Remotedesktop in Windows 7/8.x und Server 2012 (R2) mit GPO aktivieren

Remotedesktop ist per Voreinstellung deaktiviert, so dass man dieses Feature bei Bedarf immer erst anschalten muss. Dafür stehen je nach Version des Betriebssystems für ein interaktives Vorgehen mehrere Tools zur Verfügung, vom Applet Erweiterte Systemeinstellungen in der Systemsteuerung bis zum textorientierten sconfig unter Server Core (siehe dazu: Remotedesktop aktivieren unter Windows 8.x und Server 2012 R2).

Auch wenn für Windows Server andere Mittel zur Remoteverwaltung wie RSAT oder PowerShell existieren, so wird man Remotedesktop meistens als weitere Option nutzen wollen.

Daher könnte man ein GPO zur Aktivierung dieses Features auf eine OU anwenden, in der man die gewünschten Server versammelt hat. Sind sie nicht in dieser Form organisiert, dann ließe sich ein solches GPO alternativ mit Hilfe eines WMI-Filters auf bestimmte Versionen des Betriebssystems einschränken.

Einstellung für Remotedesktop

Die Einstellung zur Aktivierung von Remotedesktop findet sich im GPO-Editor unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktop­dienste => Remotedesktop­sitzungs-Host => Verbindungen.

Sie heißt Remote­verbindungen für Benutzer mithilfe der Remotedesktop­dienste zulassen. Der Remote Desktop Session Host (RDSH) im genannten Pfad ist irreführend, weil sich die Einstellung auch auf Server ohne installierte RDS und auf Windows 7 / 8.x anwenden lässt.

Sobald die Einstellung auf den Zielsystemen wirksam wird, sei es durch einen Neustart oder den Aufruf von gpupdate, wird die Konfiguration von Remotedesktop in der Systemsteuerung unterbunden. Die dafür vorgehenen Radio-Buttons sind dann ausgegraut.

Ausnahme in der Firewall freischalten

Während die Aktivierung von Remotedesktop in der Systemsteuerung automatisch die erforderliche Firewall-Ausnahme für RDP-Sessions freischaltet, muss man dies bei der Verwendung von GPOs selbst tun.

Diesem Zweck dient die Einstellung Windows Firewall: Eingehende Remotedesktopausnahmen zulassen. Jene für AD-Umgebungen findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows-Firewall => Domänenprofil.

Man muss dort keineswegs alle eingehenden RDP-Verbindungen für sämtliche Quellsysteme zulassen, vielmehr kann man einzelne oder mehrere IP-Adressen bzw. ganze Subnets definieren, von wo aus der Zugriff erfolgen darf.

NLA über GPO erzwingen

Wenn man Remotedesktop über die Systemsteuerung aktiviert, dann kann man im betreffenden Applet auch gleich festlegen, ob eine Verbindung nur von einem Computer aufgebaut werden darf, wenn die Authentifizierung auf Netzwerkebene (NLA) erfolgt.

Sie zwingt den User, sich schon am Client zu authentifizieren, bevor eine Session auf dem Host-Rechner geöffnet wird. Ohne NLA zeigt der Client sofort den vom Host erzeugten Login-Bildschirm an.

Auch diese Einstellung lässt sich bei Bedarf über Gruppenrichtlinien steuern, und zwar unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktopdienste => Remotedesktop­sitzungs-Host => Sicherheit.

Aktiviert man Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich nicht, dann gelten die Standardwerte des jeweiligen Betriebssystems. Unter Windows 8.x und Server 2012 (R2) wäre NLA in diesem Fall voreingestellt, könnte aber von autorisierten Benutzern interaktiv geändert werden.