Права на терминальный доступ пользователя в Windows

Зачастую возникают случаи, когда администратор установил Windows сервер, нужное ПО, проверил свой терминальный доступ (логин administrator) и остался доволен — все работает. При попытке залогинится с правами непривилигерованного пользователя (далее пользователь) администратор получает сообщение об ошибке. Рассмотрим нюансы на которые должен обратить внимание администратор, чтоб корректно настроить терминальный доступ пользователя. Все ниже сказанное верно для Windows 2008. Настройка терминального доступа на других версиях Windows принципиально не отличается

Группы

Пользователь должен входить в группу Remote Desktop Users. Доступы в терминал этой группе уже даны по-умолчанию, так что этого должно быть достадочною Если нет, читаем дальше. При такой конфигурации терминальные пользователи не могут подключаться к сессиям других терминальных пользователей сервера (режим shadow), кроме пользователя administrator. Но нам такое не подходит, потому что у нас есть группа разработчиков, которая должна мониторить и осуществлять поддержку пользователей удаленно. Соответственно нужны две группы с разными правами

  • Пользователи — RDP-USERS
  • Разработчики — RDP-ADMIN

Право на терминальное подключение

Вызов: Control Panel -> System -> Advanced system settings -> Remote -> Select Users…

терминальный доступ пользователя

Local security policy

Вызов: Control Panel -> Administrative Tools -> Local Security Policy

терминальный доступ пользователя

Свойства RDP-протокола

Вызов: Control Panel -> Administrative Tools -> Terminal Services -> Terminal Services Configuration -> RDP-Tcp

терминальный доступ пользователя

Здесь для группы RDP-USERS даем права User Access, Guest Access. Для группы RDP-ADMIN — Full Control. Нажав кнопку Advanced можно еще больше кастомизировать права для пользователей группы RDP-USERS

Сервер терминальных лицензий

Сразу после установки сервера терминалов и сервера терминальных лицензий получаем триальный период 120 дней, на протяжении которого возможен беспрепятственный терминальный доступ пользователя к серверу терминалов. За это время нужно приобрести достадочное количество терминальных лицензий, активировать сервер лицензий и установить лицензии. Если этого не сделать, то пользователи не смогут войти в терминал по истечении триального периода

Вызов: Control Panel -> Administrative Tools -> Terminal Services -> TS licensing manager

терминальный доступ пользователя

В данном случае имеется 15 терминальных лицензий

Дополнительно

  • Разница во времени сервера и клиентского компьютера не должна быть больше пяти минут. Для синхронизации времени всех компьютеров сети нужно установить и настроить службу ntp
  • RDP-клиент должен поддерживать алгоритмы шифрования сервера
  • Продвинутый RDP-клиент от Parallels

Как будто все

Александр Черных
системный администратор

Статьи по теме

  • Сергей Золотарёв

    Увы, «Control Panel -> Administrative Tools -> Terminal Services -> Terminal Services Configuration -> RDP-Tcp» для Server 2012 и выше не доступно, если сервер не в домене, приходится все параметры через gpedit настраивать.