вход запрещен локальной политикой», и я никак не могу определить, где эта политика отключается?

От proekt@mail.tascom.ru

Отвечает Сергей Мороз

Чтобы пользователь мог подключиться к терминальному серверу Windows 2000, должно соблюдаться три условия.

  1. В свойствах учетной записи пользователя на вкладке Terminal Services Profile должен быть включен режим Allow logon to terminal server ("по умолчанию включен для всех учетных записей").
  2. Пользователю необходимо предоставить разрешения (permissions) на протокол RDP-TCP, используемый для подключения к терминальному серверу. Как минимум - разрешение User Access (предусматривает подключение и просмотр статуса других пользователей терминального сервера) или Guest Access (только подключение). Разрешения по умолчанию зависят от режима работы терминального сервера. В режиме Application Server разрешено неограниченное количество подключений, но требуютcя лицензии для каждого пользователя (без лицензий сервер работает только 90 дней). В этом случае всем пользователям по умолчанию предоставляется разрешение User Access. В режиме Remote Administration покупка лицензий на терминальный доступ не требуется, и ограничений по времени нет, но разрешены только два одновременных подключения с правами администратора, т. е. режим предназначен для удаленного администрирования. При этом разрешения на протокол RDP-TCP даны только группе Administrators. Чтобы предоставить обычному пользователю право на подключение к серверу в этом режиме, нужно открыть пункт меню Start -> Programs -> Administrative Tools, запустить утилиту Terminal Services Configuration, открыть папку Connections -> свойства объекта RDP-TCP -> вкладка Permissions. Откроется список контроля доступа к протоколу RDP-TCP, в котором следует предоставить соответствующему пользователю разрешение User Access.
  3. У пользователя должно быть разрешение на интерактивный вход в систему (регистрация с клавиатуры), поскольку подключение к терминальному серверу приравнивается системой безопасности Windows 2000 к интерактивному. На обычном сервере и рабочей станции это разрешение есть у всех пользователей, но на контроллере домена для обычных пользователей, не входящих в группы администраторов или операторов (Server Operators и т. д.), интерактивный вход по умолчанию запрещен. Как следствие, пользователи не могут подключиться к терминальному серверу, если он является контроллером домена. Сообщение об ошибке при этом выдается именно такое, которое указано в письме. Чтобы сменить разрешения на интерактивный вход, необходимо изменить групповую политику контроллеров домена. Следует открыть оснастку Active Directory Users and Computers -> [имя-домена] -> папка Domain Controllers -> свойства -> вкладка Group Policy. Там вы найдете объект групповой политики (GPO) под названием "Default Domain Controllers Policy". Нужно выделить этот объект и нажать кнопку Edit - запустится редактор групповой политики. В редакторе следует открыть раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assigment. В этом разделе нужно найти разрешения на системные действия, такие, как интерактивный вход, перевод системных часов и т. д. Разрешение на интерактивный вход называется "Log on Locally". Требуется открыть его двойным щелчком мыши, добавить в список соответствующих пользователей, нажать OK. Записывать на диск ничего не нужно. Далее следует либо подождать 5 мин, либо вручную ускорить процесс применения групповой политики, набрав в командной строке: secedit /refreshpolicy machine_policy. Имейте в виду - если контроллеров домена несколько, может потребоваться дополнительное время на репликацию групповой политики с контроллера на контроллер.

В Windows NT 4.0 была возможность через пункты меню Start — Settings — Control Panel — Devices останавливать и запускать драйверы устройств. А что стало с возможностью остановки драйверов в Windows 2000? В модуле «Управление компьютером — служебные программы — программная среда — драйверы» можно только просмотреть текущее состояние драйверов.

От demyanov@tts.ru

Описанная утилита (в английской версии это Computer Management -> System Tools -> System Information -> Software Environment -> Drivers) действительно показывает только статус драйверов, поскольку сам инструмент System Information предназначен лишь для просмотра системной информации.

Вместо него необходимо открыть Computer Management -> System Tools -> Device Manager. Там вы увидите список всех устройств системы, и для каждого из них (исключая видеоадаптер, клавиатуру и некоторые другие) при нажатии правой кнопки мыши в контекстном меню доступны функции Enable/Disable. Эти функции выполняют загрузку и выгрузку драйверов устройств на ходу, т. е., в отличие от Windows NT 4.0, перезагрузка в большинстве случаев не нужна. Кстати, назначенный вами статус устройства — Enable или Disable — при последующей перезагрузке сохранится. Если ни для одного устройства эти функции не доступны, значит, либо вы не имеете административных прав (драйверами может управлять только администратор), либо подключились к этому компьютеру по сети, используя в утилите Computer Management функцию Connect to another computer. Удаленное включение и выключение драйверов средствами Computer Management невозможно — для этого нужно использовать терминальный сервер.

Надо отметить, что кроме драйверов устройств в Windows NT/2000 существуют и другие, например драйверы сетевых протоколов. По умолчанию в Windows 2000 они не видны. Чтобы можно было их увидеть в Device Manager, нужно

в утилите Computer Management поставить курсор на объект Device Manager и в контекстном меню включить функцию View -> Show hidden devices. После этого в списке устройств появляется объект под названием «Non-Plug and Play Drivers». Его нужно развернуть, и тогда будут видны все драйверы, не показанные по умолчанию.

Сергей Мороз — преподаватель Учебного центра информационных технологий Академии народного хозяйства при Правительстве РФ. Имеет сертификаты MCSE, MCT. С ним можно связаться по адресу: SergeyM@ane.ru.

Поделитесь материалом с коллегами и друзьями