Remotedesktop in Windows 7/8.x und Server 2012 (R2) mit GPO aktivieren

    RemotedesktopWenn man eine größere Zahl von Rechnern über Remote­desktop verwalten muss, dann will man dieses Feature nicht auf jedem Ziel-PC interaktiv über die GUI aktivieren. Vielmehr bietet sich hier der Einsatz von Gruppen­richt­linien an, mit denen man auch zusätzliche Optionen steuern kann.

    Remotedesktop ist ein Feature der Editionen Professional und Enterprise von Windows 7/8.x, die aber nur eine entfernte Sitzung zulassen (eventuell lokal angemeldete Benutzer werden dabei abgemeldet). Windows Server erlaubt seit jeher den gleichzeitigen Aufbau von zwei Verbindungen für administrative Zwecke, ohne dass man dafür die Terminaldienste installieren muss.

    Remotedesktop auf allen Servern einer OU aktivieren

    Remotedesktop ist per Voreinstellung deaktiviert, so dass man dieses Feature bei Bedarf immer erst anschalten muss. Dafür stehen je nach Version des Betriebssystems für ein interaktives Vorgehen mehrere Tools zur Verfügung, vom Applet Erweiterte Systemeinstellungen in der Systemsteuerung bis zum textorientierten sconfig unter Server Core (siehe dazu: Remotedesktop aktivieren unter Windows 8.x und Server 2012 R2).

    Auch wenn für Windows Server andere Mittel zur Remoteverwaltung wie RSAT oder PowerShell existieren, so wird man Remotedesktop meistens als weitere Option nutzen wollen.

    Daher könnte man ein GPO zur Aktivierung dieses Features auf eine OU anwenden, in der man die gewünschten Server versammelt hat. Sind sie nicht in dieser Form organisiert, dann ließe sich ein solches GPO alternativ mit Hilfe eines WMI-Filters auf bestimmte Versionen des Betriebssystems einschränken.

    Einstellung für Remotedesktop

    Die Einstellung zur Aktivierung von Remotedesktop findet sich im GPO-Editor unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktop­dienste => Remotedesktop­sitzungs-Host => Verbindungen.

    Sie heißt Remote­verbindungen für Benutzer mithilfe der Remotedesktop­dienste zulassen. Der Remote Desktop Session Host (RDSH) im genannten Pfad ist irreführend, weil sich die Einstellung auch auf Server ohne installierte RDS und auf Windows 7 / 8.x anwenden lässt.

    Die Einstellung zur Aktivierung von Remotedesktop findet sich nur in der Computerkonfiguration.

    Sobald die Einstellung auf den Zielsystemen wirksam wird, sei es durch einen Neustart oder den Aufruf von gpupdate, wird die Konfiguration von Remotedesktop in der Systemsteuerung unterbunden. Die dafür vorgehenen Radio-Buttons sind dann ausgegraut.

    Wie gewohnt kann ein Feature nicht mehr interaktiv konfiguriert werden, sobald ein GPO diese Aufgabe übernimmt.

    Ausnahme in der Firewall freischalten

    Während die Aktivierung von Remotedesktop in der Systemsteuerung automatisch die erforderliche Firewall-Ausnahme für RDP-Sessions freischaltet, muss man dies bei der Verwendung von GPOs selbst tun.

    Diesem Zweck dient die Einstellung Windows Firewall: Eingehende Remotedesktopausnahmen zulassen. Jene für AD-Umgebungen findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows-Firewall => Domänenprofil.

    Die Ausnahme für Remotedesktop in der Firewall erstellt man ebenfalls über Gruppenrichtlinien.

    Man muss dort keineswegs alle eingehenden RDP-Verbindungen für sämtliche Quellsysteme zulassen, vielmehr kann man einzelne oder mehrere IP-Adressen bzw. ganze Subnets definieren, von wo aus der Zugriff erfolgen darf.

    NLA über GPO erzwingen

    Wenn man Remotedesktop über die Systemsteuerung aktiviert, dann kann man im betreffenden Applet auch gleich festlegen, ob eine Verbindung nur von einem Computer aufgebaut werden darf, wenn die Authentifizierung auf Netzwerkebene (NLA) erfolgt.

    Sie zwingt den User, sich schon am Client zu authentifizieren, bevor eine Session auf dem Host-Rechner geöffnet wird. Ohne NLA zeigt der Client sofort den vom Host erzeugten Login-Bildschirm an.

    Der Vorgabewert für NLA auf dem jeweiligen Zielsystem lässt sich über ein GPO ändern.

    Auch diese Einstellung lässt sich bei Bedarf über Gruppenrichtlinien steuern, und zwar unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktopdienste => Remotedesktop­sitzungs-Host => Sicherheit.

    Aktiviert man Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich nicht, dann gelten die Standardwerte des jeweiligen Betriebssystems. Unter Windows 8.x und Server 2012 (R2) wäre NLA in diesem Fall voreingestellt, könnte aber von autorisierten Benutzern interaktiv geändert werden.

    2 Kommentare

    Bild von M. Hettinger
    M. Hettinger sagt:
    1. Dezember 2015 - 12:02

    Ich möchte über RDP von irgendeinen Client (nicht Domänenbenutzer) auf einen PC (Win 8.1)zugreifen der in einer Domäne (WIN Server 2012) angemeldet ist.

    Ich kann mich auf einen lokalen Benutzer auf diesem PC anmelden. Beim anmelden an den Domänenbenutezr kommt folgende Meldung:

    "Die Sicherheitsdatenbank auf diesem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung"

    Wie sieht die Lösung aus?

    Bild von D.Böhm
    D.Böhm sagt:
    18. August 2016 - 15:59

    Leider gibt es bei mir keine administrativen Vorlagen. Sind diese nicht standardmäßig vorhanden?