Remotedesktop in Windows 11 und Server 2022 aktivieren (GUI, WAC, WMI, GPO)

Mittlerweile existiert eine ganze Reihe von Methoden, um Remotedesktop freizuschalten. Darunter finden sich solche für die interaktive Konfiguration des lokalen Rechners, aber auch Optionen für die zentrale oder Remote-Aktivierung:

• System-Applet ("sysdm.cpl") und App Einstellungen
• Web-Konsole von Windows Admin Center
• PowerShell und WMI
• Gruppenrichtlinien

Lizenzrechtliche Einschränkungen

Die Lizenz für Windows 11 lässt nur eine RDP-Verbindung mit einem Rechner zu. Der Desktop eines lokal angemeldeten Benutzers wird gesperrt, sobald sich ein User remote mit dem System verbindet.

Unter Windows Server sind hingegen zwei gleichzeitige Remotedesktop-Sessions für administrative Aufgaben zulässig, eine Installation der Remote Desktop Services ist dafür nicht erforderlich. Das Vorgehen ist im Wesentlichen gleich wie für Windows 11.

Erforderliche Berechtigungen

Standardmäßig ist das Remotedesktop-Feature deaktiviert, so dass man es erst konfigurieren muss, um Zugriff auf einen Rechner zu erhalten. Dafür benötigt man administrative Berechtigungen.

Das Gleiche gilt auch, wenn man von einem Client aus eine Remotedesktop-Sitzung aufbauen möchte. Ohne Admin-Rechte auf dem Zielrechner wird der Zugriff verweigert. Sollen auch andere User in den Genuss dieses Features kommen, dann muss man sie dort in die lokale Gruppe Remotedesktop­benutzer aufnehmen.

Remotedesktop über GUI zulassen

Seit Windows 10 1709 kann man Remotedesktop-Verbindungen über die App Einstellungen erlauben. Dies ist auch die bevorzugte Methode und die einzige, die in der Desktop-Suche von Windows 11 angezeigt wird.

Die entsprechende Option findet sich unter System => Remotedesktop. Die App hat den gravierenden Nachteil, dass man sie nicht über runas mit erhöhten Rechten starten kann. Vielmehr müsste man sich erst als Admin in Windows einloggen, um Remotedesktop aktivieren zu können.

Anstatt sich ab- und erneut anzumelden, kann man für diese Aufgabe weiterhin das alte Applet aus der System­steuerung heranziehen. Dazu gibt man auf der Kommandozeile oder in der Suche sysdm.cpl ein. Nach dem Hochstufen der Berechtigungen lässt sich Remotedesktop im Tab Remote aktivieren.

Dort kann man dann gleich die Benutzer auswählen, die man in die Gruppe Remotedesktop­benutzer übernehmen möchte. Theoretisch bietet die App Einstellungen diese Option auch, praktisch landet man dann aber ebenfalls im Applet System­eigen­schaften.

Sowohl die App Einstellungen als auch die System­steuerung enthalten eine Checkbox, mit der man die Authentifizierung auf Netzwerkebene (NLA) aktiviert.

Aktivierung über das Windows Admin Center

Wenn man einen PC über das Windows Admin Center (WAC) verwaltet, dann findet sich dort ebenfalls eine GUI-Option, um den Zugriff per Remotedesktop zu erlauben. Sein Vorteil besteht darin, dass man die Konfiguration damit remote erledigen kann.

Nachdem man sich mit dem Windows-11-PC verbunden hat, wechselt man zur Seite Einstellungen.

Dort findet sich der Link zu Remotedesktop, wobei der entsprechende Dialog die gleichen Ein­stellungen bietet wie den beiden anderen GUI-Optionen.

Das Hinzufügen von Konten zur Gruppe Remotedesktop­benutzer ist über den separaten Menüpunkt Lokale Benutzer und Gruppen möglich.

Remotedesktop über PowerShell aktivieren

PowerShell bietet kein eigenes Cmdlet, um Remotedesktop ein- oder auszuschalten. Vielmehr muss man dafür WMI nutzen, was nicht nur lokal, sondern über den Parameter Computername auch remote funktioniert.

Um den aktuellen Status zu erhalten, liest man die Eigenschaft AllowTSConnections aus:

Get-CimInstance -Namespace "root\cimv2\TerminalServices" -Class win32_terminalservicesetting | select ServerName, AllowTSConnections

Ist der Wert von AllowTSConnections 1, dann ist das Remotedesktop-Feature aktiv, bei 0 hingegen nicht.

Um den Status von Remotedesktop zu ändern, ruft man die Funktion SetAllowTSConnections auf. Der erste Parameter lässt RDP-Verbindungen zu, wenn er Wert 1 hat, mit 0 blockiert man sie.

Der zweite Parameter legt fest, ob auf dem Zielrechner die Firewall-Regeln für Remotedesktop angepasst werden sollen.

$rd = Get-CimInstance -Namespace "root/cimv2/TerminalServices" `
-ClassName "Win32_TerminalServiceSetting" -ComputerName <Remote-PC>

$rd | Invoke-CimMethod -MethodName "SetAllowTSConnections" `
-Arguments @{AllowTSConnections=1;ModifyFirewallException=1}

Ein Rückgabewert von 0 bedeutet, dass die Operation erfolgreich war.

Remotedesktop über GPO freischalten

In zentral verwalteten Umgebungen wird man das Remotedesktop-Feature über Gruppen­richtlinien steuern.

Die Einstellung zur Aktivierung von Remotedesktop findet sich im GPO-Editor unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktop­dienste => Remotedesktop­sitzungs-Host => Verbindungen.

Sie heißt Remote­verbindungen für Benutzer mithilfe der Remotedesktop­dienste zulassen. Anders als ihr Name vermuten lässt, eignet sich diese Einstellung auch für Server ohne installierte RDS und Windows 10 / 11.

Die Firewall-Regel für Remotedesktop muss man über eine weitere Einstellung explizit zulassen. Sie heißt Windows Firewall: Eingehende Remotedesktopausnahmen zulassen. Sie befindet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerk­verbindungen => Windows-Firewall => Domänenprofil.

Fazit

Microsoft sieht mehrere Methoden vor, um das Remotedesktop-Feature unter Windows 11 oder Server 2022 zu aktivieren bzw. abzuschalten. Gleich drei davon sind GUI-basiert, wobei die App Einstellungen im Vergleich zur System­steuerung einen Rückschritt darstellt.

Als einziges der drei GUI-Tools ist das WAC in der Lage, Remotedesktop auch auf entfernten Rechnern zu verwalten. Diese Fähigkeit besitzt auch PowerShell im Zusammenspiel mit WMI.

In verwalteten Umgebungen wird man für diese Aufgabe zumeist die Gruppen­richtlinien nutzen. Dabei sollte man nicht vergessen, über eine zusätzliche Einstellung die erforderliche Firewall-Regel freizuschalten.