00  

 

 

 

B8 00 01 00 00 89 81 38 06 00 00 90

 

Windows 10 x64 1903 39 81 3C 06 00 00 0F 84 5D 61 01 00
Windows 10 x64 1809 39 81 3C 06 00 00 0F 84 3B 2B 01 00

 

Windows 10 x64 1803 8B 99 3C 06 00 00 8B B9 38 06 00 00

 

Windows 10 x64 1709 39 81 3C 06 00 00 0F 84 B1 7D 02 00

 

Например, для самой первой редакции Windows 10 x64 RTM 10240 (версия файла termsrv.dll — 10.0.10240.16384) нужно открыть файл termsrv.dll в Tiny Hexer. Затем найдите строку:

39 81 3C 06 00 00 0F 84 73 42 02 00

И замените ее на:

B8 00 01 00 00 89 81 38 06 00 00 90

Сохраните файл и запустите службу TermService.

Готовый пропатченный файл termsrv.dll для Windows 10 Pro RTM x64 можно скачать здесь: termsrv_windows_10_x64_10240.zip

Если что-то пошло не так, и у вас возникнут проблемы со службой RDP, остановите службу и замените модифицированный файл termsrv.dll исходной версией:

copy termsrv.dll_backup c:\Windows\System32\termsrv.dll

Преимущество способа включения нескольких RDP сессий в Windows 10 путем замены файла termsrv.dll в том, что на него не реагируют антивирусы. В отличии от утилиты RDPWrap, которую многие антивирусов считают Malware/HackTool/Trojan. Основной недостаток — вам придется вручную править файл при каждом обновлении билда Windows 10 (или при обновлении версии файла termsrv.dll в рамках ежемесячных кумулятивных обновлений).

Раздаем пользователям права на запуск и остановку служб Windows | Windows для системных администраторов

По умолчанию обычные пользователи, не обладающие правами администратора системы, не могут управлять системными (и большинством прикладных) службами Windows. Это означает, что они не могут останавливать, запускать (перезапускать), изменять настройки и разрешения таких служб. В некоторых случаях все-таки требуется, чтобы у пользователя были права на перезапуск и управление определенными службами. В этой статье мы разберем несколько способов управления правами на службы Windows. В частности, мы покажем, как предоставить обычному пользователю, без прав администратора Windows, права на запуск, остановку и перезапуск определенной службы.

Предположим, нам нужно предоставить доменной учетной записи contoso\tuser права на перезапуск службы печати (Print Spooler) с системным именем Spooler.

Простого и удобного встроенного инструмента для управления разрешениями на службы в Windows нет. Мы рассмотрим несколько способ предоставления пользователю прав на службу:

Какой из них проще и удобнее – решать Вам.

Встроенная утилита SC.exe (Service controller)

Стандартный, встроенный в Windows способ управления правами на службы системы предусматривает использование утилиты sc.exe (Service Controller).

Главная, проблема – зубодробительный синтаксис формата предоставления прав на сервис (формат SDDL).

Получить текущие права на службу можно так:

sc.exe sdshow Spooler

D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Что значат все эти символы?

S: — System Access Control List (SACL)
D: — Discretionary ACL (DACL)

Первая буква после скобок означает: разрешить (A, Allow) или запретить (D, Deny).

Следующая пачка символов – назначаемые права.

CC — SERVICE_QUERY_CONFIG (запрос настроек служы)
LC — SERVICE_QUERY_STATUS (опрос состояния служы)
SW — SERVICE_ENUMERATE_DEPENDENTS (опрос зависимостей)
LO — SERVICE_INTERROGATE
CR — SERVICE_USER_DEFINED_CONTROL
RC — READ_CONTROL
RP — SERVICE_START (запуск службы)
WP — SERVICE_STOP  (остановка службы)
DT — SERVICE_PAUSE_CONTINUE (приостановка, продолжение службы)

Последние 2 буквы, объекты (группа пользователей или SID), котором предоставляются права. Есть список предустановленных групп.

AU Authenticated Users

AO Account operators
RU Alias to allow previous Windows 2000
AN Anonymous logon
AU Authenticated users
BA Built-in administrators
BG Built-in guests
BO Backup operators
BU Built-in users
CA Certificate server administrators
CG Creator group
CO Creator owner
DA Domain administrators
DC Domain computers
DD Domain controllers
DG Domain guests
DU Domain users
EA Enterprise administrators
ED Enterprise domain controllers
WD Everyone
PA Group Policy administrators
IU Interactively logged-on user
LA Local administrator
LG Local guest
LS Local service account
SY Local system
NU Network logon user
NO Network configuration operators
NS Network service account
PO Printer operators
PS Personal self
PU Power users
RS RAS servers group
RD Terminal server users
RE Replicator
RC Restricted code
SA Schema administrators
SO Server operators
SU Service logon user

Можно вместо предустановленной группы явно указать пользователя или группу по SID. Получить SID пользователя для текущего пользователя можно с помощью команды:

whoami /user

или для любого пользователя домена с помощью PowerShell комаднлета Get-ADUser:

Get-ADUser -Identity 'iipeshkov' | select SID

К примеру, права пользователю на службу spooler могут быть предоставлены следующей командой:

sc sdset Spooler "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;S-1-5-21-2133228432-2794320136-1823075350-1000)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

SubInACL: назначаем права на службы с помощью утилиты Sysinternals

Гораздо проще воспользоваться консольной утилитой SubInACL из комплекта Sysinternals от Марка Руссиновича (права на которую вместе с автором теперь принадлежат Microsoft). Синтаксис этой утилиты гораздо проще и удобнее для восприятия. Как предоставить права перезапуска на службу с помощью SubInACL:

  1. Скачайте msi со страницы (https://www.microsoft.com/en-us/download/details.aspx?id=23510) и установите ее на целевой системе.
  2. В командной строке с правами администратора перейдите в каталог с утилитой: cd “ C:\Program Files (x86)\Windows Resource Kits\Tools\)
  3. Выполните команду: subinacl.exe /service Spooler /grant=contoso\tuser=PTO

    Примечание. В данном случае мы дали пользователю права на приостановку (Pause/Continue), запуск (Start) и остановку (Stop) службы. Полный список доступных разрешений:F : Full Control
    R : Generic Read
    W : Generic Write
    X : Generic eXecute
    L : Read controL
    Q : Query Service Configuration
    S : Query Service Status
    E : Enumerate Dependent Services
    C : Service Change Configuration
    T : Start Service
    O : Stop Service
    P : Pause/Continue Service
    I : Interrogate Service
    U : Service User-Defined Control Commands

    Если нужно предоставить права на службу, запущенную на удаленном компьютере, синтаксис будет такой:
    subinacl /SERVICE \\msk-buh01\spooler /grant=contoso\tuser=F

  4. Осталось войти в данную систему под учетной записью пользователя и попробовать перезапустить службу командами:
    net stop spooler
    net start spooler

Если вы все сделали верно, служба должна остановиться и запуститься заново.

Process Explorer: Установка разрешений на службу

Достаточно просто изменить разрешения на службу с помощью еще одной утилиты Sysinternals — Process Explorer. Запустите Process Explorer с правами администратора и найдите в списке процессов процесс нужной вам службы. В нашем примере это spoolsv.exe (диспетчер очереди печати — C:\Windows\System32\spoolsv.exe). Откройте свойства процесса и перейдите на вкладку Services.

Нажмите на кнопку Permissions и в открывшемся окне добавьте пользователя или группу, которой нужно предоставить права на сервис и уровень полномочий.

Шаблон безопасности (Security Template)

Более наглядный (но и требующий большего количества действий) графический способ управления правами на службы – с помощью шаблонов безопасности. Для реализации, откройте консоль mmc.exe и добавьте оснастку Security Templates.

Создадим новый шаблон (New Template).

Задайте имя нового шаблона и перейдите в раздел System Services. В списке служб выберите свою службу Print Spooler и откройте ее свойства.

Установите тип запуска (Automatic) и нажмите кнопку Edit Security.

С помощью кнопки Add добавьте учетную запись пользователя или группы, которым нужно предоставить права. В нашем случае, нам достаточно права Start, Stop and pause.

Сохраните шаблон (Save).

Примечание. Содержимое шаблона безопасности сохраняется в inf файле в каталоге C:\Users\username\Documents\Security\Templates

Если открыть этот файл, можно увидеть, что данные о правах доступа сохраняются в уже ранее упомянутом SDDL формате. Полученная таким образом строка может быть использована в качестве аргументы команды sc.exe.

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Service General Setting]
"Spooler",2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;RPWPDTRC;;;S-1-5-21-3243688314-1354026805-3292651841-1127)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Осталось с помощью оснастки Security Configuration and Analysis создать новую базу данных (Open Database) и импортировать наш шаблон безопасности из файла Spooler User Rights.inf.

Применим шаблон, вызвав из контекстного меню команду Configure Computer Now.

Теперь можно под пользователем проверить, что у него появились права на управление службой Print Spooler.

Управление правами служб через групповые политики

Если нужно раздать пользователям права запуска/остановки сервиса сразу на множестве северов или компьютерах домена, проще всего воспользоваться возможностями групповых политик (GPO).

  1. Создайте новую или отредактируйте существующую GPO, назначьте ее на нужный контейнер с компьютерами в Active Directory. Перейдите в раздел политик Computer configuration -> Windows Settings -> Security Settings -> System Services.
  2. Найдите службу Spooler и аналогично ранее рассмотренной методике предоставьте права пользователю. Сохраните изменения.
  3. Осталось дождаться применения политик на клиентских компьютерах и проверить применение настроек прав службы.

Назначаем разрешения на службу с помощью PowerShell

В галерее TechNet имеется отдельный неофициальный модуль PowerShell для управления разрешениями на разные объекты Windows — PowerShellAccessControl Module (скачать его можно здесь). Этот модуль позволяет он управлять правами на службы. Импортируйте модуль в свою сессию:

Import-Module PowerShellAccessControl

Получить эффективные разрешения на конкретную службу из PowerShell можно так:

Get-Service spooler | Get-EffectiveAccess -Principal corp\tuser

Чтобы предоставить обычному пользователю права на запуск и остановку службы, выполните:

Get-Service spooler | Add-AccessControlEntry -ServiceAccessRights Start,Stop -Principal corp\tuser

Итак, мы разобрали несколько способов управления правами на службы Windows, позволяющих предоставить произвольному пользователю любые права на службы системы. В том случае, если пользователю требуется удаленный доступ к службе, без предоставления ему прав локального входа в систему, нужно разрешить пользователю удаленно опрашивать Service Control Manager.

Раздаем пользователям права на запуск и остановку служб Windows

По умолчанию обычные пользователи (без прав администратора) не могут управлять системными службами Windows. Это означает, что пользовали не могут остановить, запустить (перезапустить), изменить настройки и разрешения служб Windows. В этой статье мы разберем несколько способов управления правами на службы Windows. В частности, мы покажем, как предоставить обычному пользователю, без прав администратора Windows, права на запуск, остановку и перезапуск определенной службы.

Предположим, нам нужно предоставить доменной учетной записи contoso\tuser права на перезапуск службы печати (Print Spooler) с системным именем Spooler. При попытке перезапустить службу под пользователей появляется ошибка: System error 5 has occurred. Access is denied.

Простого и удобного встроенного инструмента для управления разрешениями на службы в Windows нет. Мы рассмотрим несколько способ предоставления пользователю прав на службу:

Какой из них проще и удобнее – решать Вам.

Управление правами на службы с помощью встроенной утилиты SC.exe (Service controller)

Стандартный, встроенный в Windows способ управления правами на службы системы предусматривает использование консольной утилиты sc.exe (Service Controller).

Главная, проблема – зубодробительный синтаксис формата предоставления прав на сервис (используется формат SDDL — Security Description Definition Language).

Получить текущие разрешения на службу в виде SDDL строки можно так:

sc.exe sdshow Spooler

D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Что значат все эти символы?

S: — System Access Control List (SACL)
D: — Discretionary ACL (DACL)

Первая буква после скобок означает: разрешить (A, Allow) или запретить (D, Deny).

Следующая пачка символов – назначаемые права.

CC — SERVICE_QUERY_CONFIG (запрос настроек служы)
LC — SERVICE_QUERY_STATUS (опрос состояния служы)
SW — SERVICE_ENUMERATE_DEPENDENTS (опрос зависимостей)
LO — SERVICE_INTERROGATE
CR — SERVICE_USER_DEFINED_CONTROL
RC — READ_CONTROL
RP — SERVICE_START (запуск службы)
WP — SERVICE_STOP  (остановка службы)
DT — SERVICE_PAUSE_CONTINUE (приостановка, продолжение службы)

Последние 2 буквы — объекты (группа пользователей или SID), котором нужно назначить права. Есть список предустановленных групп.

AU Authenticated Users

AO Account operators
RU Alias to allow previous Windows 2000
AN Anonymous logon
AU Authenticated users
BA Built-in administrators
BG Built-in guests
BO Backup operators
BU Built-in users
CA Certificate server administrators
CG Creator group
CO Creator owner
DA Domain administrators
DC Domain computers
DD Domain controllers
DG Domain guests
DU Domain users
EA Enterprise administrators
ED Enterprise domain controllers
WD Everyone
PA Group Policy administrators
IU Interactively logged-on user
LA Local administrator
LG Local guest
LS Local service account
SY Local system
NU Network logon user
NO Network configuration operators
NS Network service account
PO Printer operators
PS Personal self
PU Power users
RS RAS servers group
RD Terminal server users
RE Replicator
RC Restricted code
SA Schema administrators
SO Server operators
SU Service logon user

Можно вместо предустановленной группы явно указать пользователя или группу по SID. Получить SID пользователя для текущего пользователя можно с помощью команды:

whoami /user

или для любого пользователя домена с помощью PowerShell комаднлета Get-ADUser:

Get-ADUser -Identity 'iipeshkov' | select SID

SID доменной группы можно получить с помощью командлета Get-ADGroup:

Get-ADGroup -Filter {Name -like "msk-helpdesk*"} | Select SID

Чтобы назначить SDDL строку с правами на определённую службу, используется команда sc sdset. К примеру, права пользователю на службу spooler могут быть предоставлены следующей командой:
sc sdset Spooler "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;S-1-5-21-2133228432-2794320136-1823075350-1000)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Предоставление прав на перезапуск службы с помощью SubInACL

Для управления правами служб Windows гораздо проще воспользоваться консольной утилитой SubInACL из комплекта Sysinternals от Марка Руссиновича (права на которую вместе с автором теперь принадлежат Microsoft). Синтаксис этой утилиты гораздо проще и удобнее для восприятия. Рассмотрим, как предоставить права перезапуск службы с помощью SubInACL:

  1. Скачайте subibacl,msi со страницы (https://www.microsoft.com/en-us/download/details.aspx?id=23510) и установите ее на целевой системе;
  2. В командной строке с правами администратора перейдите в каталог с утилитой: cd “C:\Program Files (x86)\Windows Resource Kits\Tools\
  3. Выполните команду: subinacl.exe /service Spooler /grant=contoso\tuser=PTO

    Примечание. В данном случае мы дали пользователю права на приостановку (Pause/Continue), запуск (Start) и остановку (Stop) службы. Полный список доступных разрешений:F : Full Control
    R : Generic Read
    W : Generic Write
    X : Generic eXecute
    L : Read controL
    Q : Query Service Configuration
    S : Query Service Status
    E : Enumerate Dependent Services
    C : Service Change Configuration
    T : Start Service
    O : Stop Service
    P : Pause/Continue Service
    I : Interrogate Service
    U : Service User-Defined Control Commands

    Если нужно предоставить права на службу, запущенную на удаленном компьютере, используйте следующий синтаксис команды subinacl:
    subinacl /SERVICE \\msk-buh01\spooler /grant=contoso\tuser=F

  4. Осталось войти в данную систему под учетной записью пользователя и попробовать перезапустить службу командами:
    net stop spooler
    net start spooler

    или
    sc stop spooler && sc start spooler

Если вы все сделали верно, служба должна перезапуститься.

Чтобы лишить пользователя назначенных прав на службу в subinacl.exe используется параметр /revoke, например:

subinacl.exe /service Spooler /revoke=contoso\tuser

Process Explorer: Установка разрешений на службу

Достаточно просто изменить разрешения на службу с помощью еще одной утилиты Sysinternals — Process Explorer. Запустите Process Explorer с правами администратора и найдите в списке процессов процесс нужной вам службы. В нашем примере это spoolsv.exe (диспетчер очереди печати — C:\Windows\System32\spoolsv.exe). Откройте свойства процесса и перейдите на вкладку Services.

Нажмите на кнопку Permissions и в открывшемся окне добавьте пользователя или группу, которой нужно предоставить права на сервис и выберите уровень полномочий (Full Control/Write/Read).

Назначаем разрешения на службу с помощью PowerShell

В галерее TechNet имеется отдельный неофициальный модуль PowerShell для управления разрешениями на разные объекты Windows — PowerShellAccessControl Module (скачать его можно здесь). Этот модуль позволяет управлять правами на службы. Импортируйте модуль в свою PS сессию:

Import-Module PowerShellAccessControl

Получить эффективные разрешения на конкретную службу из PowerShell можно так:

Get-Service spooler | Get-EffectiveAccess -Principal corp\tuser

Чтобы предоставить обычному пользователю права на запуск и остановку службы, выполните:

Get-Service spooler | Add-AccessControlEntry -ServiceAccessRights Start,Stop -Principal corp\tuser

 

Используем шаблоны безопасности (Security Templates) для управления разрешениями служб

Более наглядный (но и требующий большего количества действий) графический способ управления правами на службы – с помощью шаблонов безопасности. Для реализации, откройте консоль mmc.exe и добавьте оснастку Security Templates.

Создадим новый шаблон (New Template).

Задайте имя нового шаблона и перейдите в раздел System Services. В списке служб выберите свою службу Print Spooler и откройте ее свойства.

Установите тип запуска (Automatic) и нажмите кнопку Edit Security.

С помощью кнопки Add добавьте учетную запись пользователя или группы, которым нужно предоставить права. В нашем случае, нам достаточно права Start, Stop and pause.

Сохраните шаблон (Save).

Примечание. Содержимое шаблона безопасности сохраняется в inf файле в каталоге C:\Users\username\Documents\Security\Templates.

Если открыть этот файл, можно увидеть, что данные о правах доступа сохраняются в уже упомянутом ранее SDDL формате. Полученная таким образом строка может быть использована в качестве аргументы команды sc.exe.

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Service General Setting]
"Spooler",2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;RPWPDTRC;;;S-1-5-21-3243688314-1354026805-3292651841-1127)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Осталось с помощью оснастки Security Configuration and Analysis создать новую базу данных (Open Database) и импортировать новый шаблон безопасности из файла Spooler User Rights.inf.

Примените шаблон, вызвав из контекстного меню команду Configure Computer Now.

Теперь можно под пользователем проверить, что у него появились права на управление службой Print Spooler.

Управление правами служб через групповые политики

Если нужно раздать пользователям права запуска/остановки сервиса сразу на множестве северов или компьютерах домена, проще всего воспользоваться возможностями групповых политик (GPO).

  1. Создайте новую или отредактируйте существующую GPO, назначьте ее на нужный контейнер с компьютерами в Active Directory. Перейдите в раздел политик Computer configuration -> Windows Settings -> Security Settings -> System Services;
  2. Найдите службу Spooler и аналогично методике с шаблонами безопасности, рассмотренной ранее, предоставьте права пользователю. Сохраните изменения;
  3. Осталось дождаться обновления политик на клиентских компьютерах и проверить применение новых разрешений на службу.

Где хранятся разрешения служб Windows?

Настройки безопасности для все служб, для которых вы изменили разрешения по-умолчанию хранятся в собственной ветке реестра  HKLM\System\CurrentControlSet\Services\<servicename>\Security в параметре Security типа REG_BINARY.

Это означает, что одним из способов установки аналогичных разрешений на других компьютерах может быть экспорт/импорт данного параметра реестра (в том числе через GPO).

Итак, мы разобрали несколько способов управления правами на службы Windows, позволяющих предоставить произвольному пользователю любые права на системные службы. Если пользователю требуется удаленный доступ к службе, без предоставления ему прав локального входа в систему, нужно разрешить пользователю удаленно опрашивать Service Control Manager.

 

Как организовать удаленный доступ и не пострадать от хакеров

Когда руководство компании экстренно требует перевести всех сотрудников на удаленный доступ, вопросы безопасности зачастую отходят на второй план. Как результат – злоумышленники получают отличное поле для деятельности.
Так что же нужно и что нельзя делать при организации безопасного удаленного доступа к корпоративным ресурсам? Подробно об этом расскажем под катом.

Безопасная публикация ресурсов

Публикуйте веб-ресурсы через Web Application Firewall (в простонародье – WAF). Для быстрого развертывания и базовой защиты достаточно будет использовать стандартные профили защиты по OWASP Top 10. В первое время придется много подкручивать гайки в части отлова false positive событий. Если прямо сейчас у вас нет WAF – не отчаивайтесь! Если у вас стоит на тестировании какая-то триальная версия WAF, попробуйте задействовать ее для решения этой задачи, либо установите open-source решение Nginx + ModSecurity.

Если воспользоваться WAF не удалось, то спешно (по возможности) переводите приклад на HTTPS, проверяйте все пароли (пользовательские, админские) для публикуемого приложения на соответствие установленной в компании парольной политике. Не забудьте проверить операционные системы и CMS на свежесть, а также присутствие всех необходимых патчей, словом – санитизируйте все участки будущего общедоступного сервиса. Разверните Kali Linux и воспользуйтесь встроенным набором утилит для сканирования уязвимостей, если времени на это нет – воспользуйтесь одним из публичных сканеров уязвимостей (Detectify, ImmuniWeb и др.).

Чего делать не надо? Не стоит выставлять на показ в Интернет ваш замечательный самописный приклад на HTTP, в котором могут быть тысячи уязвимостей. Не надо выставлять и доступ по SSH к серверу или сетевому оборудованию, если не хотите, чтобы на вас полился брутфорс, а также не нужно напрямую публиковать RDP до целевых станций (привет, esteemaudit). Если есть сомнения в конкретном приложении, до которого нужно обеспечить доступ, разместите его за VPN.

VPN

С публикацией ресурсов разобрались, перейдем к сервисам, доступ до которых опубликовать не удалось. Для этого нам понадобится организовать VPN.

Что следует учесть при организации VPN?

В первую очередь оцените, сможете ли вы быстро развернуть клиентское ПО VPN на рабочих местах, или лучше воспользоваться Clientless подходом. Есть ли у вас VPN-шлюз или межсетевой экран с возможностью организовать удаленный доступ?

Если, например, в вашей сети стоит межсетевой экран Fortinet или Check Point с любым бандлом (NGFW/NGTP/NGTX), поздравляю, поддержка функционала IPsec VPN идет «из коробки», и ничего дополнительного покупать и устанавливать вам не нужно. Останется только поставить клиенты на рабочие места и настроить межсетевой экран.

Если прямо сейчас у вас нет VPN-шлюза или межсетевого экрана, посмотрите в сторону open-source решений (OpenVPN, SoftEther VPN и т.п.), которые можно довольно быстро развернуть на любом сервере, благо, step-by-step гайдов в Интернете предостаточно.

Кроме того, желательно, чтобы ваш VPN-шлюз интегрировался с AD/RADIUS для централизованного управления учетными записями. Также не забудьте проверить парольную политику и настройте защиту от брутфорса.

Если вы решили идти по пути установки клиента удаленного доступа на рабочие места пользователей, нужно будет определиться, какой режим VPN использовать: Full Tunnel или Split Tunnel. Если доступ для отдельной группы пользователей предполагает работу с конфиденциальной или высококритичной информацией, то я бы порекомендовал использовать Full Tunnel режим. Таким образом весь трафик будет заруливаться в туннель, выход в Интернет для пользователей можно будет организовать через прокси, при желании трафик можно будет слушать еще и через DLP. В иных случаях можно ограничиться обычным Split Tunnel режимом, при котором трафик заруливается в туннель только до внутренних сетей компании.

После успешной аутентификации пользователей вам следует определиться с авторизацией: куда давать пользователям доступ, как и где это делать. Есть несколько вариантов.

  1. Прямой доступ. Пользователь получил IP-адрес из своего VPN-пула и может идти напрямую к необходимым ресурсам (читай – через межсетевой экран). Здесь следует отметить, что если у вас стоит простой L4 межсетевой экран, на котором уже были настроены политики доступа (и их много!), то быстро адаптировать их к новым пулам IP-адресов может не получиться. Даже если у вас стоит NGFW с политиками по пользователям или группам пользователей, лог-оны в AD не будут зафиксированы (если только у вас не стоит специальный клиент на каждом рабочем месте), и политики тоже не будут работать. В таком случае политики придется создавать непосредственно на VPN-шлюзе либо использовать RADIUS при аутентификации и интегрировать его с клиентом межсетевого экрана для трекинга лог-онов пользователей.
  2. Терминальный доступ. Если у вас есть NGFW с политиками по пользователям и терминальный сервер, то можно сделать так. При реализации терминального доступа (например, с помощью MS RDS) пользователь, получивший удаленный доступ, логинится на терминальный сервер. Поставьте на него специальный агент от производителя межсетевых экранов (например, FSSO TS). Этот агент будет сообщать межсетевому экрану IP-адрес залогинившегося пользователя, в результате чего написанные политики безопасности по пользователям или группам пользователей останутся без изменений, и не придется спешно менять политики на NGFW.

Рабочие места пользователей – защищены?

Перейдем к безопасности рабочих мест.

Оцените безопасность рабочих мест удаленных пользователей: вы даете им рабочие станции с установленным золотым образом со всеми необходимыми фичами безопасности (antivirus, host-based IPS/Sandbox и т.п.), или они сидят со своих домашних ноутбуков с неизвестно каким софтом? Если ответ на этот вопрос – домашние устройства, то лучше бы после предоставления удаленного доступа зарулить трафик на NGFW с IDS/IPS, а в идеале еще и на сетевую «песочницу».

Одним из хороших вариантов также будет публикация на VDI конкретного приложения для работы (браузера, почтового клиента и т.п.). Это позволит разрешить доступ только к конкретным используемым приложениям.

Если у вас в компании запрещено подключение съемных носителей, то в случае удаленного доступа об этом также не стоит забывать, ограничив такую возможность для свежевыданных корпоративных ноутбуков.

Как обычно, убедитесь, что отключены небезопасные протоколы и службы, нелишним будет включить шифрование диска (вдруг ваш пользователь пойдет поработать в коворкинг, и его корпоративный ноутбук украдут?), не забудьте отобрать права привилегированного доступа (если ноутбук корпоративный).

Аутентификация

Используйте централизованное управление учетными записями при удаленном доступе (AD/RADIUS), а также не забудьте продумать сценарии, при которых ваш Identity Store будет недоступен (например, создайте дополнительно локальные учетные записи).

Хорошей практикой будет использование клиентских сертификатов, самоподписные сертификаты можно выпустить и на Microsoft CA.

Предположим, что в связи с непредвиденными обстоятельствами у ваших удаленных пользователей все-таки увели учетные данные. Двухфакторная аутентификация поможет справиться и с этой напастью (OTP-пуши на мобильных устройствах, SMS). А вот двухфакторную аутентификацию через корпоративный email я бы не рекомендовал (зачастую для аутентификации при удаленном доступе используются такие же учетные записи, как и в электронной почте, и, стало быть, ваш второй фактор легко будет вытащить). Если нужно быстро организовать двухфакторную аутентификацию, можно посмотреть в сторону публичных сервисов – например, Google Authenticator.

Эксплуатация

Продумайте, как ваш ИТ-департамент будет эксплуатировать удаленные рабочие места и помогать пользователям в решении повседневных проблем. Явно потребуется удаленный доступ сотрудников техподдержки к удаленным рабочим местам пользователей.

Желательно, чтобы рабочие станции «разливались» из золотого образа, и вам не пришлось пытаться восстанавливать работоспособность домашних компьютеров сотрудников из-за того, что они поставили что-то не то, или, чего доброго, поймали какой-то ransomware. Лучше выдайте корпоративные ноутбуки с заранее известными мощностями и составом установленного ПО, чтобы не получить головную боль с домашними ПК сотрудников, ведь ими могут пользоваться дети, на них может дико тормозить система или может не быть необходимых средств защиты.

Нелишним будет напомнить пользователям перед переходом на удаленную работу существующие в компании политики безопасности: мало ли как захочется рядовому пользователю расслабиться в обеденный перерыв дома.

Чек-лист: проверьте, что вы ничего не забыли, чтобы сделать удаленный доступ безопасным

  • Публикуйте необходимые веб-ресурсы безопасно и с умом (используйте WAF, проверьте пароли, проверьте свежесть ОС, CMS).
  • Проведите сканирование на предмет уязвимостей (собственными сканерами уязвимостей или публичными сканерами).
  • Предоставляйте доступ к внутренним ресурсам через VPN (не выставляйте наружу RDP/SSH или приложения, с которыми обмен данными внутри сети не защищен).
  • Публикуйте конкретные приложения через VDI (Citrix, VMware).
  • Настройте двухфакторную аутентификацию (OTP-пуши на мобильных устройствах, SMS).
  • Не забудьте учесть существующие настроенные политики безопасности на межсетевых экранах (адаптируйте их под пользователей удаленного доступа либо воспользуйтесь преимуществами связки NGFW с ID FW политиками и терминальным сервером).
  • Выдайте пользователям корпоративные ноутбуки для использования вместо домашних ПК (убедитесь, что все необходимые средства защиты установлены и обновлены, права у пользователей отобраны, парольная политика соблюдается, ОС актуальна и пропатчена).

Включить вход в качестве службы и вход в качестве пакетного задания

Windows располагает хорошими средствами автоматизации рутинных действий что называется «из коробки». Начиная с Windows Vista, пользователям десктопных и серверных систем доступны функции входа в качестве службы и в качестве пакетного задания.

Что это значит? Если учетная запись пользователя имеет право входить в систему в качестве службы, то это позволяет запустить от его имени какой-либо процесс как службу. Соответственно, такой процесс наделяется всеми свойствами службы (например, автозапуском).

Что касается пакетных заданий, то данная система обеспечивает функционирование Планировщика заданий без необходимости для пользователя лично заходить в компьютер под своей учетной записью.

Планировщик заданий.

Для того, чтобы обе функции стали доступны, необходимо открыть Редактор локальных групповых политик командой gpedit.msc.

Далее откройте раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Назначение прав пользователя.

Обе групповые политики редактируются одинаковым образом. Достаточно нажать кнопку Добавить пользователя или группу и выбрать соответствующего пользователя (соответствующую группу).

В соединении было отказано, поскольку учетная запись пользователя не авторизована для удаленного входа

Если вы пытаетесь установить удаленное соединение, но видите сообщение об ошибке — Соединение было отклонено, поскольку учетная запись пользователя не авторизована для удаленного входа , тогда знайте, что это происходит, когда целевой хост не позволит вам получить доступ к этой системе удаленно. Если вы столкнулись с этой проблемой даже после получения правильного разрешения, следуйте этим инструкциям, чтобы решить эту проблему.

В соединении было отказано, поскольку учетная запись пользователя не авторизована для удаленного входа

Если вы столкнулись с этой проблемой, вам необходимо выполнить следующие задачи, чтобы решить эту проблему:

  1. Проверьте группу пользователей удаленного рабочего стола
  2. Добавить пользователя в группу безопасности
  3. Проверьте службу удаленного рабочего стола.

1] Проверка группы пользователей удаленного рабочего стола

Если у группы «Пользователи удаленного рабочего стола» нет прав для вашей учетной записи, которую вы используете для создания удаленного подключения, вы можете столкнуться с этой проблемой. Поэтому выполните следующие действия, чтобы убедиться, что ваша учетная запись является членом группы «Пользователи удаленного рабочего стола».

Откройте командную строку и выполните эту команду:

 lusrmgr.msc 

Кроме того, вы можете найти то же самое в окне поиска панели задач. После его открытия выберите Пользователи и дважды щелкните свое имя пользователя, чтобы открыть Свойства. Затем вам нужно перейти с вкладки «Общие» на вкладку Пользователь .

Если вы не можете найти какую-либо группу пользователей удаленного рабочего стола в разделе Администратор , вам необходимо добавить ее. Для этого нажмите кнопку Добавить на экране. После открытия следующего окна нажмите кнопки Дополнительно и Найти сейчас соответственно.

Вы найдете список в окне результатов поиска. В списке дважды нажмите Пользователи удаленного рабочего стола .

После этого нажмите кнопку ОК и сохраните настройки. Теперь проверьте, можете ли вы подключиться к удаленному хосту или нет.

2] Добавление пользователя в группу безопасности

Вы можете разрешить или запретить пользователю вход в систему через Службы удаленных рабочих столов. Если у вас нет правильной настройки, вы не сможете использовать эту функцию.

Чтобы подтвердить этот параметр, вам нужно открыть панель локальной политики безопасности. Введите эту команду в поле Начать поиск и нажмите Enter-

 secpol.msc 

Теперь перейдите в раздел «Локальные политики»> «Назначение прав пользователя». Справа вы найдете политику с именем Разрешить вход в систему через службы удаленных рабочих столов . Дважды щелкните эту политику, чтобы открыть свойства.

Если вы не можете найти пользователей удаленного рабочего стола в разделе Администратор , вам необходимо добавить его. Для этого нажмите кнопку Добавить пользователя или группу , введите Пользователи удаленного рабочего стола в пустое поле и нажмите кнопку ОК.

После сохранения изменений перезагрузите компьютер и попробуйте подключиться к хосту.

3] Проверка группы пользователей удаленного рабочего стола

Существует служба, которая должна быть запущена и должна быть правильно настроена. Вы должны убедиться, что служба запущена и работает. Для этого откройте панель «Услуги». Вы можете найти «услуги» в окне поиска на панели задач и открыть диспетчер служб. После этого найдите службу с именем Службы удаленных рабочих столов и дважды щелкните ее, чтобы открыть Свойства.

Затем перейдите на вкладку Вход >, выберите параметр Эта учетная запись > и нажмите кнопку Обзор .

На следующем экране вы можете найти кнопку Дополнительно . Вам нужно нажать на нее и использовать кнопку Найти сейчас для поиска. Вы увидите СЕТЬ СЕРВИС .

Дважды щелкните по нему и сохраните настройки.

Перезагрузите компьютер и проверьте, можете ли вы подключиться к удаленному хосту или нет. Я надеюсь, что это поможет вам решить проблему.

Связанное чтение . Как включить или отключить подключение к удаленному рабочему столу в Windows 10.

ИСПРАВЛЕНИЕ

: для удаленного входа необходимо право входа через службы удаленных рабочих столов — Server 2016 (решено) — wintips.org

Последнее обновление: 26 сентября 2019 г.

В этом руководстве содержатся инструкции по исправлению ошибки «Для удаленного входа необходимо право входа через службы удаленных рабочих столов» при попытке подключения с клиентских компьютеров удаленного рабочего стола Windows (RDP) на Windows Server 2016, на котором запущены службы удаленных рабочих столов.

Проблема в деталях: пользователи клиента удаленного рабочего стола не могут удаленно подключиться (через RDP) к серверу терминалов 2016 и получают сообщение об ошибке: « Для удаленного входа необходимо право входа через службы удаленных рабочих столов.По умолчанию это право имеют члены группы администраторов. Если группа, в которой вы состоите, не имеет права или если право было удалено из группы администраторов, вам необходимо предоставить право вручную ».

Как исправить: для удаленного входа необходимо право входа через службы удаленных рабочих столов.

Чтобы решить проблему «Для удаленного входа необходимо право входа через службы удаленных рабочих столов», примените следующие действия на сервере служб удаленных рабочих столов (RDS) 2016:

Шаг 1.Добавьте пользователей удаленного рабочего стола в группу пользователей удаленного рабочего стола.

1. Откройте Server Manager .
2. В меню Инструменты выберите Пользователи и компьютеры Active Directory . *

* Примечание. Если хост-сервер сеанса удаленных рабочих столов не установлен на контроллере домена, используйте оснастку «Локальные пользователи и группы» или вкладку «Удаленный» в «Свойствах системы», чтобы добавить пользователей удаленного рабочего стола.

3. Дважды щелкните свой домен слева и выберите Builtin.
4.
Откройте Пользователи удаленного рабочего стола на правой панели.

5. На вкладке Элементы щелкните Добавить .

6. Введите пользователей AD, которым вы хотите предоставить удаленный доступ к серверу RDS, и нажмите OK .

7. После выбора пользователей удаленного рабочего стола нажмите OK еще раз, чтобы закрыть окно.

8. Перейдите к шагу 2 ниже.

Шаг 2. Разрешите вход через службы удаленного рабочего стола.

1. Откройте редактор групповой политики. Для этого:

1. Одновременно нажмите клавиши Windows + R , чтобы открыть окно команд запуска.
2. Введите gpedit.msc и нажмите . Введите .

2. В редакторе групповой политики перейдите к: Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя .

3. На правой панели: дважды щелкните Разрешить вход через службы удаленных рабочих столов.

4. Щелкните Добавить пользователя или группу .

5. Введите удаленный и нажмите Проверить имена .

6. Выберите Пользователи удаленного рабочего стола и щелкните OK .

7. Щелкните OK в окне «Выбрать пользователей, компьютеры…».

8. Наконец, снова нажмите OK и закройте редактор групповой политики.

9. Теперь попробуйте подключиться с клиента удаленного рабочего стола. Проблема удаленного входа теперь должна быть решена. *

* Примечания:
1. Если у вас все еще есть проблемы со входом, тогда перезапустите сервер RDS или просто откройте командную строку от имени администратора и введите следующую команду, чтобы применить новые настройки групповой политики (без перезапуска):

2.(Спасибо Джеффу Флоре за его комментарий / решение): Если после обновления настроек групповой политики проблема не решена, примените следующую модификацию в редакторе групповой политики:

а. Перейдите к Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.
г. Откройте Запретить вход в систему с помощью политики служб удаленных рабочих столов и удалите из группы Пользователи .
г. Закройте редактор политик и выполните команду gpupdate / force .

Вот и все! Сообщите мне, помогло ли вам это руководство, оставив свой комментарий о своем опыте. Пожалуйста, поставьте лайк и поделитесь этим руководством, чтобы помочь другим.

Если эта статья была для вас полезной, поддержите нас, сделав пожертвование. Даже 1 доллар может иметь огромное значение для нас в наших усилиях продолжать помогать другим, сохраняя при этом этот сайт бесплатным:

Смотрите лучшие предложения на Woot! Компания-амазонка доступна только сегодня.Бесплатная доставка для членов Prime!

Если вы хотите, чтобы был постоянно защищен от вредоносных угроз, существующих и будущих , мы рекомендуем вам установить Malwarebytes Anti-Malware PRO , нажав ниже (мы
действительно зарабатываете комиссию от продаж, произведенных по этой ссылке, но без дополнительных затрат для вас. У нас есть опыт работы с этим программным обеспечением, и мы рекомендуем его, потому что оно полезно и полезно):

Полная защита домашнего ПК — Защитите до 3 ПК с помощью НОВОГО ПО Malwarebytes Anti-Malware Premium!

.

Для удаленного входа необходимо право входа в систему через службу удаленного рабочего стола — TheITBros

При подключении к компьютеру или серверу Windows по протоколу RDP вы можете столкнуться с ошибкой:

Для удаленного входа вам потребуется право входа через службы удаленных рабочих столов. По умолчанию это право имеют члены группы администраторов, или, если право было удалено из группы администраторов, вам необходимо предоставить это право вручную.

Как можно удаленно подключиться к рабочему столу такого компьютера (скриншот с ошибкой взят из Windows 10)?

Как вы, наверное, знаете, по умолчанию разрешения на удаленный вход через удаленный рабочий стол доступны членам группы локальных администраторов.Учетная запись, под которой вы подключаетесь к компьютеру, должна входить в локальную группу Administrators . Вы можете проверить это на компьютере с помощью консоли MMC Local Users and Groups (lusrmgr.msc).

В консоли «Локальные пользователи и группы» перейдите в раздел «Группы , », выберите группу «Администраторы , » и проверьте, есть ли ваша учетная запись в этом списке.

Обычный пользователь (не администратор) также может подключаться к компьютеру через RDP, если его учетная запись добавлена ​​в локальную группу Пользователи удаленного рабочего стола ( участников этой группы получают право удаленного входа в систему).

В той же оснастке lusrmgr.msc проверьте эти члены группы. Если у вас есть права администратора на этом компьютере, вы можете добавить учетную запись пользователя в эту группу, нажав кнопку Добавить . Введите имя пользователя или группы безопасности и дважды нажмите ОК, чтобы сохранить изменения.

В связи с этим пользователь будет иметь разрешение на удаленный вход через удаленный рабочий стол, но не будет иметь прав локального администратора на компьютере.

Вы также можете разрешить пользователям удаленно подключаться к службам удаленных рабочих столов с помощью редактора локальной групповой политики.

  1. Запустите консоль gpedit.msc и перейдите в раздел Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Назначение прав пользователя;
  2. Найдите политику с именем Разрешить вход через Свойства служб удаленных рабочих столов ;
    Наконечник
    . Если эта политика содержит только группу администраторов, то ваш администратор по какой-то причине отказал в доступе к системе через RDP для локальной группы пользователей удаленного рабочего стола.
  3. Нажмите кнопку Добавить пользователя и группу и добавьте пользователей или группы, которым необходимо разрешить вход RDP;
  4. Сохраните изменения и обновите политики компьютера с помощью команды: gpupdate / force

Tip .Используя эту политику, вы можете предоставить RDP доступ к контроллерам домена техническому персоналу или пользователям, не давая им разрешений администратора домена в домене Active Directory. Этот трюк также будет работать, если вы установили роль служб удаленных рабочих столов на контроллере домена AD (хотя это не рекомендуется) и хотите разрешить обычным пользователям подключаться к нему через RDP / RemoteApp.

Также в том же разделе редактора GPO убедитесь, что ваша учетная запись не указана в Запретить вход через политику служб удаленных рабочих столов.Эта политика имеет более высокий приоритет.

Если ваш компьютер присоединен к домену AD, эти параметры могут быть перезаписаны политиками домена. Текущие настройки GPO можно получить с помощью оснастки rsop.msc.

Мне нравятся технологии и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению сайтов.

Последние сообщения Кирилла Кардашевского (посмотреть все).

Для удаленного входа необходимо право входа через удаленный рабочий стол — Windows 10

Если у вас есть виртуальная машина Hyper-V под управлением Windows 10. Вы получаете следующую ошибку, когда хотите войти в домен.

«Для удаленного входа вам необходимо право входа через службы удаленных рабочих столов. По умолчанию это право имеют члены группы «Пользователи удаленного рабочего стола». Если группа, в которой вы состоите, не имеет этого права или -если право было удалено из группы «Пользователи удаленного рабочего стола», вам необходимо предоставить это право вручную.”

Это связано с тем, что, когда вы хотите отобразить виртуальную машину в полноэкранном режиме, Hyper-V предлагает вам подключиться как RDP. Не нажимайте Подключиться , если вы хотите войти в домен, и вашему домену не разрешен вход через RDP.

Нравится:

Нравится Загрузка …

Связанные

О компании Chanmingman

С марта 2011 года Microsoft Live Spaces перешла на WordPress (http: // www.pcworld.com/article/206455/Microsoft_Live_Spaces_Moves_to_WordPress_An_FAQ.html) до сих пор у меня более 1 миллиона зрителей. В этом блоге более 50% рассказывается о том, как устранять сообщения об ошибках, особенно для продуктов Microsoft. В блоге также есть много рекомендаций, которые научат вас, как заявить о некоторых технологиях Microsoft. Блог также помогает сохранить мою память. Блог никогда не предназначен для предоставления людям консультационных услуг или решений серебряной пули. Это вклад в сообщество.Спасибо за вашу поддержку на протяжении многих лет.

Мин Ман является MVP Microsoft с 2006 года. Он является менеджером по разработке программного обеспечения в многонациональной компании. Имея 25-летний опыт работы в ИТ-сфере, он разработал систему с использованием Clipper, COBOL, VB5, VB6, VB.NET, Java и C #. Он использует Visual Studio (.NET) с момента бета-тестирования в 2000 году. Он и его команда разработали множество проектов с использованием платформы .NET, такой как SCM, и приложения на основе HR. Он знаком с многоуровневым дизайном бизнес-приложений, а также является экспертом с опытом работы с базами данных в MS SQL, Oracle и AS 400..

Вход

Управление файлами cookie

Что такое куки?

Вкусная выпечка? Не совсем. Файлы cookie — это небольшие фрагменты информации, которые веб-сайты временно отправляют на серверы, пока эти серверы просматривают Интернет. На самом базовом уровне они помогают нам распознавать пользователей и отслеживать их предпочтения.Файлы cookie также помогают нам собирать анонимные данные, которые помогают нам делать Neevo более приятным.

Какие файлы cookie мы используем?

Эти файлы cookie помогают нам улучшить ваш опыт работы с Neevo:

Основы
Эти файлы cookie позволяют нам повышать безопасность, соответствовать требованиям GDPR и обеспечивать поддержку в реальном времени с помощью наших функций чат-бота.

Гугл Аналитика
Файлы cookie Google Analytics помогают нам собирать целостные демографические данные и данные об использовании. Они помогают нам сделать наш сайт более полезным. Поскольку нас интересует только анализ на макроуровне, все, что мы собираем, остается полностью анонимным.

Mouseflow
Эти файлы cookie помогают нам собирать данные о навигации (например, о щелчках и шаблонах мыши / прокрутки). Они помогают нам упростить использование наших продуктов.

Амплитуда
Файлы cookie Amplitude Analytics помогают нам собирать целостные демографические данные и данные об использовании.Они помогают нам сделать наш сайт более полезным. Поскольку нас интересует только анализ на макроуровне, все, что мы собираем, остается полностью анонимным.

Пиксель Facebook
Файлы cookie Facebook помогают нам собирать целостные демографические данные и данные об использовании.Они помогают нам сделать наш сайт более полезным. Поскольку нас интересует только анализ на макроуровне, все, что мы собираем, остается полностью анонимным.

Принимать файлы cookie

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *