системный администратор ограничил время в течение которого можно войти в систему

Системный администратор ограничил время в течение которого можно войти в систему

Собственно, название темы и есть проблема. И проблема эта существует только между 8.1 и 2012 R2.
При подключении выскакивает такая ошибка: «Системный администратор ограничил количество компьютеров, с которых вы можете войти в систему. Попробуйте войти в систему с другого компьютера.»
С не доменными машинами такой проблемы нет.

В журнале аудита появляется сообщение следующего вида:

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 28.06.2017 14:25:58
Код события: 5378
Категория задачи:Другие события входа и выхода
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: COMP.domain.com
Описание:
Запрошенное делегирование учетных данных запрещено политикой.

Предмет:
Идентификатор безопасности: DOMAIN\User
Имя учетной записи: User
Домен учетной записи: DOMAIN
Идентификатор входа: 0x12927B4A

Сведения о делегировании учетных данных:
Пакет безопасности: CREDSSP
Основное имя пользователя: remote_user@DOMAIN
Целевой сервер: TERMSRV/172.16.0.200
Тип учетных данных: Диспетчер учетных данных
Xml события:

5378
0
0
12551
0
0x8010000000000000

94761

Security
COMP.domain.com

S-1-5-21-314410742-3216470733-3246229300-8971
User
DOMAIN
0x12927b4a
CREDSSP
remote_user@DOMAIN
TERMSRV/172.16.0.200
%%8097

Источник

Доброй ночи уважаемые форумчане!

Как ограничить траффик с помощью Windows Server 2008 R2 и Trafic Inspector
Здравствуйте! Я раньше с серверами не работал. короче вообще ноль ничего не знаю. есть группы.

Пользователи Win98 в домене на Win Server 2003/2008
Слышала, что пользователи с Windows 98 не могут работать в сети с доменами на Windows Server 2003.

Не могу зайти на удаленный рабочий стол server 2008 r2
Вообщем опишу как все было. Сегодня пришел, решил зайти на расшаренную папку. Раньше у меня.

server 2008 просит обновить пароль при первом входом в систему
друзья установил винсервер 2008 на виртуалку установка прошла нормально. потом пишет вот так.

если домена нет, то например так:

про ваш скрипт можно посмотреть тут:

Комментарий модератора

Ссылка на форум запрещена.

доработай на выход из системы

ну тут совсем просто, поменяй цифры в батнике

пропиши данный скрипт только для этих пользователей

это дело в 1.bat и в планировщик на запуск в 7.59 Тогда в 8 часов все уже смогут подключаться.

Источник

Ваш системный администратор ограничил доступ – что делать?

С ошибкой «Ваш системный администратор ограничил доступ» пользователи часто сталкиваются при попытке включить Защитника Windows. Кроме того, она может вызвана сторонним антивирусом и возникает после обновления Windows 10.

Защитник Windows достаточно эффективный пакет безопасности и постоянно усовершенствуется регулярными обновлениями, чтобы защитить систему от новых угроз из интернета. Как видите из самого сообщения об ошибке, она появляется при попытке включить Защитника, когда у нас нет на это разрешений.

По каким причинам доступ ограничивается администратором?

Ошибка связана с недостаточными разрешениями, которые могут быть ограничены по нескольким причинам:

Перед применением решений войдите в систему как администратор, поскольку при использовании другой учетной записи у вас не будет разрешений для его активации, что приведет к ошибке.

Удаление антивируса

В первую очередь попробуйте удалить антивирус стороннего разработчика. Он может препятствовать включению Защитника Windows, или же посчитал некоторые его компоненты потенциально опасными и отправил на карантин.

Поэтому полностью удалите антивирусное ПО с помощью обычного деинсталлятора или приложения Revo Uninstaller, которое позволяет очистить все оставшиеся файлы и записи в реестре.

Использование скрытой учетной записи администратора

При установке Windows на компьютере автоматически создается скрытая учетная запись администратора, с помощью которой можно решить много проблем. Для ее активации, выполните указанные шаги.

Перейдите в командную строку с администраторскими правами с помощью системного поиска.

В консоли выполните команду:
net user администратор /active:yes

Эта команда активирует скрытую учетную запись, в результате на экране блокировки отобразится ее значок.

Затем разверните меню Пуск, щелкните на значок пользователя и выйдите из текущего сеанса. С экрана входа в систему войдите под скрытой учетной записью.

Теперь попробуйте снова включить встроенную защиту и проверьте, прерывается ли это действие ошибкой. Если продолжаете видеть сообщение, что доступ ограничен, перейдите к следующему шагу.

Но прежде откройте командную строку и отключите скрытую запись командой:
net user администратор /active:no

Редактирование групповой политики

Если активировали политику «Отключить Защитника Windows», то это может быть одной из причин появления ошибки. Чтобы проверить ее состояние, следуйте инструкции.

Откройте Редактор локальной групповой политики командой gpedit.msc из окна Win + R.

В разделе Конфигурация компьютера перейдите в следующую локацию:

В правой части найдите опции «Выключить антивирусную программу «Защитник Windows» и «Разрешить запуск службы защиты от вредоносных программ …». Откройте их поочередно двойным щелчком мыши и установите значение «Отключить». Примените изменения на «ОК».

Проверьте, ограничен ли доступ системным администратором при включении встроенного пакета безопасности.

Источник

Пользователь не может выполнить аутентификацию или должен выполнить ее дважды

В этой статье описаны некоторые причины проблем с аутентификацией пользователей.

Отказано в доступе (ограничение по типу входа в систему)

В этом случае пользователь Windows 10, который пытается подключиться к компьютерам с Windows 10 или Windows Server 2016, получит отказ в доступе со следующим сообщением:

Подключение к удаленному рабочему столу
Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать. Обратитесь за помощью к системному администратору или в службу технической поддержки.

Эта проблема возникает, если для подключения к удаленному рабочему столу требуется пройти проверку подлинности на уровне сети (NLA), но пользователь не является членом группы Пользователи удаленного рабочего стола. Она также может возникать, если группе Пользователи удаленного рабочего стола не назначено право пользователя Доступ к компьютеру из сети.

Чтобы решить эту проблему, выполните одно из указанных ниже действий.

Изменение членства пользователя в группах или назначенных ему прав

Если эта проблема затрагивает одного пользователя, наиболее простым решением будет добавить этого пользователя в группу Пользователи удаленного рабочего стола.

Если пользователь уже является членом этой группы (или если проблема возникает у нескольких членов группы), проверьте конфигурацию прав пользователей на удаленном компьютере Windows 10 или Windows Server 2016.

Отказано в доступе (удаленный вызов к базе данных SAM отклонен)

Такое поведение обычно возникает, если контроллеры домена работают под управлением Windows Server 2016 или более поздней версии, а пользователи пытаются подключиться с помощью настраиваемого приложения для подключения. В частности, отказ в доступе получат приложения, которым требуется доступ к сведениям профиля пользователя в Active Directory.

Такое поведение обусловлено изменением в Windows. В Windows Server 2012 R2 и более ранних версиях, когда пользователь выполняет вход на удаленный рабочий стол, диспетчер удаленных подключений (RCM) обращается к контроллеру домена (DC), чтобы запросить конфигурацию, относящуюся к удаленному рабочему столу, в объекте пользователя в доменных службах Active Directory (AD DS). Эта информация отображается на вкладке «Профиль служб удаленных рабочих столов» в окне свойств объекта пользователя в оснастке MMC «Пользователи и компьютеры Active Directory».

Начиная с Windows Server 2016 RCM больше не запрашивает объект пользователя в AD DS. Если требуется, чтобы RCM обращался к AD DS из-за того, что вы используете атрибуты служб удаленных рабочих столов, вам нужно вручную разрешить отправку запросов.

Внимательно выполните действия, описанные в этом разделе. Неправильное изменение реестра может привести к серьезным проблемам. Перед внесением изменений создайте резервную копию реестра для его восстановления в случае возникновения проблем.

Чтобы разрешить прежнее поведение RCM на сервере узла сеансов удаленных рабочих столов, настройте следующие записи реестра и перезапустите службу Службы удаленных рабочих столов:

Чтобы разрешить устаревшее поведение RCM на сервере, отличающемся от сервера RDSH, настройте эти записи реестра и следующую дополнительную запись (затем перезапустите службу).

Дополнительные сведения об этом поведении см. в статье базы знаний № 3200967 Changes to Remote Connection Manager in Windows Server (Внесение изменений в диспетчер удаленных подключений в Windows Server).

Пользователю не удается выполнить вход с помощью смарт-карты

В этом разделе рассматриваются три типичных сценария, когда пользователь не может войти на удаленный рабочий стол с помощью смарт-карты.

Не удается войти в систему с помощью смарт-карты в филиале с контроллером домена только для чтения (RODC)

Эта проблема возникает в развертываниях, в которых задействован сервер RDSH на сайте филиала, где используется RODC. Сервер RDSH размещен в корневом домене. Пользователи на сайте филиала относятся к дочернему домену и используют смарт-карты для проверки подлинности. Контроллер домена RODC настроен на кэширование паролей и принадлежит к группе с разрешением реплицировать пароли RODC. Когда пользователи пытаются выполнить вход в сеанс на сервере RDSH, они получают сообщение, например: «Неудачная попытка входа в систему. Указано неверное имя пользователя или другие неверные личные данные.»

Эта проблема связана с тем, как корневой контроллер домена и RDOC управляют шифрованием учетных данных пользователей. Корневой контроллер домена использует ключ шифрования, чтобы зашифровать учетные данные, а RODC предоставляет ключ расшифровки клиенту. Если пользователь получает ошибку «Недопустимо», значит два ключа не совпадают.

Чтобы решить эту проблему, выполните одно из указанных ниже действий:

Учтите, что эти решения предполагают наличие компромисса между производительностью и уровнем безопасности.

Пользователь не может войти на компьютер с Windows Server 2008 с пакетом обновления 2 (SP2) с помощью смарт-карты

Эта проблема возникает, когда пользователи выполняют вход в систему компьютера Windows Server 2008 с пакетом обновления 2 (SP2), на котором установлено обновление KB4093227 (2018.4B). Когда пользователи пытаются выполнить вход с помощью смарт-карты, они получают отказ в доступе с сообщениями, например: «Действительные сертификаты не найдены. Убедитесь, что эта карта вставлена правильно и плотно сидит в разъеме». В то же время на компьютере Windows Server регистрируется событие приложения с сообщением «При получении цифрового сертификата с вставленной смарт-карты произошла ошибка: неправильная подпись.»

Чтобы устранить эту проблему, обновите на компьютере ОС Windows Server до повторного выпуска 2018.06 B (обновление KB4093227). См. статью Description of the security update for the Windows Remote Desktop Protocol (RDP) denial of service vulnerability in Windows Server 2008: April 10, 2018 (Описание обновления системы безопасности для защиты протокола RDP в Windows от уязвимости службы в Windows Server 2008 (10 апреля 2018 г.).

Не удается оставаться в системе, вход в которую выполнен с помощью смарт-карты, и служба удаленных рабочих столов зависает

Эта проблема возникает, когда пользователи входят в систему компьютера Windows или Windows Server с обновлением KB4056446. Возможно, сначала пользователю удается войти в систему с помощью смарт-карты, но потом он получает сообщение об ошибке SCARD_E_NO_SERVICE. Удаленный компьютер может перестать отвечать.

Чтобы устранить эту проблему, перезапустите удаленный компьютер.

Чтобы устранить эту проблему, обновите систему на удаленном компьютере, установив соответствующее исправление:

Если удаленный компьютер заблокирован, пользователю нужно дважды ввести пароль

Эта проблема может возникать, когда пользователь пытается подключиться к удаленному рабочему столу под управлением Windows 10 версии 1709 в развертывании, где для подключений по протоколу RDP не требуется использовать NLA. Если в таком случае удаленный рабочий стол оказался заблокированным, пользователю нужно ввести свои учетные данные дважды при подключении.

Чтобы устранить эту проблему, обновите Windows 10 версии 1709 на соответствующем компьютере с использованием обновления за 30 августа 2018 г. — KB4343893 (ОС сборки 16299.637).

Пользователю не удается войти, при этом отображаются сообщения «Ошибка аутентификации» и «Защита CredSSP от атак с использованием криптографического оракула»

Когда пользователи пытаются войти с использованием любой версии Windows (начиная с Windows Vista с пакетом обновления 2 (SP2) или Windows Server 2008 с пакетом обновления 2 (SP2)), они получают отказ в доступе и такие сообщения:

Ошибка «Исправление шифрования CredSSP» ссылается на набор обновлений системы безопасности, выпущенный в марте, апреле и мае 2018 г. CredSSP — это поставщик проверки подлинности, который обрабатывает запросы проверки подлинности для других приложений. Обновление за 13 марта 2018 г., 3B и все последующие обновления подверглись эксплойту, когда злоумышленник мог передать учетные данные пользователя для выполнения кода в целевой системе.

В исходные обновления была добавлена поддержка нового объекта групповой политики «Защита от атак с использованием криптографического оракула», который может иметь следующие настройки:

Этот параметр не следует развертывать, пока все узлы поддержки в удаленном расположении не будут поддерживать последнюю версию.

В обновлении за 8 мая 2018 г. значение для параметра по умолчанию «Защита от атак с использованием криптографического оракула» изменилось с «Уязвимо» на «Устранено». После реализации этого изменения клиенты Удаленного рабочего стола, на которых были установлены обновления, не могут подключаться к серверам без этого обновления (или к обновленным серверам, которые еще не были перезапущены). Подробные сведения об обновлениях CredSSP см. в статье базы знаний KB4093492.

Чтобы устранить эту проблему, обновите и перезапустите все системы. Полный список обновлений и дополнительные сведения об уязвимостях см. в разделе CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability (CVE-2018-0886 | Уязвимость CredSSP, допускающая удаленное выполнение кода).

Чтобы устранить эту проблему до завершения обновления, просмотрите список допустимых типов подключений в обновлении KB4093492. Если нет других осуществимых альтернатив, можете попробовать один из следующих методов:

Изменение этих групповых политик делает развертывание менее защищенным. Мы рекомендуем использовать их только временно (или вообще не использовать).

Дополнительные сведения о работе с групповой политикой см. в разделе Изменение блокирующего объекта групповой политики.

После обновления клиентских компьютеров некоторым пользователям приходится выполнять вход дважды

Если пользователи входят на Удаленный рабочий стол с помощью компьютера под управлением Windows 7 или Windows 10 версии 1709, им сразу же отображается запрос на повторный вход. Эта проблема возникает, если на клиентском компьютере установлены следующие обновления:

Чтобы устранить эту проблему, убедитесь, что на компьютерах, к которым подключаются пользователи, (а также серверы RDSH или RDVI) установлены все обновления в том числе за июнь 2018 г. К ним относятся следующие обновления:

Пользователям запрещается доступ к развертыванию, которое использует Remote Credential Guard с несколькими брокерами подключений к удаленному рабочему столу

Эта проблема возникает в развертываниях с высоким уровнем доступности, в которых используются не менее двух брокеров подключений к удаленному рабочему столу и Remote Credential Guard в Защитнике Windows. Пользователям не удается войти на удаленные рабочие столы.

Эта проблема связана с тем, что Remote Credential Guard использует Kerberos для проверки подлинности, а также запрещает использовать NTLM. Но в конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеры подключений к удаленному рабочему столу не могут поддерживать операции Kerberos.

Если нужно использовать конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеров подключений к удаленному рабочему столу, эту проблему можно устранить, отключив Remote Credential Guard. Дополнительные сведения об управлении Remote Credential Guard в Защитнике Windows см. в статье Protect Remote Desktop credentials with Windows Defender Remote Credential Guard (Защита учетных данных удаленного рабочего стола с помощью Remote Credential Guard в Защитнике Windows).

Источник

Системный администратор ограничил время в течение которого можно войти в систему

Этот форум закрыт. Спасибо за участие!

Лучший отвечающий

Вопрос

Имеется домен на 2008 р2. Имеются «семерки» члены домена. Имеется проблема следующего характера.

Если подключаться к ЛЮБОЙ машине по имени с сохранением учетных данных локально (Чтобы пароль не вводить) все ок (то есть мклиент в домене хост тоже).

Если-же подключаться по айпи, или же по имени но не к члену домена то выдает фигу со словами: системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера «тест.тест.ком» так как его подлинность проверена не полностью. Введите новые учетные данные. Попытка входа неудачная. Причем если подключаться к этому же хосту, но с машинке не участвующем в домене, все ок. Предполагаю что проблема зарыта все таки в политиках. я обрыл довольно много и не раз. В основном административные шаблоны\ служба удал. раб. столов. Но не помогает. Помогите плиз с проблемой.

Ответы

Если компьютер находится в домене, при подключении к удаленному компьютеру сохранение учетных данных по умолчанию запрещено. Однако это поведение можно изменить.

Для выполнения этих действий необходимо войти в систему с правами администратора.

Источник