Чтобы выполнить вход на этот удаленный компьютер нужно иметь разрешение: Чтобы выполнить вход на этот удаленный компьютер нужно иметь

Содержание

Чтобы выполнить вход на этот удаленный компьютер нужно иметь

При настройке удаленного подключения (RDP) к терминальному серверу очень часто возникает проблемы. Особенно когда создаются новые пользователи. В принципе ошибка достаточно простая и решается всего в несколько действий. Давайте рассмотрим решение данной проблемы на примере Windows Server 2012. Данная инструкция подойдет и для других версий.

Как дать разрешение на вход через службу терминалов

И так вы создали пользователя и пытаетесь подключиться к удаленному рабочему столу с его учетными данными. Но видите следующею ошибку.

Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы пользователей удаленного рабочего стола имеют такое разрешение. Если вы не являетесь членом группы пользователей удаленного рабочего стола или другой группы, имеющей такое разрешение, или если группа пользователей удаленного рабочего стола не имеет такое разрешение, нужно предоставить это разрешение вручную.

Прочитав внимательно данное сообщение можно догадаться что у пользователя или у группы в которой он состоит нет прав.

Решить проблему можно несколькими способами, добавив права группе которой состоит пользователь либо добавить пользователя в группу.

И так заходим на сервер к которому пользователь не может подключиться. Далее идем в пуск и открываем «Управление компьютером».

Идем в раздел пользователи, открываем свойства проблема пользователя.

Переходим во вкладку «Членство в группах» и жмем «Добавить».

Открываем пункт «Дополнительно».

Кликаем на «Поиск» и ищем группу «Пользователи удаленного рабочего стола».

В итоге пользователь для подключения должен состоят в группе.

Пробуем подключиться!

Все достаточно просто самое главное это внимательно читать сообщения которые выдает операционная система.

Заметки на клавиатуре » Windows

Буквально вчера узнал про технологию ReadyBoost, к своему стыду не знал про её существование, хотя она присутствует в Windows еще с Vista.

ReadyBoost – это компонент Windows используемый для ускорении работы операционной системы за счет использования быстрого флэш накопителя, позволяющего сократить количество операций чтения и записи на жестком диске. ReadyBoost может использовать любой тип флэш-памяти (USB, SD, CompactFlash), которая имеет скорость чтения по крайней мере 2.5 Мб/с и скорость записи 1.75 Мб/с, соответственно чем быстрее будет ваша флешка, тем лучше. В моём случае я взял флешку с интерфейсом USB 3.0.

ReadyBoost дает разницу в производительности на системах с низким объемом оперативной памяти, т.к. она использует флэш-память не в качестве дополнительной RAM, а в качестве более быстрого устройства хранения, как альтернатива стандартному SWAP-файлу. Так при чтении малых блоков(4Кб) производительность увеличивается примерно в 10 раз по сравнению с HDD, но вот при чтении больших файлов эффекта не наблюдается. Однако ReadyBoost чаще используется при загрузке приложений, как раз когда идут множественные обращения к большому количеству небольших файлов.

Включается ReadyBoost в свойствах флеш накопителя. Я рекомендую использовать возможности ReadyBoost по максимуму, особенно для компьютеров с небольшим объемом оперативной памяти.

В моем случае быстродействие системы с 4Гб памяти на борту и еще 4Гб в ReadyBoost дало хороший прирост в производительности.

Многие люди работающие с сетевым оборудованием в Windows XP использовали стандартную программу Hyper Terminal для работы с оборудованием через COM-порт. В Windows 7 эту программу убрали из стандартный программ, но работать как-то надо. Решение есть, надо добыть Hyper Terminal из установленной ранее Windows XP. Если XP под рукой нет, то вот вам ссылка на скачивание Hyper Terminal.

Столкнулся я пол-года назад с проблемой доступа терминальным клиентом на сервер. Т.е. попытка зайти пользователем состоящим в группе “пользователи удаленого рабочего стола” проваливалась с ошибкой “Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы пользователей удаленного рабочего стола имеют такое разрешение. Если вы не являетесь членом группы пользователей удаленного рабочего стола или другой группы, имеющей такое разрешение, нужно предоставить это разрешение вручную”.

Система – Windows 2003 R2 x64. Развернута AD. Установлен Сервер терминалов. Установлен сервер лицензий. Так же на этом сервере крутится контроллер домена.

Долгий и упорный поиск решения проблемы привёл к необычному наблюдению: все люди находящиеся в группе Domain Admin заходят на сервер без каких-либо проблем, а всех остальных банально не пускает, не смотря на любые настройки доступа. Костыль ввиде раздачи прав администратора домена не подходил из соображений безопасности. Пришлось искать решение дальше.

В итоге выяснилось, что по умолчанию Windows запрещает доступ терминальным клиентом на контроллер домена всем пользователям за исключением доменного администратора. После чего осталось понять как разрешить людям ходить на этот сервер.

Решение нашлось достаточно быстро. Итак:

Существует несколько способов предоставить пользователям права входа на сервер терминалов:

1. “Панель управления”->”Администрирование”->”Настройка служб терминалов” (или “Пуск”->”выполнить”->tscc.msc), далее в появившемся окошке “подключения”->”RDP-Tcp”->”Свойства”, в окне свойств RDP-Tcp вкладка “разрешения”. Здесь надо добавить группу (желательно доменную) пользователей которые будут иметь право подключаться к серверу по rdp.

Пользователи добавленные здесь с правами “доступ пользователя”, будут иметь обычные права пользователя на данном сервере их не нужно добавлять в локальную группу пользователей или производить вообще какие-либо дополнительные действия желательно использовать доменные группы, а не локальные или встроенные.

2. “Мой компьютер”->”управление” (или “Пуск”->”выполнить”->compmgmt.msc), далее “служебные программы”->”локальные пользователи и группы”->”группы”, выбрать “пользователи удаленного рабочего стола” и добавить в данную группу пользователей или группу пользователей, которым будет разрешен доступ по rdp. По умолчанию “пользователи удаленного рабочего стола” имеют доступ пользователя, так что дополнительных действий производить больше не надо. Способ подходит для использования в рабочих группах, в случае наличия домена, следует использовать способ 1.

Собственно вот и всё решение. Хотя с моей точки зрения, использовать один сервер как DC, Print-сервер и сервер 1С, несколько неоправданно, но тут уж не я хозяин.

 

Кому-то из вас, кто работает с прекрасным офисным пакетом от Microsoft приходится регулярно сталкиваться с макросами. В моей жизни была неприятная ситуация, когда однажды я увидел ошибку о которой ничего не знал, звучала она так: Для этой книги недоступны проект VBA, элементы управления ActiveX и остальные программные средства.

Эта ошибка появляется в Excel 2007 и 2010 из-за каких-то проблем с совместимостью VBA макросов. Для решения этой проблемы Microsoft cоветует запросить здесь хотфикс, ссылка на который придёт вам на почту. Вам надо будет скачать и распаковки файл 421567_ENU_i386_zip.exe, после чего распаковать еще один файл Microsoft Office VBA Converters – Signed.EXE. После всех распаковок/установок, у вас появится 8 файлов. В принципе прочитав Readme.txt всё станет ясно.  Я расскажу что надо делать на примере соего 32-битного Excel 2010:

  1. Скопировать файлы vbacv10.dll и vbacv10d.dll в папку \Program Files\Common Files\Microsoft Shared\vba\vba7\
  2. Скопировать файлы xl5en32.olb и gren50.olb в папку к Excel.exe, обыкновенно это \Program Files\Microsoft Office\Office14\
  3. Скопировать файлы vbaen32.olb и vbaend32.olb в папку \Windows\System32\
  4. Запустить файл vbaconv.bat с правами администратора.

После всех этих несложных действий у меня завелись старые макросы и больше проблем не возникало.

Понадобилось нам тут на работе удалить один уже не существующий сервис в Windows. Т.к. установленная программа была уже физически удалена, то удалить этот сервис штатными средствами Windows не представлялось возможным. Для решения этой проблемы стоит использовать командную строку и утилиту sc.

Процесс очень простой:узнаёте имя службы в оснастке управления службами, запускаете cmd, если имя службы найти не удалось то можно воспользоваться командой sc query имя службы будет указано в поле SERVICE_NAME. после чего выполняете команду sc delete “SERVICE_NAME”.

После вышеописанных действий служба будет удалена. Проверялось на Windows XP и Windows 7.

Общие вопросы про AD (Active Directory) | В помощь системному администратору

У меня какой то старнный глюк появился, как с ним бороться я не знаю, да и вообще честно говря не понимаю что происходит. Есть три удаленные сети, через ВПН все друг друга видят, это разные леса!!! В головном офисе стоит LCS пользователи из головного офиса и из 1-го удаленного офиса нормально коннектяться и переписываються. А вот пользователи из 2-го офиса не могут соединиться с LCS так как вылетает ошибка что нет сервера который может обрабоать запрос на вход в сеть, ну или что-то в этом роде, типа мол некому учетные данные проверить. Все это появилось после того как я в головном офисе поднял второй КД он у меня GC как и основной КД, все нормально реплиццируеться и ДНС зоны тоже. Из удаленного офиса все пингуеться и работает, почему не соединяет не пойму.

Добавлено:
В журнале контроллера, в домене откудова не коннектяться юзеры в журнале есть событие

Компьютер не может установить безопасный сеанс связи с контроллером домена MPGHOLDING по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.

Чё это такое вообще не понятно совсем (

Еще по какой-то причине начальные записи SOA на двух контроллерах одного домена разные, в каждый контроллер у себя в DNS указывает себя как SOA, это нормально?

На втором Контроллере домена периодически вылетает ошибка о том, что не удалось получить сертифика Контрллер домена…. в ГП включена автоматическая подача заявок

Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005). Отказано в доступе.

Настройки агента: Удаленное управление

Если в качестве модели системы безопасности выбрана модель Служба безопасности или локальный шаблон Windows NT (Windows NT security/local template) или Аутентифицированный сервер безопасности Windows NT (Windows NT security server authenticated), то в окнах Группа операторов удаленного управления (Remote control operators group) и Группа только для просмотра (View only group) указываются пользователи для консоли или выбранного домена Windows NT. Выбранные здесь пользователи получат доступ для удаленного управления к устройствам, которые получают настройки, заданные в этом конфигурационном файле. Пользователи группы

Группа только для просмотра (View only group) могут только просматривать удаленные устройства. Они не могут выполнять ввод с помощью мыши или клавиатуры.

Когда в одну из групп дистанционного управления добавляются пользователи, для получения списка пользователей в домене на консоли используется идентификационная информация пользователя, выполнившего вход в Windows, а не пользователя консоли Ivanti. Если в поле Пользователи из (List users from) не отображается нужный домен, войдите в Windows как пользователь с правами на этот домен.

Для выбора имен из существующего сервера или домена выполните следующие действия:
  1. На странице Удаленное управление (Remote control) нажмите Служба безопасности или локальный шаблон Windows NT (Windows NT security/local template) или Аутентифицированный сервер безопасности Windows NT (Windows NT security server authenticated) и нажмите кнопку Добавить (Add).
  2. В окне Список пользователей из (List users from) выберите либо имя главного сервера, либо имя домена Windows NT, в котором содержатся учетные записи пользователей.
  3. В списке пользователей выберите одного или нескольких пользователей и щелкните Вставить (Insert), чтобы добавить их в список Добавленные имена (Inserted names).
  4. Нажмите кнопку ОК, чтобы добавить выбранные имена к группе операторов удаленного управления на каждом устройстве, которое получает эти параметры конфигурации.
  5. Если необходимо добавить каких-либо из этих пользователей в группу только для просмотра (View only group), выберите и переместите этих пользователей. Пользователь может относиться только к одной группе.
Для ввода имен вручную выполните следующие действия:

Можно ввести имена вручную, для чего необходимо щелкнуть список Добавленные имена (Inserted names) и ввести имена, используя любой из следующих форматов. Отделяйте имена точкой с запятой.

  • ДОМЕН\имя_пользователя, где ДОМЕН — это имя любого домена, доступного целевому устройству.
  • КОМПЬЮТЕР\имя_пользователя, где КОМПЬЮТЕР — это имя любого устройства в том же домене, к которому относится целевое устройство.
  • ДОМЕН\имя_группы, где ДОМЕН — это имя любого домена, доступного целевому устройству, а имя_группы — это имя группы управления в этом домене.
  • КОМПЬЮТЕР\имя_группы, где КОМПЬЮТЕР – это имя любого устройства в том домене, к которому относится управляемый узел, а имя_группы – это имя группы управления на этом устройстве.

Если не указать имя домена или устройства, предполагается, что указанный пользователь или группа относится к локальному устройству.

Нажмите OK, чтобы добавить имена в группу операторов удаленного управления на целевом устройстве.

Обеспечение безопасности Windows Server 2008/2012

Этот материал содержит базовые рекомендации по обеспечению безопасности серверов под управлением Microsoft Windows Server 2008/2012:

Поддержание операционной системы и установленного ПО в актуальном состоянии, помимо устранения неисправностей в работе программ, помогает обеспечить защиту вашего сервера от части уязвимостей, о которых стало известно разработчикам до момента выхода апдейта. Вы можете настроить Windows на автоматическую загрузку (установку) важных и рекомендуемых обновлений через утилиту «Центр обновления Windows».

Несмотря на распространенность качественных программных open-source продуктов, доступных «в один клик», призываем вас изучить известные уязвимости такого ПО перед его установкой и использовать для загрузки дистрибутивов только официальные источники. Именно самостоятельная установка администратором или пользователем уязвимого или уже «упакованного» вирусным кодом софта зачастую является причиной проблем с безопасностью инфраструктуры.

Для серверов Windows Server, доступных через интернет и при этом не находящихся за выделенным устройством, выполняющим функцию фаерволла, Брандмауэр Windows является единственным инструментом защиты внешних подключений к серверу. Отключение неиспользуемых разрешающих и добавление запрещающих правил будет означать, что меньше портов на сервере прослушивают внешний входящий трафик, что снижает вероятность атак на эти порты. Например, для работы стандартного веб-сервера достаточно открыть следующие порты:
80 – HTTP
443 – HTTPS

Для портов, доступ к которым должен оставаться открытым, следует ограничить круг источников подключения путем создания «белого списка» IP-адресов, с которых будут приниматься обращения. Сделать это можно в правилах Брандмауэра Windows. Это обеспечит уверенность в том, что у всех, кому требуется доступ к серверу, он есть, но при этом запрещен для тех, кого «не звали». 

Ниже представлен список портов, доступ к которым лучше ограничить только кругом клиентов, внесенных в белый список IP:

  • 3389 – Стандартный порт RDP
  • 990 – FTPS
  • 5000-5050 – порты для работы FTP в пассивном режиме
  • 1433-1434 – стандартные порты SQL
  • 53 – DNS

Т.к. стандартная запись локального администратора «Administrator» по-умолчанию включена во всех сегодняшних версиях ОС Windows и имеет неограниченные полномочия, именно к этому аккаунту чаще пытаются подобрать пароль для получения доступа к управлению сервером, т.к. это проще, чем выяснять имена пользователей. 

Рекомендуется сменить имя пользователя для стандартной учетной записи Adminstrator. Для этого выполните следующие действия:

  1. Откройте оснастку «Выполнить» (WIN+R), в появившемся окне введите: secpol.msc
  2. Откройте Редактор локальной политики безопасности. В меню выберите Локальные политики -> Параметры безопасности -> Учетные записи: Переименование учетной записи администратора

  3. Во вкладке Параметр локальной безопасности измените имя учетной записи администратора на желаемое и сохраните изменения.

Если в администрировании вашей инфраструктуры задействовано несколько человек, создайте для каждого из них отдельную учетную запись с административными правами. Это поможет отследить, кто именно санкционировал то ли иное действие в системе.

Для выполнения задач, не требующих прав администратора, желательно использовать учетную запись обычного пользователя. В случае проникновения в систему, в т.ч. в результате действий самого пользователя, уровень уязвимости сервера останется на уровне полномочий этого пользователя. В случае же получения несакционнированного доступа к аккаунту администратору получит и неограниченный доступ к управлению системой. 

Никогда не разрешайте подключение к общим папкам сервера без ввода пароля и анонимный доступ. Это исключит возможность простого получения несакционированного доступа к вашим файлам. Даже если эти файлы сами по себе не имеют никакой ценности для злоумышленника, они могут стать «окном» для дальнейшего вторжения, так как пользователи вашей инфраструктуры, вероятнее всего, доверяют этим файлам и вряд ли проверяют их на вредоносный код при каждом запуске.

Помимо обязательного использования пароля, желательно разграничить права доступа к общим директориям для их пользователей. Значительно проще установить ограниченные права пользователям, которым не требуется полный доступ (запись/чтение/изменение), нежели следить за тем, чтобы ни один из клиентских аккаунтов впоследствии не был скомпрометирован, что может повлечь за собой неблагоприятные последствия и для других клиентов, обращающихся к общим сетевым ресурсам.

Если вы используете физический сервер Windows, настоятельно рекомендуем включить запрос пароля пользователя при выходе из режима ожидания. Сделать это можно во вкладке «Электропитание» Панели управления (область задач страницы «Выберите план электропитания»).

Помимо этого, стоит включить запрос ввода пароля пользователя при подключении к сессии после установленного времени ее бездействия. Это исключит возможность простого входа  от имени пользователя в случае, когда последний, например, забыл закрыть RDP-клиент на персональном компьютере, на котором параметры безопасности редко бывают достаточно стойкими. Для конфигурации этой опции вы можете воспользоваться утилитой настройки локальных политик secpol.msc, вызываемой через меню «Выполнить» (Win+R->secpol.msc)

Мастер настройки безопасности (SCW – Security Configuration Wizard) позволяет создавать XML-файлы политик безопасности, которые затем можно перенести на различные серверы вашей инфраструктуры. Эти политики включают в себя правила использования сервисов, конфигурацию общих параметров системы и правила Firewall. 

Помимо предварительной настройки групповых политик Active Directory (при их использовании) время от времени проводите их ревизию и повторную конфигурацию. Этот инструмент является одним из основных способов обеспечения безопасности Windows-инфраструктуры.

Для удобства управления групповыми политиками, вы можете использовать не только встроенную в дистрибутивы Windows Server утилиту «gpmc.msc», но и предлагаемую Microsoft утилиту «Упрощенные параметры настройки безопасности» (SCM-Security Compliance Manager), название которой полностью описывает назначение.

Помимо использования групповых политик безопасности Active Directory следует также использовать локальные политики, так как они затрагивают не только права пользователей, выполняющих вход через доменную учетную запись, но и локальные аккаунты. Для управления локальными политиками вы можете использовать соответствующую оснастку «Локальная политика безопасности», вызываемую командой secpol.msc («Выполнить» (WIN+R)).

— Блокировка RDP-подключений для учетных записей с пустым паролем

Эта мера является весьма очевидной, но она не должна игнорироваться. Для блокировки подключений к удаленным рабочим столам пользователю, пароль для которого не указан, откройте утилиту «Computer Configuration» -> «Настройки Windows» -> «Настройки безопасности» -> «Локальные политики безопасности -> «Параметры безопасности» и включите (Enable) параметр «Учетные записи: Разрешить использование пустых паролей только при консольном входе(Accounts: Limit local account use of blank passwords to console logon only).

— Смена стандартного порта Remote Desktop Protocol

Смена порта RDP по умолчанию, несмотря на видимую простоту этой меры, является неплохой защитой от атак, направленных на мониторинг well-known портов. 
Чтобы изменить порт для подключений RDP:
  1. Откройте редактор реестра (regedit)
  2. Для перестраховки сделайте резервную копию текущего состояния реестра (Файл->Экспорт)
  3. Открываем ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  4. Найдите параметр Port Number, дважды кликните по нему, в открывшемся окне выберите десятичную систему исчисления из измените поле Значение на желаемый порт.

  5. Нажмите ОК и закройте редактор ресстра
  6. Обратите внимание на ваши правила Firewall (Брандмауэр Windows). Они должны разрешать внешние подключения по установленному выше порту. Для добавления разрешающего правила выполните следующее: 
    — Откройте Брандмауэр Windows
    — В левой части окна программы выберите «Дополнительные параметры», а затем «Правила для входящих подключений», и нажмите «Создать правило»

    — В появившемся окне Мастера выберете правило «Для порта»
    — Далее указываем «Определенный локальный порт TCP: {номер выбранного вами выше порта}». Нажимаем готово.
  7. >Перезагружаем сервер для применения изменений. 
  8. Для подключения к серверу через установленный вручную порт необходимо на локальной машине ввести номер порта после IP-адреса сервера, разделив эти значения двоеточием, в окне подключения к удаленному рабочему столу, как показано на изображении:

— Настройка шлюза служб терминалов (Terminal Services Gateway)

Служба «Шлюз TS (служб удаленных рабочих столов)» позволяет удаленным пользователям осуществлять удаленное подключение к терминальным серверам и другим машинам частной сети с включенной функцией RDP. Она обеспечивает безопасность подключений за счет использования протокола HTTPS (SSL), снимая с администратора необходимость настройки VPN. Этот инструмент позволяет комплексно контролировать доступ к машинам, устанавливать правила авторизации и требования к удаленным пользователям, а именно:

  • пользователей (группы пользователей), которые могут подключаться к внутренним сетевым ресурсам;
  • сетевые ресурсы (группы компьютеров), к которым пользователи могут подключаться;
  • должны ли клиентские компьютеры быть членами групп Active Directory;
  • необходимо ли клиентам использовать проверку подлинности на основе смарт-карт или пароля, или они могут использовать любой из двух вышеперечисленных способов аутентификации.

Само собой, логика работы шлюза удаленных рабочих столов подразумевает использование для него отдельной машины. При этом это не означает, что нельзя использовать виртуальную машину, развернутую на любом из хостов в вашей частной сети.

Установка службы Шлюза TS

Для установки шлюза служб терминала на соответствующей машине под управлением Windows Server 2008/2012 выполните следующие действия:

  1. Откройте утилиту Server Manager (Управление сервером) -> вкладка Роли -> Добавить роль
  2. На странице выбора ролей сервера выберите Службы терминала (Службы удаленных рабочих столов)
  3. В окне выбора служб ролей выберите Шлюз TS (Шлюз служб удаленных рабочих столов) и нажмите Далее
  4. На странице выбора сертификата аутентификации сервера для шифрования SSL выберите опцию Выбрать сертификат для SSL-шифрования позже. Этот выбор обусловлен тем, что соответствующий сертификат шлюза TS еще не сгенерирован.

  5. На появившейся странице создания политик авторизации для шлюза выберите опцию Позже
  6. На странице выбора служб ролей должна быть отмечена служба Сервер сетевой политики (Network Policy Server)


     
  7. Установите требуемые службы ролей, которые будут отмечены системой по умолчанию.

Создание сертификата для шлюза служб удаленных рабочих столов

Для инициирования SSL-подключений от клиентов RDP, для шлюза должен быть создан соответствующий сертификат:

  1. В меню Администрирование выберите оснастку IIS Manager
  2. В левой части появившегося окна выберите необходимый сервер, а затем пункт Сертификаты сервера -> Создать сертификат домена

  3. На странице Определенные свойства имени укажите требуемые сведения. Обратите внимание на поле Общее имя – оно должно соответствовать имени, указанному в настройках клиентов служб RDP. 
  4. На следующей странице Интерактивный центр сертификации выбираем имя Enterprise CA, от имени которого должен быть выдан сертификат, и вводим значение параметра Сетевое имя.

Теперь сведения о созданном сертификате отображаются в окне Сертификаты сервера. При двойном клике на этом сертификате можно увидеть информацию об объекте назначения и о наличии закрытого ключа для данного сертификата (без которого сертификат не используется).

Настройка шлюза TS на использование сертификата

После создания сертификата, необходимо настроить шлюз терминалов на его использование:

  1. Откройте меню «Администрирование», выберите «Службы терминалов (удаленных рабочих столов)», выберите Шлюз терминальных серверов.
  2. Слева выберите сервер, которой будет выполнять роль шлюза. Будет отображена информация о шагах, необходимых для завершения конфигурации.

  3. Выберите опцию «Показать или изменить свойства сертификата»
  4. Во вкладке «SSL Сертификат» проверьте активность опции «Выбрать существующий сертификат для SSL шифрования» и выберите Просмотр сертификатов для отображения оснастки для установки сертификатов. Выберите и установите ранее сгенерированный сертификат.

  5. После указания сертификата следует настроить политики авторизации подключений и  авторизации ресурсов. Политика авторизации подключения (CAP — Сonnection Authorization Policy) позволяет контролировать полномочия клиентов при их подключении к терминалам через шлюз:

    Откройте меню «Политики авторизации соединений», находящуюся во вкладке «Политики» — > «Создать новую политику» -> Мастер(Wizard), на вкладке «Политики авторизации» -> выберите Cоздать только TS CAP. Вводим имя создаваемой политики. В нашем случае «1cloud Gateway». На вкладке «Требования» активируем требование пароля, а затем указываем группы пользователей, которым необходимо предоставить доступ в инфраструктуру терминалов – введите имя добавляемой группы и кликните «Проверить имена (Check Names)»

    Разрешите перенаправление устройств для всех клиентских устройств. Вы также можете отключить перенаправление для некоторых типов уст-в. На странице Результаты параметров TS CAP проверяем выбранные ранее параметры и завершаем мастер конфигурации.

  6. Теперь настройте политику авторизации ресурсов (Resource Authorization Policy – RAP), определящую доступные для подключения извне серверы и рабочие станции:
    Для этого перейдите в меню «Политика авторизации ресурсов» панели Менеджер шлюзов серверов терминалов (удаленных рабочих столов), выберите пункт «Создать новую политику» -> Мастер -> Создать только TS RAP.

    Введите имя создаваемой политики. Во вкладке Группы пользователей выберите группы, затрагиваемые создаваемой политикой. На вкладке Группа компьютеров укажите серверы и рабочие станции, к которым применяется политика RAP. В данном примере мы выбрали опцию «Разрешить пользователям подключаться к любому ресурсу (компьютеру) сети» для разрешения подключений ко всем хостам сети. Проверьте параметры TS RAP и завершите мастер конфигурации.

  7. На этом настройку шлюза серверов терминалов (удаленных рабочих столов) можно считать завершенной.

— Защита RDP-сессии с помощью SSL/TLS

Для обеспечения безопасности подключений по RDP в случае, когда соединение с сервером осуществляется не через VPN, рекомендуется использовать SSL/TLS-туннелирование соединения.

Опцию RDP через TLS можно включить через групповую политику безопасности сервера удаленных рабочих столов (команда gpedit.msc или меню «Администрирование» -> «Компоненты Windows» -> Сервер удаленных рабочих столов (Remote Desktop Session» -> «Безопасность»), где необходимо активировать опцию запроса определенного уровня безопасности для удаленных подключений (Require use of specific security layer for remote connections). Рекомендуемое значение этой опций – SSL (TLS 1.0) only

Также включить вышеуказанную опцию можно и через меню управления сервером удаленных рабочих столов (Remote Desktop Session Host Configuration), выбрав из списка Connections требуемое подключение и перейдя в его свойства, где выбрать уровень безопасности «Security Level». Для TLS-шифрования сессий потребуется, по крайней мере, серверный сертификат. Как правило он уже есть в системе (генерируется автоматически).

Для настройки TLS-туннелирования RDP-подключений откройте инструментов «Управление сервером удаленных рабочих столов (Remote Desktop Session Host Configuration)» через меню «Администрирование» -> Подключения к удаленным рабочим столам»

Выберите в списке подключений то, для которого требуется настроить защиту SSL/TLS и откройте его свойства (Properties). Во вкладке «Общие» (General) выберите требуемый уровень шифрования (Encryption Level). Рекомендуем использовать RDP FIPS140-1 Encryption

Одна из основных задач предварительного планирования безопасности серверной инфраструктуры заключается в диверсификации рисков поражения критически важных сегментов инфраструктуры при успешных атаках на отдельные узлы. Чем больше ролей берет на себя каждый узел, тем более привлекательным объектом для атак он становится и тем более серьезные последствия может иметь поражение этого узла. Для минимизации таких рисков необходимо, во-первых, разграничивать критически важные роли серверов на стадии развертывания инфраструктуры (при наличии такой возможности), а во-вторых, отключать на серверах сервисы и роли, в использовании которых нет реальной необходимости. 

В идеале, один сервер должен выполнять одну конкретную функцию (Контроллер домена, файловый сервер, терминальный сервер и т.д.). Но так как на практике такая диверсификация ролей редко оказывается возможной в полной мере. Тем не менее, вы можете разграничить функции машин настолько, насколько это возможно.

Для изоляции ролей необязательно использовать выделенные серверы для каждой конкретной задачи. Вы вполне можете использовать для части ролей виртуальные машины, настроив параметры их безопасности требуемым образом. На сегодняшний день технологии виртуализации позволяют не испытывать ощутимых ограничений в функциональности виртуальных хостов и могут предложить высокий уровень производительности и стабильности. Грамотно сконфигурированная виртуальная инфраструктура вполне может являться полноценной альтернативой дорогостоящей «железной» для желающих диверсифицировать риски серьезных поражений. 

Мы, команда облачного сервиса 1cloud.ru, со своей стороны не ограничиваем самостоятельное создание клиентом виртуальных машин на арендуемых у нас виртуальных серверах. Если вы желаете установить виртуальную машину Windows на своем сервере, просто обратитесь в нашу техническую поддержку с запросом соответствующей опции.

Windows Server Core представляет собой дистрибутив Windows Server 2008/2012 без предустановленного графического окружения (UI). Этот дистрибутив не использует многие системные сервисы, необходимые для функционирования графического интерфейса и, соответственно, лишен ряда уязвимостей, связанных с работой этих сервисов. Еще одно преимущество Windows Server Core – минимальная нагрузка на аппаратные ресурсы сервера. Это делает ее отличным выбором для установки на виртуальные машины. 

К сожалению, на сегодняшний день для Server Core поддерживаются только некоторые функции Windows Server, ввиду чего эту систему еще нельзя назвать полноценной. Возможно, в скором будущем ситуация изменится. 

 

P. S. Другие инструкции:


Ознакомиться с другими инструкциями вы можете на нашем сайте. А чтобы попробовать услугу — кликните на кнопку ниже.

Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

Удаленный рабочий стол может быть полезен, но вы можете легко отключить его

Удаленный рабочий стол (Remote Desktop) — это термин, которым обозначается режим управления, когда один компьютер получает права администратора по отношению к другому (удаленному). Связь между устройствами происходит в реальном времени посредством сети Интернет или локальной сети.

Уровень доступа в режиме удаленного администрирования определяется конкретными задачами и может быть изменен по необходимости. Например:

  • в одном случае подключение к рабочей сессии дает возможность полного контроля и взаимодействия с удаленным компьютером, при котором допускается запуск на нем приложений и манипуляции с файлами;
  • в другом — удаленный доступ к рабочему столу позволяет лишь вести наблюдения за процессами, без вмешательства в работу его системы.

Удаленное администрирование — предустановленная функция практически в каждой известной сегодня операционной системе, одновременно с этим, существует довольно большое количество программ, которые делают данный процесс более удобным, добавляя в стандартные версии новые функции.

Существуют несколько видов удаленного администрирования:

  • Компьютер–сеть — позволяет контролировать работу локальной сети офиса или интернет-кафе.
  • Терминал–компьютер — упрощает связь пользователя с системой, например, платежные терминалы банков.
  • Компьютер–компьютер — чаще всего применяемый в быту, однако легко решающий и серьезные управленческие задачи.
  • Сеть–сеть — отличный инструмент при необходимости взаимодействия между удаленными корпоративными сетями.

Стоит отметить и возможности перекрестного удаленного администрирования между различными операционными системам.

В основном, данный режим используется администраторами сетей для максимально быстрого выявления и устранения программных или аппаратных сбоев и мониторинга систем.

С другой стороны, развитие «облачных» технологий, способствующих централизованному хранению огромных массивов информации в удаленных сетях и серверах, как нельзя лучше соответствует основным принципам режима.

Тенденцией последнего времени, стала разработка и внедрение удаленного администрирования на основе беспроводных систем. Они уступают по функциональности привычным физическим сетям, но неплохо справляются с задачами мониторинга, ведения статистики и управлением несложными сетевыми процессами.

Что такое RDP подключение

RDP подключение позволяет управлять компьютером удалённо. RDP считается так называемым «прикладным протоколом», который основан на TCP. После того, как устанавливается соединение на транспортном уровне, начинается инициализация сессии этого протокола. В рамках такой сессии и происходит передача данных.

После того, как фаза инициализации будет завершена, сервер начинает передавать на компьютер (где установлен RDP-клиент) графический вывод. Затем сервер ожидает, когда к нему поступят входные данные от устройств ввода-вывода (мышь и клавиатура). Если говорить простым языком, то принцип работы RPD выглядит следующим образом: пользователь при помощи мыши и клавиатуры управляет компьютером удалённо.

Сегодня эта технология используется повсеместно. Она нужна, в первую очередь, для того, чтобы управлять компьютерными системами. Также многие наработки этой технологии используются и в робототехнике. Даже простейшая радиоуправляемая игрушка основана на схожем принципе. Человеку, в руках которого находится пульт управления, нужно использовать его, чтобы управлять движением радиоуправляемой игрушки.

Обычно для графического вывода используется копия дисплея, которая может передаваться в качестве изображения. Передача вывода происходит при помощи примитивов.

Для чего используется RDP

Сегодня протокол RDP может применяться в нескольких случаях:

  1. В целях администрирования.
  2. В целях получения доступа к любому серверу приложений.

Этот вид соединения применяется любыми операционными системами, которые выпускала компания Microsoft. Обычно все серверные версии ОС от Microsoft могут поддерживать сразу несколько удалённых подключения, а также 1 локальный вход в систему.

Если же речь идёт о клиентской версии Windows, то она может поддерживать исключительно 1 вход. Он может быть как удалённым, так и локальным. Для получения разрешения удалённых подключений нужно включить удалённый доступ к рабочему столу. Это можно сделать прямо в свойствах рабочей станции.

Важно отметить, этот удалённый доступ возможен далеко не всегда. Удалённый доступ функционирует исключительно в версии Windows, которая предназначена для сервера. Ещё одно преимущество в данном случае заключается в том, общее число удалённых подключений не ограничено. С другой стороны, потребуется настройка сервера лицензий, а также его активация. Этот сервер можно установить на любой отдельно взятый сетевой узел, а также — на сервер терминалов.

Некоторые пользователи не понимают, что удалённый доступ к любому серверу может быть обеспечен только в случае установки все необходимых лицензий на сервер лицензий.

Протокол удаленного рабочего стола и его возможности

Данный протокол может использоваться для самых разнообразных задач и целей. В частности, он нужен для:

  1. Звуковой подсистемы компьютера.
  2. Поддержки функционирования буфера обмена.
  3. Последовательного порта.
  4. Принтера или других аналогичных устройств (сканера, копира и МФУ).
  5. В целях перенаправления файловой системы.

Как защитить RDP

Настройка безопасности RDP — это один из ключевых вопросов. Именно правильная настройка протокола влияет на то, насколько будет безопасно передавать данные. Это особенно актуально для государственных компьютерных систем, а также различных частных коммерческих компаний, которые хотят иметь надёжную защиту от конкурентов. Сертификат RDP предусматривает использование любого доступного подхода для обеспечения безопасности. Для RDP можно использовать либо встроенную подсистему безопасности, либо же внешнюю подсистему безопасности.

В случае если пользователь выберет встроенную подсистему, все функции по обеспечению безопасности будут реализованы средствами, которые изначально имеются в RDP. Речь идёт о процессах шифрования и аутентификации.

Если же будет выбрана внешняя подсистема безопасности, то пользователю придётся полагаться на надёжность таких внешних модулей, как CredSSP и TLS. Преимущества этого способа обеспечения безопасности заключаются в крайне надёжной аутентификации и эффективном шифровании.

Именно качественное шифрование позволяет защитить свою систему от взлома злоумышленников. Сегодня существует масса вредоносных программ и алгоритмов, которые нужны для взлома. Более того, взлом может совершить не только квалифицированный специалист, но и рядовой пользователь, который приобрёл специальное вредоносное программное обеспечение.

Многих пользователей интересует вопрос о том, какой порт использует RDP (RDP сервер). Стандартный порт — это порт под номером 3389/TCP.

Cофт для удаленного администрирования.

Для чего могут понадобиться такие программы? В большинстве случаев они используются для удаленного доступа к рабочему столу и действий для обслуживания компьютера системными администраторами и в сервисных целях. Однако, с точки зрения обычного пользователя, удаленное управление компьютером через Интернет или по локальной сети также может быть полезным: например, вместо установки виртуальной машины с Windows на ноутбуке Linux или Mac, можно подключаться к имеющемуся ПК с этой ОС (и это лишь один возможный сценарий).

Удаленный рабочий стол Microsoft (Microsoft Remote Desktop)

Удаленный рабочий стол Microsoft хорош тем, что для удаленного доступа компьютеру с его помощью не требуется установка какого-либо дополнительного программного обеспечения, при этом протокол RDP, который используется при доступе, в достаточной мере защищен и хорошо работает.

Но есть и недостатки. Прежде всего, в то время как подключиться к удаленному рабочему столу вы можете, не устанавливая дополнительных программ со всех версий Windows 7, 8 и Windows 10 (а также с других операционных систем, в том числе Android и iOS, загрузив бесплатный клиент Microsoft Remote Desktop), в качестве компьютера, к которому подключаются (сервера), может быть только компьютер или ноутбук с Windows Pro и выше.

Еще одно ограничение — без дополнительных настроек и изысканий подключение к удаленному рабочему столу Microsoft работает только, если компьютеры и мобильные устройства находятся в одной локальной сети (например, подключены к одному роутеру, в случае домашнего использования) или же имеют статические IP в Интернете (при этом находятся не за маршрутизаторами).

Тем не менее, если у вас на компьютере установлена именно Windows 10 (8) Профессиональная, или Windows 7 Максимальная (как у многих), а доступ требуется только для домашнего использования, возможно, Microsoft Remote Desktop будет идеальным вариантом для вас.

TeamViewer

TeamViewer — наверное, самая известная программа для удаленного рабочего стола Windows и других ОС. Она на русском, проста в использовании, очень функциональна, отлично работает через Интернет и считается бесплатной для частного использования. Кроме этого, может работать без установки на компьютер, что полезно, если вам требуется лишь однократное подключение.

TeamViewer доступен в виде «большой» программы для Windows 7, 8 и Windows 10, Mac и Linux, совмещающей в себе функции сервера и клиента и позволяющей настроить постоянный удаленный доступ к компьютеру, в виде модуля TeamViewer QuickSupport, не требующего установки, который сразу после запуска выдает ID и пароль, которые требуется ввести на компьютере, с которого будет выполняться подключение. Существует дополнительный вариант — TeamViewer Host -для обеспечения возможности подключения к конкретному компьютеру в любое время. Также с недавних пор появился TeamViewer в виде приложения для Chrome, есть официальные приложения для iOS и Android.

Среди функций, доступных при сеансе удаленного управления компьютером в TeamViewer

  • Запуск VPN соединения с удаленным компьютером.
  • Удаленная печать.
  • Создание скриншотов и запись удаленного рабочего стола.
  • Общий доступ к файлам или просто передача файлов.
  • Голосовой и текстовый чат, переписка, переключение сторон.
  • Также TeamViewer поддерживает Wake-on-LAN, перезагрузку и автоматическое переподключение в безопасном режиме.

Подводя итог, TeamViewer — это тот вариант, который можно рекомендовать почти всем, кому потребовалась бесплатная программа для удаленного рабочего стола и управления компьютером в бытовых целях — в ней почти не придется разбираться, так как все интуитивно понятно и она проста в использовании. Для коммерческих целей придется покупать лицензию (в противном случае, Вы столкнетесь с тем, что сессии будут разрываться автоматически).

Удаленный рабочий стол Chrome (Chrome Remote Desktop)

Google имеет собственную реализацию удаленного рабочего стола, работающую как приложение для Google Chrome (при этом доступ будет не только к Chrome на удаленном компьютере, а ко всему рабочему столу). Поддерживаются все настольные операционные системы, на которые можно установить браузер Google Chrome. Для Android и iOS также имеются официальные клиенты в магазинах приложений.

Для использования Chrome Remote Desktop потребуется загрузить расширение браузера из официального магазина, задать данные для доступа (пин-код), а на другом компьютере — подключиться с использованием этого же расширения и указанного пин-кода. При этом для использования удаленного рабочего стола Chrome обязательно требуется войти в свой аккаунт Google (не обязательно один и тот же аккаунт на разных компьютерах).

Среди преимуществ способа — безопасность и отсутствия необходимости установки дополнительного ПО, если вы и так пользуетесь браузером Chrome. Из недостатков — ограниченная функциональность.

AnyDesk

AnyDesk — еще одна бесплатная программа для удаленного доступа к компьютеру, причем, создана она бывшими разработчиками TeamViewer. Среди преимуществ, которые заявляют создатели — высокая скорость работы (передачи графики рабочего стола) по сравнению с другими такими же утилитами.

AnyDesk поддерживает русский язык и все необходимые функции, включая передачу файлов, шифрование соединения, возможность работы без установки на компьютер. Впрочем, функций несколько меньше, чем в некоторых других решениях удаленного администрирования, но именно для использования подключения к удаленному рабочему столу «для работы» тут есть всё. Имеются версии AnyDesk для Windows и для всех популярных дистрибутивов Linux. Версии для Mac OS X, iOS и Android обещаются (уже давно).

Из интересных особенностей — работа с несколькими удаленными рабочими столами на отдельных вкладках.

Удаленный доступ RMS или Remote Utilities

Remote Utilities, представленная на российском рынке как Удаленный доступ RMS (на русском языке) — одна из самых мощных программ для удаленного доступа к компьютеру. При этом бесплатна для управления до 10 компьютеров даже для коммерческих целей.

Список функций включает все то, что может понадобиться, а может и не потребоваться, включая, но не ограничиваясь:

  • Несколько режимов подключения, включая поддержку подключения RDP через интернет.
  • Удаленная установка и развертывание ПО.
  • Доступ к видеокамере, удаленному реестру и командной строке, поддержка Wake-On-Lan, функции чата (видео, аудио, текстового), запись удаленного экрана.
  • Поддержка Drag-n-Drop для передачи файлов.
  • Поддержка нескольких мониторов.

Это далеко не все возможности RMS (Remote Utilities), если Вам требуется что-то действительно функциональное для удаленного администрирования компьютеров и бесплатно, то стоит попробовать этот вариант.

Содержание

Удаленный доступ является полезной функцией, когда вам нужен доступ к вашему компьютеру из другого места, например, когда вам нужно подключиться к домашнему компьютеру, когда вы на работе. Удаленное подключение также удобно в ситуациях поддержки, когда вы помогаете другим, подключаясь к их компьютерам, или когда вам нужна техническая помощь и вы хотите, чтобы персонал службы поддержки подключался к вашему компьютеру.

Если вам не нужна функция удаленного рабочего стола Windows, отключите ее, чтобы защитить компьютер от хакеров.

  1. Введите “настройки удаленного доступа ” в поле поиска Cortana и выберите Разрешить удаленный доступ к компьютеру . Это действие кажется нелогичным, но оно открывает диалоговое окно панели управления для Свойства удаленной системы .

  2. Снимите флажок Разрешить подключение удаленного помощника к этому компьютеру.

В Windows 8.1 раздел «Удаленный рабочий стол» был исключен из вкладки «Удаленный». Чтобы восстановить эту функцию, загрузите приложение «Удаленный рабочий стол» из Магазина Windows и установите его на свой компьютер с Windows 8.1. После того, как он установлен и настроен, чтобы отключить его:

  1. Нажмите Windows + X и выберите Система из списка.

  2. Нажмите Расширенные настройки системы на левой боковой панели.

  3. Перейдите на вкладку Удаленный и установите флажок Не разрешать удаленные подключения к этому компьютеру .

Чтобы отключить удаленный рабочий стол в Windows 8 и Windows 7:

  1. Нажмите кнопку Пуск , а затем Панель управления .

  2. Откройте Система и безопасность .

  3. Выберите Система на правой панели.

  4. Выберите Параметры удаленного доступа на левой панели, чтобы открыть диалоговое окно Свойства системы для вкладки Удаленный .

  5. Нажмите Не разрешать подключения к этому компьютеру , а затем нажмите ОК .

Хотя удаленный рабочий стол Windows полезен, хакеры могут использовать его, чтобы получить контроль над вашей системой для установки вредоносных программ или кражи личной информации. Рекомендуется отключить эту функцию, если она вам не нужна. Вы можете легко отключить это – и вы должны, если вам не нужна услуга. В этом случае создайте надежные пароли, обновите программное обеспечение, когда это возможно, ограничьте число пользователей, которые могут войти в систему, и используйте брандмауэры.

Другая утилита Windows, удаленный помощник Windows, работает аналогично удаленному рабочему столу, но она специально предназначена для удаленной технической поддержки и настроена по-разному в соответствии с различными требованиями. Вы также можете отключить это, используя то же диалоговое окно System Properties, что и Remote Desktop.

Windows Remote Desktop – не единственное программное обеспечение для подключения к удаленному компьютеру. Другие варианты удаленного доступа доступны. Альтернативы для подключений к удаленному рабочему столу включают следующее:

  • LogMeIn предоставляет вам удаленный доступ к вашему ПК или Mac с настольного компьютера, мобильного устройства или браузера. Его премиальные функции включают обмен файлами, передачу файлов и удаленную печать. LogMeIn требует подписки учетной записи на вашем компьютере.
  • TeamViewer контролирует другой компьютер удаленно. Предназначенный для совместной работы и обмена информацией, бесплатный TeamViewer делает упор на личные данные, разговоры и встречи.
  • AnyDesk позволяет вам подключаться к удаленному рабочему столу для доступа к вашим программам и файлам из любой точки мира без необходимости помещать их в облачную службу. AnyDesk бесплатен для личного использования; бизнес использование требует подписки.
  • Удаленный рабочий стол Chrome – это кроссплатформенное программное обеспечение для компьютеров под управлением Windows, macOS и Linux, которое позволяет пользователям получать удаленный доступ к другому компьютеру через браузер Chrome или большинство устройств, включая Chromebook. Удаленный рабочий стол Chrome бесплатный.
  • VNC Connect программное обеспечение для удаленного доступа и управления позволяет взаимодействовать с настольным или мобильным устройством в любом месте Интернета.Два компьютера не обязательно должны быть одного типа, поэтому вы можете использовать VNC Connect для просмотра рабочего стола Windows в офисе с компьютера Mac или Linux. Ограниченная некоммерческая версия VNC Connect является бесплатной. Профессиональные версии доступны за отдельную плату.

ДомойИнструменты и возможности ОС WindowsУдаленный рабочий стол Windows и его настройка

Удаленного рабочего стола Windows

Как мы уже определились, Удаленный рабочий стол Windows является одним из 4-ех стандартных средств операционной системы Windows, которые предназначены для удаленного управления компьютером на Windows. Удаленный рабочий стол Windows предоставляет пользователю наиболее удобный способ удаленного управления. Ведь тот способ, которым Вы привыкли работать за компьютером, нельзя назвать неудобным. Вы по-прежнему будете работать с помощью мышки и клавиатуры и наблюдать за происходящим на экране своего компьютера. Отличие будет только в том, что все действия будут происходит на удаленном компьютере, к которому у Вас не имеется физического доступа на данный момент. А тот компьютер, с которого Вы управляете, будет всего лишь транслировать Ваши действия.

Настройка компьютера для удаленного рабочего стола Windows

Перед тем как перейти к программной настройке удаленного рабочего стола Windows, необходимо должным образом подготовить удаленный компьютер, к которому мы собираемся в будущем подключаться, а так же ниже перечислены несколько пунктов, выполнение которых обязательно для удачного подключения к компьютеру.

  1. Компьютер должен быть включенным. Компьютер так же может находится в режиме гибернации, но только в этом случае сетевая карта компьютера должна поддерживать возможность пробуждения по сети и настроена соответствующим образом. А это значит что сетевая карта должна поддерживать протокол PXE, о котором я вскользь упоминал в статье про Установка Windows по сети.
  2. Компьютер должен быть подключен к сети(локальной или Глобальной). В зависимости от сети, подключение будет возможным только из данной сети.
  3. На удаленном компьютере компьютере не должно быть активных пользователей. Если в момент инициации подключения, за компьютером, будь то удаленно или локально, работает другой пользователь, подключение невозможно. В один и тот же момент на компьютере может быть только один активный пользователь(или Вам удавалось встретить уникумов, которые одновременно работали за одним ПЕРСОНАЛЬНЫМ компьютером(терминалы не в счет)?). Поэтому, при попытке подключения второго пользователя, первый пользователь увидит уведомление, которое проинформирует его о том, что некий коллега пытается получить доступ к компьютеру. В зависимости от своих пожеланий, пользователь может либо впустить второго пользователя и выйти самому, либо отклонить его домогательства. Данное уведомление будет мазолить глаза на протяжении 30 секунд и, если оно не получит ответа, то сеанс пользователя, который не удостоился обратить внимание на данное уведомление, будет завершен. Тут же нужно добавить, что локальные пользователи не имеют никакого преимущества перед удаленными пользователями, а пользователи с административными правами перед пользователями без административных прав. Будь ты хоть три раза админ, Гость может до бесконечности отклонять твои попытки войти на компьютер.(Прикольно, правда?).
  4. На компьютере должны быть разрешены удаленные подключения(этим мы займемся чуть ниже).
  5. Пользователь, под учетной записью которого Вы захотите удаленно зайти на компьютер, должен состоять в группе Пользователи удаленного рабочего стола.(Так же ниже рассмотрено более подробно).

Настройка удаленного рабочего стола Windows

Итак, перед нами 5 пунктов, с которыми мы должны разобраться, чтобы настроить удаленный рабочий стол Windows. Первые три пункта решаются на уровне шаманства, поэтому бубен Вам в помощь.

Чтобы разрешить удаленные подключения к компьютеру, нужно пройти по пути:

  1. Мой компьютер(правый клик).
  2. Свойства.
  3. Настройка удаленного доступа.
  4. В открывшемся окне Свойства системы на вкладке Удаленный доступ Вам нужно поставить галочку напротив пункта Разрешить удаленные подключения к этому компьютеру.
  5. Сразу же после этого активируется кнопка Выбрать пользователей. Нажмите её.
  6. В следующем окне Вы увидите список пользователей, которые имеют разрешение на удаленный доступ. С помощью кнопки Добавить Вы можете добавить в список того пользователя, которому хотите открыть возможность по удаленному подключению к этому компьютеру.
  7. Сохраните изменения.

Кроме вышеприведенного способа имеется более специализированных для этих целей инструмент под названием Пользователи и группы. Подробнее об этом способе можете почитать в статье Права и группы пользователей Windows. Надеюсь, Вы заметили, что в предыдущем абзаце мы решили сразу 4-ый и 5-ый пункт. Хотя начинали решать только 4-ый. Для тех кто не заметил, уточню, что это произошло на 4-ом шаге.

Подключение к компьютеру через Удаленный рабочий стол Windows

После того, как компьютер настроен на радужный прием удаленных пользователей, остается только подключиться к нему с другого компьютера. Для этих целей Вам нужен сам инструмент под названием Удаленный рабочий стол Windows. Вызвать его превосходительство можно командой

[code]mstsc[/code]

из меню Выполнить. В открывшемся окне нужно нажать кнопку Показать параметры, после чего и заполнить эти самые параметры. А их всего два: Компьютер и Пользователь. Первый параметр подразумевает под собой то, что Вы должны указать в нём либо полное доменное имя, либо IP-адрес удаленного компьютера. А вот второй параметр просит от Вас имя пользователя, под которым Вы хотите попасть на удаленный компьютер. Напомню, что совсем недавно мы этому пользователю разрешили подключения через удаленный рабочий стол Windows. Заполнив данные поля, жмите Подключить.

Минусы и плюсы Удаленного рабочего стола

Удаленный рабочий стол Windows превосходно работает в среде предприятия или в домашней сети. Особенно прекрасен данный инструмент в условиях домена, когда необходимо указать лишь имя компьютера для подключения. Использовать его для удаленной работы по Глобальной сети весьма неудобно, в следствии проблем с определением адреса подключаемого компьютера. Наиболее удобен данный инструмент, если удаленный компьютер имеет статический IP-адрес, не скрытый за NAT.

Используемые источники:

  • https://bugza.info/udalennye-rabochie-stoly-specialnoe-po-primenyaemoe-v-processe-testirovaniya/
  • https://solutics.ru/windows/udalennyj-rabochij-stol-mozhet-byt-polezen-no-vy-mozhete-legko-otklyuchit-ego/
  • http://about-windows.ru/instrumenty-windows/udalennyj-rabochij-stol-windows/

[решено] Ошибка терминального сервера Windows 2003, пожалуйста, помогите! — Windows Server

Добрый день,

У меня есть новый пользователь, который пытается войти на другой сервер Windows Server 2003 с главного терминального сервера, чтобы получить доступ к Quickbooks, но она получает эту ошибку:

«Для входа на этот удаленный компьютер у вас должны быть разрешения на доступ пользователей к серверу терминалов на этом компьютере. По умолчанию эти разрешения есть у членов группы« Пользователи удаленного рабочего стола ». Если вы не являетесь членом группы« Пользователи удаленного рабочего стола »или другой группы у которого есть эти разрешения, или если у группы пользователей удаленного рабочего стола нет этих разрешений, вам необходимо предоставить эти разрешения вручную.«

У меня она использует программу удаленного рабочего стола для доступа к программе другого сервера. Теперь я проверил терминальный сервер и обнаружил, что доступно 40 лицензий, но ни одна из них не используется, так что проблема не в этом. Она является членом группы пользователей удаленного рабочего стола, поэтому у нее должно быть необходимое разрешение для входа на сервер SQL и использования Quickbooks. Я вошел в систему с учетной записью предыдущего сотрудника, у которого был доступ к серверу SQL, и он работает нормально, но новый пользователь не подходит. Я заставил ее выйти из системы и снова включить ее, нет.Я сделал ее опытным пользователем, надеясь, что повышенный уровень разрешений сработает, но все равно ничего.

Я просто вручную добавил ее как пользователя в свойства конфигурации служб терминалов с полным контролем, надеясь, что это изменит ситуацию, но это тоже не сработало.

Я проверил ее разрешения, и они идентичны разрешениям бывшего сотрудника, которого она заменила, поэтому я не понимаю, почему они не работают. Любые идеи? Любая помощь будет очень признательна, спасибо за ваше время,

С уважением,

Кай


Халапеньо

OP

CasperTheGhost 20 ноября 2009 г., 05:58 UTC

У меня тоже была эта проблема некоторое время назад.Вам обязательно нужно будет добавить ее в локальную «группу пользователей удаленного рабочего стола» на сервере, к которому она пытается подключиться.

У меня сработало. Надеюсь, это сработает для вас.

Sudden «… у вас должны быть права доступа пользователя к серверу терминалов на этом компьютере». Ошибка. — Блог лучшего игрока Питера Ричи

У меня есть Small Business Server 2003 R2 Server с Team Foundation Server, убранный в сторону для экономии места на рабочем столе (три сервера, два клиента, два стола: мало места).Я не подключал его к монитору (один: их не так много, а два: место на столе). Итак, я с удовольствием использовал подключение к удаленному рабочему столу (RDC) в Windows XP для подключения к этому серверу для выполнения различных административных задач (таких как установка пакетов обновления, исправлений и т. Д.).

Что ж, у меня наконец-то было несколько циклов для установки некоторых исправлений для нового перехода на летнее время в различных компонентах, поэтому я запустил RDC, чтобы сдвинуть дело с мертвой точки на моем сервере — как я делал много раз раньше.Когда я вошел в систему, меня встретило окно сообщения:


Чтобы войти на этот удаленный компьютер, у вас должны быть разрешения доступа пользователя к серверу терминалов на этом компьютере. По умолчанию эти разрешения есть у членов группы удаленного рабочего стола. Если вы не являетесь членом группы «Пользователи удаленного рабочего стола» или другой группы, имеющей эти разрешения, или если группа «Пользователь удаленного рабочего стола» не имеет этих разрешений, вам необходимо предоставить эти разрешения вручную.

Излишне говорить, что я был ошарашен — вчера все работало нормально.После небольшого поиска выяснилось, что настала 120-дневная годовщина создания этого сервера, и сервер терминалов (который используется для сервера приложений в Small Business Server) «истек» (т.е. его льготный период для клиентских лицензий истек). истекший). Я привык устанавливать Windows Server и настраивать сервер терминалов для удаленного администрирования (для этого была настройка в Windows Server, честно говоря, я не помню, что Small Business Server спрашивал меня при установке; было непонятно, что это было отличается от других процессов установки Windows Server).Видимо я пропустил заметку о том, что удаленное администрирование теперь называется «удаленным рабочим столом». Очевидно, момент WTF.

Как оказалось, способы вернуться к возможности удаленного администрирования четко не задокументированы (на самом деле я не смог найти никакой документации по этому процессу, я фактически сделал вывод о процессе из различных источников, не принадлежащих Microsoft — там могли быть где-то документацией, просто не нашел). Этот процесс требует удаления сервера терминалов, перезагрузки сервера и повторного включения удаленного рабочего стола.Список шагов:



  1. Запустить Установка и удаление программ (запустить «appwiz.cpl»)

  2. Щелкните Добавить / удалить компоненты Windows (Alt-W)

  3. Снимите флажок Терминал Сервер

  4. Нажмите Далее> .

  5. Следуйте инструкциям, включая перезагрузку.

  6. Откройте апплет панели управления System (запустите «sysdm.cpl»).

  7. Щелкните вкладку Remote .

  8. Установите флажок Включить удаленный рабочий стол на этом компьютере . (поскольку удаление сервера терминалов отключает это)

  9. Щелкните Выберите удаленных пользователей…

  10. Убедитесь, что администраторы есть в списке.

  11. Щелкните ОК .

  12. Нажмите ОК . для следующего диалога.

  13. Подождите несколько минут, чтобы все заработало, и вы снова не будете готовы к удаленному администрированию.

Я надеюсь, что это поможет кому-то вернуться к работе быстрее, чем я…

Использование точки перехода для автоматического доступа к системам в сети

Jumpoint доступен для систем Windows и Linux.Клиенты Jump необходимы для удаленного доступа к компьютерам Mac. Чтобы перейти на компьютер с Windows без Jump Client, на этом компьютере должна быть включена служба удаленного реестра (по умолчанию отключена в Vista) и он должен находиться в домене. Если вам нужно получить доступ к удаленным компьютерам через Jumpoint, когда пользователь недоступен, убедитесь, что для вашей учетной записи установлены разрешения на отключение запросов или значение по умолчанию Разрешить . Вы не можете перейти на мобильное устройство, хотя технология Jump доступна для мобильных консолей BeyondTrust.

Linux Jumpoints можно использовать только для сеансов RDP и SSH / Telnet.

Для перехода без предустановленного клиента откройте диалоговое окно Перейти к… из:

  • Меню поддержки репрезентативной консоли
  • Кнопка «Пуск» в верхней части репрезентативной консоли
  • Кнопка Перейти к в верхней части репрезентативной консоли

В раскрывающемся списке Jumpoint выберите сеть, в которой находится компьютер, к которому вы хотите получить доступ.В зависимости от разрешений вашей учетной записи вы можете перейти к системе в вашей локальной сети или к сети, в которой установлен Jumpoint.

Выберите общедоступный портал, с которым вы хотите связать свой сеанс. Это позволяет системе узнать, какое поведение по соглашению с клиентом должно произойти.

Для получения дополнительной информации см. Клиентский клиент: изменение электронного письма с приглашением, параметры отображения, параметры подключения.

Введите имя хоста или IP-адрес системы, к которой вы хотите получить доступ. В качестве альтернативы, если просмотр сети включен на странице / login> Jump> Jumpoint , вы можете нажать кнопку […] , чтобы просмотреть дерево каталогов.

После того, как вы найдете компьютер, к которому хотите получить доступ, нажмите Перейти .

Для выполнения прыжка необходимо предоставить удаленному компьютеру учетные данные администратора.Административные права должны быть либо локальным администратором удаленной системы, либо администратором домена.

Клиентские файлы отправляются в удаленную систему, и выполняется попытка запуска сеанса. В зависимости от разрешений сеанса конечному пользователю может быть предложено принять или отклонить сеанс. Если в течение определенного интервала времени не получено ответа, сеанс либо запускается, либо отменяется, опять же в зависимости от разрешений сеанса.

Если вам нужно получить доступ к системам через Jumpoint, когда пользователь недоступен, убедитесь, что разрешения публичного портала и разрешения вашей учетной записи настроены либо на отключение запросов, либо на значение по умолчанию Разрешить .

Настройка разрешений для подключений служб удаленных рабочих столов

Разрешения служб удаленных рабочих столов используются для управления пользователи или группы могут выполнять определенные задачи в сеансе удаленных рабочих столов Хост-сервер, например вход на сервер узла сеансов удаленных рабочих столов. или удаленно управлять сеансом пользователя.Вы можете управлять разрешениями для каждого соединения в узле сеанса удаленного рабочего стола Конфигурация.

Примечание

Для управления тем, кто может удаленно подключаться к узлу сеанса удаленных рабочих столов сервер, мы рекомендуем вам изменить Пользователи удаленного рабочего стола группа. Дополнительные сведения об изменении удаленного рабочего стола Группа пользователей, см. Настройка удаленного Группа пользователей рабочего стола.

Разрешения на подключение, установленные в удаленном рабочем столе Конфигурация узла сеанса также определяет действия, которые пользователь может выполнять в диспетчере служб удаленных рабочих столов.Например, пользователь должен иметь как минимум специальный доступ к удаленному управлению разрешение на удаленное управление сеансом пользователя с помощью Remote Диспетчер служб рабочего стола.

Ниже приводится список разрешений, которые вы можете установить в Конфигурация узла сеанса удаленного рабочего стола и возможности, которые каждое разрешение предоставляет.

Разрешение Возможность

Запросить информацию

Сеансы запросов и серверы узлов сеансов удаленных рабочих столов для информация

Установить информацию

Настроить свойства подключения

Пульт дистанционного управления

Просмотр или активное управление сеансом другого пользователя

Вход в систему

Войдите в сеанс на сервере узла сеансов удаленных рабочих столов

Выход

Отключить пользователя от сеанса

Сообщение

Отправить сообщение в сеанс пользователя

Подключить

Подключиться к сеансу другого пользователя

Отключить

Отключить сеанс пользователя

виртуальных каналов

Использовать виртуальный канал в сеансе, который предоставляет локальное устройство и перенаправление ресурсов

По умолчанию группе «Пользователи удаленного рабочего стола» назначается следующие разрешения: запрос информации, вход в систему и подключение.

Существует три стандартных предварительно настроенных набора разрешений:

  • Полный контроль
  • Доступ пользователей
  • Гостевой доступ

Ниже приводится список разрешений, связанных с каждый из стандартных предварительно настроенных наборов разрешений.

Набор разрешений Назначены разрешения

Полный доступ

Запросить информацию, установить информацию, удаленное управление, вход в систему, Выход из системы, сообщение, подключение, отключение, виртуальные каналы

Доступ пользователя

Запрос информации, вход в систему, подключение

Гостевой доступ

Вход в систему

Используйте следующую процедуру для настройки разрешений для связь.

Членство в локальной группе администраторов или эквивалент, это минимум, необходимый для завершения этого процедура. Ознакомьтесь с подробностями об использовании соответствующих учетных записей. и членство в группах на http://go.microsoft.com/fwlink/?LinkId=83477.

Чтобы настроить разрешения для соединение
  1. На сервере узла сеансов удаленных рабочих столов откройте удаленный рабочий стол Конфигурация хоста сеанса.Чтобы открыть узел сеанса удаленного рабочего стола Конфигурация, щелкните Start , укажите на Administrative Инструменты , укажите на Службы удаленных рабочих столов , а затем щелкните Конфигурация узла сеанса удаленного рабочего стола .

  2. В разделе Подключения щелкните правой кнопкой мыши имя подключения, а затем щелкните Свойства .

  3. В диалоговом окне Свойства для соединения на вкладке Security настройте разрешения как подходит для вашей среды, а затем нажмите OK .

Вы можете запретить администраторам изменять разрешения для подключения, применив Не разрешать локальный администраторы для настройки разрешений Параметр групповой политики. Этот параметр групповой политики находится на компьютере . Конфигурация \ Политики \ Административные шаблоны \ Windows Компоненты \ Службы удаленного рабочего стола \ Сеанс удаленного рабочего стола Host \ Security и может быть настроен с помощью локального Редактор групповой политики или консоль управления групповой политикой (GPMC).

Дополнительные сведения о параметрах групповой политики для Службы удаленных рабочих столов, см. Техническую информацию по службам удаленных рабочих столов. Ссылка (http://go.microsoft.com/fwlink/?LinkId=138134).

Дополнительные сведения о службах удаленных рабочих столов см. страница «Службы удаленных рабочих столов» в Windows Технический центр Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkId=138055).

Разрешение удаленного доступа

— обзор

Позволяет вам применять контроль доступа на основе пользователей / групп через веб-доступ

Клиент веб-прокси может отправлять учетные данные пользователя на компьютер с брандмауэром ISA 2004, когда это необходимо.В отличие от клиента брандмауэра, который всегда отправляет учетные данные пользователя на брандмауэр ISA 2004, клиент веб-прокси отправляет учетные данные только тогда, когда их просят предоставить их. Это повышает производительность, поскольку аутентификация выполняется только при необходимости.

Если клиент веб-прокси имеет доступ к правилу доступа, которое разрешает доступ к сайту и контенту в запросе, и если правило доступа разрешает анонимный доступ (разрешает доступ «всем пользователям» к правилу), тогда веб-прокси клиент не отправляет учетные данные, и соединение разрешено (при условии, что Правило доступа является «разрешающим» правилом)

Эта функция объясняет многие анонимные записи, которые есть в файлах журнала вашего веб-прокси.Когда клиент веб-прокси отправляет запрос брандмауэру ISA 2004, первая попытка подключения не включает учетные данные пользователя клиента веб-прокси. Это регистрируется как анонимный запрос. Если для доступа к сайту требуются учетные данные пользователя, то брандмауэр ISA 2004 отправит сообщение «доступ запрещен» клиентской машине веб-прокси и запросит у пользователя аутентификацию. На рис. 5.21 показано, что на этом этапе клиент веб-прокси имеет возможность аутентифицироваться с использованием ряда различных протоколов аутентификации.

Рисунок 5.21. Диалоговое окно аутентификации

Вы можете использовать следующие протоколы аутентификации для сеансов веб-прокси:

Встроенная аутентификация Windows

Базовая аутентификация

Digest аутентификация

3

Проверка подлинности сертификата клиента

Проверка подлинности RADIUS

ПРЕДУПРЕЖДЕНИЕ

Веб-браузеры могут использовать встроенную, базовую, дайджест-проверку, RADIUS и проверку подлинности сертификата клиента.Важно отметить, что веб-браузеры могут использовать проверку подлинности сертификата клиента только при подключении к опубликованным ресурсам с помощью правила веб-публикации. Клиенты веб-браузера, действующие как клиенты веб-прокси, не могут использовать проверку подлинности сертификата клиента при доступе к ресурсам через брандмауэр ISA 2004 через правило доступа. Однако нисходящий брандмауэр ISA 2004 может использовать аутентификацию сертификата клиента для аутентификации восходящего брандмауэра ISA 2004 в сценарии цепочки WebProxy.

Учетные данные передаются на брандмауэр ISA 2004 прозрачно, если включена встроенная проверка подлинности.Однако и брандмауэр ISA 2004, и клиент веб-прокси должны быть членами одного домена (или брандмауэр ISA 2004 должен быть членом домена, который доверяет домену учетной записи пользователя), или брандмауэр ISA 2004 должен использовать аутентификацию RADIUS для подключиться к базе данных учетных записей пользователей Active Directory или Windows NT 4.0. Вы также можете получить прозрачную аутентификацию, если зеркалируете учетные записи пользователей в локальном диспетчере учетных записей безопасности (SAM) на компьютере с брандмауэром ISA 2004. Однако для любой организации, кроме самой маленькой, административные издержки и риски безопасности, связанные с зеркалированием учетных записей пользователей, могут быть неприемлемо высокими.

Проверка подлинности сертификата SSL в настоящее время недоступна для подключений браузера к серверу веб-прокси. Вы можете использовать проверку подлинности сертификата SSL при настройке цепочки веб-прокси. В этой настройке нижестоящий веб-прокси-сервер пересылает веб-запросы вышестоящему веб-прокси-серверу. Нисходящий сервер веб-прокси ISA 2004 может аутентифицироваться с вышестоящим сервером, представляя сертификат клиента вышестоящему серверу веб-прокси ISA 2004. Это обеспечивает очень безопасную конфигурацию цепочки веб-прокси, которую нелегко реализовать с помощью других решений веб-прокси.

Пользователям предлагается ввести имя пользователя и пароль, если используется только проверка подлинности Basic . Если клиент веб-прокси и брандмауэр ISA 2004 не являются членами одного домена или если проверка подлинности RADIUS не используется, то лучшим решением будет обычная проверка подлинности.

Новая функция, включенная в ISA 2004, — это возможность использовать RADIUS для аутентификации веб-прокси. Когда RADIUS включен в качестве протокола аутентификации для клиентов веб-прокси, брандмауэр ISA 2004 не обязательно должен быть членом пользовательского домена.Это обеспечивает немного более высокий уровень безопасности, поскольку злоумышленник, который может взять под контроль брандмауэр ISA 2004, не сможет использовать учетные данные домена для атаки пользователей в защищенной сети за брандмауэром ISA 2004. Когда пользователь домена пытается аутентифицироваться для веб-соединения, брандмауэр ISA 2004, не являющийся членом пользовательского домена, пересылает запрос аутентификации на сервер RADIUS во внутренней сети. Сервер RADIUS пересылает запрос на сервер аутентификации и затем возвращает ответ брандмауэру ISA 2004.

Обратите внимание, что когда вы настраиваете брандмауэр ISA 2004 для поддержки аутентификации RADIUS, брандмауэр ISA 2004 становится клиентом RADIUS. Вы можете использовать любой сервер RADIUS, включая реализацию Microsoft RADIUS, сервер проверки подлинности в Интернете (IAS).

Проверка подлинности RADIUS требует, чтобы вы создали сервер RADIUS во внутренней сети и настроили прослушиватель веб-прокси для сети клиента веб-прокси для использования сервера RADIUS. Кроме того, должно быть правило доступа, позволяющее межсетевому экрану ISA 2004 взаимодействовать с сервером RADIUS по протоколу RADIUS.Существует системная политика брандмауэра по умолчанию, разрешающая сообщения RADIUS во внутреннюю сеть. Если ваш сервер RADIUS не находится во внутренней сети, вам необходимо настроить системную политику брандмауэра, разрешающую протокол RADIUS для сервера RADIUS в другом месте.

Далее в этой главе мы рассмотрим процедуры, необходимые для создания сервера RADIUS и настройки клиента RADIUS. Однако для поддержки клиентов веб-прокси вам необходимо выполнить следующее:

Настроить приемник исходящих веб-запросов для использования аутентификации RADIUS

Настроить учетную запись пользователя для разрешения удаленного доступа или настройте политику удаленного доступа для включения доступа

Настройте политику удаленного доступа для поддержки аутентификации PAP

Выполните следующие действия, чтобы настроить прослушиватель веб-прокси в сети клиента веб-прокси для использования RADIUS:

1.

В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера, а затем разверните узел Configuration . Щелкните узел Networks и щелкните правой кнопкой мыши внутреннюю сеть Internal (при условии, что клиенты веб-прокси расположены во внутренней сети, вы должны выбрать соответствующую сеть в своей конфигурации). Щелкните Свойства .

2.

В диалоговом окне Внутренние свойства щелкните вкладку Веб-прокси .

3.

На вкладке веб-прокси нажмите кнопку Аутентификация .

4.

В диалоговом окне Аутентификация снимите флажки со всех остальных флажков. Вы увидите диалоговые окна, информирующие вас об отсутствии доступных методов аутентификации. Убедитесь, что у вас выбрана только опция RADIUS (см. Рисунок 5.22). Не , а не выберите опцию Требовать от всех пользователей аутентификации .Было много случаев, когда эта опция приводила к появлению повторяющихся окон аутентификации.

Рисунок 5.22. Диалоговое окно аутентификации.

5.

Щелкните Серверы RADIUS .

6.

В диалоговом окне Добавить сервер RADIUS , показанном на рисунке 5.23, введите имя или IP-адрес для сервера RADIUS в текстовое поле Имя сервера . Если вы вводите имя, убедитесь, что это полное доменное имя и что брандмауэр ISA 2004 может преобразовать это имя в правильный IP-адрес.Введите описание сервера в текстовое поле Описание сервера . Оставьте значения по умолчанию для портов , и Тайм-аут (в секундах) , если у вас нет причин для их изменения. Убедитесь, что в поле Всегда использовать средство проверки подлинности сообщений установлен флажок.

Рисунок 5.23. Диалоговое окно добавления сервера RADIUS.

7.

Щелкните Изменить .

8.

В диалоговом окне Shared Secret введите и подтвердите пароль в текстовых полях New secret и Confirm new secret .Этот пароль используется для аутентификации сервера RADIUS и клиента RADIUS. Убедитесь, что это тот же пароль, который вы использовали при настройке клиента RADIUS на сервере RADIUS для внутренней сети. Нажмите ОК . (ПРИМЕЧАНИЕ: пароль RADIUS должен быть длинным и сложным; идеальный пароль RADIUS — это пароль длиной 24 символа, созданный с помощью приложения-генератора паролей. Общий секрет используется для генерации хэша MD5, который используется для аутентификации клиента RADIUS. к серверу RADIUS).

9.

Щелкните ОК в диалоговом окне Добавить сервер RADIUS .

10.

В списке появится запись сервера RADIUS. Обратите внимание, что вы можете создать несколько серверов RADIUS, и они будут опрашиваться в указанном порядке.

11.

Щелкните ОК в диалоговом окне Аутентификация .

12.

Щелкните Применить и ОК в диалоговом окне Внутренние свойства .

13.

Щелкните Применить , чтобы сохранить изменения и обновить политику брандмауэра.

14.

Нажмите ОК в диалоговом окне Применить новую конфигурацию .

Следующим шагом является настройка учетной записи пользователя для включения доступа по телефонной линии. Обратите внимание, что эта процедура не требуется , если домен находится в основном режиме Windows 2000 или Windows Server 2003. Причина этого в том, что вы можете управлять политикой доступа через политику удаленного доступа, а настройка по умолчанию для учетных записей пользователей контролирует доступ через политику удаленного доступа, когда домен находится в основном режиме.По этой причине мы настоятельно рекомендуем вам настроить свои домены Windows в основном режиме, чтобы вам не нужно было включать каждую отдельную учетную запись пользователя для удаленного доступа.

1.

В консоли Active Directory Users and Computers на контроллере домена, который содержит учетные записи пользователей, для которых вы хотите пройти аутентификацию с помощью RADIUS-аутентификации веб-прокси, дважды щелкните по учетной записи, которую вы хотите разрешить использовать. RADIUS-аутентификация.

2.

В диалоговом окне пользователя Properties щелкните вкладку Dial-in .

3.

На вкладке Dial-in выберите опцию Разрешить доступ .

4.

Щелкните Применить, и затем щелкните ОК .

Учетная запись пользователя теперь может использовать RADIUS для проверки подлинности веб-прокси.

Последний шаг — настроить политику удаленного доступа так, чтобы аутентификация PAP поддерживалась для аутентификации RADIUS клиента веб-прокси.Важно отметить, что аутентификация PAP небезопасна, и вы должны использовать какой-либо метод для защиты учетных данных при их передаче между межсетевым экраном ISA 2004 и сервером RADIUS. Хотя учетные данные зашифрованы с использованием хэша MD5, все же должен быть дополнительный уровень защиты. Предпочтительный метод защиты учетных данных — использование соединения в транспортном режиме IPSec.

Для настройки политики удаленного доступа выполните следующие действия:

1.

На сервере IAS во внутренней сети щелкните Start, и укажите на Administrative Tools .Щелкните Internet Authentication Services .

2.

В консоли Internet Authentication Services щелкните узел Политики удаленного доступа на левой панели консоли.

3.

На узле Политики удаленного доступа обратите внимание, что на правой панели консоли есть две политики удаленного доступа. Первая политика применяется только к соединениям удаленного доступа от клиентов удаленного доступа и VPN. Вторая политика, Соединения с другими серверами доступа — это политика, используемая клиентами веб-прокси.Дважды щелкните Подключение к другим серверам доступа .

4.

В диалоговом окне Подключения к другим серверам доступа Свойства щелкните Изменить профиль .

5.

В диалоговом окне Edit Dial-in Profile щелкните вкладку Authentication .

6.

На вкладке Аутентификация установите флажок Незашифрованная проверка подлинности (PAP, SPAP) .

7.

Щелкните Применить и ОК .

8.

В диалоговом окне « Подключения к другим серверам доступа» Свойства (см. Рисунок 5.24) убедитесь, что условие « Windows-Groups соответствует… ». Сюда входят группы пользователей, которым вы хотите получить доступ к службе веб-прокси через аутентификацию RADIUS. Используйте кнопку Добавить , чтобы добавить группу, к которой вы хотите иметь доступ.Также убедитесь, что выбран параметр Предоставить разрешение на удаленный доступ .

Рисунок 5.24. Диалоговое окно «Подключения к другим серверам доступа». Диалоговое окно

9.

Нажмите Применить и ОК в диалоговом окне « Подключения к другим свойствам сервера доступа ».

Политика вступает в силу немедленно; Вам не нужно перезапускать какое-либо оборудование.

Настройка разрешений для подключений к службам удаленных рабочих столов

Разрешения служб удаленных рабочих столов используются для управления тем, какие пользователи или группы могут выполнять определенные задачи на сервере узла сеансов удаленных рабочих столов, такие как вход на сервер узла сеансов удаленных рабочих столов или удаленное управление сеансом пользователя .Вы можете управлять разрешениями для каждого соединения в конфигурации узла сеанса удаленного рабочего стола.

Примечание

Чтобы контролировать, кто может удаленно подключаться к серверу узла сеансов удаленных рабочих столов, мы рекомендуем изменить группу «Пользователи удаленного рабочего стола». Дополнительные сведения об изменении группы пользователей удаленного рабочего стола см. В разделе Настройка группы пользователей удаленного рабочего стола.

Разрешения на подключение, заданные в конфигурации узла сеансов удаленных рабочих столов, также определяют действия, которые данный пользователь может выполнять в диспетчере служб удаленных рабочих столов.Например, пользователь должен иметь по крайней мере специальное разрешение на доступ к удаленному управлению для удаленного управления сеансом пользователя с помощью диспетчера служб удаленных рабочих столов.

Ниже приведен список разрешений, которые можно установить в конфигурации узла сеанса удаленного рабочего стола, а также возможности, которые предоставляет каждое разрешение.

Разрешение Возможности

Запросить информацию

Сеансы запросов и серверы узлов сеансов удаленных рабочих столов для получения информации

Установить информацию

Настроить свойства соединения

Удаленное управление

Просмотр или активное управление сеансом другого пользователя

Вход в систему

Вход в сеанс на сервере узла сеансов удаленных рабочих столов

Выход из системы

Отключить пользователя от сеанса

Сообщение

Отправить сообщение сеансу пользователя

Connect

Подключиться к другому пользовательскому сеансу

Отключиться

Отключить сеанс пользователя

Виртуальные каналы

Использовать виртуальный канал в сеансе, который обеспечивает перенаправление локальных устройств и ресурсов

По умолчанию группе «Пользователи удаленного рабочего стола» назначены следующие разрешения: запрос информации, вход в систему и подключение.

Существует три стандартных предварительно настроенных набора разрешений:

  • Полный доступ
  • Пользовательский доступ
  • Гостевой доступ

Ниже приводится список разрешений, связанных с каждым из стандартных предварительно настроенных наборов разрешений.

Набор разрешений Назначенные разрешения

Полный доступ

Запрос информации, установка информации, удаленное управление, вход в систему, выход из системы, сообщение, подключение, отключение, виртуальные каналы

Доступ пользователя

Запрос информации, вход в систему, подключение

Гостевой доступ

Вход в систему

Используйте следующую процедуру для настройки разрешений для подключения.

Членство в локальной группе администраторов или аналогичной является минимумом, необходимым для выполнения этой процедуры. Подробные сведения об использовании соответствующих учетных записей и членстве в группах см. На странице https://go.microsoft.com/fwlink/?LinkId=83477.

Чтобы настроить разрешения для подключения
  1. На сервере узла сеансов удаленных рабочих столов откройте Конфигурация узла сеансов удаленных рабочих столов. Чтобы открыть конфигурацию узла сеанса удаленного рабочего стола, щелкните Start , укажите на Administrative Tools , укажите на Remote Desktop Services , а затем щелкните Remote Desktop Session Host Configuration .

  2. В разделе Подключения щелкните правой кнопкой мыши имя подключения и выберите Свойства .

  3. В диалоговом окне Свойства для подключения на вкладке Безопасность настройте разрешения, соответствующие вашей среде, а затем нажмите ОК .

Вы можете запретить администраторам изменять разрешения для подключения, применив Не разрешать локальным администраторам настраивать разрешения Параметр групповой политики.Этот параметр групповой политики находится в папке Computer Configuration \ Policies \ Administrative Templates \ Windows Components \ Remote Desktop Services \ Remote Desktop Session Host \ Security и может быть настроен с помощью редактора локальной групповой политики или консоли управления групповой политикой (GPMC ).

Дополнительные сведения о параметрах групповой политики для служб удаленных рабочих столов см. В Техническом справочнике служб удаленных рабочих столов (https://go.microsoft.com/fwlink/?LinkId=138134).

Дополнительные сведения о службах удаленных рабочих столов см. На странице служб удаленных рабочих столов в техническом центре Windows Server 2008 R2 (https://go.microsoft.com/fwlink/?LinkId=138055).

Как предоставить пользователям удаленного рабочего стола права администратора | Малый бизнес

Современные предприятия полагаются на компьютеры во всем, от общения с клиентами и поставщиками до управления финансами и запасами. Благодаря Интернету и сетевым технологиям компании могут вести бизнес, привлекать новых клиентов и обмениваться информацией в офисе проще, чем когда-либо прежде.Однако эти технологии могут вызвать сложные проблемы при неправильном обслуживании. Если ваш бизнес похож на большинство, у вас, вероятно, есть ключевые сотрудники, к которым вы обращаетесь для устранения проблем с компьютером. Предоставление этим сотрудникам удаленного административного доступа к компьютерам в вашей бизнес-сети может позволить им исправить многие проблемы, даже когда они находятся в дороге или работают дома.

Добавить администратора

Войдите в Windows с учетной записью администратора. Нажмите «Пуск», «Панель управления», а затем нажмите «Учетные записи пользователей».

Нажмите «Управление другой учетной записью» и выберите «Создать новую учетную запись». Введите имя новой учетной записи администратора в поле «Имя новой учетной записи». Выберите параметр «Администратор» и нажмите «Создать учетную запись».

Нажмите имя новой учетной записи администратора в окне «Выберите учетную запись, которую вы хотите изменить». После открытия окна «Внести изменения» нажмите «Создать пароль». Введите временный пароль для нового администратора и подтвердите его в следующих полях. .Нажмите кнопку «Создать пароль», чтобы сохранить новый пароль. После того, как новый администратор войдет в систему на машине, он может изменить пароль, щелкнув ссылку «Изменить пароль» в окне «Внести изменения» для своей учетной записи.

Предоставить администратору доступ к удаленному рабочему столу

Щелкните «Пуск | Панель управления | Администрирование | Управление компьютером». Откроется окно консоли управления компьютером.

Выберите «Локальные пользователи и группы» в навигационной панели «Управление компьютером», затем дважды щелкните «Пользователи» в центральной панели окна.

Щелкните правой кнопкой мыши имя администратора, которому вы хотите предоставить доступ к удаленному рабочему столу, затем щелкните «Свойства» во всплывающем меню.

Щелкните вкладку «Член» в окне «Свойства», затем нажмите кнопку «Добавить». В текстовом поле «Введите имена объектов для выбора» введите «Пользователи удаленного рабочего стола». Нажмите кнопку «Проверить имена». Windows подчеркивает сетевое имя компьютера вместе с «Пользователи удаленного рабочего стола».

Нажмите «ОК», чтобы закрыть окно «Выбор групп» и отобразить обновленный список «Членов» для администратора.Теперь администратор входит в группу «Пользователи удаленного рабочего стола» и может удаленно входить в систему.

Нажмите кнопку «ОК», чтобы закрыть окно «Свойства», затем закройте окно консоли «Управление компьютером».

При необходимости добавьте учетные записи администратора с доступом к удаленному рабочему столу на другие компьютеры в сети.

Ссылки

Советы

  • Если вы хотите, чтобы несколько администраторов имели удаленный доступ к машине, вы можете предоставить им доступ сразу всем, а не по одному.Щелкните папку «Группы» в окне «Управление компьютером», а не «Пользователи».

    Leave a comment