Сегодня выяснил для себя, что если отменить действующую политику безопасности (а именно, перевести значение в Not defined), то она не в коем случае не возвращается в исходное состояние! Вопреки моим ожиданиям, продолжает действовать предыдущая политика.
Поясню на примере. Для сервера терминалов в локальной политике безопасноти указываем, кто может заходить на сервер через службу терминалов (Terminal Services). Изначально, это значение установлено в Not Defined, однако администраторы заходить на сервер через терминал могут. Определяем в политике, что заходить могут например, пользователи домена (Domain users). Через некоторое время (Лирическое отступление: Изменения применяются не сразу, что меня в начале изучения политик вводило в ступор. Я бы даже согласен понять, когда серверов несколько, репликация между ними дело не быстрое. Но даже если сервер один, все равно проходит какое то время, порядка 10-20 минут) получаем результат - на сервер через терминал и в самом деле могут логиниться только Domain Users. Пробуем зайти под учетной записью админа - получаем нечто вроде "Ваша учетная запись не позволяет регистрироваться интерактивно" (отдельное спасибо Валентину за MUI :)Тут я хватаюсь за голову, и с консоли отменяю действие этой политики, т.е. устанавливаю ее снова в Not Defined, как было сразу после установки, когда под админом я заходил без вопросов. Ждать 20 минут не было времени, поэтому продолжение было на следующий день. А именно, что под Enterprise Admin через терминал меня так и не запускало. Т.е. чтобы все заработало, пришлось таки явно указать, кому заходить через терминал можно.
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment