Условия подключения к терминальному серверу

Хорошее разъяснение, почему при попытке удаленного подключения к Remote Desktop Service (RDS) происходит отказ в доступе, дано в статье “Allow Logon through Terminal Services” group policy and “Remote Desktop Users” group.

Суть в том, что для получения разрешения на удаленное подключение учетная запись пользователя должна обладать двумя вещами:

1. правом на удаленный вход Remote Logon. Задается в GPO Allow Logon through Terminal Services (Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment). По умолчанию это право имеют групп Administrators и Remote Desktop Users.

2. привилегией на доступ к RDP-TCP Listener. Как только пользователь прошел проверку прав Remote Logon, проверяется его привилегии на подключение к RDP-TCP Listener. Привилегии на доступ к RDP-TCP Listener устанавливаются на вкладке Безопасность в его свойствах. По умолчанию эта привилегия установлена для Administrators и Remote Desktop Users (кроме Domain Controller).

Скриншоты ошибок в случае, если одно или оба из условий не выполнены, можно увидеть в выше упомянутой статье.

Реклама

Как отобразить атрибут в оснастке ADUC

 

Ситуация: выполняется синхронизация учетных записей в Active Directory с кадровой системой предприятия; в качестве ключа используется табельный номер сотрудника, который записывается в атрибут EmploeeID.

Проблема: EmploeeID не отображается в ADUC

Решение.

В оснастке Active directory users and computers (ADUC) можно настраивать отображаемые в столбцах атрибуты объектов AD: View -> Add/Remove Columns

Но далеко не все атрибуты есть среди доступных для выбора. На скриншоте выше, например, вы можете увидеть, что выбран EmploeeID, но по умолчанию его нельзя выбрать – нет его в списке. Как же он был добавлен?

Запускаем оснастку ADSIEDIT. Открываем контейнер CN=Display specifiers, CN=Configuration, DC=Domain,DC=com. Выбираем контейнер с нужным языком. Например, для англоязычной оснастки ADUC нужно выбрать CN=409, а для русской CN=419.

Далее нас интересует атрибут extracolumns, в котором задается список атрибутов доступных для отображения в ADUC. В этот атрибут надо добавить нужный атрибут:

employeeID,Employee ID,0,100,0

где на первом месте системное имя атрибута, на втором его отображаемое имя, далее 0 – не отображать по умолчанию (1 – атрибут виден по умолчанию), 100 – ширина столбца в пикселях, 0 – этот параметр игнорируется.

Атрибут extracolumns есть в двух объектах CN=default-Display и CN=organizationalUnit-Display. Если атрибут extracolumns в CN=organizationalUnit-Display пуст, то значения будут браться из CN=default-Display и именно тут надо добавить новый атрибут. Иначе правим extracolumns в CN=organizationalUnit-Display. (Как правило CN=organizationalUnit-Display оказывается заполненным после установки OCS или Lync).

Теперь после перезапуска ADUC мы сможем выбрать новый атрибут для отображения.

Полезные ссылки:

1. Modifying Existing User Interfaces

2. kb884402

Бесплатные средства безопасности от Microsoft

 

По мотивам статьи Free Microsoft Security Tools You Should Know About . . .

Полезная сводка инструментов безопасности:

1. Microsoft Security Compliance Manager Версия 2. Этот инструмент позволяет быстро настраивать компьютеры, датацентры и private cloud с помощью Group Policy, Microsoft® System Center Configuration Manager, а также Local Group Policy. Вы можете использовать эталонные конфигурации и дорабатывать их под свои нужды. Кстати MDT 2012 теперь умеет использовать SCM, точнее устанавливать пакеты политик созданных в SCM.

2. Microsoft Baseline Security Analyzer 2.2 Позволяет проверить компьютеры в сети предприятия на отсутствие обновлений безопасности и некоторые уязвимости в их конфигурации.

3. Microsoft Security Assessment Tool 4.0 Средство оценки рисков. Использует целостный подход к оценке системы безопасности, анализируя влияние человеческого фактора, процессов и технологий. Полученные результаты предоставляются пользователям вместе с подробным руководством, рекомендациями по снижению угроз и ссылками на отраслевые руководства, содержащие дополнительные сведения. Эти ресурсы могут помочь организациям получить информацию о средствах и методах, способных повысить безопасность ИТ-среды организации.

4. Microsoft Safety Scanner Средство сканирования на наличие вирусов и их удаления.

5. Microsoft Malicious Software Removal Tool (MSRT) Средство удаления наиболее распространенных вредоносных программ.

6. Microsoft Security Essentials (MSE) Бесплатный, простой антивирус для персональных компьютеров. Microsoft Security Essentials доступен для предприятий малого бизнеса, в которых установлено до 10 компьютеров. Если на предприятии больше 10 компьютеров, воспользуйтесь для их защиты программой Microsoft Forefront Endpoint Protection

7. Windows Defender Защитник Windows представляет собой бесплатно распространяемую программу, обеспечивающую защиту компьютера от внедрения всплывающих окон, снижения производительности и угроз для безопасности, вызываемых программами-шпионами и другими потенциально нежелательными программами.

Средние и крупные фирмы могут воспользоваться преимуществами программ лицензирования для предприятий и использовать платный продукт Microsoft Forefront Endpoint Protection (требует System Center Configuration Manager 2007 R2).