Remotedesktop in Windows 11 und Server 2022 aktivieren (GUI, WAC, WMI, GPO)


    Tags: , , , ,

    Nativer RDP-Client für WindowsRemotedesktop ist die bevorzugte Technik für den inter­aktiven Fern­zugriff auf Windows-Rechner. Das Feature ist per Vor­einstellung deaktiviert und lässt sich über verschiedene Methoden ein­schalten. Dazu zählen die App Einstellungen, die Gruppen­richt­linien, das Windows Admin Center und WMI mittels PowerShell.

    Wie in früheren Versionen muss ein PC auch bei Windows 11 die Editionen Pro oder Enterprise ausführen, damit man eine Remotedesktop-Verbindung zu ihm aufbauen kann. Dagegen kann man von allen Editionen auf einen Remotedesktop zugreifen, die RDP-Clients sind auch für die Home-Ausführung verfügbar.

    Die Lizenz für Windows 11 lässt nur eine RDP-Verbindung mit einem Rechner zu. Der Desktop eines lokal angemeldeten Benutzers wird gesperrt, sobald sich ein User remote mit dem System verbindet.

    Unter Windows Server sind hingegen zwei gleichzeitige Remotedesktop-Sessions für administrative Aufgaben zulässig, eine Installation der Remote Desktop Services ist dafür nicht erforderlich. Das Vorgehen ist im Wesentlichen gleich wie für Windows 11.

    Erforderliche Berechtigungen

    Standardmäßig ist das Remotedesktop-Feature deaktiviert, so dass man es erst konfigurieren muss, um Zugriff auf einen Rechner zu erhalten. Dafür benötigt man administrative Berechtigungen.

    Das Gleiche gilt auch, wenn man von einem Client aus eine Remotedesktop-Sitzung aufbauen möchte. Ohne Admin-Rechte auf dem Zielrechner wird der Zugriff verweigert. Sollen auch andere User in den Genuss dieses Features kommen, dann muss man sie dort in die lokale Gruppe Remotedesktop­benutzer aufnehmen.

    Remotedesktop über GUI zulassen

    Seit Windows 10 1709 kann man Remotedesktop-Verbindungen über die App Einstellungen erlauben. Dies ist auch die bevorzugte Methode und die einzige, die in der Desktop-Suche von Windows 11 angezeigt wird.

    Die entsprechende Option findet sich unter System => Remotedesktop. Die App hat den gravierenden Nachteil, dass man sie nicht über runas mit erhöhten Rechten starten kann. Vielmehr müsste man sich erst als Admin in Windows einloggen, um Remotedesktop aktivieren zu können.

    In der App Einstellungen kann man Remotedesktop nur dann aktivieren, wenn man als Admin auf dem Rechner angemeldet ist.

    Anstatt sich ab- und erneut anzumelden, kann man für diese Aufgabe weiterhin das alte Applet aus der System­steuerung heranziehen. Dazu gibt man auf der Kommandozeile oder in der Suche sysdm.cpl ein. Nach dem Hochstufen der Berechtigungen lässt sich Remotedesktop im Tab Remote aktivieren.

    Das System-Applet aus der Systemsteuerung ist bei Windows 11 noch an Bord.

    Dort kann man dann gleich die Benutzer auswählen, die man in die Gruppe Remotedesktop­benutzer übernehmen möchte. Theoretisch bietet die App Einstellungen diese Option auch, praktisch landet man dann aber ebenfalls im Applet System­eigen­schaften.

    Die App Einstellungen öffnet den gleichen Dialog für das Hinzufügen von Benutzern wie das Applet Systemeigenschaften.

    Sowohl die App Einstellungen als auch die System­steuerung enthalten eine Checkbox, mit der man die Authentifizierung auf Netzwerkebene (NLA) aktiviert.

    Aktivierung über das Windows Admin Center

    Wenn man einen PC über das Windows Admin Center (WAC) verwaltet, dann findet sich dort ebenfalls eine GUI-Option, um den Zugriff per Remotedesktop zu erlauben. Sein Vorteil besteht darin, dass man die Konfiguration damit remote erledigen kann.

    Nachdem man sich mit dem Windows-11-PC verbunden hat, wechselt man zur Seite Einstellungen.

    Remotedesktop über die Einstellungen eines Rechners im Windows Admin Center aktivieren

    Dort findet sich der Link zu Remotedesktop, wobei der entsprechende Dialog die gleichen Ein­stellungen bietet wie den beiden anderen GUI-Optionen.

    Das Hinzufügen von Konten zur Gruppe Remotedesktop­benutzer ist über den separaten Menüpunkt Lokale Benutzer und Gruppen möglich.

    Remotedesktop über PowerShell aktivieren

    PowerShell bietet kein eigenes Cmdlet, um Remotedesktop ein- oder auszuschalten. Vielmehr muss man dafür WMI nutzen, was nicht nur lokal, sondern über den Parameter Computername auch remote funktioniert.

    Um den aktuellen Status zu erhalten, liest man die Eigenschaft AllowTSConnections aus:

    Get-CimInstance -Namespace "root\cimv2\TerminalServices" -Class win32_terminalservicesetting | select ServerName, AllowTSConnections

    Ist der Wert von AllowTSConnections 1, dann ist das Remotedesktop-Feature aktiv, bei 0 hingegen nicht.

    Um den Status von Remotedesktop zu ändern, ruft man die Funktion SetAllowTSConnections auf. Der erste Parameter lässt RDP-Verbindungen zu, wenn er Wert 1 hat, mit 0 blockiert man sie.

    Der zweite Parameter legt fest, ob auf dem Zielrechner die Firewall-Regeln für Remotedesktop angepasst werden sollen.

    $rd = Get-CimInstance -Namespace "root/cimv2/TerminalServices" `
    -ClassName "Win32_TerminalServiceSetting" -ComputerName <Remote-PC>

    $rd | Invoke-CimMethod -MethodName "SetAllowTSConnections" `
    -Arguments @{AllowTSConnections=1;ModifyFirewallException=1}

    Remotedesktop über PowerShell und WMI aktivieren

    Ein Rückgabewert von 0 bedeutet, dass die Operation erfolgreich war.

    Remotedesktop über GPO freischalten

    In zentral verwalteten Umgebungen wird man das Remotedesktop-Feature über Gruppen­richtlinien steuern.

    Die Einstellung zur Aktivierung von Remotedesktop findet sich im GPO-Editor unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktop­dienste => Remotedesktop­sitzungs-Host => Verbindungen.

    Gruppenrichtlinie zur Aktivierung von Remotedesktop-Verbindungen

    Sie heißt Remote­verbindungen für Benutzer mithilfe der Remotedesktop­dienste zulassen. Anders als ihr Name vermuten lässt, eignet sich diese Einstellung auch für Server ohne installierte RDS und Windows 10 / 11.

    Die Firewall-Regel für Remotedesktop muss man über eine weitere Einstellung explizit zulassen. Sie heißt Windows Firewall: Eingehende Remotedesktopausnahmen zulassen. Sie befindet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerk­verbindungen => Windows-Firewall => Domänenprofil.

    Die Ausnahme für Remotedesktop in der Firewall erstellt man ebenfalls über Gruppenrichtlinien.

    Fazit

    Microsoft sieht mehrere Methoden vor, um das Remotedesktop-Feature unter Windows 11 oder Server 2022 zu aktivieren bzw. abzuschalten. Gleich drei davon sind GUI-basiert, wobei die App Einstellungen im Vergleich zur System­steuerung einen Rückschritt darstellt.

    Als einziges der drei GUI-Tools ist das WAC in der Lage, Remotedesktop auch auf entfernten Rechnern zu verwalten. Diese Fähigkeit besitzt auch PowerShell im Zusammenspiel mit WMI.

    In verwalteten Umgebungen wird man für diese Aufgabe zumeist die Gruppen­richtlinien nutzen. Dabei sollte man nicht vergessen, über eine zusätzliche Einstellung die erforderliche Firewall-Regel freizuschalten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links

    1 Kommentar

    Hallo Wolfgang,
    danke für deinen Guide. RDP sollte aus Sicherheitsgründen nicht der bevorzugte Weg für die Verwaltung von Servern oder Windows Clients sein.

    Zu deinem Guide möchte ich noch beitragen:
    Einen weiteren Weg zur einfachen Aktivierung von RDP findet man auf Windows Server via SCONFIG - auch Windows Server mit Desktopdarstellung. Vielleicht magst du dies noch ergänzen?