Tags: RDS, Remote-Verwaltung, Gruppenrichtlinien
Wenn man eine größere Zahl von Rechnern über Remotedesktop verwalten muss, dann will man dieses Feature nicht auf jedem Ziel-PC interaktiv über die GUI aktivieren. Vielmehr bietet sich hier der Einsatz von Gruppenrichtlinien an, mit denen man auch zusätzliche Optionen steuern kann.
Remotedesktop ist ein Feature der Editionen Professional und Enterprise von Windows 7/8.x, die aber nur eine entfernte Sitzung zulassen (eventuell lokal angemeldete Benutzer werden dabei abgemeldet). Windows Server erlaubt seit jeher den gleichzeitigen Aufbau von zwei Verbindungen für administrative Zwecke, ohne dass man dafür die Terminaldienste installieren muss.
Remotedesktop auf allen Servern einer OU aktivieren
Remotedesktop ist per Voreinstellung deaktiviert, so dass man dieses Feature bei Bedarf immer erst anschalten muss. Dafür stehen je nach Version des Betriebssystems für ein interaktives Vorgehen mehrere Tools zur Verfügung, vom Applet Erweiterte Systemeinstellungen in der Systemsteuerung bis zum textorientierten sconfig unter Server Core (siehe dazu: Remotedesktop aktivieren unter Windows 8.x und Server 2012 R2).
Auch wenn für Windows Server andere Mittel zur Remoteverwaltung wie RSAT oder PowerShell existieren, so wird man Remotedesktop meistens als weitere Option nutzen wollen.
Daher könnte man ein GPO zur Aktivierung dieses Features auf eine OU anwenden, in der man die gewünschten Server versammelt hat. Sind sie nicht in dieser Form organisiert, dann ließe sich ein solches GPO alternativ mit Hilfe eines WMI-Filters auf bestimmte Versionen des Betriebssystems einschränken.
Einstellung für Remotedesktop
Die Einstellung zur Aktivierung von Remotedesktop findet sich im GPO-Editor unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktopdienste => Remotedesktopsitzungs-Host => Verbindungen.
Sie heißt Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen. Der Remote Desktop Session Host (RDSH) im genannten Pfad ist irreführend, weil sich die Einstellung auch auf Server ohne installierte RDS und auf Windows 7 / 8.x anwenden lässt.
Sobald die Einstellung auf den Zielsystemen wirksam wird, sei es durch einen Neustart oder den Aufruf von gpupdate, wird die Konfiguration von Remotedesktop in der Systemsteuerung unterbunden. Die dafür vorgehenen Radio-Buttons sind dann ausgegraut.
Ausnahme in der Firewall freischalten
Während die Aktivierung von Remotedesktop in der Systemsteuerung automatisch die erforderliche Firewall-Ausnahme für RDP-Sessions freischaltet, muss man dies bei der Verwendung von GPOs selbst tun.
Diesem Zweck dient die Einstellung Windows Firewall: Eingehende Remotedesktopausnahmen zulassen. Jene für AD-Umgebungen findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows-Firewall => Domänenprofil.
Man muss dort keineswegs alle eingehenden RDP-Verbindungen für sämtliche Quellsysteme zulassen, vielmehr kann man einzelne oder mehrere IP-Adressen bzw. ganze Subnets definieren, von wo aus der Zugriff erfolgen darf.
NLA über GPO erzwingen
Wenn man Remotedesktop über die Systemsteuerung aktiviert, dann kann man im betreffenden Applet auch gleich festlegen, ob eine Verbindung nur von einem Computer aufgebaut werden darf, wenn die Authentifizierung auf Netzwerkebene (NLA) erfolgt.
Sie zwingt den User, sich schon am Client zu authentifizieren, bevor eine Session auf dem Host-Rechner geöffnet wird. Ohne NLA zeigt der Client sofort den vom Host erzeugten Login-Bildschirm an.
Auch diese Einstellung lässt sich bei Bedarf über Gruppenrichtlinien steuern, und zwar unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktopdienste => Remotedesktopsitzungs-Host => Sicherheit.
Aktiviert man Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich nicht, dann gelten die Standardwerte des jeweiligen Betriebssystems. Unter Windows 8.x und Server 2012 (R2) wäre NLA in diesem Fall voreingestellt, könnte aber von autorisierten Benutzern interaktiv geändert werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Remotedesktop in Windows 11 und Server 2022 aktivieren (GUI, WAC, WMI, GPO)
- Rangee Laptop im Test: Preiswerter mobiler Thin Client für das Home-Office
- RDP-Client und RD Web Access für RD Gateway konfigurieren
- Sichere Arbeitsumgebung im Home Office einrichten mit Rangee Thin Clients
- Einstellungen für Remotedesktop über lokale Richtlinien oder Registry konfigurieren
Weitere Links
3 Kommentare
Ich möchte über RDP von irgendeinen Client (nicht Domänenbenutzer) auf einen PC (Win 8.1)zugreifen der in einer Domäne (WIN Server 2012) angemeldet ist.
Ich kann mich auf einen lokalen Benutzer auf diesem PC anmelden. Beim anmelden an den Domänenbenutezr kommt folgende Meldung:
"Die Sicherheitsdatenbank auf diesem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung"
Wie sieht die Lösung aus?
M. Hettinger wird die Antwort zwar nicht mehr helfen, aber für alle, die sonst in den Fehler laufen:
Die Fehlermeldung besagt, dass es in der Domäne keine Registrierung für diesen PC gibt. Das bedeutet, dass das Gerät entweder fehlerhaft in die Domäne aufgenommen wurde oder nachträglich entfernt wurde.
Am einfachsten ist es den Rechner neu in die Domäne aufzunehmen.
Leider gibt es bei mir keine administrativen Vorlagen. Sind diese nicht standardmäßig vorhanden?