ZAMKNIĘCIE SERWISU

Cyfrowy Polsat S.A. z siedzibą w Warszawie, adres: ul. Łubinowa 4a, 03-878 Warszawa, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem 0000010078, dla której akta rejestrowe prowadzi Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, o kapitale zakładowym 25 581 840,64 zł w całości wpłaconym, NIP 7961810732, niniejszym informuje, że kończy działalności w zakresie działalności Serwisu FrazPC.pl. Zamknięcie Serwisu nastąpi w dniu 31 grudnia 2018 roku. Do dnia 31 grudnia 2018 roku serwis będzie działał na dotychczasowych zasadach. Zachęcamy aby w tym okresie pobrać z Serwisu potrzebne użytkownikom materiały, gdyż po dniu 31 grudnia 2018 roku żadne materiały nie będą dostępne.

Pytanie do speców od AD

  • Sprawdź bezpośredni link do posta
  • Statsy wątku

Adanos | 12.06.2018 15:18 | Odpowiedzi: 24 | Śledzony: 2 | Czytano: 2111 razy

Wątków: 570 | Odpowiedzi: 3139

Stworzyłem sobie jednostkę organizacyjną, do kompletu stworzyłem obiekt zasad grupy o nazwie rdp i podlinkowałem do tej jednostki. W domenie jest wyłączona możliwość logowania się via RDP, ale dla ludków z jednostki organizacyjnej w polityce zasad grupy ustawiam zgodę na logowanie.
Tyle że nie działa Ikona: :(
Jak ustawię tych userów w default domain policy, to działa ale nie chciałbym tego robić w ten sposób.

Co robię źle ?

Dzięki z góry.

Autor wskazał następujące odpowiedzi jako rozwiązanie swojego problemu:

Skocz do ostatniej odpowiedzi | Pierwszy post na stronie

Odpowiedzi:

12.06.2018 15:20

Wątków: 570 | Odpowiedzi: 3139

oczywiście user jest w grupue remote desktop users

i robiłem gpupdate

i7 6850k@4,1GHz, Fortis3, MSI X99A RAIDER,16 GB 2400MHz, GTX 780 Ti SLI,24"+34"+24" w formacie █■■█ , SSD Samsung 950 Pro 512GB, Crucial MX300 2050GB , BeQuiet 1000W @ Win10

12.06.2018 15:55

Wątków: 6 | Odpowiedzi: 112

gpresult -h c:\Temp\rep.html pokazuje, ze dane GPO zostalo zaaplikowane?

12.06.2018 16:14

Wątków: 149 | Odpowiedzi: 2192

hmm

gdzie dokładnie ustawiałeś to zdalne logowanie przez RDP. Podaj miejsce w GPO bo to ma znaczenie. Sprawdz co zwraca komenda rsop.msc Powinna być tam zaciągnięta polityka RDP którą podpiałeś do komputera lub użytkownika. Ustaw na chwilę na próbę opcję enforce na tej GPO z RDP

I7-3770, 2x4GB PC3-12800, P8H77-V, SSD 256GB MICRON M1100, HDD 1 TB WD RED, BEQUIET E9-400W, ANTEC 300, P2412H

13.06.2018 08:41

Wątków: 570 | Odpowiedzi: 3139

dzięki za odzew

ustawiłem to tutaj.

Obrazek dodany przez użytkownika

Plik graficzny pochodzi z HDD usera (zmniejszony z 942x879) Zobacz oryginał


ale po odpaleniu rsop.msc w wynikowym widać tylko usera podpiętego do default
Obrazek dodany przez użytkownika

Plik graficzny pochodzi z HDD usera (zmniejszony z 1347x813) Zobacz oryginał



hmmm….

i7 6850k@4,1GHz, Fortis3, MSI X99A RAIDER,16 GB 2400MHz, GTX 780 Ti SLI,24"+34"+24" w formacie █■■█ , SSD Samsung 950 Pro 512GB, Crucial MX300 2050GB , BeQuiet 1000W @ Win10

13.06.2018 08:45

Wątków: 570 | Odpowiedzi: 3139

i jeszcze to

Obrazek dodany przez użytkownika

Plik graficzny pochodzi z HDD usera (zmniejszony z 1575x339) Zobacz oryginał

i7 6850k@4,1GHz, Fortis3, MSI X99A RAIDER,16 GB 2400MHz, GTX 780 Ti SLI,24"+34"+24" w formacie █■■█ , SSD Samsung 950 Pro 512GB, Crucial MX300 2050GB , BeQuiet 1000W @ Win10

13.06.2018 10:39

Wątków: 622 | Odpowiedzi: 14091

hmm

ale dla ludków z jednostki organizacyjnej w polityce zasad grupy ustawiam zgodę na logowanie. 


piszesz zatem że w OU masz konta użytkowników. Czemu zatem politykę ustawiasz na komputer? Ustaw ją w części "konfiguracja użytkownika" Ikona: :)

http://openlinksys.info - alternatywne oprogramowanie dla routerów | http://tomato.groov.pl - moje kompilacje tomato

13.06.2018 11:25

Wątków: 570 | Odpowiedzi: 3139

@Shibby

Bo ludek loguje się to tego komputera Ikona: ;) (taką miałem logikę)

A zechciałbyś powiedzieć mi gdzie to można znaleźć w userze ?
Bo patrze jak szpak w pi... active directory i nie widzę Ikona: :(

Konfiguracja użytkownika > zasady > szablony > składniki systemu > usługi pulpitu zdalnego > połączenia i tam mam tylko "Ustaw reguły zdalnego sterowania dla sesji użytkowników usług pulpitu"

"Jeśli to ustawienie zasad zostanie włączone, administratorzy będą mieć możliwość interakcji z sesją usług pulpitu zdalnego użytkownika zgodnie z wybraną opcją. Wybierz odpowiedni poziom sterowania i uprawnień z listy opcji:

1. Nie zezwalaj na zdalne sterowanie: nie zezwala administratorowi na korzystanie ze sterowania zdalnego ani na wyświetlanie sesji zdalnej użytkownika.
2. Pełna kontrola z uprawnieniem użytkownika: zezwala administratorowi na interakcje z sesją za zgodą użytkownika.
3. Pełna kontrola bez uprawnienia użytkownika: zezwala administratorowi na interakcje z sesją bez zgody użytkownika.
4. Wyświetl sesję z uprawnieniem użytkownika: zezwala administratorowi na oglądanie sesji użytkownika zdalnego za zgodą tego użytkownika.
5. Wyświetl sesję bez uprawnienia użytkownika: zezwala administratorowi na oglądanie sesji użytkownika zdalnego bez zgody tego użytkownika."

czyli to nie to Ikona: :(

i7 6850k@4,1GHz, Fortis3, MSI X99A RAIDER,16 GB 2400MHz, GTX 780 Ti SLI,24"+34"+24" w formacie █■■█ , SSD Samsung 950 Pro 512GB, Crucial MX300 2050GB , BeQuiet 1000W @ Win10

13.06.2018 11:33

Wątków: 622 | Odpowiedzi: 14091

hmm

Bo ludek loguje się to tego komputera Ikona: Ikona: ;) (taką miałem logikę) 

no to musisz nałożyć tą politykę na jednostkę w której znajduje się konto komputera a nie użytkownika.

Rozumiesz, masz w OU konta komputerów, robisz GPO z ustawieniami na komputer. Masz ludków to robisz GPO na userów.

http://openlinksys.info - alternatywne oprogramowanie dla routerów | http://tomato.groov.pl - moje kompilacje tomato

13.06.2018 11:41

Wątków: 570 | Odpowiedzi: 3139

Hmmm....

Jeśli dobrze Cię rozumiem to musiałbym komputer wrzucić do kontenera "jednostka organizacyjna", bez problemu mogę tam wrzucić maszyny które się podłączają do domeny, ale jak wrzucić tam kontroler domeny , bo to do niego chcę się łączyć.

i7 6850k@4,1GHz, Fortis3, MSI X99A RAIDER,16 GB 2400MHz, GTX 780 Ti SLI,24"+34"+24" w formacie █■■█ , SSD Samsung 950 Pro 512GB, Crucial MX300 2050GB , BeQuiet 1000W @ Win10

13.06.2018 12:16

Wątków: 622 | Odpowiedzi: 14091

hmm

oczywiście, że możesz konta komputerów przenosić między kontenerami. Nie możesz tknąć tylko kontrolera domeny. W sumie to W "Computers" nie powinieneś mieć nic Ikona: :) Ja robię tak, że jak wepnę komputer do domeny to go później opisuję, uzupełniam dane i przenoszę do innej jednostki organizacyjnej, gdzie mam już różne GPO podpięte. Nie trzymam komputerów w domyślnej jednostce "Computers".

Co do kontrolera, to jego przenieść nie możesz ALE pod kontener "Domain Controllers" możesz podpinać GPO.

Jednego tylko nie rozumiem. Piszesz, że zabroniłeś w "Default Domain Policy" logowania przez RDP. Czyli do żadnego komputera nie możesz logować się po RDP, dobrze rozumiem? I teraz chcesz by na jeden komputer (de facto na DC) można było się logować.... To nie wiem czy to jest dobra droga.
Jaki w ogóle był cel wyłączania RDP, skoro domyślnie (po wpięciu kompa do AD) tylko Domain Admins mogą się logować po RDP?

Ewentualnie zrób tak, że utwórz sobie jednostkę np. Komputery, to niej wrzuć wszystkie konta komputerów i tam nałóż restrykcję blokady RDP zamiast na domyślnej polityce. Wtedy nie obejmie ona DC. Analogicznie jak masz więcej serwerów to możesz sobie zrobić jednostkę "Serwery" i do niej rzucić konta komputerów (serwerów).

http://openlinksys.info - alternatywne oprogramowanie dla routerów | http://tomato.groov.pl - moje kompilacje tomato

13.06.2018 13:02

Wątków: 386 | Odpowiedzi: 15349

---

Poczytaj o czymś co się nazywa loopback policy: stosowanie ustawień użytkownika gdy loguje się do danego komputera.

Niech moc będzie z wami: i7-2600k,16GB RAM,ASUS P8Z77-V LX, Gigabyte GTX 1070, Plextor M5P 128GB, WD Red 1TB,QNAP TS-439 Pro, BD LG, BD-RE LG,Acer Iconia W501P,X1, X360Premium

13.06.2018 14:22

Wątków: 570 | Odpowiedzi: 3139

Panowie wiekie dzięki, rozjaśniliście mi co nieco.

A przynajmniej mam punkty zaczepienia.

@Shibby
"Jednego tylko nie rozumiem. Piszesz, że zabroniłeś w "Default Domain Policy" logowania przez RDP"
- nie tyle zabroniłem co pozostawiłem "niezdefiniowane" i w takiej sytuacji nie mogę się podłączać RDP-em , natomiast jeśli do miejsca wskazanego na pierwszym screenie dodam kolejnych userów w dgpo, śmiga.

Jaki był cel ?
Zrozumienie zasady działania. Ikona: :) Podlinkowane do jednostki org. GPO , dot. np. wejścia do panelu sterowania , działają jak trzeba a ustawienia dot. DRP już nie.

I właśnie nie kumem dlaczego, skoro najważniejsze są GPO położone "najniżej".

@Marek
Dzięki , poczytam.

i7 6850k@4,1GHz, Fortis3, MSI X99A RAIDER,16 GB 2400MHz, GTX 780 Ti SLI,24"+34"+24" w formacie █■■█ , SSD Samsung 950 Pro 512GB, Crucial MX300 2050GB , BeQuiet 1000W @ Win10

13.06.2018 15:10

Wątków: 386 | Odpowiedzi: 15349

---

Jest jeszcze jedna rzecz: jeśli przypiąłeś GPO do OU i jest nadpisywane przez "Default...", skorzystaj z opcji "Enforced".

Niech moc będzie z wami: i7-2600k,16GB RAM,ASUS P8Z77-V LX, Gigabyte GTX 1070, Plextor M5P 128GB, WD Red 1TB,QNAP TS-439 Pro, BD LG, BD-RE LG,Acer Iconia W501P,X1, X360Premium

13.06.2018 17:52

Wątków: 622 | Odpowiedzi: 14091

hmm

nie tyle zabroniłem co pozostawiłem "niezdefiniowane" i w takiej sytuacji nie mogę się podłączać RDP-em


a zezwoliłeś w ogóle na serwerze na połączenia zdalne? Czy właśnie to chcesz wymusić przez domenę?

http://openlinksys.info - alternatywne oprogramowanie dla routerów | http://tomato.groov.pl - moje kompilacje tomato

13.06.2018 19:28

Wątków: 570 | Odpowiedzi: 3139

to właśnie chcę ustawić przez domene

zresztą nie mam wyjścia, bo w innym wypadku nie działa połączenie.
tzn. mam usera w grupie użytkowników pulpitu zdalnego , ale przy próbie logowania dostaję taki screen:

Obrazek dodany przez użytkownika

Plik graficzny pochodzi z HDD usera (zmniejszony z 704x385) Zobacz oryginał


zaczyna działać dopiero kiedy wrzucę danego usera do dpgo.

i7 6850k@4,1GHz, Fortis3, MSI X99A RAIDER,16 GB 2400MHz, GTX 780 Ti SLI,24"+34"+24" w formacie █■■█ , SSD Samsung 950 Pro 512GB, Crucial MX300 2050GB , BeQuiet 1000W @ Win10

13.06.2018 19:31

Wątków: 149 | Odpowiedzi: 2192

hmm

kolejność przetwarzania polityk GPO jest nastepująca:
1. najpierw polityki lokalnego komputera
2. pozniej GPo przypiete do Siteów jeśli takie mamy (domyślnie jest to ukryte w okienku managera GPO)
3. kolejno polityki dla danej domeny
4. i na końcu dopiero jednostki organizacyjne - tutaj jednak pierwszeństwo będą miały GPO z opcja Enforce. W przypadku dziedziczenia lub gdy do OU podpięte jest kilka polityk wtedy znaczenia ma Kolejność łączy GPO i polityki z niższym numerkiem mają wyższy priorytet tj. są przetwarzane na końcu (nadpisują ustawienia z innych polityk jeśli takowe się pokrywają)

Co do pytania o RDP na kontrolerze, to powinieneś przypiąć GPO do kontenera Domain Controllers.

I7-3770, 2x4GB PC3-12800, P8H77-V, SSD 256GB MICRON M1100, HDD 1 TB WD RED, BEQUIET E9-400W, ANTEC 300, P2412H

13.06.2018 19:54

Wątków: 149 | Odpowiedzi: 2192

Adanos

Podal sysdm.cpl i pokaz co masz w zakladce Zdalny oraz w oknie wybierz uzytkowników

I7-3770, 2x4GB PC3-12800, P8H77-V, SSD 256GB MICRON M1100, HDD 1 TB WD RED, BEQUIET E9-400W, ANTEC 300, P2412H

13.06.2018 19:57

Wątków: 622 | Odpowiedzi: 14091

Adamos

ale jak wrzucić tam kontroler domeny , bo to do niego chcę się łączyć. 


ale ty chcesz by ZWYKŁY USER mógł logować się do kontrolera domeny?

Kontroler domeny ma własną politykę GPO.

http://openlinksys.info - alternatywne oprogramowanie dla routerów | http://tomato.groov.pl - moje kompilacje tomato

13.06.2018 20:10

Wątków: 570 | Odpowiedzi: 3139

bardzo dziękuje wam za cierpliwość

@niko

Obrazek dodany przez użytkownika

Plik graficzny pochodzi z HDD usera (zmniejszony z 823x502) Zobacz oryginał



z powyższego wynika że logując się na adam-a powinienem móc się zalogować, a nie mogę, dostaje powyższy screen.

@Shibby
Tak.
Chciałbym mieć OU z podpiętą GPO po wrzuceniu do której user będzie miał możliwość logowania się po RDP do serwera.

i7 6850k@4,1GHz, Fortis3, MSI X99A RAIDER,16 GB 2400MHz, GTX 780 Ti SLI,24"+34"+24" w formacie █■■█ , SSD Samsung 950 Pro 512GB, Crucial MX300 2050GB , BeQuiet 1000W @ Win10

13.06.2018 20:24

Wątków: 622 | Odpowiedzi: 14091

hmm

Adamos - nie możesz bo to kontroler domeny. Gdyby to był serwer bez roli DC to byś mógł.

By zezwolić zwykłemu userowi na podłączenie zdalnie to musisz zrobić to co tu piszą:
https://social.technet.microsoft.com/Forums/ie/en-US/c8709b32-e950-4299-b1a5-704285dee7b1/allow-normal-user-to-login-to-domain-controller?forum=winserverDS

ale to nie jest zalecane by zwykły user mógł buszować po DC.

http://openlinksys.info - alternatywne oprogramowanie dla routerów | http://tomato.groov.pl - moje kompilacje tomato

13.06.2018 20:31

Wątków: 570 | Odpowiedzi: 3139

@Shibby

Ale ja nie chce mu dawać uprawnień admina do kontrolera, chcę tylko aby mógł się logować via RDP.
No weź popatrz na screeny...
Jest sobie GPO o nazwie rdp

Obrazek dodany przez użytkownika

Plik graficzny pochodzi z HDD usera (zmniejszony z 942x431) Zobacz oryginał



ma takie ustawienia

Obrazek dodany przez użytkownika

Plik graficzny pochodzi z HDD usera (zmniejszony z 1004x895) Zobacz oryginał



user wrzucony do administracji

Obrazek dodany przez użytkownika

Plik graficzny pochodzi z HDD usera (zmniejszony z 818x358) Zobacz oryginał



a wynikowo nie ma Ikona: :(

Obrazek dodany przez użytkownika

Plik graficzny pochodzi z HDD usera (zmniejszony z 986x875) Zobacz oryginał



zaczynam wątpić we własną inteligencje Ikona: :(

i7 6850k@4,1GHz, Fortis3, MSI X99A RAIDER,16 GB 2400MHz, GTX 780 Ti SLI,24"+34"+24" w formacie █■■█ , SSD Samsung 950 Pro 512GB, Crucial MX300 2050GB , BeQuiet 1000W @ Win10

  • Ten post pomógł rozwiązać problem
  • Sprawdź bezpośredni link do posta

13.06.2018 20:35

Wątków: 149 | Odpowiedzi: 2192

hm

no tak jesli to DC to zwykli uzytkownicy nie mają w ogóle praw lokalnego logowania stąd nic Ci to nie da, że jest on w grupie RDP. Zezwolic na lokalne logowanie na DC możesz w dwojaki sposób
1.) secpol.msc - Local Policies - user Right Assignent - Alow logon loccaly (zadziała tylko na lokalnym serwerze)
2.) przez GPO - Computer Configuration/Windows Settings/Security Settings/Local Policies/User Rights Assignment

Adanos nie zapominaj, że to DC i wszystkie GPO usisz podpinać do jednostki organizacyjnej która się nazywa DOmain Controllers w drzewie katalogowym AD!!!

I7-3770, 2x4GB PC3-12800, P8H77-V, SSD 256GB MICRON M1100, HDD 1 TB WD RED, BEQUIET E9-400W, ANTEC 300, P2412H

13.06.2018 20:55

Wątków: 570 | Odpowiedzi: 3139

@Niko

"Adanos nie zapominaj, że to DC i wszystkie GPO usisz podpinać do jednostki organizacyjnej która się nazywa DOmain Controllers w drzewie katalogowym AD!!! "
- tym zdaniem pozamiatałeś temat. Idę sobie nalać rudej za Twoje zdrowie. Ikona: pub Ikona: pub Ikona: pub

Swiją drogą to oglądam / czytam jakieś dziwne materiały, bo nigdzie nie było info że po stworzeniu nowego gpo i podlinkowania go do jakiegoś kontenera, muszę podlinkować to jeszcze pod kontroler domeny.

No nic, dzięki wielkie !!!

Pozostałym zaangażowanym również bardzo dziękuje, doceniam że dzielicie się swoją nie rzadko zdobytą za ciężkie pieniądze wiedzą. Dla was również Ikona: pub Ikona: pub Ikona: pub

i7 6850k@4,1GHz, Fortis3, MSI X99A RAIDER,16 GB 2400MHz, GTX 780 Ti SLI,24"+34"+24" w formacie █■■█ , SSD Samsung 950 Pro 512GB, Crucial MX300 2050GB , BeQuiet 1000W @ Win10

13.06.2018 22:06

Wątków: 149 | Odpowiedzi: 2192

hmm

no w końcu zajarzyłeś Ikona: :) A pisałem o tym już w poprzednim poście o 19 Ikona: :D i wspominał też o ty Shibby. Najwyraźniej wykrzykniki dały radę

I7-3770, 2x4GB PC3-12800, P8H77-V, SSD 256GB MICRON M1100, HDD 1 TB WD RED, BEQUIET E9-400W, ANTEC 300, P2412H

Aby dodać odpowiedź zaloguj się.

Ostatnie tematy na boardzie
1. [GRY] Full Throttle Remastered ZA DARMO 3 grklon | ChEsTeR 15.12.2018
2. [OT] myjcie się ludzie 28 snajperx | swinka 14.12.2018
3. [RTV] Amplituner, kolumny - sugestie, co polecacie 9 SIVY | ludzik5 14.12.2018
4. Google Doc - jak wstawić linię/wektor? 1 payap | grenndel202 14.12.2018
5. [GIEŁDA] [K] Iphone SE 32GB 3 adas01 | adas01 13.12.2018
Poprzednie-Następne
1. Prośba o ocenę zestawu 17 kristofs | kristofs 12.06.2018
2. [OT] Prośba do kogoś z Krakowa. 3 Chrisu | frost160 12.06.2018
3. [MOTO] Sprawdzona firma - wynajem samochodu 36 gumiś | lonio 12.06.2018
4. Artykuł - Xiaomi Redmi Note 5 to nowy król budżetowego segme... 34 daniel_wl | K10514K 12.06.2018
5. [BLOG] Problem z instagram. Nie otwiera się lista obserwowan... 0 micdf 12.06.2018
6. WIN serv 2016 i problem z plikami usera 3 saint13 | Adanos 12.06.2018