Coding with Titans

so breaking things happens constantly, but never on purpose

Logowanie na kontrolerze domeny

Najlepiej jest być na bakier z wszelkimi zasadami zdroworozsądkowymi. Dlatego też postaram się w skrócie opisać, w jaki sposób zwykłemu szarakowi (czytaj: użytkownikowi bez jakichkolwiek uprawnień w domenie) pozwolić logować się na głównym kontrolerze domeny z zainstalowanym Windows Server 2008. Większość administratorów uderzyła już w tym momencie głową w biurko, zastanawiając się nad celowością takiego postępowania… toteż nikt nie będzie przeszkadzał.

Do dzieła, a zatem:

  1. Na kontrolerze domeny w narzędziu Server Manger znajdujemy gałąź Default Domain Policy (najszybciej po ścieżce: Features\Group Policy Manager\Fores: <domena>\Domains\<domena>\Default Domain Policy)
  2. Otwieramy Group Policy Management Editor poprzez wybranie Edit z menu kontekstowego.
  3. Dalej, nawigujemy do tej części, która pozwala nadawać i odbierać uprawnienia użytkownikom: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.
  4. Na koniec zezwalamy użytkownikowi na logowanie w trybie Terminal Services (KB278433), poprzez dodanie tam całej grupy Remote Desktop Users.
  5. Aby jeszcze wszystko szybko weszło w życie, wymuszamy odświeżenie polis w domenie:

    gpupdate /force
  6. I to wszystko. Użytkownik nie musi mieć nawet uprawnień logowania lokalnego.

Dodatkowo uwaga:

  • firewall musi mieć dziurę na przychodzące połączenia od usługi “Remote Desktop
  • sama usługa natomiast musi być włączona :)
  • użytkownik, któremu pozwalamy na logowanie musi należeć do grupy “Remote Dektop Users”, ale to już chyba zbyt oczywiste.