Tags: RDP, RDS, Windows 11, PowerShell, Gruppenrichtlinien
Remotedesktop ist die bevorzugte Technik für den interaktiven Fernzugriff auf Windows-Rechner. Das Feature ist per Voreinstellung deaktiviert und lässt sich über verschiedene Methoden einschalten. Dazu zählen die App Einstellungen, die Gruppenrichtlinien, das Windows Admin Center und WMI mittels PowerShell.
Wie in früheren Versionen muss ein PC auch bei Windows 11 die Editionen Pro oder Enterprise ausführen, damit man eine Remotedesktop-Verbindung zu ihm aufbauen kann. Dagegen kann man von allen Editionen auf einen Remotedesktop zugreifen, die RDP-Clients sind auch für die Home-Ausführung verfügbar.
Die Lizenz für Windows 11 lässt nur eine RDP-Verbindung mit einem Rechner zu. Der Desktop eines lokal angemeldeten Benutzers wird gesperrt, sobald sich ein User remote mit dem System verbindet.
Unter Windows Server sind hingegen zwei gleichzeitige Remotedesktop-Sessions für administrative Aufgaben zulässig, eine Installation der Remote Desktop Services ist dafür nicht erforderlich. Das Vorgehen ist im Wesentlichen gleich wie für Windows 11.
Erforderliche Berechtigungen
Standardmäßig ist das Remotedesktop-Feature deaktiviert, so dass man es erst konfigurieren muss, um Zugriff auf einen Rechner zu erhalten. Dafür benötigt man administrative Berechtigungen.
Das Gleiche gilt auch, wenn man von einem Client aus eine Remotedesktop-Sitzung aufbauen möchte. Ohne Admin-Rechte auf dem Zielrechner wird der Zugriff verweigert. Sollen auch andere User in den Genuss dieses Features kommen, dann muss man sie dort in die lokale Gruppe Remotedesktopbenutzer aufnehmen.
Remotedesktop über GUI zulassen
Seit Windows 10 1709 kann man Remotedesktop-Verbindungen über die App Einstellungen erlauben. Dies ist auch die bevorzugte Methode und die einzige, die in der Desktop-Suche von Windows 11 angezeigt wird.
Die entsprechende Option findet sich unter System => Remotedesktop. Die App hat den gravierenden Nachteil, dass man sie nicht über runas mit erhöhten Rechten starten kann. Vielmehr müsste man sich erst als Admin in Windows einloggen, um Remotedesktop aktivieren zu können.
Anstatt sich ab- und erneut anzumelden, kann man für diese Aufgabe weiterhin das alte Applet aus der Systemsteuerung heranziehen. Dazu gibt man auf der Kommandozeile oder in der Suche sysdm.cpl ein. Nach dem Hochstufen der Berechtigungen lässt sich Remotedesktop im Tab Remote aktivieren.
Dort kann man dann gleich die Benutzer auswählen, die man in die Gruppe Remotedesktopbenutzer übernehmen möchte. Theoretisch bietet die App Einstellungen diese Option auch, praktisch landet man dann aber ebenfalls im Applet Systemeigenschaften.
Sowohl die App Einstellungen als auch die Systemsteuerung enthalten eine Checkbox, mit der man die Authentifizierung auf Netzwerkebene (NLA) aktiviert.
Aktivierung über das Windows Admin Center
Wenn man einen PC über das Windows Admin Center (WAC) verwaltet, dann findet sich dort ebenfalls eine GUI-Option, um den Zugriff per Remotedesktop zu erlauben. Sein Vorteil besteht darin, dass man die Konfiguration damit remote erledigen kann.
Nachdem man sich mit dem Windows-11-PC verbunden hat, wechselt man zur Seite Einstellungen.
Dort findet sich der Link zu Remotedesktop, wobei der entsprechende Dialog die gleichen Einstellungen bietet wie den beiden anderen GUI-Optionen.
Das Hinzufügen von Konten zur Gruppe Remotedesktopbenutzer ist über den separaten Menüpunkt Lokale Benutzer und Gruppen möglich.
Remotedesktop über PowerShell aktivieren
PowerShell bietet kein eigenes Cmdlet, um Remotedesktop ein- oder auszuschalten. Vielmehr muss man dafür WMI nutzen, was nicht nur lokal, sondern über den Parameter Computername auch remote funktioniert.
Um den aktuellen Status zu erhalten, liest man die Eigenschaft AllowTSConnections aus:
Get-CimInstance -Namespace "root\cimv2\TerminalServices" -Class win32_terminalservicesetting | select ServerName, AllowTSConnections
Ist der Wert von AllowTSConnections 1, dann ist das Remotedesktop-Feature aktiv, bei 0 hingegen nicht.
Um den Status von Remotedesktop zu ändern, ruft man die Funktion SetAllowTSConnections auf. Der erste Parameter lässt RDP-Verbindungen zu, wenn er Wert 1 hat, mit 0 blockiert man sie.
Der zweite Parameter legt fest, ob auf dem Zielrechner die Firewall-Regeln für Remotedesktop angepasst werden sollen.
$rd = Get-CimInstance -Namespace "root/cimv2/TerminalServices" `
-ClassName "Win32_TerminalServiceSetting" -ComputerName <Remote-PC>
$rd | Invoke-CimMethod -MethodName "SetAllowTSConnections" `
-Arguments @{AllowTSConnections=1;ModifyFirewallException=1}
Ein Rückgabewert von 0 bedeutet, dass die Operation erfolgreich war.
Remotedesktop über GPO freischalten
In zentral verwalteten Umgebungen wird man das Remotedesktop-Feature über Gruppenrichtlinien steuern.
Die Einstellung zur Aktivierung von Remotedesktop findet sich im GPO-Editor unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktopdienste => Remotedesktopsitzungs-Host => Verbindungen.
Sie heißt Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen. Anders als ihr Name vermuten lässt, eignet sich diese Einstellung auch für Server ohne installierte RDS und Windows 10 / 11.
Die Firewall-Regel für Remotedesktop muss man über eine weitere Einstellung explizit zulassen. Sie heißt Windows Firewall: Eingehende Remotedesktopausnahmen zulassen. Sie befindet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows-Firewall => Domänenprofil.
Fazit
Microsoft sieht mehrere Methoden vor, um das Remotedesktop-Feature unter Windows 11 oder Server 2022 zu aktivieren bzw. abzuschalten. Gleich drei davon sind GUI-basiert, wobei die App Einstellungen im Vergleich zur Systemsteuerung einen Rückschritt darstellt.
Als einziges der drei GUI-Tools ist das WAC in der Lage, Remotedesktop auch auf entfernten Rechnern zu verwalten. Diese Fähigkeit besitzt auch PowerShell im Zusammenspiel mit WMI.
In verwalteten Umgebungen wird man für diese Aufgabe zumeist die Gruppenrichtlinien nutzen. Dabei sollte man nicht vergessen, über eine zusätzliche Einstellung die erforderliche Firewall-Regel freizuschalten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- RDP-Client und RD Web Access für RD Gateway konfigurieren
- Einstellungen für Remotedesktop über lokale Richtlinien oder Registry konfigurieren
- EvergreenAdmx: Administrative Vorlagen automatisch aktualisieren
- iPhone oder iPad mit Remote Desktop auf Windows-PCs verbinden
- Azure Virtual Desktop und Windows 365 unterstützen nun Multimedia Redirection
Weitere Links
1 Kommentar
Hallo Wolfgang,
danke für deinen Guide. RDP sollte aus Sicherheitsgründen nicht der bevorzugte Weg für die Verwaltung von Servern oder Windows Clients sein.
Zu deinem Guide möchte ich noch beitragen:
Einen weiteren Weg zur einfachen Aktivierung von RDP findet man auf Windows Server via SCONFIG - auch Windows Server mit Desktopdarstellung. Vielleicht magst du dies noch ergänzen?