0 / 0 / 0 Регистрация: 12.12.2014 Сообщений: 4 |
|
1 |
|
Server 2008 26.10.2015, 14:38. Показов 7199. Ответов 4
Добрый день.проблема в организации. ЛВС сервер2008. работаю удаленно 2 пользователя на сервере. 3 пользователь не может войти просит одного из пользователя отключить
__________________
0 |
135 / 129 / 21 Регистрация: 23.05.2013 Сообщений: 514 |
|
26.10.2015, 18:32 |
2 |
Поднимаем службы удаленных рабочих столов и радуемся, без них максимум 2 подключения.
0 |
0 / 0 / 0 Регистрация: 12.12.2014 Сообщений: 4 |
|
27.10.2015, 09:13 [ТС] |
3 |
Как это сделать?
0 |
Почетный модератор 28037 / 15768 / 981 Регистрация: 15.09.2009 Сообщений: 67,753 Записей в блоге: 78 |
|
27.10.2015, 09:15 |
4 |
неужели так сложно найти?
0 |
Модератор 6871 / 3818 / 477 Регистрация: 13.03.2013 Сообщений: 14,059 Записей в блоге: 9 |
|
27.10.2015, 09:43 |
5 |
К слову сказать, при поднятой роли сервера терминалов без лицензирования такового, максимальное число удаленных пользователей вырастит до 5.
0 |
28.11.12 — 23:30
Добрый день.
Помогите пожалуйста разобраться с возникшей задачей.
1. Приобрели лицензию WinSBSEssntls 2011 RUS OLP NL Qlfd
2. и 10 лицензий «на устройство» WinRmtDsktpSrvcsCAL 2012 RUS OLP NL DvcCAL
3. Скачали образ установочного диска с сайта
https://www.microsoft.com/Licensing/servicecenter/default.aspx
4. Записали на диск и произвели установку на HP Proliant ML150
5. Настроили сервер терминалов по инструкциям из интернета.
6. Активировали сервер и установили клиентские лицензии.
7. Диагностика показывает что все ок и никаких предупреждений или замечаний. Все работает. Все лицензировалось и активировалось.
Но при попытке подключения 3 пользователя выскакивает окно:
«выберите какого пользователя следует отключить чтобы вы могли выполнить входe»
«Слишком много пользователей»
Права у пользователей настроены согласно инструкциям.
Вопрос: Что не так ? Где искать решение ?
Это первый случай, когда я сталкиваюсь с лицензиями «на устройство»
1 — 28.11.12 — 23:38
> Но при попытке подключения 3 пользователя выскакивает окно
сервер у тебя в режиме удаленного администрирования. Переключись в режим сервера приложений, вроде бы так называется
2 — 28.11.12 — 23:38
т.е. добавить роль «Терминальный сервер»
3 — 28.11.12 — 23:49
4 — 28.11.12 — 23:53
Роли сервера какие установлены? Должен быть «Сервер приложений».
5 — 28.11.12 — 23:55
т.е. служба удаленных рабочих столов!
я попутал
6 — 28.11.12 — 23:57
(5) Да, такая роль установлена.
7 — 28.11.12 — 23:57
смолл бизнес сервер не может быть полноценным сервером терминалов. кстати, не вижу смолл бизнес сервер юзер/девайс кал
8 — 28.11.12 — 23:58
в данном случае — на СБС — контроллер домена и скуль (если входит в комплект), на обычной винде Винсервер стандарт — сервер терминалов
9 — 29.11.12 — 00:00
это же SBS, я не увидел.
Прошу прощения за тупые советы
10 — 29.11.12 — 00:06
самое инетересное, что (когда я лицензионной фигней всякой занимался лет 5 назад) даже сами представители мелкософта не смогли нормально ответить, какие же нужны лицензии.
Тогда закончилось как раз вариантм терм. сервак на винсервер стандарт, домен, скуль, эксченж — на СБС. СБС кал и ремоут десктоп кал по количеству юзеров, на клиентские машины — линупс.
11 — 29.11.12 — 00:07
файлопомойки, прокси, веб и прочие — на линупсах, да.
12 — 29.11.12 — 00:07
(7)От сервера требовалось чтоб :
10 юзеров подключились в терминале и работают в 1С 7.7 DBF
Такое возможно ?
13 — 29.11.12 — 00:08
(10) А обмен/апгрейд серверной лицензии до Standart возможен ?
14 — 29.11.12 — 00:10
(13) хз. вообще СБС дороже «стандарт», так как туда всякие плюшки типа скуля, эксченжа, шарепоинта и прочего входят (в зависимости от поставки). я бы сел на мозг представителям мелкософта
15 — 29.11.12 — 00:11
ну и да — СБС — там свои юзер калы, которые включают юзеркалы на все, что в комплкте СБС
16 — 29.11.12 — 00:12
Я и хотел приобрести нормальную Standart-лицензию.
Но продавец «посоветовал» купить SBS, узнав что количество юзеров никогда не превысит 25. А я и обрадовался дешевизне.
WinSBSEssntls 2011 RUS OLP NL Qlfd 15000,00 руб. — 1 шт.
17 — 29.11.12 — 00:13
плюс не надо покупать лицензии для файловых юзеров. Они входят в комплект вроде как.
18 — 29.11.12 — 00:14
что за магическая цифра 25? у нас тогда было 60 юзеров в домене с контроллером на СБС
19 — 29.11.12 — 00:15
(17) надо, надо докумать. просто с СБС какое-то количество (5, вроде) в комплекте.
20 — 29.11.12 — 00:15
*докупать
21 — 29.11.12 — 00:19
А я же еще купил 10 лицензий «на устройство». Почему они не позволяют устройствам войти? Я совсем запутался: Искать ли решение или это какая-то ошибка со стороны продавца ?
22 — 29.11.12 — 00:21
Где то же установлена цифра 2. Ведь именно третьего не пускает, хотя по рисункам видно что 10 свободных лицензий.
Где-то же что-то должно выдавать лицензии, но не выдает.
23 — 29.11.12 — 00:34
Нашел вот такую статью
http://technet.microsoft.com/ru-ru/library/dd262139(v=ws.10).aspx
В которой есть кусок текста:
Используйте второй сервер, входящий в комплект поставки версии Windows SBS 2008 Premium для служб терминалов. Невозможно использовать в качестве сервера терминалов сервер, работающий под управлением Windows SBS 2008.
Для сервера терминалов можно использовать второй сервер, входящий в состав версии Windows SBS 2008 Premium, или ОС Windows Server 2008 Standard с отдельной лицензией
——————————
Это что получается…мне надо покупать вторую лицензию на второй сервер ? Я чет в небольшом шоке.
Зачем мне это продали вообще…
Зачем это вообще продается кому-то ?
pressstart
24 — 29.11.12 — 02:21
ушел сносить все к черту и ставить демку на 180 дней до выяснения. Нам не нужны вторые и третьи сервера.
- Remove From My Forums
-
Вопрос
-
Добрый день.
Помогите пожалуйста разобраться с возникшей задачей.
1. Приобрели лицензию WinSBSEssntls 2011 RUS OLP NL Qlfd
2. и 10 лицензий «на устройство» WinRmtDsktpSrvcsCAL 2012 RUS OLP NL DvcCAL
3. Скачали образ установочного диска с сайтаmicrosoft.ком/Licensing/servicecenter/default.aspx
4. Записали на диск и произвели установку на HP Proliant ML150
5. Настроили сервер терминалов по инструкциям из интернета.
6. Активировали сервер и установили клиентские лицензии.
7. Диагностика показывает что все ок и никаких предупреждений или замечаний.Все работает. Все лицензировалось и активировалось.
Но при попытке подключения 3 пользователя выскакивает окно:
«выберите какого пользователя следует отключить чтобы вы могли выполнить вход»
«Слишком много пользователей»Права у пользователей настроены согласно инструкциям.
Вопрос: Что не так ? Где искать решение ?
Это первый случай, когда я сталкиваюсь с лицензиями «на устройство»Вот скрины и текущего состояния настроек:
Конфигурация Узла Сеансов Уд.раб.столов
http://binav.ru/images/ConfUzlaSeansovUdRabStolov.jpg
Диагностика
http://binav.ru/images/DiagUzla.jpg
Диспетчер лицензий уд.раб.столов
http://binav.ru/images/DispLicUdRabStolov.jpg
Ответы
-
Это из SBS 2011 Licensing FAQ
Q. Is Windows Server Remote Desktop Server Session Host enabled in Windows Small Business
Server 2011 Essentials?
A. No, RD Session Host is disabled in SBS 2011 Essentials (An RD Session host server is the server that’s
hosts Windows-based programs or the full Windows desktop for Remote Desktop Services clients). To
implement Remote Desktop Services with Session Host, you would need to add another server to the
Essentials domain running either the SBS 2011 Premium Add-on or Windows Server 2008 or 2008 R2 and
acquire RDS CAL’s for either users or devices.
Q. Do I require RDS Cal’s to access the SBS 2011 Server using RDS Admin Mode?
A. No, SBS 2011 provides you 2 connections via RDS Admin mode to remotely administer your server.Другими словами, только 2 сессии для администрирования сервера, поскольку это контроллер домена, роль RD Session Host на нем отсутствует. Вам нужен дополнительный сервер (например: Windows Server 2008 или 2008 R2).
«Можно ли найти решение административным путем правильных настроек ?» — Ответ сверху.
«Можно ли доплатить и приобрести сервер с терминальными возможностями ?
Можно ли вернуть деньги и купить Windows Server Standart 2008 R2 ?» — Почти одинаковые вопросы, путей может быть два: либо приобретение Premium Add-on, либо c вопросами возврата или доплаты Вы идете к продавцу.-
Предложено в качестве ответа
29 ноября 2012 г. 18:47
-
Помечено в качестве ответа
press-start
30 ноября 2012 г. 9:07
-
Предложено в качестве ответа
Читайте также: Windows не удаются завершить форматирование
——-
Ты это — заходи если что.
Это сообщение посчитали полезным следующие участники:
Сообщения: 1
Благодарности:
Ведение журнала в учетной записи пользователя, в которую входит более 1010 групп, может привести к сбойу на компьютере, основанном на Windows Server.
В этой статье решается проблема, из-за которой не удается войти в учетную запись пользователя, в которую входит более 1010 групп.
Оригинальная версия продукта: Windows Server 2008 R2 Пакет обновления 1
Исходный номер КБ: 328889
Симптомы
Если пользователь пытается войти на компьютер с помощью учетной записи локального компьютера или учетной записи пользователя домена, запрос на логон может привести к сбой. И вы получите следующее сообщение об ошибке:
Logon Message. Система не может войти в систему из-за следующей ошибки. Во время попытки логотипа контекст безопасности пользователя накопил слишком много ID-данных безопасности. Попробуйте еще раз или проконсультируйтесь с системным администратором.
Проблема возникает, когда пользователь с логотипом является явным или транзитным членом около 1010 или более групп безопасности.
Приложения и код журнала событий безопасности 4625 могут отображать этот код ошибки:
Ошибка STATUS_TOO_MANY_CONTEXT_IDS.
Причина
При входе пользователя на компьютер локализованная служба безопасности (LSA, часть подсистемы местного органа безопасности) создает маркер доступа. Маркер представляет контекст безопасности пользователя. Маркер доступа состоит из уникальных идентификаторов безопасности (SID) для каждой группы, в которую входит пользователь. Эти SID включают транзитные группы и значения SID из SIDHistory пользователя и учетных записей группы.
Массив, содержащий SID-данные членов группы пользователя в маркере доступа, может содержать не более 1024 СИД. LSA не может выбросить какой-либо SID из маркера. Таким образом, если будет больше SID, то LSA не сможет создать маркер доступа, и пользователь не сможет войти в систему.
При построении списка siDs LSA также вставляет несколько общих, известных SID помимо SID для членства пользователя в группе (оцениваемого транзитно). Таким образом, если пользователь является членом более чем 1010 пользовательских групп безопасности, общее число SID может превышать 1024 sid предела.
- Маркеры для учетных записей администратора и не администратора подлежат ограничению.
- Точное число пользовательских SID-данных зависит от типа логотипа (например, интерактивной, службы, сети) и операционной системы контроллера домена и компьютера, создающим маркер.
- Использование Kerberos или NTLM в качестве протокола проверки подлинности не влияет на ограничение маркеров доступа.
- Параметр клиента Kerberos MaxTokenSize обсуждается в теме Проблемы с проверкой подлинности Kerberos,когда пользователь принадлежит ко многим группам. Маркер в контексте Kerberos относится к буферу для билетов, полученных хостом Windows Kerberos. В зависимости от размера билета, типа СИД и включения сжатия SID буфер может вмещать меньшее или гораздо больше siD-данных, чем это вписалось бы в маркер доступа.
Список пользовательских SID-продуктов будет включать в себя:
- Основные SID пользователя и компьютера и группы безопасности, в которые входит учетная запись.
- SiDs в атрибуте SIDHistory групп в области логотипа.
Так как атрибут SIDHistory может содержать несколько значений, ограничение в 1024 SID можно быстро достичь, если учетные записи переносились несколько раз. Количество SID в маркере доступа будет меньше общего числа групп, в которые пользователь входит в следующую ситуацию:
- Пользователь из доверенного домена, где отфильтровываются SIDHistory и SID.
- Пользователь из доверенного домена через траст, в котором СИИ находятся на карантине. Затем включаются только SID из того же домена, что и пользователя.
- В него включены только СИИ локальной группы домена из домена ресурса.
- В нее включены только СИД локальной группы server с сервера ресурсов.
Из-за этих различий пользователь может войти на компьютер в одном домене, но не на компьютер в другом домене. Кроме того, пользователь может войти на один сервер в домене, но не на другой сервер в том же домене.
Вы можете узнать о членстве в группе домена затрагиваемого пользователя с помощью NTDSUTIL. Он имеет средство оценки членства в группе, которое также работает через границы лесов. Этот инструмент также работает для следующих пользователей:
- пользователей, которые находятся выше лимита в 1024 СИД
- пользователей, которые находятся в стольких группах, что Kerberos не удается искомого билета даже с 65 535 битами буфера
Выполните приведенные ниже действия.
Откройте командную подсказку на компьютере с инструментами управления AD (контроллер домена или компьютер с RSAT).
Переключиться на gro mem eva средство и получить доступные команды в качестве следующего скриншота:
Подключение к диктовкам, которые необходимы для оценки:
- Настройка учетной записи DC %s — DC домена пользователя
- Set Global Catalog %s — GC of the user’s forest
- Set Resource DC %s — DC домена ресурса
- Установите учетные данные по мере необходимости или подробные журналы, если результаты кажутся неправильными или коллекция не удается.
Выполните оценку следующим образом (например, для администратора contoso.com в ):
Run contoso.com Admin
В выполнении будут собираться сведения о пользователе в шагах 1-2, сведения о группе домена ресурсов на шаге 3, а затем компилятор отчета в шагах 4 и 5.
Результаты будут храниться в файле TSV в текущем каталоге в качестве следующего скриншота:
Ниже приводится руководство по прочтям TSV-файл:
- Тип SID: Указывает, является ли это основным sid group/User или SIDHistory.
- Количество записей истории SID: Сколько SID-ов из SIDHistory представляет эта учетная запись?
- One Level MemberOf Count: Сколько SID-данных добавляется в коллекцию на одном уровне (член записей)?
- Общее количество memberOf: Сколько siDs добавляет эта запись в коллекцию в общей сложности?
- Владелец группы. Для сред, делегирование управления группами, вы можете получить подсказки о том, как использовать слишком много групп для атаки пользовательского логотипа.
- Тип группы: вид Sid. WellKnown, пользовательский SID, глобальные и универсальные группы безопасности будут во всех маркерах, созданных для этого пользователя. Локализованная группа безопасности домена будет только в этом домене ресурса. Это может быть важно, если у пользователя есть проблемы с логотипом только в определенном домене ресурса.
- Член WhenChanged (UTC): Последнее изменение в составе группы. Это может помочь соотнести со временем, когда пользователь (ы) впервые сообщил о проблемах с логотипом.
Подсказки по поиску групп, на которые нужно нацелить изменение:
Группы, которые имеют SIDHistory, имеют хорошее плечо, помогая уменьшить количество SID.
Группы, которые внедряют многие другие группы через вложение, имеют большое рычаги для уменьшения подсчета SID.
Найми подсказки в названии группы, чтобы определить, может ли группа больше не использоваться. Например, у нас был клиент, у которого в решении развертывания программного обеспечения есть группа на одно приложение. И мы нашли группы, которые содержали office2000 или access2000.
Передай отчет о списке групп администраторам служб и приложений. Определите группы, которые больше не нужны, возможно, только для этого пользователя в этом подразделении или отделе.
Этот инструмент не включает некоторые виды специальных ИИИ WellKnown, перечисленных ниже в этой статье. Поэтому помните, что пользователю необходимо очистить несколько SID из 1024 в отчете, прежде чем он сможет успешно войти в систему.
Средство также не охватывает серверные локальные группы. Если у вас есть проблемы только на определенных серверах домена ресурсов, возможно, пользователь или часть его группы являются членами серверно-локальных групп.
Чтобы получить список серверных локальных групп и их участников:
Запустите в качестве администратора в командной подсказке повышенного уровня.
Чтобы получить список участников из домена:
Смешайте и соединие групп, сообщаемой там, с отчетом пользователя от NTDSUTIL.
Решение
Чтобы устранить эту проблему, используйте один из следующих методов.
Способ 1
Это решение применимо к следующей ситуации:
- Пользователь, столкнувшийся с ошибкой логотипа, не является администратором.
- Администраторы могут успешно войти на компьютер или домен.
Это решение должен выполнять администратор, который имеет разрешения на изменение членства пользователя в группе. Администратор должен изменить членство пользователя в группе, чтобы убедиться, что он больше не является членом более 1010 групп безопасности. Рассмотрите транзитные составы групп и локальные членство в группе.
Параметры уменьшения количества SID-данных в маркере пользователя включают следующие. Коллекция данных из NTDSUTIL должна помочь вам увидеть, какие группы находятся в области для изменения или удаления:
Удалите пользователя из достаточного количества групп безопасности.
Преобразование неиспользованых групп безопасности в группы рассылки. Группы рассылки не учитываются в отношении ограничения маркера доступа. Группы рассылки могут быть преобразованы обратно в группы безопасности, если требуется преобразованная группа.
Определите, полагаются ли основные службы безопасности на историю SID для доступа к ресурсам. Если нет, удалите атрибут SIDHistory из этих учетных записей. Значение атрибута можно получить с помощью авторитетного восстановления.
Несмотря на то, что максимальное число групп безопасности, в которые пользователь может быть членом, составляет 1024, в качестве наилучшей практики это число ограничивается менее 1010. Это число обеспечивает успешное генерацию маркеров, так как предоставляет пространство для общих СИД, вставленных LSA.
Способ 2
Решение применяется к ситуации, в которой учетная запись администратора не может войти на компьютер.
Если пользователь, чей логотип не работает из-за слишком 100 членов группы, входит в группу администраторов, администратор, у которого есть учетные данные для учетной записи администратора (то есть учетная запись с известным относительным идентификатором [RID] 500), должен перезапустить контроллер домена, выбрав вариант запуска Safe Mode (или выбрав безопасный режим с возможностью запуска сети). В безопасном режиме администратор должен войти в контроллер домена с помощью учетных данных учетных данных администратора.
Корпорация Майкрософт изменила алгоритм генерации маркеров. LSA может создать маркер доступа для учетной записи администратора, чтобы администратор вход в систему, независимо от того, сколько транзитных групп или неактивных групп является членом учетной записи администратора. Когда используется один из этих параметров запуска безопасного режима, маркер доступа, созданный для учетной записи администратора, включает ВИИ всех встроенных и всех групп Domain Global, в которые входит учетная запись администратора.
Эти группы обычно включают в себя:
- Все (S-1-1-0)
- BUILTINUsers (S-1-5-32-545)
- BUILTINAdministrators (S-1-5-32-544)
- NT AUTHORITYINTERACTIVE (S-1-5-4)
- NT AUTHORITYAuthenticated Users (S-1-5-11)
- LOCAL (S-1-2-0)
- Пользователи доменадомена (S-1-5-21-xxxxx-yyy-zzzzzzzz-513)
- Администраторы доменадомена (S-1-5-21-xxxxxx-yyy-zzzzzzzz-512)
- BUILTINPre-Windows 2000 Compatible Access (S-1-5-32-554), если все члены этой группы
- NT AUTHORITYThis Organization (S-1-5-15), если контроллер домена работает под управлением Windows Server 2003
Если используется параметр запуска «Безопасный режим», пользовательский интерфейс пользователей Active Directory и Computers не доступен. В Windows Server 2003 администратор может также войти в систему, выбрав безопасный режим с возможностью запуска сети; В этом режиме доступен пользовательский интерфейс пользователей и компьютеров Active Directory.
После входа администратора в систему, выбрав один из параметров запуска безопасного режима и используя учетные данные учетной записи администратора, администратор должен определить и изменить членство групп безопасности, которые привели к отказу в обслуживании логотипа.
После этого изменения пользователи должны иметь возможность успешно войти в систему после периода времени, равного задержке репликации домена.
Способ 3
Этот параметр имеет наибольшее значение, если у вас много групп, созданных для предоставления доступа к ресурсам, используемым на определенном наборе серверов, и они не имеют отношения ко многим другим серверам. Маркер доступа пользователей всегда содержит SID-данные пользовательских, глобальных и универсальных групп. Однако он содержит только siD-Domain-Local групп домена, где находятся серверы ресурсов. Поэтому из 600 групп, в которые входит пользователь, 400 помогают в предоставлении доступа к ресурсам файлового сервера на двух группах серверов, и тогда возможны следующие идеи:
- Разделите серверы на несколько групп на число Domain-Local групп.
- Вместо одного домена ресурсов, в котором есть все группы и серверы, есть несколько доменов, в которых определены только группы, содержащие необходимые серверы.
- У вас есть отдельный домен для серверов с небольшой потребностью в локальных группах домена. Одним из примеров могут быть серверы Exchange, так как Exchange имеет сильное предпочтение для универсальных групп.
Дополнительные сведения
Общие СИИ учетной записи часто включают в себя:
- Все (S-1-1-0)
- BUILTINUsers (S-1-5-32-545)
- BUILTINAdministrators (S-1-5-32-544)
- NT AUTHORITYAuthenticated Users (S-1-5-11)
- Logon Session Sid (S-1-1-5-5-X-Y)
- BUILTINPre-Windows 2000 Compatible Access (S-1-1-5-32-554), если пользователь является членом этой группы (вложен)
Средство Whoami часто используется для проверки маркеров доступа. Этот инструмент не показывает sid сеанса logon.
Примеры siD в зависимости от типа сеанса logon:
- LOCAL (S-1-2-0)
- ЛОГОС КОНСОЛИ (S-1-2-1)
- NT AUTHORITYNETWORK (S-1-5-2)
- NT AUTHORITYSERVICE (S-1-5-6)
- NT AUTHORITYINTERACTIVE (S-1-5-4)
- NT AUTHORITYTERMINAL SERVER USER (S-1-5-13)
- NT AUTHORITYBATCH (S-1-5-3)
SID для часто используемых первичных групп:
- DomainDomain Computers (S-1-5-21-xxxxx-yyyy-zzzzzzzz-515)
- Пользователи доменадомена (S-1-5-21-xxxxx-yyy-zzzzzzzz-513)
- Администраторы доменадомена (S-1-5-21-xxxxxx-yyy-zzzzzzzz-512)
SiDs that document how the Logon Session got verified, one of the following values:
- Орган проверки подлинности подтвердил удостоверение (S-1-18-1)
- Удостоверение службы (S-1-18-2)
SiDs, которые дают сведения о контексте маркера и сведения о претензиях, несколько возможных:
- Используемые утверждения устройств (S-1-5-21-0-0-0-496)
- Используемые утверждения пользователей (S-1-5-21-0-0-0-497)
- Сертификат организации (S-1-5-65-1)
- Маркер был создан с помощью проверенного удостоверения PKI (S-1-18-4)
- Маркер был создан с помощью подхода MFA (S-1-18-5)
- Использовался защитник учетных данных (S-1-18-6)
SiDs, которые описывают уровень согласованности маркера, наиболее распространенные примеры:
- Средний обязательный уровень (S-1-16-8192)
- Высокий обязательный уровень (S-1-16-12288)
Маркер доступа включает SID по отношению к происхождению пользователя или компьютера, одно из следующих значений:
- NT AUTHORITYOTHER_ORGANIZATION (S-1-5-1000)
- NT AUTHORITYThis Organization (S-1-5-15), если учетная запись из того же леса, что и компьютер.
- Как видно из заметки на входе SID Logon Session SID, не подсчитывайте SID в списке выходных данных инструмента и предположите, что они завершены для всех целевых компьютеров и типов логотипов. Следует учитывать, что учетная запись может попасть в этот лимит, если у нее более 1000 СИД. Не забывайте, что в зависимости от компьютера, на котором создается маркер, можно также добавлять локальные группы серверов или рабочих станций.
- xxxxxxxx-yyyy-zzzzzzzzzz указывает на компоненты домена или рабочей станции SID.
В следующем примере показано, какие локальные группы безопасности домена будут показываться в маркере пользователя при входе пользователя на компьютер в домене.
В этом примере предположим, что Joe принадлежит к домену A и является членом локальной группы домена Домен AChicago Users. Джо также входит в локализованную доменную группу Домен BChicago Users. Когда Джо входит на компьютер, принадлежащий домену A (например, Домен AWorkstation1), маркер создается для Джо на компьютере, а маркер содержит, в дополнение ко всем универсальным и глобальным членам группы, SID для домена AChicago Users. Он не будет содержать SID для пользователей домена BChicago, так как компьютер, на котором вошел Джо (Домен AWorkstation1), принадлежит домену A.
Аналогично, когда Джо входит на компьютер, принадлежащий домену B (например, Домен BWorkstation1), маркер создается для Джо на компьютере, а маркер содержит, помимо всех универсальных и глобальных членов группы, SID для пользователей домена BChicago; он не будет содержать SID для пользователей домена AChicago, так как компьютер, на котором вошел Джо (Домен BWorkstation1), принадлежит домену B.
Однако, когда Джо входит на компьютер, принадлежащий домену C (например, Домен CWorkstation1), для Джо на компьютере с логотипом создается маркер, содержащий все универсальные и глобальные членские группы для учетной записи пользователя Джо. В маркере не отображается ни sid for Domain AChicago Users, ни SID для домена BChicago Users, так как локальные группы домена, в которых находится Джо, находятся в другом домене, чем компьютер, на котором вошел Джо (Domain CWorkstation1). И наоборот, если Бы Джо был членом какой-либо локальной группы домена, которая принадлежит к домену C (например, Domain CChicago Users), маркер, созданный для Джо на компьютере, содержал бы, помимо всех универсальных и глобальных членов группы, SID для пользователей домена CChicago.
Adblock
detector» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>
- Remove From My Forums
-
Question
-
Hi,
Sinds some time my windows server 2008 SP2 not propting anymore the message dialog «There are too many users logged in with the option force disconnect user»
Can someone help me to reenable this function?
Now I cant force disconnect users and im a not able to connect to the server.
Thx
Answers
-
Hi,
Windows Server 2008 SP2 imposes some administrator logon restrictions. Specifically, a maximum of
two administrators may be logged on at any one time, either two logged on remotely, or one local and one remote administrator. This assumes, however, that different accounts are being used to log on. In other words, the same user may not log
on locally and remotely simultaneously.If you need more connections, you must install Remote Desktop Session Host role and purchase Terminal Services Client Access licensing.
For the 2 administrative console session, you can use the new
/admin switch to remotely connect to a Windows Server 2008-based server for administrative purposes. The
/admin switch is introduced with RDC 6.1 or above.
Technology changes life……
-
Marked as answer by
Sunday, February 5, 2012 7:45 PM
-
Marked as answer by
- Remove From My Forums
-
Question
-
Hi,
Sinds some time my windows server 2008 SP2 not propting anymore the message dialog «There are too many users logged in with the option force disconnect user»
Can someone help me to reenable this function?
Now I cant force disconnect users and im a not able to connect to the server.
Thx
Answers
-
Hi,
Windows Server 2008 SP2 imposes some administrator logon restrictions. Specifically, a maximum of
two administrators may be logged on at any one time, either two logged on remotely, or one local and one remote administrator. This assumes, however, that different accounts are being used to log on. In other words, the same user may not log
on locally and remotely simultaneously.If you need more connections, you must install Remote Desktop Session Host role and purchase Terminal Services Client Access licensing.
For the 2 administrative console session, you can use the new
/admin switch to remotely connect to a Windows Server 2008-based server for administrative purposes. The
/admin switch is introduced with RDC 6.1 or above.
Technology changes life……
-
Marked as answer by
Sunday, February 5, 2012 7:45 PM
-
Marked as answer by