Как зайти на удаленный компьютер в домене
Здравствуйте. Появилась задача подключаться к рабочему компьютеру, который находится в домене с домашнего пк. Что сделал:
На Windows 2012 R2 добавил роль "Службы политики сети и доступа" и "службы удалённых рабочих столов" — "Лицензирование удалённых рабочих столов". Добавил пользователя рабочего пк на AD в "пользователи удалённых рабочих столов". На рабочем пк выполнил в gpedit "Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Назначение прав пользователя — Разрешить вход в систему через службу удалённых рабочих столов — добавил Пользователей удалённых рабочих столов". Разрешил удалённые подключения к компьютеру (галку на ". с проверкой пользователей. " не ставил).
При подключении с домашнего компьютера под учётной записью Администратора — подключение проходит. Под пользователем домена получаю ошибку: "Системный администратор ограничил количество компьютеров, с которых вы можете войти в систему".
Вероятно я что-то не доделал или сделал вовсе не так. Просьба помочь. Спасибо.
Как включить RDP на удаленной машине?
Метод 1. Командная строка
Для включения RDP через командную строку необходимо:
1. Запустить командную строку от имени Администратора
2. Выполнить команду:
Преимущества: быстро, работает операционных системах начиная с 2003 и XP
Недостатки: Долго, если требуется включить на большом количестве компьютеров не вс из которых Online
Если на машине включен FireWall, который блокируется RDP, то этот метод не поможет
Требования: Требуются права локального администратора на удаленной машине
Компьютер должен быть в сети
Замечание: Данный метод может быть полезен, когда надо быстро отключить RDP на машине, для этого достаточно выполнить команду:
Метод 2. PowerShell
Для включения RDP через PowerShell необходимо:
1. запустить PowerShell от имени администратора
2. Выполнить команду:
Преимущества: Можно выполнить сразу на нескольких машинах из списка (или подгрузить из файла список машин)
Недостатки: Не подходит для версий операционных систем ниже Windows 2008 и Vista
Требования: На удаленной машине требуется включенный сервис WinRM и разрешенный на FireWall (Начиная с Windows Server 2012 включена по умолчанию).
Метод 3. Доменная групповая политика
Для включения RDP через GPO требуется создать новую групповую политику (или внести изменение в существующую). В созданной политике перейти в раздел: Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections и выставить параметр: Allow Users to connect remotely by using Remote Desktop Services, в значение на Enable.
После чего применить групповую политику на контейнер в котором находится сервер (или серверы), для которого следует включить RDP (если в контейнере много машин, то отфильтровать GPO только для необходимых машин)
Преимущества: Универсальный способ настройки доменных компьютеров и серверов, Будет применяться на все машины для которых выполнена настройка
Недостатки: На применение параметров для включенных машин может уйти до 90 минут
Требования: Права в домене на создание групповых политик, опыт работы с групповыми политиками.
Как разрешить обычным пользователям RDP доступ к контроллеру домена?
28.09.2021
itpro
Active Directory, Windows Server 2012 R2, Windows Server 2016
комментариев 15
По умолчанию удаленный RDP-доступ к рабочему столу контроллеров домена Active Directory разрешен только членам группы администраторов домена (Domain Admins). В этой статье мы покажем, как предоставить RDP доступ к контроллерам домена обычным пользователям без предоставления административных полномочий.
Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям нужен удаленный доступ к рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру обслуживают несколько администраторов, обладающих правами администратора домена, такая необходимость вряд ли понадобится. Обычно хватает возможностей делегирования пользователям административных полномочия в Active Directory или предоставления прав с помощью PowerShell Just Enough Administration (JEA).
Однако в больших корпоративных сетях, обслуживаемых большим количеством персонала, нередко возникает необходимость предоставления RDP доступа к DC (как правило к филиальным DC или RODC) различным группам администраторов серверов, команде мониторинга, дежурным администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC разворачивают сторонние службы, управляемые не доменными администраторами, которое также необходимо как-то обслуживать.
Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов
После повышения роли сервера до контроллера домена в оснастке управления компьютером пропадает возможность управления локальными пользователями и группами. При попытке открыть консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:
Как вы видите, на контроллере домена отсутствуют локальные группы. Вместо локальной группы Remote Desktop Users, на DC используется встроенная доменная группа Remote Desktop Users (находятся контейнере Builtin). Управлять данной группой можно из консоли ADUC или из командной строки на DC.
Чтобы вывести состав локальной группы Remote Desktop Users на контроллере домена, выполните команду:
net localgroup «Remote Desktop Users»
Как вы видите, она пустая. Попробуем добавить в нее доменного пользователя itpro (в нашем примере itpro—обычный пользователь домена без административных привилегий).
net localgroup «Remote Desktop Users» /add corp\itpro
Убедитесь, что пользователь был добавлен в группу:
net localgroup «Remote Desktop Users»
Также можно проверить, что теперь пользователь входит в доменную группу Remote Desktop Users.
Однако и после этого пользователь не может подключиться к DC через Remote Desktop с ошибкой:
Политика “Разрешить вход в систему через службу удаленных рабочих столов”
Чтобы разрешить доменному пользователю или группе удаленное RDP подключение к Windows, необходимо предоставить ему право SeRemoteInteractiveLogonRight. Вы можете предоставить это полномочие с помощью политики Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов).
Чтобы разрешить RDP подключение членам группы Remote Desktop Users, нужно изменить настройку этой политики на контроллере домена:
- Запустите редактор локальной политики ( gpedit.msc );
- Перейдите в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment;
- Найти политику с именем Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов);
Обратите внимание, что группа, которые вы добавили в политику Allow log on through Remote Desktop Services, не должны присутствовать в политике “Deny log on through Remote Desktop Services”, т.к. она имеет приоритет (см статью Ограничение сетевого доступа в домене под локальными учетками). Также, если вы ограничиваете список компьютеров, на которые могут логиниться пользователи, нужно добавить имя сервера в свойствах учетной записи в AD (поле Log on to, атрибут LogonWorkstations).
- Account Operators
- Administrators
- Backup Operators
- Print Operators
- Server Operators.
Лучше всего создать в домене новую группу безопасности, например, AllowDCLogin. Затем нужно добавить в нее учетные записи пользователей, которым нужно разрешить удаленный доступ к DC. Если нужно разрешить доступ сразу на все контроллеры домена AD, вместо редактирования локальной политики на каждом DC, лучше через консоль управления доменными политиками ( GPMC.msc ) добавить группу пользователей в доменную политику Default Domain Controllers Policy (политика Allow log on through Remote Desktop Services находится в разделе Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment).
Теперь пользователи, которых вы добавили в политику, смогут подключаться к рабочему столу контроллеру домена по RDP.
Доступ к требуемому сеансу RDP отклонен
В нескорых случаях при подключении по RDP к контроллеру домена, вы можете получить ошибку:
Если вы подключаетесь к DC под неадминистративной учетной записью, это может быть связано с двумя проблемами:
- Вы пытаетесь подключиться к консоли сервера (с помощью mstsc /admin ). Такой режим подключения разрешен только пользователям с правами администратора сервера. Попробуйте подключиться к серверу в обычном режиме (без параметра /admin );
- Возможно на сервере уже есть две активные RDP сессии (по умолчанию к Windows Server без службы RDS можно одновременно подключиться не более чем двумя RDP сеансами). Без прав администратора вы не сможете завершить сессии других пользователей. Нужно дождаться, пока администраторы освободят одну из сессий.
Предыдущая статья Следующая статья
Настройка Remote Assistance удаленный помощник на терминальном RDS RDP сервере Windows Server 2016 в домене
Как обеспечить удаленное управление в RDP сессиях на терминальном сервере Windows Server 2012R2 /2016/2019 в доменной сети
1)В консоли ADUC и выберем пользователя, которому будет разрешено подключение к сессиям. Создаём группу TS-RDP-RemoteAssistance
2)На терминальном сервер RDP RDS устанавливаем Features — Remote Assistance (Возможности — Удаленный помощник)
3)После успешной установки, нам нужно настроить несколько локальных политик на сервере.
Очевидно, что если количество терминальных серверов достаточно большое, настройку политик лучше производить в консоли Group Policy Object Editor GPO.
Если один терминальный сервер, как в моем примере, то достаточно редактора локальных групповых политик.
Нажимаем сочетание клавиш «Windows»+»X» -> Run -> gpedit.msc ,либо на котроллере домена если серверов несколько.
4)Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections — Allow users to connect remotely by using Remote Desktop Services (Enabled)
Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections — Set rules for remote control of Remote Desktop Services user sessions (Enabled)
Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \ Соединения
Разрешить пользователям удаленно подключаться с помощью служб удаленных рабочих столов
Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \ Соединения — Установить правила для дистанционного управления сеансами пользователей Remote Desktop Services
5)Computer Configuration\Administrative Templates\System\Remote Assistance — Configure Offer Remote Assistance (Enabled)
Конфигурация компьютера \ Административные шаблоны \ Система \ Удаленный помощник — Настройка удаленного доступа к службе (включено)
No remote contol allowed — удаленное управление не разрешено (значение ключа реестра Shadow = 0);
Full Control with users’s permission — полный контроль с разрешения пользователя (1);
Full Control without users’s permission — полный контроль без разрешения пользователя (2);
View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (3);
View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (4).
6)Включаем политику, разрешаем удаленное управление.
Нажимаем кнопку «Show«, здесь мы добавляем пользователей или группы домена, которым будет разрешено подключаться без приглашения.
7)Computer Configuration\Administrative Templates\System\Remote Assistance — Configure Solicited Remote Assistance (Enabled)
Этой политикой включается возможность отправки приглашений пользователями.
Так же включаем политику, разрешаем удаленное управление, выбираем способ доставки и время действия.
На этом настройка завершена. После настройки политик необходимо выполнить gpupdate /force или перезагрузить сервер.
8)Исполняемый файл Remote Assistance называется msra.exe. Достаточно выполнить Start -> Run -> msra.exe
Подключение выглядит следующим образом.
msra /offerRA MSK01-RDP01.5house.win
9)После того, как пользователь дает разрешение на подключение к сессии и управление, все в Ваших руках!
RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2016 9 / 2012 R2
Windows 8, 10
Использование Remote Desktop Shadow из графического GUI
Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection [Создадим коллекцию со списком подключения через powershell
New-RDSessionCollection –CollectionName SessionCollection –SessionHost MSK01-RDS.5house.win –CollectionDescription “This Collection is for Desktop Sessions” –ConnectionBroker MSK01-RDS.5house.win]
Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow (Теневая копия).
Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).
Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).
Как настроить приложение “Быстрая помощь” (Quick Assist) доступное в Windows 10 версии 1607 (Anniversary Update) и выше ,работает через интернет (аналог TeamViewer тим вивер anydesk эни деск)
Если вы оказываете помощь
Щелкните правой кнопкой мыши по значку меню “Пуск”.
Выберите пункт меню “Найти”.
Введите фразу Быстрая помощь и нажмите Enter.
Выберите ссылку “Оказать помощь”.
Введите имя учетной записи Microsoft.
Нажмите кнопку “Далее”.
Введите пароль.
Нажмите кнопку “Вход”.
Затем отобразится шестизначный код безопасности, который надо сообщить пользователю, который получает помощь. В окне предлагается отправить код по электронной почте, но на самом деле вы можете использовать любой удобный способ, чтобы передать код.
Если вы получаете помощь
Для получения помощи не нужно регистрировать учетную запись Microsoft
Щелкните правой кнопкой мыши по значку меню “Пуск”.
Выберите пункт меню “Найти”.
Введите фразу “Быстрая помощь” и нажмите Enter.
Выберите ссылку “Получить помощь”.
Введите шестизначный код, полученный от лица, оказывающего помощь.
Нажмите кнопку “Отправить”.
Нажмите кнопку “Разрешить”, если имя учетной записи соответствует лицу, оказывающему помощь.
Со своей стороны, пользователь к которому подключились, может либо поставить сеанс «помощи» на паузу, либо закрыть приложение, если вдруг потребовалось резко прервать сеанс удаленного управления компьютером.
Среди незаметных возможностей — передача файлов на удаленный компьютер и с него: для этого просто скопируйте файл в одном расположении, например, на своём компьютере (Ctrl+C) и вставьте (Ctrl+V) в другом, например, на удаленном компьютере.