Словил ошибку при попытке подключения к контроллеру домена:
Ограничение для учётной записи пользователя (например, ограничение на время подключения) не позволяет войти в систему. Обратитесь за помощь к системному администратору или в службу технической поддержки.
Проблема проявлялась при попытке подключения с компьютера не в домене. Подключение пользователя из группы Protected Users.
Protected Users — глобальная группа безопасности в Active Directory, предназначенная для защиты от атак кражи учётных данных. Введена в Windows Server 2012 R2 и более поздних версиях Active Directory.
Логи копали глубоко и долго, ничего, что могло бы указать на проблему, не нашли. С доменного компа подключается без проблем. Обычный пользователь, не входящий в защищённую группу, тоже подключается. Понятно, что проблема где-то в Kerberos.
А затем нашли обходной путь, с помощью которого пользователь спокойно подключился по RDP. Всего-то использовали другой формат имени пользователя. Вместо:
domain\usernameиспользовали:
username@domain.localИ что это было?
