Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Удалённый рабочий стол Windows: Системный администратор ограничил доступ к компьютерам, с которыми вы можете выполнять вход.

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Теория: Понимание проблемы
  4. Пример: Типичные проблемы и решения
  5. Применение: Решение проблемы

Вопрос или проблема

Проблема

Открытие сессий RDP на серверах из учетных записей с ограничениями на вход больше не работает. Когда они пытаются, они получают сообщение от клиента RDP:

“Системный администратор ограничил компьютеры, с которыми вы можете войти в систему. Попробуйте зайти с другого компьютера. Если проблема не исчезнет, обратитесь к системному администратору или в техническую поддержку.”

Предыстория

К серверам имеет доступ внешний консультант, который подключается через VPN и открывает сессию RDP на серверах. Учетная запись консультанта является членом группы администраторов на указанных серверах.

В учетной записи домена, используемой консультантом, я добавил ограничение под пользовательская учетная запись > Вкладка учетной записи > кнопка “Вход на”. Здесь я добавил имена узлов серверов.

Это работало нормально в течение нескольких лет. Консультант подключается только каждые несколько месяцев, поэтому это могло быть нарушено уже некоторое время.

Что я пробовал

  • Удаление и повторное добавление серверов в список.
  • Добавление учетных записей в локальную политику безопасности > местная политика > назначенные права пользователя > разрешить вход через RDP (я перевожу эти тексты, так как сервер не на английском языке)

Ни одно из этих изменений не повлияло.

Обходное решение

Чтобы разрешить им входить через RDP, мне пришлось снять ограничение на вход на объект учетной записи. Если я изменяю учетную запись, чтобы разрешить вход на любой компьютер, проблема исчезает.

Дополнительная информация

  • Все серверы работают под управлением Windows 2019
  • Все они полностью обновлены до нескольких недель назад.
  • Учетная запись пользователя может войти через консоль с активным ограничением.
  • Мне нужно добавить учетную запись пользователя в локальную группу администраторов любого компьютера, к которому они имеют доступ, чтобы они не могли получить доступ к другим, но я предпочел бы, чтобы дополнительное ограничение было активным.

Кто-нибудь знает о нарушениях в одном из последних пакетов обновлений CU, которые влияют на эту функциональность?

Это странно, но для подключения через удаленный рабочий стол также необходимо, чтобы в поле “Log On To” содержалось имя клиента, с которого вы подключаетесь (а также имя сервера).

Узнайте %COMPUTERNAME% консультанта и добавьте его в поле “Log On To”.

https://woshub.com/restrict-workstation-logon-ad-users/

Ответ или решение

Конечно, позвольте мне подробно рассмотреть проблему, которую вы описали, связанную с ограничением доступа пользователей через Windows Remote Desktop (RDP) из-за сбоев в настройках ограничений на вход. Мы рассмотрим теорию и возможные причины проблемы, затем предоставим примеры и идеи для решения проблемы и, наконец, предложим шаги, которые можно предпринять для устранения проблемы.

Теория: Понимание проблемы

В Windows Active Directory (AD) доступ к сетевым ресурсам можно ограничивать различными способами для повышения безопасности. Одним из методов является установка ограничения "Log On To" на уровне учётной записи пользователя, что позволяет пользователю входить только на определенные компьютеры.

Эта функция определяет, на каких конкретных компьютерах пользователь может входить в систему. Однако, как вы заметили, это также применимо к подключениям RDP. Если ограничения на вход не настроены корректно, пользователи могут получить сообщение об ошибке, сообщающее, что "системный администратор ограничил компьютеры, с которых вы можете войти".

Случай, который вы описали, подразумевает, что раньше всё работало нормально, и что, возможно, недавние обновления серверов на базе Windows Server 2019 нарушили эту функцию.

Пример: Типичные проблемы и решения

  1. Обновления безопасности и изменений в политике: Часто обновления Windows Server могут изменять поведение стандартных функций, включая политики безопасности. Один из недавних обновлений мог затронуть компонент аутентификации или применения групповой политики, что приводит к некорректной работе ограничений на вход.

  2. Контекст выполнения RDP: При использовании RDP с учётной записью с ограничениями, Windows проверяет не только сервер, на котором разрешён вход, но и рабочую станцию (клиентский компьютер), с которой выполняется попытка подключения. Таким образом, не только серверы, но и клиентские машины должны быть указаны среди разрешённых в настройках "логин-to".

  3. Настройки групповой политики (GPO): Иногда настройки GPO могут конфлиликтовать, если например, где-то применена общее ограничение, ошибочно исключающее возможность работы RDP при установленных ограничениях "логин-to".

Применение: Решение проблемы

  • Добавление клиентского имени в "Log On To": Убедитесь, что имя клиентского компьютера (%COMPUTERNAME%), с которого консультант пытается подключиться, также добавлено в список разрешённых компьютеров в настройках учётной записи пользователя. Это можно сделать через свойства учётной записи в Active Directory Users and Computers, на вкладке Account, в поле "Log On To".

  • Проверка обновлений: Проверьте логи событий на предмет системных ошибок или предупреждений, которые могли бы указать на причину отказа в доступе. Обратитесь к документации по последним обновлениям Windows Server, которые могли повлиять на политику безопасности.

  • Откат обновлений или тест: Если обновления вызывают подозрение, рассмотрите возможность тестирования проблемы в контролируемой тестовой среде. Выполните откат на предыдущую версию для выяснения, если приложение какого-то обновления вызвало нарушение.

  • Проверка политики безопасности: Убедитесь, что в локальной политике безопасности на сервере действительно правильно настроены параметры, разрешающие вход по RDP. Параметры, такие как "Allow log on through Remote Desktop Services", должны включать соответствующие группы, к которым пользователю разрешён доступ.

  • Дополнительная настройка безопасности: Временным решением может быть добавление пользователя в локальные администраторы на сервере, однако для предотвращения дальнейшего распространения доступа рекомендуется использовать полноценную политику безопасности.

Таким образом, методический подход, основанный на принципах диагностики и системного администрирования, поможет вам справиться с описанными обрывами в подключении. Исследуйте возможные изменения в политике и настройках, и помните, что задача системного администратора — не только устранение текущей проблемы, но и предотвращение её появления в будущем путем мониторинга и тестирования всех изменений, которые могут повлиять на инфраструктуру.

remote-desktop windows-server-2019
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности