Logowanie na kontrolerze domeny
Najlepiej jest być na bakier z wszelkimi zasadami zdroworozsądkowymi. Dlatego też postaram się w skrócie opisać, w jaki sposób zwykłemu szarakowi (czytaj: użytkownikowi bez jakichkolwiek uprawnień w domenie) pozwolić logować się na głównym kontrolerze domeny z zainstalowanym Windows Server 2008. Większość administratorów uderzyła już w tym momencie głową w biurko, zastanawiając się nad celowością takiego postępowania… toteż nikt nie będzie przeszkadzał.
Do dzieła, a zatem:
- Na kontrolerze domeny w narzędziu Server Manger znajdujemy gałąź Default Domain Policy (najszybciej po ścieżce:
Features\Group Policy Manager\Fores: <domena>\Domains\<domena>\Default Domain Policy
) - Otwieramy Group Policy Management Editor poprzez wybranie Edit z menu kontekstowego.
- Dalej, nawigujemy do tej części, która pozwala nadawać i odbierać uprawnienia użytkownikom:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
. - Na koniec zezwalamy użytkownikowi na logowanie w trybie Terminal Services (KB278433), poprzez dodanie tam całej grupy Remote Desktop Users.
- Aby jeszcze wszystko szybko weszło w życie, wymuszamy odświeżenie polis w domenie:
gpupdate /force
- I to wszystko. Użytkownik nie musi mieć nawet uprawnień logowania lokalnego.
Dodatkowo uwaga:
- firewall musi mieć dziurę na przychodzące połączenia od usługi “Remote Desktop”
- sama usługa natomiast musi być włączona :)
- użytkownik, któremu pozwalamy na logowanie musi należeć do grupy “Remote Dektop Users”, ale to już chyba zbyt oczywiste.