SysAdmins.Me - Форум настоящих СисАдминов: Доступ к терминалу - SysAdmins.Me - Форум настоящих СисАдминов

Перейти к содержимому

 
  • 2 Страниц +
  • 1
  • 2
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Доступ к терминалу

#1 Пользователь офлайн   alter-x 

  • Новичок

Отправлено 18 Январь 2011 - 10:21

Здравствуйте! У меня появилась проблема с доступом к терминальному серверу. Сначала опишу ситуацию. В сети поднят виндовый домен (dc на win2003 32x, кроме контроллера домена на нем же - сервер лицензирования термнала) и терминал (тоже win2003 32). Все работает. На новом серваке (win2003 64x - на виртульной машине) поднимаю еще один терминал (с целью переноса всех терминальных клиентов на него, старый терминальный сервак после настройки нового будет выключен) и на нем же - второй контроллер домена (резервный, знаю, что не рекомендуется терминал и dc вместе, но нужда заставляет...) Для доступа к терминалу в домене созданы 2 группы - TERMINAL_ADMINS и TERMINAL USERS (соответственно у первой - полные права прописаны в свойствах (безопасность) RDP, у второй - только чтение и выполнение) Стандартной группой "Пользователи удаленного рабочего стола" не пользуюсь - она пустая. Еще раз оговорюсь - на старом терминале схема отлажена и работает.
Теперь - проблема. На новый терминал пускает только тех пользователей, которые прописаны в доменной группе TERMINAL_ADMINS. Ни TERMINAL USERS, ни "Пользователи удаленного рабочего стола" (пробовал и туда учетку включать) - не подключаются. Пишет ошибку - типа, ва надо получить разрешение на доступ к системе через терминальную службу. Долго не мог понять в чем дело, пока не обнаружил - в локальной политике на новом серваке (gpedit.msc - Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя) что в плитике "Разрешить вход в систему через службу терминалов" прописана только одна группа - TERMINAL_ADMINS, нет даже стандартной "Пользователи удаленного рабочего стола". Все бы ничего, только кнопочки "Добавить пользователя или группу" и "Удалить" - неактивные! т.е. руками ничего изменить нельзя. Посмотрел на старом терминале - там все доступно, можно и добавлять и удалять. Пробовал эту политику настроить через доменные политики - указал там обе группы TERMINAL_ADMINS и TERMINAL_USERS - результат тот же (ошибка при подключении) - т.е. доменная политика не отрабатывает. Почему пропала возможость вручную регулировать разрешения на доступ к системе через терминал? Как это вернуть?
Оцени полезность поста -  
0

Объявление: ||| Поддержи свой форум SysAdmins.ME через СМС Копилку или Кошелёк QIWI. Нам нужна твоя помощь! ||| LOVE.sysadmins.me - СисАдминские знакомства!

#2 Пользователь офлайн   typhoon 

  • Red admin
  • Перейти к блогу

Отправлено 18 Январь 2011 - 17:51

alter-x,
вот вам копипаста, ибо проблема стандартная:

Цитата

В отличие от Win2K, которая автоматически разрешает пользователям доступ после установки терминального сервера, в WS2K3 по умолчанию полный доступ разрешен только администраторам. Все остальные пользователи, чтобы получить доступ к терминальному серверу, должны входить в группу «Пользователи удаленного рабочего стола» (Remote Desktop Users). По умолчанию эта группа пуста, и самым простым способом разрешить доступ к TS является занесение пользователя или компьютера в эту группу. Но здесь не все так просто, как кажется на первый взгляд. Доступ пользователя определяется, исходя из нескольких параметров:

1. отсутствие запрета в «Запретить вход в систему через службу терминалов», которая находится во вкладке «Конфигурация компьютера –> Конфигурация Windows –> Назначение прав пользователя» в «Редакторе групповых политик»;
2. разрешение доступа в «Разрешать вход в систему через службу терминалов» (по умолчанию только администраторы);
3. установка флажка «Запретить этому пользователю вход на серверы терминалов» в свойствах пользователя;
4. установка во вкладке «Разрешения» свойств RDP-компонента «Настройка служб терминалов».

Если доступ пользователя блокируется, значит, одно из этих условий не соблюдено. При подключении можно задать следующие виды разрешений:

1. «Полный доступ» – все разрешения;
2. «Доступ пользователя» – вход на сервер, запрос информации, переподключение к своему отключенному сеансу;
3. «Доступ гостя» - только вход в систему;
4. «Особые разрешения» – администратор самостоятельно указывает, какие из девяти возможных операций может производить пользователь или группа.

Настройки с помощью групповых политик

Если терминальный сервер работает в среде Active Directory, настройки терминального сервера удобнее производить из редактора групповых политик. Для того чтобы новые терминальные серверы наследовали установленные политики, добавляем группу «Пользователи удаленного рабочего стола» в «Группы с ограниченным доступом», которые настраиваются во вкладке «Параметры безопасности» («Политика безопасности контроллера домена –> Параметры безопасности»). И уже из этой вкладки добавляем участников группы.

Основные настройки производятся с помощью GPO в «Службах терминалов» («Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов»). Все параметры разбиты на несколько категорий: «Лицензирование», «Шифрование и безопасность», «Сеансы» и остальные. Некоторые из них совпадают с имеющимися в «Настройке служб терминалов», что позволяет централизованно управлять настройками TS без необходимости конфигурирования каждого сервера.

404. Signature not found.

#3 Пользователь офлайн   alter-x 

  • Новичок

Отправлено 19 Январь 2011 - 10:48

Просмотр сообщенияtyphoon (18 Январь 2011 - 17:51) писал:

alter-x,
вот вам копипаста, ибо проблема стандартная:

спасибо, typhoon, все ваши 4 условия проверил и удовлетворил, оказалось - не в той групповой политике прописывал доступ.
я раньше для этого создавал отдельную политику и применял ее к новому серверу, а править надо было Default Domain Controller Policy, она перебивает все остальные. Поправил, в свойствах безопасности появились обе нужные мне группы "TERMINAL_ADMINS" и "TERMINAL_USERS". Частичн проблему решил. Теперь юзера могут зайти на новый терминал. Но тут возникла новая проблема. У меня в свойствах клиентских подключений к термналу (прописано в домене) при старте запускается батник, стартующий 1С (терминал нужен именно для 1С, рабочий стол юзерам ни к чему). Все идет как надо, при коннекте 1с стартует, появляется окно с выбором базы - и тут опять прикол. Прописываю путь, запускаю 1с, все работает, НО - при перезагрузке - все пути к базам теряются. Их постоянно приходится перепрописывать при каждом запуске сессии. Вычитал, что пути к базам 1с прописываются в реестре ([-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\1c]), но у меня 1С в этой ветке реестра нету (возможно из-за того, что винда - 64х, и 1с ставилась с бубном, т.к. инсталлятор не работает - брал папку уже установленной 1с на Win2003 32Х и копировал ее на новую 64х - как следствие в реестре нет информации об установленной 1С)
Реестр начал копать для того, чтоб прписать туда пути к базам вручную, или скриптом на старте терминальной сессии, нокуда именно прописывать эи пути, в какую ветку реестра - так и не разобрался. Возможно, есть другие пути... Подскажите, кто сталкивался. Как сделать, чтобы список баз в 1С не пропадал при перезагрузке?
Оцени полезность поста -  
0

#4 Пользователь офлайн   typhoon 

  • Red admin
  • Перейти к блогу

Отправлено 19 Январь 2011 - 12:06

Просмотр сообщенияalter-x (Сегодня, 10:48) писал:

Как сделать, чтобы список баз в 1С не пропадал при перезагрузке?

Опять-таки копипаста:

Цитата

1. Настроить панель запуска 1С под админом, локально, но как для пользователя.
2. Сделать экспорт ветки реестра HKEY_CURRENT_USER\Software\1С\1cv7\7.7
в файл .reg (реестр-экспорт файла реестра)
Проверить список баз и содержимое подветки Titles, оставить нужное.
3. Прописать в автозагрузку каждому пользователю, в его сеансе, запуск этого файла. Настройки сохранятся навсегда.
При добавлении, удалении баз (необходимых пользователю) процедуру настройки, экспорта итд повторить.

Оговорюсь, что если нужно добавить список баз всем пользователям сразу, можно воспользоваться простеньким бат-файлом, в котором нужно прописать импорт параметров реестра.
При логоне на терминальный сервер будет отрабатывать батник, который будет ссылаться на рег-файл, который в свою очередь можно положить на какой-либо общий ресурс.
404. Signature not found.

#5 Пользователь офлайн   typhoon 

  • Red admin
  • Перейти к блогу

Отправлено 19 Январь 2011 - 12:10

Просмотр сообщенияalter-x (Сегодня, 10:48) писал:

У меня в свойствах клиентских подключений к термналу (прописано в домене) при старте запускается батник, стартующий 1С (терминал нужен именно для 1С, рабочий стол юзерам ни к чему).

Тут есть одна вещь. 1С 7.7 при таком старте часто вылетает, особенно при печати с терминального сервера. Как среда она работает очень не стабильно. Поэтому, я бы посоветовал все-таки дать юзерам полный рабочий стол терминала, ограничив их права на некоторые действия (как то: кнопка выключения, ярлыки меню пуск, выполнение командной строки и т.д.).
404. Signature not found.

#6 Пользователь офлайн   alter-x 

  • Новичок

Отправлено 20 Январь 2011 - 08:44

Просмотр сообщенияtyphoon (19 Январь 2011 - 12:06) писал:

Опять-таки копипаста:

Оговорюсь, что если нужно добавить список баз всем пользователям сразу, можно воспользоваться простеньким бат-файлом, в котором нужно прописать импорт параметров реестра.
При логоне на терминальный сервер будет отрабатывать батник, который будет ссылаться на рег-файл, который в свою очередь можно положить на какой-либо общий ресурс.

Да, я именно в этом направлении и думал, по пути столкнулся вот с чем - при настройке баз 1С под локальным админом (НЕ В ТЕРМИНАЛЕ) в реестре эти базы прописываются в следующей ветке реестра
(1) HKEY_CURRENT_USER\Software\1C\1CV7\7.7\Titles
и этот список (и соответственно ветка реестра) никуда не пропадают
А когда я подключаюсь терминальным клиентом, и под ним прописываю базы 1С, в реестре они попадают в другое место -
(2) HKEY_USERS\S-1-5-21-...куча цифр \Software\1C\1CV7\7.7\Titles
и при отключении терминальной сессии эта ветка реестра (2) - пропадает. Как я уже писал, заметил, что если юзер в группе локальных админов на серваке - то при повторном подключении эта ветка реестра восстанавливается (не могу понять - откуда) со всеми базами, а если юзер всего лишь "пользователь", то она появляется девственно чистая, как будто такой юзер заходит на сервер в первый раз. Подозреваю, что данные из этой временной, постоянно вновь создаваемой ветки (2), во время отключения терминального клиента храняться в каком то другом месте (каком???), куда юзеру с правами "пользователя" нет доступа, а с админскими правами - пожалуйста...
Отсюда трабла с вариантом импорт\экспорт ветки реестра (1) - батник, прописывающий новую ветку в реестре (2) должен отработать в момент авторизации терминального клиента, но в этот момент новой ветки (2) еще не существует!, она создается чуть позже, после того, как клиент уже зашел на сервер и стартанула 1С. Либо надо добиться, чтоб ветка (2) хотя бы не пропадала при отключении терминальной сессии (пусть и с пустым списком баз!) А как это сделать - не соображаю...
Может все-таки копать в сторону прав доступа (разница "админ" - "пользователь")???
Оцени полезность поста -  
0

#7 Пользователь офлайн   alter-x 

  • Новичок

Отправлено 20 Январь 2011 - 08:49

Просмотр сообщенияtyphoon (19 Январь 2011 - 12:10) писал:

Тут есть одна вещь. 1С 7.7 при таком старте часто вылетает, особенно при печати с терминального сервера. Как среда она работает очень не стабильно. Поэтому, я бы посоветовал все-таки дать юзерам полный рабочий стол терминала, ограничив их права на некоторые действия (как то: кнопка выключения, ярлыки меню пуск, выполнение командной строки и т.д.).

В эту сторону пока особенно не заморачиваюсь, потому как особых сбоев у себя при старте 1С в имеющемся варианте не замечал, с печатью тоже в порядке, думаю, что с имеющейся проблемой эта настройка не связана, поэтому пока не трогаю.
Оцени полезность поста -  
0

#8 Пользователь офлайн   typhoon 

  • Red admin
  • Перейти к блогу

Отправлено 20 Январь 2011 - 09:54

Просмотр сообщенияalter-x (Сегодня, 08:44) писал:

Подозреваю, что данные из этой временной, постоянно вновь создаваемой ветки (2), во время отключения терминального клиента храняться в каком то другом месте (каком???)

эти сведения хранятся в 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\1С
.

Просмотр сообщенияalter-x (Сегодня, 08:44) писал:

Отсюда трабла с вариантом импорт\экспорт ветки реестра (1) - батник, прописывающий новую ветку в реестре (2) должен отработать в момент авторизации терминального клиента, но в этот момент новой ветки (2) еще не существует!

батник, когда будет отрабатывать, будет брать сведения не из реестра, а из рег-файла, который вы предварительно создадите, экспортируя ветку реестра. Выше все это описано, читайте внимательно.

Просмотр сообщенияalter-x (Сегодня, 08:49) писал:

В эту сторону пока особенно не заморачиваюсь, потому как особых сбоев у себя при старте 1С в имеющемся варианте не замечал, с печатью тоже в порядке, думаю, что с имеющейся проблемой эта настройка не связана, поэтому пока не трогаю.

поверьте мне, - это пока. посмотрите журнал ошибок на терминальном сервере, когда у вас на нем заработают люди и вы увидите ошибки вроде такой:

Цитата

Ошибка приложения 1CV7s.exe, версия 7.70.x.xx, модуль mfc42.dll, версия 6.6.8063.0, адрес 0x0006334f.

404. Signature not found.

#9 Пользователь офлайн   alter-x 

  • Новичок

Отправлено 20 Январь 2011 - 10:52

Просмотр сообщенияtyphoon (20 Январь 2011 - 09:54) писал:

эти сведения хранятся в 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\1С
.

Нету у меня такой ветки в реестре :sad: До ..\Install\Software - дохожу, а 1С - нету...
Проверил то же на старом терминальном серваке (отличия - он 32х и он НЕ является контроллером домена) - там тоже нету. Да и не понятно тогда - ведь для каждого терминального пользователя эти ветки должны быть разными (как минимум, у каждого может быть прописан разный список 1с-баз), а тут - одна ветка... Че то не догоняю :sad:
Оцени полезность поста -  
0

#10 Пользователь офлайн   alter-x 

  • Новичок

Отправлено 20 Январь 2011 - 11:06

Просмотр сообщенияtyphoon (20 Январь 2011 - 09:54) писал:

[/code].
батник, когда будет отрабатывать, будет брать сведения не из реестра, а из рег-файла, который вы предварительно создадите, экспортируя ветку реестра. Выше все это описано, читайте внимательно.

схема, как я понял, следующая (не уверен, возможно путаю последовательность)
- делаю рег-файл с нужной мне веткой реестра, кстати, для каждого юзера д.б. свой, т.к. у каждого может быть разный список 1с-баз
- юзер коннектится в терминалу, ветки (2) в это время нету, проходит авторизация, выполняется логон-скрипт в котором выполняется рег-файл, вписывающий в реестр нужную мне часть в ветку (2) - но ее еще нету
- запускается 1С, и только теперь в реестре появляется ветка (2), где и должен быть записан список 1с-баз
я не правильно думаю?
Оцени полезность поста -  
0

#11 Пользователь офлайн   alter-x 

  • Новичок

Отправлено 20 Январь 2011 - 11:12

Просмотр сообщенияtyphoon (20 Январь 2011 - 09:54) писал:

поверьте мне, - это пока. посмотрите журнал ошибок на терминальном сервере, когда у вас на нем заработают люди и вы увидите ошибки вроде такой:

говоря, что ошибок таких нет, я опирался на опыт работы старого терминала, на котором запуск 1С был настроен именно в момент старта терминальной сессии, он отработал несколько лет, серьезных нареканий в этом плане не было... Возможно - что-либо и пропустил, понаблюдаю за логам повнимательнее. За совет спасибо.
Оцени полезность поста -  
0

#12 Пользователь офлайн   typhoon 

  • Red admin
  • Перейти к блогу

Отправлено 20 Январь 2011 - 11:50

Просмотр сообщенияalter-x (20 Январь 2011 - 10:52) писал:

Нету у меня такой ветки в реестре :sad: До ..\Install\Software - дохожу, а 1С - нету...
Проверил то же на старом терминальном серваке (отличия - он 32х и он НЕ является контроллером домена) - там тоже нету. Да и не понятно тогда - ведь для каждого терминального пользователя эти ветки должны быть разными (как минимум, у каждого может быть прописан разный список 1с-баз), а тут - одна ветка... Че то не догоняю :sad:

Если этой ветки у вас нет, значит 1С и на старом, и на новом сервере Вы ставили не установщиком, а копированием папки с программой.

Цитата

Terminal Services использует процесс, называемый отображением реестра (registry mapping). При инсталляции приложения, терминальный сервер переводится в режим инсталляции. В этом режиме сервер наблюдает за всеми изменениями, вносимыми программой установки в HKEY_CURRENT_USER. Все ключи, которые записываются в HKEY_CURRENT_USER, автоматически копируются в особое место в HKEY_LOCAL_MACHINE - в подключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software


В общем, у Вас два пути.
1) Прописать в 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\1C\1Cv7\7.7\Titles
необходимый всем юзерам список баз - при старте 1С возьмет список оттуда. Минус - этот список будет у всех пользователей. Кстати, именно по такому принципу работает установщик 1С и ее фирменные "обновляторы".
2) Прописать от админа необходимый список для каждого пользователя и, сделав экспорт этой ветки реестра, использовать индивидуальные логон-скрипты. Пользователю поставите в автозапуск батник вида 
regedit /s 1c.reg
. Сам рег-файл должен выглядеть так:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\1C\1Cv7\7.7\Titles]
"D:\\папка с базами\\база\\"="Название Базы"

404. Signature not found.

#13 Пользователь офлайн   typhoon 

  • Red admin
  • Перейти к блогу

Отправлено 20 Январь 2011 - 11:56

Просмотр сообщенияalter-x (Сегодня, 11:06) писал:

схема, как я понял, следующая (не уверен, возможно путаю последовательность)
- делаю рег-файл с нужной мне веткой реестра, кстати, для каждого юзера д.б. свой, т.к. у каждого может быть разный список 1с-баз
- юзер коннектится в терминалу, ветки (2) в это время нету, проходит авторизация, выполняется логон-скрипт в котором выполняется рег-файл, вписывающий в реестр нужную мне часть в ветку (2) - но ее еще нету
- запускается 1С, и только теперь в реестре появляется ветка (2), где и должен быть записан список 1с-баз
я не правильно думаю?

не правильно.
ниже пофиксил ваш порядок:

Цитата

- делаю рег-файл с нужной мне веткой реестра, кстати, для каждого юзера д.б. свой, т.к. у каждого может быть разный список 1с-баз
- юзер коннектится в терминалу, ветки (2) в это время нету, проходит авторизация , выполняется логон-скрипт в котором выполняется рег-файл, вписывающий в реестр нужную мне часть в ветку (2) - но ее еще нету
- запускается 1С, и только теперь в реестре появляется ветка (2), где и должен быть записан список 1с-баз, которая использует ветку реестра, импортированную логон-скриптом. А следовательно, пользователь видит список его баз.

404. Signature not found.

#14 Пользователь офлайн   alter-x 

  • Новичок

Отправлено 20 Январь 2011 - 13:30

Просмотр сообщенияtyphoon (20 Январь 2011 - 11:56) писал:

не правильно.
ниже пофиксил ваш порядок:

Спасибо, пробую...
Оцени полезность поста -  
0

#15 Пользователь офлайн   alter-x 

  • Новичок

Отправлено 20 Январь 2011 - 14:17

Просмотр сообщенияtyphoon (20 Январь 2011 - 11:50) писал:

Если этой ветки у вас нет, значит 1С и на старом, и на новом сервере Вы ставили не установщиком, а копированием папки с программой.


В общем, у Вас два пути.
1) Прописать в 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\1C\1Cv7\7.7\Titles
необходимый всем юзерам список баз - при старте 1С возьмет список оттуда. Минус - этот список будет у всех пользователей. Кстати, именно по такому принципу работает установщик 1С и ее фирменные "обновляторы".
2) Прописать от админа необходимый список для каждого пользователя и, сделав экспорт этой ветки реестра, использовать индивидуальные логон-скрипты. Пользователю поставите в автозапуск батник вида 
regedit /s 1c.reg
. Сам рег-файл должен выглядеть так:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\1C\1Cv7\7.7\Titles]
"D:\\папка с базами\\база\\"="Название Базы"


Проверил 1 путь - прописал руками в реестре указанную ветку, в Titles указал базу, которая есть у всех, дал на нее полный доступ доменной группе "TERMINAL_USERS", перегрузил сервак, подключаюсь юзером с правами "локальный пользователь" (включен в группу "TERMINAL_USERS") - при старте 1С список баз все равно пуст! Стоит этому юзеру дать админские права - список баз появляется, НО не тот, что указан в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\1C\1Cv7\7.7\Titles
я специально в переметре "имя базы" записал закорючку, чтоб можно было опознать.
Совсем запутался...
Оцени полезность поста -  
0

Поделиться темой:


  • 2 Страниц +
  • 1
  • 2
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей


Уважаемые гости форума!
Авторизуйтесь в форум или пройдите регистрацию и станьте участником нашего ресурса!
Закрыть
Войти с использованием популярных сервисов


Металлические входные двери в Днепропетровске . Детские единоборства. Единоборства укрепляют нервную систему. Единоборства зеленоград. . Терморегулятор для Газового котла. . Best online shopping India. . Собственная база данных, макс. уровни 1000-130, FableRO PVP топ-сервер Рагнарок, GW без Эквипа . фото audi s1 . suzuki kizashi купить . интернет игры онлайн бесплатно . Форум: razumno.org отзывы