RDP — ограничение для учётной записи пользователя

Словил ошибку при попытке подключения к контроллеру домена:

Ограничение для учётной записи пользователя (например, ограничение на время подключения) не позволяет войти в систему. Обратитесь за помощь к системному администратору или в службу технической поддержки.

Проблема проявлялась при попытке подключения с компьютера не в домене. Подключение пользователя из группы Protected Users.

Protected Users — глобальная группа безопасности в Active Directory, предназначенная для защиты от атак кражи учётных данных. Введена в Windows Server 2012 R2 и более поздних версиях Active Directory.

Логи копали глубоко и долго, ничего, что могло бы указать на проблему, не нашли. С доменного компа подключается без проблем. Обычный пользователь, не входящий в защищённую группу, тоже подключается. Понятно, что проблема где-то в Kerberos.

А затем нашли обходной путь, с помощью которого пользователь спокойно подключился по RDP. Всего-то использовали другой формат имени пользователя. Вместо:

domain\username

использовали:

username@domain.local

И что это было?

Источник:

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.