Einstellungen für Remotedesktop über lokale Richtlinien oder Registry konfigurieren

    Konfiguration von Remotedesktop-Einstellungen unter Server 2088 R2Das Remotedesktop-Feature kann sehr kom­fortabel per GPO aktiviert werden. Wenn jedoch zusätz­liche Einstel­lungen ge­troffen werden sollen oder das Sys­tem keiner Domäne ange­hört, dann bieten Windows-Clients und Server, die keine RDS-Rolle instal­liert haben, kaum Möglich­keiten, den Remote­zugriff anzupassen.

    Aktiviert man den Remote-Zugriff interaktiv über die System­steuerung oder die App Einstellungen, dann kann man gleich auch User berechtigen und Network Level Authentication (NLA) einschalten. Darüber hinausgehende Optionen gibt es nicht.

    Über die Systemsteuerung kann man Remotedesktop aktivieren, NLA erzwingen und User für das Feature berechtigen.

    Bei Server 2008 R2 gab es noch die Möglichkeit, den Zugriff via Management-Konsole (tsconfig.msc), und zwar auch für den Client, detailliert anzupassen.

    Unter Windows Server 2008 R2 ließen sich weitere Einstelllungen für Remotedesktop über die GUI konfigurieren.

    Seit Server 2012 fehlt diese jedoch. Unter neueren Systemen muss man für diesen Zweck lokale Gruppen­richtlinien nutzen oder die erfor­derlichen Werte in der Registry direkt setzen.

    Variante #1: Lokale Richtlinien

    Mit den lokalen Richtlinien (gpedit.msc) kann man wie bei den AD-basierten Gruppen­richtlinien die Einstellungen auf dem Rechner konfigurieren.

    Unter Computerkonfiguration => Administrative Vorlagen => Windows Komponenten finden sich die Remotedesktopdienste. Dort öffnet man den Zweig Remotedesktopsitzungs-Host => Verbindungen.

    Die Einstellung zur Aktivierung von Remotedesktop findet sich nur in der Computerkonfiguration.

    Um Verbindungen zu erlauben, konfiguriert man die Einstellungen Remote­ver­bindungen für Benutzer mithilfe der Remote­desktop­dienste zulassen ("Allow users to connect remotely by using Remote Desktop Services").

    Einstellung zur Aktivierung von Remotedesktop in den lokalen Gruppenrichtlinien

    Aktiviert ("Enabled") aktiviert die Regel. Nicht konfiguriert oder Deaktiviert schaltet sie aus und somit ist auch der Remote Zugriff wieder in der Standard­einstellung, nämlich nicht aktiviert.

    Remotedesktop lässt sich nicht mehr über die GUI verwalten, sobald das Feature über Gruppenrichtlinien konfiguriert wurde.

    Die konfigurierte Einstellung ist anschließend in der System­steuerung und der App Einstellungen ausgegraut und kann über die Bedienungs­oberfläche nicht mehr geändert werden. Die Regel greift wie bei den Gruppen­richtlinien sofort, das erzwungene Anwenden via gpupdate entfällt.

    Über Regeln in den folgenden Ordnern können sehr detailliert Einstellungen vorgenommen werden. 

    GPO-Einstellungen für Remotedesktop

    Damit die Windows Firewall die Verbindung nicht blockiert, muss man im zuständigen Netzwerk­profilordner die Regel Windows Firewall: Eingehende Remotedesktopausnahmen zulassen aktivieren.

    Die Ausnahme für Remotedesktop in der Firewall erstellt man ebenfalls über Gruppenrichtlinien.

    Variante #2: Registry

    Über die Registry besteht ebenfalls die Möglich­keit, die Remotedesktop-Verbindungen anzupassen. Dies erfolgt in dem CurrentControlSet, welches vom System als Default verwendet wird.

    Unter HKLM\System\CurrentControlSet\Control\Terminal Server befindet sich der Wert fDenyTSConnections, welcher den Zugriff regelt.

    Einstellung zur Aktivierung von Remotedesktop in der Registry

    Zusätzlich sollte der Wert fEnableWinStation auf 1 gesetzt werden.

    Um Remotedesktop über die Registry zu aktivieren, muss man noch einen zweiten Wert setzen.

    Nicht alle Werte werden von allen Windows-Versionen unterstützt. Einige interessante Parameter, über die grund­legende Funktionen angepasst werden können, sind folgende:

    Value Names (DWORD)Description
    ColorDepth Einstellung zur Farbtiefe
    fAutoClientDrives Automatisches Verbinden von Clientlaufwerken während der Anmeldung
    fAutoClientLpts Automatisches Verbinden von Client-Drucker während der Anmeldung
    fDisableCam Deaktiviert die Umleitung der Audiowiedergabe
    fDisableCcm Deaktiviert die Umleitung des COM Ports
    fDisableCdm Deaktiviert die Umleitung der Clientlaufwerke
    fDisableClip Deaktiviert die gemeinsame Verwendung der Zwischenablage
    fDisableCpm Deaktiviert die Umleitung der Client-Drucker
    fForceClientLptDef Verwende bei Druckerumleitung den Clientdrucker als Standard
    fInheritColorDepth Bei eingeschaltet (1) wird die Einstellung der Farbtiefe nicht vom Server übernommen sondern von anderen Quellen wie dem Client. Bei ausgeschalten (0) wird die Einstellung des Werts ColorDepth verwendet.
    fInheritMaxDisconnectionTime Bei eingeschaltet (1) wird die maximale Zeit für getrennte Sitzungen nicht vom Server übernommen sondern von anderen Quellen wie dem Client. Bei ausgeschalten (0) wird die Zeitangabe des Werts MaxDisconnectionTime verwendet.
    fInheritMaxIdleTime Bei eingeschaltet (1) wird die Einstellung der maximalen Zeit für aktive (aber im Leerlauf befindene) Sitzungen nicht vom Server übernommen sondern von anderen Quellen wie dem Client. Bei ausgeschalten (0) wird die Einstellung des Werts MaxIdleTime verwendet.
    fInheritMaxSessionTime Bei eingeschaltet (1) wird die Einstellung der maximalen Zeit für aktive Sitzungen nicht vom Server übernommen sondern von anderen Quellen wie dem Client. Bei ausgeschalten (0) wird die Einstellung des Werts MaxConnectionTime verwendet.
    fPromptForPassword Definiert, ob die automatische Anmeldung mit gespeicherten Anmeldedaten zulässig ist. 
    MaxConnectionTime Definiert die maximale Verbindungszeit (Angabe in ms) einer aktiven Remotedesktop-Sitzung. Nach Ablauf der Zeit besteht noch 120 Sekunden die Möglichkeit die Trennung zu verhindern. Gültige Werte liegen zwischen "0" (deaktiviert) und "432000000" (5 Tage).  Damit der Wert berücksichtigt wird muss fInheritMaxSessionTime auf 0 eingestellt sein.
    MaxDisconnectionTime Definiert die maximale getrennte Verbindungszeit (Angabe in ms) bevor die Sitzung abgemeldet wird. Maximum time in seconds after which disconnected sessions are ended. This value becomes effective only if you set the fInheritMaxDisconnectionTime flag to 0.
    MaxIdleTime Definiert die maximale Verbindungszeit (Angabe in ms) für aktive Remotedesktop-Sitzungen, die sich im Leerlauf befinden, da keine Interaktion erfolgt. Nach Ablauf der Zeit besteht noch 120 Sekunden die Möglichkeit die Trennung zu verhindern. Gültige Werte liegen zwischen "0" (deaktiviert) und "432000000" (5 Tage).  Damit der Wert berücksichtigt wird muss fInheritMaxIdleTime auf 0 eingestellt sein.
    PortNumber Definiert den Port für RDP Verbindungen. Nach Ändern des Wertes muss die Remote Desktop neugestartet werden, damit der neue Wert aktiv ist. Standardwert ist 3398.

    Generelle Einschränkung

    Ob Remotedesktop-Verbindungen zur Verfügung stehen und wie viele Sessions gleichzeitig betrieben werden können, hängt vom Betriebs­system und dessen Version ab. So eignet sich Windows 10 Home gar nicht als RDP-Host, Windows 10 Pro und Enterprise erlauben eine einzelne Verbindung und Server-Betriebs­systeme zwei gleichzeitige Sitzungen.

    Keine Kommentare