Разрешить неадминистративным пользователям RDP-доступ к Windows Server

at0mSec

По умолчанию RDP-доступ к рабочему столу серверов-членов Windows Server или контроллеров домена Active Directory ограничивается пользователями, добавленными в локальный Администраторы или Администраторы домена группы. В этой статье мы покажем вам, как предоставить неадминистративным пользователям RDP-доступ к узлам Windows Server или контроллерам домена, не назначая им права локального администратора.

 

Содержание:

По умолчанию параметры безопасности Windows позволяют удаленному пользователю создавать RDP-соединения через службы удаленных рабочих столов (TermService), если:

  • Пользователь является членом локального Администраторы или Пользователи удаленного рабочего стола группа;
  • Местный Разрешите вход в систему через службы удаленных рабочих столов политика разрешает пользователю подключаться.

Для удаленного входа необходимо право входа через службы удаленных рабочих столов

Пользователь получает ошибку при попытке удаленного подключения к рабочему столу Windows Server:

To sign in remotely, you need the right to sign in Remote Desktop Services. By default only members of the Administrators group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from Administrators group, you need to be granted this right manually.

Для удаленного входа в систему необходимо право входа в службы удаленных рабочих столовЧтобы войти в систему удаленно, необходимо право на вход в службы удаленных рабочих столов

Если в настройках RDP на удаленном узле включена аутентификация на сетевом уровне (NLA), при подключении возникает другая ошибка:

The connection was denied because the user account is not authorized for remote login.

Соединение было отклонено, поскольку учетная запись пользователя не авторизована Соединение было отклонено, поскольку учетная запись пользователя не авторизована

В этом случае нужно просто добавить пользователя в локальную Пользователи удаленного рабочего стола группу, чтобы разрешить им подключаться к Windows Server через RDP:

  1. Откройте оснастку MMC «Локальные пользователи и группы» (lusrmgr.msc) и перейдите в раздел Группы;
  2. Дважды щелкните Пользователи удаленного рабочего стола группа;
  3. Нажмите кнопку Добавить и введите имя пользователя (или группы), которому вы хотите предоставить доступ к RDP;добавить пользователя в локальную группу пользователей удаленного рабочего столадобавить пользователя в локальную группу пользователей удаленного рабочего стола
  4. После этого пользователи могут подключаться к хосту Windows через RDP.

Также можно добавить пользователя в группу доступа RDP из командной строки:

net localgroup "Remote Desktop Users" /add woshub\testuser

или с помощью PowerShell:

Add-LocalGroupMember -Group "Remote Desktop Users" -Member testuser

Составьте список пользователей в группе «Пользователи удаленных рабочих столов»:

Get-LocalGroupMember -Group 'Remote Desktop Users'

powershell - list remote desktop users group membershippowershell - list remote desktop users group membership

Аналогичным образом можно предоставить пользователям RDP-доступ к рабочим станциям Windows 10 или 11 (не забудьте включить RDP на этих устройствах).

По умолчанию Windows Server разрешает два одновременных сеанса Remote Desktop. Это означает, что два пользователя могут одновременно работать в своих собственных сеансах Remote Desktop. Если вам нужно больше одновременных RDP-соединений, необходимо приобрести и активировать лицензии (RDP CALs) на сервере лицензий RDS и установить роль Remote Desktop Services (это может быть отдельный сервер RDSH или целая ферма RDS, состоящая из нескольких хостов).

Вы можете использовать RDS Collections для предоставления удаленного доступа к рабочему столу в RDS-ферме. Открыть Сервер Менеджер -> Службы удаленных рабочих столов —> Задачи -> Редактирование свойств развертывания.

Откройте коллекцию и Группа пользователей в разделе будет перечислена группа безопасности, которой разрешено подключаться к хостам RDSH в этой коллекции.

Коллекция RDS - предоставление доступа к RDSHКоллекция RDS - предоставление доступа к RDSH

Разрешить RDP-доступ к контроллеру домена для пользователя, не являющегося администратором

Если вам нужно предоставить обычному (не администратору) пользователю удаленный доступ к рабочему столу контроллера домена, описанный выше метод не сработает.

После повышения роли сервера до контроллера домена Active Directory вы не можете управлять локальными пользователями и группами из оснастки Computer Management MMC. При попытке открыть оснастку Локальные пользователи и группы консоль (lusrmgr.msc), появляется следующая ошибка:

The computer xxx is a domain controller. This snip-in cannot be used on a domain controller. Domain accounts are managed with the Active Directory Users and Computers snap-in.

Компьютер xxx является контроллером домена. Эту оснастку нельзя использовать на контроллере домена. Учетные записи домена управляются с помощью оснастки Active Directory Users and Computers.Компьютер xxx является контроллером домена. Эту оснастку нельзя использовать на контроллере домена. Учетные записи домена управляются с помощью оснастки Active Directory Users and Computers.

Как видите, на контроллере домена нет локальных групп. Вместо локальной группы Пользователи удаленного рабочего стола, DC использует встроенную доменную группу Пользователи удаленных рабочих столов (находится в Builtin контейнер). Управлять этой группой можно с консоли ADUC или из командной строки DC.

встроенная в домен группа Пользователи удаленных рабочих столоввстроенная в домен группа Пользователи удаленных рабочих столов

Однако не рекомендуется использовать эту группу для предоставления доступа к Remote Desktop, поскольку в этом случае пользователь получит доступ ко всем DC в домене. В этом случае лучше предоставлять разрешения с помощью группы Разрешить вход в систему через службы удаленных рабочих столов политика.

Многие могут резонно спросить, зачем неадминистраторам нужен удаленный доступ к рабочему столу DC. Действительно, в малых и средних инфраструктурах, где вся инфраструктура управляется несколькими администраторами с правами администратора домена, в этом вряд ли возникнет необходимость. В большинстве случаев достаточно делегировать некоторые административные полномочия в Active Directory или использовать PowerShell Just Enough Administration (JEA).Однако в крупных корпоративных сетях с большим количеством сотрудников часто необходимо предоставить RDP-доступ к DC (обычно к филиалам DC или RODC) для различных групп администраторов серверов, дежурных администраторов или другого технического персонала. Бывают также ситуации, когда на DC развернуты службы сторонних производителей, управляемые не администраторами домена, и возникает необходимость в поддержке этих служб.

Как разрешить вход в систему через службы удаленных рабочих столов?

Чтобы разрешить пользователю или группе пользователей домена удаленно подключаться к Windows через RDP, вы должны предоставить им право SeRemoteInteractiveLogonRight привилегию. Предоставить это право можно с помощью команды Разрешить вход в систему через службы удаленных рабочих столов политика.

Политика называется Разрешить вход в систему через службы терминалов в Windows Server 2003 и более ранних версиях.

Чтобы разрешить удаленное подключение к контроллерам домена для членов группы Remote Desktop Users, необходимо изменить параметры этой политики на контроллере домена:

  1. Откройте редактор локальной групповой политики (gpedit.msc);
  2. Перейдите к разделу GPO Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователей;
  3. Найти политику Разрешить вход в систему через службы удаленных рабочих столов;
    После повышения сервера до DC единственной группой, которая остается в этой локальной политике, является Администраторы группа (это администраторы домена).
  4. Отредактируйте политику и добавьте пользователя или группу домена напрямую (domain\CA_Server_Admins) в нее;групповая политика: Разрешить вход в систему через службы удаленных рабочих столов групповая политика: Разрешить вход в систему через службы удаленных рабочих столов
  5. Обновите параметры локальной групповой политики на DC с помощью команды: : gpupdate /force

Обратите внимание, что группа, которую вы добавили в Разрешить вход в систему через службы удаленных рабочих столов политика не должна присутствовать в «Запрет входа в систему через службы удаленных рабочих столов«, поскольку она имеет более высокий приоритет (см. статью Блокировать удаленный доступ под локальными учетными записями пользователей). Кроме того, если вы ограничиваете список компьютеров, на которых пользователи могут входить в систему, вы должны добавить имя сервера в свойства учетной записи пользователя в AD (атрибут пользователя LogonWorkstations).

Примечание. Чтобы пользователи могли входить в DC локально (через консоль сервера), их учетная запись или группа также должна быть добавлена в список «Разрешить локальный вход». политика. По умолчанию это разрешение имеют следующие встроенные доменные группы:

  • Операторы резервного копирования
  • Администраторы
  • Операторы печати
  • Операторы сервера
  • Операторы учетных записей

Если этого не сделать, то при попытке подключиться к Remote Desktop вы получите сообщение об ошибке: Метод входа, который вы пытаетесь использовать, не разрешен.

Чтобы упростить работу, можно создать новую группу безопасности в домене, например AllowDCLogin. Далее добавьте в политику учетные записи, которым нужно разрешить удаленный доступ к DC. Если вам нужно разрешить доступ ко всем контроллерам домена AD сразу, вместо того чтобы редактировать локальную политику на каждом DC, лучше добавить группу пользователей в Политика контроллеров домена по умолчанию с помощью консоли управления групповой политикой (GPMC.msc). Отредактируйте элемент политики Разрешить вход в систему через службы удаленных рабочих столов в разделе Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

Предупреждение. Если вы измените политику контроллеров домена по умолчанию, не забудьте добавить в нее группу администраторов домена/предприятия Разрешить вход в систему через службы удаленных рабочих столов, иначе они потеряют удаленный доступ к DC.

политика контроллера домена по умолчанию: разрешить вход в систему через rdpполитика контроллера домена по умолчанию: разрешить вход в систему через rdp

Пользователи, которых вы добавили в политику, теперь смогут подключаться к рабочему столу контроллера домена AD по RDP.

Если вам нужно разрешить пользователям, не являющимся администраторами, запускать/останавливать определенные службы на DC, воспользуйтесь следующим руководством.

Запрашиваемый доступ к сеансу RDP запрещен

В некоторых случаях вы можете получить следующую ошибку при использовании RDP для подключения к узлу члена домена Windows Server или контроллеру домена:

The requested session access is denied.

запрошенный доступ к сеансу rdp запрещензапрашиваемый доступ к сеансу rdp запрещен

При подключении к DC с использованием учетной записи, не являющейся администратором, могут возникнуть следующие проблемы:

  • Вы пытаетесь подключиться к консоли сервера (используя mstsc /admin режим). Этот режим подключения разрешен только администраторам. Попытайтесь подключиться к серверу с помощью клиента mstsc.exe в обычном режиме RDP (без /admin опции);
  • Возможно, на хосте уже есть два активных сеанса RDP (По умолчанию к серверу Windows Server без развернутой роли RDS может подключаться не более двух одновременных сеансов RDP). Получить список активных сеансов и вошедших в систему пользователей на удаленном компьютере можно с помощью команды:
    qwinsta /server:dc01
    Вы не можете завершать сеансы других пользователей без прав администратора. Вы должны дождаться разрешения администратора на освобождение или завершение сеанса;
  • На хосте Windows Server включен режим ограниченного администратора или Windows Defender Remote Credential Guard

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *