Tags: RDS, RDP, Gruppenrichtlinien, Registry
Das Remotedesktop-Feature kann sehr komfortabel per GPO aktiviert werden. Wenn jedoch zusätzliche Einstellungen getroffen werden sollen oder das System keiner Domäne angehört, dann bieten Windows-Clients und Server, die keine RDS-Rolle installiert haben, kaum Möglichkeiten, den Remotezugriff anzupassen.
Aktiviert man den Remote-Zugriff interaktiv über die Systemsteuerung oder die App Einstellungen, dann kann man gleich auch User berechtigen und Network Level Authentication (NLA) einschalten. Darüber hinausgehende Optionen gibt es nicht.
Bei Server 2008 R2 gab es noch die Möglichkeit, den Zugriff via Management-Konsole (tsconfig.msc), und zwar auch für den Client, detailliert anzupassen.
Seit Server 2012 fehlt diese jedoch. Unter neueren Systemen muss man für diesen Zweck lokale Gruppenrichtlinien nutzen oder die erforderlichen Werte in der Registry direkt setzen.
Variante #1: Lokale Richtlinien
Mit den lokalen Richtlinien (gpedit.msc) kann man wie bei den AD-basierten Gruppenrichtlinien die Einstellungen auf dem Rechner konfigurieren.
Unter Computerkonfiguration => Administrative Vorlagen => Windows Komponenten finden sich die Remotedesktopdienste. Dort öffnet man den Zweig Remotedesktopsitzungs-Host => Verbindungen.
Um Verbindungen zu erlauben, konfiguriert man die Einstellungen Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen ("Allow users to connect remotely by using Remote Desktop Services").
Aktiviert ("Enabled") aktiviert die Regel. Nicht konfiguriert oder Deaktiviert schaltet sie aus und somit ist auch der Remote Zugriff wieder in der Standardeinstellung, nämlich nicht aktiviert.
Die konfigurierte Einstellung ist anschließend in der Systemsteuerung und der App Einstellungen ausgegraut und kann über die Bedienungsoberfläche nicht mehr geändert werden. Die Regel greift wie bei den Gruppenrichtlinien sofort, das erzwungene Anwenden via gpupdate entfällt.
Über Regeln in den folgenden Ordnern können sehr detailliert Einstellungen vorgenommen werden.
Damit die Windows Firewall die Verbindung nicht blockiert, muss man im zuständigen Netzwerkprofilordner die Regel Windows Firewall: Eingehende Remotedesktopausnahmen zulassen aktivieren.
Variante #2: Registry
Über die Registry besteht ebenfalls die Möglichkeit, die Remotedesktop-Verbindungen anzupassen. Dies erfolgt in dem CurrentControlSet, welches vom System als Default verwendet wird.
Unter HKLM\System\CurrentControlSet\Control\Terminal Server befindet sich der Wert fDenyTSConnections, welcher den Zugriff regelt.
Zusätzlich sollte der Wert fEnableWinStation auf 1 gesetzt werden.
Nicht alle Werte werden von allen Windows-Versionen unterstützt. Einige interessante Parameter, über die grundlegende Funktionen angepasst werden können, sind folgende:
Value Names (DWORD) | Description |
---|---|
ColorDepth | Einstellung zur Farbtiefe |
fAutoClientDrives | Automatisches Verbinden von Clientlaufwerken während der Anmeldung |
fAutoClientLpts | Automatisches Verbinden von Client-Drucker während der Anmeldung |
fDisableCam | Deaktiviert die Umleitung der Audiowiedergabe |
fDisableCcm | Deaktiviert die Umleitung des COM Ports |
fDisableCdm | Deaktiviert die Umleitung der Clientlaufwerke |
fDisableClip | Deaktiviert die gemeinsame Verwendung der Zwischenablage |
fDisableCpm | Deaktiviert die Umleitung der Client-Drucker |
fForceClientLptDef | Verwende bei Druckerumleitung den Clientdrucker als Standard |
fInheritColorDepth | Bei eingeschaltet (1) wird die Einstellung der Farbtiefe nicht vom Server übernommen sondern von anderen Quellen wie dem Client. Bei ausgeschalten (0) wird die Einstellung des Werts ColorDepth verwendet. |
fInheritMaxDisconnectionTime | Bei eingeschaltet (1) wird die maximale Zeit für getrennte Sitzungen nicht vom Server übernommen sondern von anderen Quellen wie dem Client. Bei ausgeschalten (0) wird die Zeitangabe des Werts MaxDisconnectionTime verwendet. |
fInheritMaxIdleTime | Bei eingeschaltet (1) wird die Einstellung der maximalen Zeit für aktive (aber im Leerlauf befindene) Sitzungen nicht vom Server übernommen sondern von anderen Quellen wie dem Client. Bei ausgeschalten (0) wird die Einstellung des Werts MaxIdleTime verwendet. |
fInheritMaxSessionTime | Bei eingeschaltet (1) wird die Einstellung der maximalen Zeit für aktive Sitzungen nicht vom Server übernommen sondern von anderen Quellen wie dem Client. Bei ausgeschalten (0) wird die Einstellung des Werts MaxConnectionTime verwendet. |
fPromptForPassword | Definiert, ob die automatische Anmeldung mit gespeicherten Anmeldedaten zulässig ist. |
MaxConnectionTime | Definiert die maximale Verbindungszeit (Angabe in ms) einer aktiven Remotedesktop-Sitzung. Nach Ablauf der Zeit besteht noch 120 Sekunden die Möglichkeit die Trennung zu verhindern. Gültige Werte liegen zwischen "0" (deaktiviert) und "432000000" (5 Tage). Damit der Wert berücksichtigt wird muss fInheritMaxSessionTime auf 0 eingestellt sein. |
MaxDisconnectionTime | Definiert die maximale getrennte Verbindungszeit (Angabe in ms) bevor die Sitzung abgemeldet wird. Maximum time in seconds after which disconnected sessions are ended. This value becomes effective only if you set the fInheritMaxDisconnectionTime flag to 0. |
MaxIdleTime | Definiert die maximale Verbindungszeit (Angabe in ms) für aktive Remotedesktop-Sitzungen, die sich im Leerlauf befinden, da keine Interaktion erfolgt. Nach Ablauf der Zeit besteht noch 120 Sekunden die Möglichkeit die Trennung zu verhindern. Gültige Werte liegen zwischen "0" (deaktiviert) und "432000000" (5 Tage). Damit der Wert berücksichtigt wird muss fInheritMaxIdleTime auf 0 eingestellt sein. |
PortNumber | Definiert den Port für RDP Verbindungen. Nach Ändern des Wertes muss die Remote Desktop neugestartet werden, damit der neue Wert aktiv ist. Standardwert ist 3398. |
Generelle Einschränkung
Ob Remotedesktop-Verbindungen zur Verfügung stehen und wie viele Sessions gleichzeitig betrieben werden können, hängt vom Betriebssystem und dessen Version ab. So eignet sich Windows 10 Home gar nicht als RDP-Host, Windows 10 Pro und Enterprise erlauben eine einzelne Verbindung und Server-Betriebssysteme zwei gleichzeitige Sitzungen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Benjamin Bürk ist Senior Systems Engineer und betreut seit 2002 IT-Infrastrukturen von Unternehmen. Sein Schwerpunkt liegt im Aufbau und Betrieb von Server-Systemen und Microsoft 365-Umgebungen. Er ist ITIL4 Foundation, dreifach als MCSA sowie als MCSE Productivity zertifiziert..
// E-Mail, LinkedIn, Podcast //
Ähnliche Beiträge
- Remotedesktop in Windows 11 und Server 2022 aktivieren (GUI, WAC, WMI, GPO)
- RDP-Client und RD Web Access für RD Gateway konfigurieren
- iPhone oder iPad mit Remote Desktop auf Windows-PCs verbinden
- Azure Virtual Desktop und Windows 365 unterstützen nun Multimedia Redirection
- Rangee Browser Redirection: Web-Seiten aus dem Remotedesktop auf lokalen Browser umleiten
Weitere Links