Problem med att logga in på maskiner på distans.

[jazzze]

 

Jag har ett nätverk med Win 2003 och win XP.

Jag vill kunna sköta om kontoret helt på distans.

Därför har jag aktiverat "Fjärrskrivbordet".

 

När jag ska administrera så loggar jag in till serverns fjärrskrivbord, loggar in som "Administratör".

Genom serverm vill jag ansluta till de andra datorernas fjärrskrivbord. Det funkar bra om jag loggar in som Administratör på dessa datorer (både på domänen och lokalt).

Men när jag försöker ansluta med ett konto som en användare har säger den "Du kan inte logga in interaktivt"

 

Hur fixar man detta.

 

Kolla bild.

 

// Micke

 

 

 

 

[bild bifogad 2005-01-03 21:58:23 av jazzze]

[nordie]

Välj ett av följande sätt:

 

1. XP tillåter som standard medlemmar av grupperna Administratörer och "Användare av fjärrskrivbord" att logga in via fjärrskrivbord. Gör t.ex. "Domain users" från domänen medlem i "Användare av fjärrskrivbord" på varje klientdator. Detta kan göras automatiskt via Restricted Groups i en GPO om det är många datorer.

 

2. Det finns en "user right" som heter "Tillåt inloggning genom Terminal Services". Den specar de två grupperna jag nämnde ovan. Du kan lägga dit andra grupper för hand eller via en GPO. Nu har jag ingen server framför mig, men lokalt i XP hittar du inställningen under Lokal säkerhetsprincip -> Lokala principer -> Tilldelning av användarrättigheter.

 

Jag gissar att det är ställt som det är på grund av att när du loggar in via fjärrskrivbord mot en XP-maskin så låses konsolen lokalt (samma som Windows + L) tills fjärrskrivbordsanvändaren loggat ut igen. Kan då alla logga in via fjärrskrivord så kan man sitta och låsa ut varandra för att jävlas/retas.

 

[inlägget ändrat 2005-01-03 23:03:30 av nordie]

[jazzze]

Hej,

Jag tackar för detta!

Det funkade perfekt!

 

Dock så gav detta bivärkningar :-)

 

När jag loggar in som administratör på en dator (lokalt eller domänen) så kan jag inte installera program. Den säger att jag inte har behörighet (!)

 

// Jazze

 

 

[nordie]

Står det nåt i stil med att Windows Installer inte tillåter installationer via fjärrskrivbord? Det meddelandet får man om man bockat för att man vill ha med sig sina lokala diskar in i fjärrsessionen och sedan försöker köra igång en installation därifrån. I så fall är det bara att lyda och istället kopiera över installationsfilerna till fjärrdatorns hårddisk, eller att från fjärrdatorn leta upp installationsfilerna via nätverket.

 

...om det nu var det felet du hade... =)

 

[jazzze]

Jag har också upptäckt att behörigheterna på de lokala mapparna har ändrats.

En användare som tidigare var medlem i den lokala gruppen "administratörer" och sådeles hade full kontroll över burken (måste tyvärr vara så eftersom användarna är tekniker och har specialprogram som måste komma åt valda delar, går ej att lösa på annat sätt.)

Nu efter förändringen i GPOn för att kunna tillåta fjärrskrivbordet har han INGA skrivsättigheter på C: samt att allt är skrivskyddat. Om han ändrar och sparar så slår det inge igenom. När man öppnas mappegenskapaerna på nytt så har inget ändrats. Detta är mycket mysko.

 

Det enda som jag har gjort är att lägga till detta om fjärrinloggning....

 

Kan detta bero på att det är Server 2003 SBE som körs?????

 

// Jazze

 

[inlägget ändrat 2005-01-07 23:12:10 av jazzze]

[nordie]

Hmm... Du använde alltså en GPO för att lägga till domain users under "Allow logon through Terminal Services" eller hur gjorde du?

 

Då är det förmodligen symptom av samma fel som du och han ser. Du har inte behörighet att installera och han har inte behörighet att spara.

 

En gissning är att något hänt med den lokala gruppen Administratörer. Kommer du åt och se vilka som är med i den?

 

Det är nog bäst att ändra tillbaka GPO:n som den var innan problemet uppstod till att börja med...

 

[jazzze]

Nu har jag laggt tillbaka som det var....

Symtomen verkar försvinna....

 

Hur ska jag lösa detta utan att behöva ändra på varje dator?

GPOn ställer ju till med problem.....

 

[nordie]

Vad exakt gjorde din gpo? Ändrade den grupperna under "Tillåt inloggning med Terminal Services" eller ändrade den medlemskapet i gruppen "Användare av fjärrskrivbord"?

 

[jazzze]

Jag gick in under "Datorkunfiguration" -> "Windowsinställningar" -> "Säkerhetsinstänllningar" -> "Lokala principer" -> "Tilldelning av användarrättigheter" sen ändrade jag på "Tillåt Inloggning genom Terminal Service" där la jag till "Domain Users" samt "Administratörer"

 

 

 

 

 

Nordie: Du är ju riktigt skarp på detta. Som jag sagt tidigare så kan jag erbjuda dig jobb om du kommer till Stockholm. :-)

 

 

 

 

[nordie]

Det verkar ju helt riktigt det där. Märkligt. Det måste ha hänt något med medlemskapet i Administratör-gruppen, hur nu det går ihop. Du skulle kunna testa med lokala gruppen Användare istället för Domain users. Det är egentligen mer enligt regelboken.

 

Annars får vi väl gå på alternativ två: Gruppen Användare av fjärrskrivbord. Du bör kunna använda "Restricted groups" i en GPO för att fixa in Användare-gruppen där.

 

För att inte ställa till med någon katastrof igen så föreslår jag att du gör så här: Gör en GPO som bara innehåller de här inställningarna och sen ändrar du behörigheten för GPO:n (lätt som en plätt i GPMC). Ta bort Authenticated Users och lägg dit ett enskilt datorkonto istället, och så labbar du med EN dator istället för hela företaget. =)

 

 

 

Jag har alldeles för dåligt lokalsinne för Stockholm! =)