Как разрешить локальный вход в машину с AD ?
 

У меня нет особо вариантов в данном случае завиртуалить AD. Пришлось подымать его на основном сервере.
Как можно пусть локального пользователя (не администратора) в систему? Пользователи по rdp работают, а локально войт нет возможности не у кого, кроме администратора.
Я в групповых политиках нашёл это:



Видно, что возможность добавить пользователя, у которого имеется возможность локального входа в систему отсутствует. Как это поправить?

Я бы так не стал делать.

Правится в GPO, не через оснастку "Управление групповой политикой" в "Панель управления\Система и безопасность\Администрирование" (оснастку предварительно нужно установить).
То что вы показали это оснастка локальной политики ПК. При создании домена, первостепенную важность несёт именно доменная политика, т.к. она перекрывает локальную.

P.S. Крайне не рекомендую Вам пускать пользователей на КД. Озвучки лучше проблему полностью (в месте с имеющимися ресурсами) и вполне вероятно, что можно будет сделать более безопасные настройки для решения вопроса.

На компьютерах нет локальных учеток только доменные?
Создайте на рабочих станциях лок учетки: имя_хост1\имя_юзера1, дайте им права для удаленного захода на свой имя_хост, будут логинится по РДП с этой учеткой.
Как они будут получать доступы к доменным ресурсам история отдельная.

А зачем вам это? Может оно проще может быть реализовано.

По сути, сервер находится в помещении, где работает один сотрудник. Нужно дать ему возможность заходить локально с одной лишь целью. Браузер + офисное ПО. Больше ничего ему не нужно. Т.е. никаких прав, кроме использования базовых офисных средств ему не нужно. Как я понимаю, здесь нет ничего опасного.

Опасного да, но работа пользователя (не администратора) на КД априори не безопасна, по причине не компетентности пользователя, т.к. высока вероятность того что пользователь запустит какой-то экплойт (намеренно или не намеренно это уже другой вопрос) и вы потеряете всё и сразу.

Если Вам позволяет система, то поставьте роль Hyper-V и установите VM и уж в неё пускайте кого хотите.

На контроллере домена нет и не может быть локальных учётных записей.

Понял. Благодарю за ответы. Буду знать..

и как вы предлагаете локальную консоль (экран, мышь, клавиатура) пробрасывать в ВМ?

Локальная консоль рабочего станции пользователя пробрасывается так же как и всегда для RDP.

Там изначально не совсем правильно реализовано. Всё в одном. И 1С на этом сервере и AD. Как ни крути, хост сам по себе является доменом. ПОтому не поможет Hyper-V. Разве что позже переустановить всё. Чтобы хост был голой системой. Отдельно виртуализовать AD. Тогда всё будет как нужно. В моём случае локально вход осуществляется сразу в домен, на машине о которой я говорю. Поэтому вариант с Hyper-V не катит..

Я бы сказал что это стандартная ситуация для небольших компаний.

Ну зачем же так, я же Вам писал поставьте роль Hyper-V на текущую систему, создайте VM и перетащите на VM RDP и 1С, введите эту VM в домен и удалите лишнее с AD. Делов-то... :blind:

Anton04, не надо повторять одну и ту же глупость дважды:
чтобы пользователь локально попал в VM ему всё равно надо логиниться на физическом хосте, который по вашему рецепту всё так же является контроллером домена

Тогда уж надо контроллер домена переселять в ВМ, на хост/гипервизор логиниться рядовым пользователем. Мне эта идея не нравится, но по крайней мере она решает затруднения топикстартера.

Цитата:

Цитата Busla не надо повторять одну и ту же глупость дважды »

Да же обидно как-то... но я не вижу тут глупости ну ни на грошь...

Зачем ему логинится на физ. хосте!? На физ. хосте будет только AD+DNS+Hyper-V. Пользователь вообще не будет знать о наличии ПК с AD и коннектится он будет напрямую в VM по RDP.

По моему это вы коллега что-то путаете... :tomato2:

Anton04, прочитайте внимательно топик:
а так же внимательно прочитайте то, что конкретно вам на ваш вопрос ответил топикстартер:

Можно добавить этого пользователя в группу "Операторы печати" и локально он сможет входить и даже принтеры сможет устанавливать и настраивать