Разрешение файла ТУЗЫ, показывающие как SIDs после восстановления NTBACKUP
- Запустите-> Средства администрирования-> Службы удаленных рабочих столов-> Конфигурация Служб удаленных рабочих столов
- Щелкните правой кнопкой по RDP-Tcp и выберите Properties
- Значения по умолчанию "Уровня безопасности" для "Согласовывания" и должны быть изменены на "SSL (TLS 1.0)"
- "Уровень шифрования" должен быть установлен на "Высокий" или "Совместимый FIPS"
Ссылка: http://technet.microsoft.com/en-us/library/cc782610 (WS.10) .aspx
править: Статья Microsoft Technet указывает, что TLS не может быть включен через Групповую политику. Однако я сделал некоторое экспериментирование с Process Monitor и Regedit и решил, что можно изменить эти настройки путем устанавливания соответствующих значений реестра, следующим образом.
Установить Минимальный Уровень шифрования на "Высоко" вместо "Совместимого Клиента":
Значение HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\MinEncryptionLevel REG_DWORD: 3
Для установки Уровня безопасности на "SSL (TLS 1.0)" вместо, "Согласуйте":
HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer
Значение REG_DWORD: 2
Эта строка представляет собой идентификатор безопасности , также известный как SID. Каждый участник безопасности в Active Directory (пользователи, компьютеры, группы и т. Д.) Имеет один. При нормальных обстоятельствах Windows будет связываться с контроллером домена, чтобы запросить имя для SID, когда вы просматриваете списки ACL разрешений, и вы увидите имя пользователя, например YOURDOMAIN \ username.
Типичные причины отображения SID вместо имени пользователя / группы / компьютера (в порядке убывания вероятности):
- SID принадлежал участнику безопасности, который был удален.
- A Связаться с DC невозможно по какой-то причине. В вашей среде SBS это маловероятно. Кроме того, если бы это было причиной, вы бы увидели, что все ACE используют SID, а не понятное имя, а не только некоторые.
- SID принадлежит участнику безопасности (пользователю и т. Д.). ) в удаленном доверенном лесу и возникают проблемы с подключением. У меня нет большого опыта работы с SBS, поэтому это может быть даже невозможно.