Как разрешить обычным пользователям RDP доступ к контроллеру домена?
28.09.2021
itpro
Active Directory, Windows Server 2012 R2, Windows Server 2016
комментариев 15
По умолчанию удаленный RDP-доступ к рабочему столу контроллеров домена Active Directory разрешен только членам группы администраторов домена (Domain Admins). В этой статье мы покажем, как предоставить RDP доступ к контроллерам домена обычным пользователям без предоставления административных полномочий.
Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям нужен удаленный доступ к рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру обслуживают несколько администраторов, обладающих правами администратора домена, такая необходимость вряд ли понадобится. Обычно хватает возможностей делегирования пользователям административных полномочия в Active Directory или предоставления прав с помощью PowerShell Just Enough Administration (JEA).
Однако в больших корпоративных сетях, обслуживаемых большим количеством персонала, нередко возникает необходимость предоставления RDP доступа к DC (как правило к филиальным DC или RODC) различным группам администраторов серверов, команде мониторинга, дежурным администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC разворачивают сторонние службы, управляемые не доменными администраторами, которое также необходимо как-то обслуживать.
Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов
После повышения роли сервера до контроллера домена в оснастке управления компьютером пропадает возможность управления локальными пользователями и группами. При попытке открыть консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:
Как вы видите, на контроллере домена отсутствуют локальные группы. Вместо локальной группы Remote Desktop Users, на DC используется встроенная доменная группа Remote Desktop Users (находятся контейнере Builtin). Управлять данной группой можно из консоли ADUC или из командной строки на DC.
Чтобы вывести состав локальной группы Remote Desktop Users на контроллере домена, выполните команду:
net localgroup «Remote Desktop Users»
Как вы видите, она пустая. Попробуем добавить в нее доменного пользователя itpro (в нашем примере itpro—обычный пользователь домена без административных привилегий).
net localgroup «Remote Desktop Users» /add corp\itpro
Убедитесь, что пользователь был добавлен в группу:
net localgroup «Remote Desktop Users»
Также можно проверить, что теперь пользователь входит в доменную группу Remote Desktop Users.
Однако и после этого пользователь не может подключиться к DC через Remote Desktop с ошибкой:
Политика “Разрешить вход в систему через службу удаленных рабочих столов”
Чтобы разрешить доменному пользователю или группе удаленное RDP подключение к Windows, необходимо предоставить ему право SeRemoteInteractiveLogonRight. Вы можете предоставить это полномочие с помощью политики Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов).
Чтобы разрешить RDP подключение членам группы Remote Desktop Users, нужно изменить настройку этой политики на контроллере домена:
- Запустите редактор локальной политики ( gpedit.msc );
- Перейдите в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment;
- Найти политику с именем Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов);
Обратите внимание, что группа, которые вы добавили в политику Allow log on through Remote Desktop Services, не должны присутствовать в политике “Deny log on through Remote Desktop Services”, т.к. она имеет приоритет (см статью Ограничение сетевого доступа в домене под локальными учетками). Также, если вы ограничиваете список компьютеров, на которые могут логиниться пользователи, нужно добавить имя сервера в свойствах учетной записи в AD (поле Log on to, атрибут LogonWorkstations).
- Account Operators
- Administrators
- Backup Operators
- Print Operators
- Server Operators.
Лучше всего создать в домене новую группу безопасности, например, AllowDCLogin. Затем нужно добавить в нее учетные записи пользователей, которым нужно разрешить удаленный доступ к DC. Если нужно разрешить доступ сразу на все контроллеры домена AD, вместо редактирования локальной политики на каждом DC, лучше через консоль управления доменными политиками ( GPMC.msc ) добавить группу пользователей в доменную политику Default Domain Controllers Policy (политика Allow log on through Remote Desktop Services находится в разделе Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment).
Теперь пользователи, которых вы добавили в политику, смогут подключаться к рабочему столу контроллеру домена по RDP.
Доступ к требуемому сеансу RDP отклонен
В нескорых случаях при подключении по RDP к контроллеру домена, вы можете получить ошибку:
Если вы подключаетесь к DC под неадминистративной учетной записью, это может быть связано с двумя проблемами:
- Вы пытаетесь подключиться к консоли сервера (с помощью mstsc /admin ). Такой режим подключения разрешен только пользователям с правами администратора сервера. Попробуйте подключиться к серверу в обычном режиме (без параметра /admin );
- Возможно на сервере уже есть две активные RDP сессии (по умолчанию к Windows Server без службы RDS можно одновременно подключиться не более чем двумя RDP сеансами). Без прав администратора вы не сможете завершить сессии других пользователей. Нужно дождаться, пока администраторы освободят одну из сессий.
Предыдущая статья Следующая статья 
Как подключиться по RDP к машинам в домене?
Всем привет. Начинаю учить AD.
1) Поставил сервер 19 + DNS + AD
2) Завел 2 тестовых ПК в домен.
Настроил доступ RDP в групповых политиках (Разрешение на подключение + настроил брандмауэр)
В итоге:
1) Могу между ПК в домене подключаться по RDP (используя администратора домена)
2) Могу с моего ПК (вне домена) подключиться к серверу AD по RDP (используя администратора домена)
3) НЕ Могу подключиться с моего ПК (вне домена) к ПК в домене.
Ошибка: недопустимые учетные данные. учётные данные использованные для подключения недопустимы.
Причем я могу зайти по RDP если использую локальные учетные записи ПК которые домене.
Наверняка я что то не так настроил, но не знаю куда лезть, ведь я пытаюсь зайти под учетной записью администратора домена, под которой я могу заходить между ПК которые в домене.
В интернете ничего не нашел.
Как разрешить доменному пользователю удаленный рабочий стол
Добрый день коллеги.
как пользователю в домене разрешить подключаться по RDP только к своему ПК и запретить пользователю подключаться с этими же денными к серверу. Так как иногда пользователю нужно помочь удаленно под его учетной записью. Если я зайду под администратором домена на его ПК, то не смогу управлять его рабочим столом.
Сейчас ошибка следующая. "Подключение было запрещено, так как учетная запись не имеет прав для удаленного подключения."
Ответы
Причем тут платные программные продукты.
Наличие сервера говорит о том что ПК в домене. (Полноценный серверная ОС, Windows Server 2016).
Повторяю задача следующая, что бы я мог удаленно подключиться к пользовательскому ПК по RDP с его учетными данными.
то что вы хотите сделать — это не секурный костыль. так как в таком случае вам нужно знать пароль пользователя + пользователь должен иметь возможность подключаться к своему же пк удаленно.
решается ваша задача по нормальному через удаленный помошник — стильно, модно, молодежно и что важно бесплатно.
в лоб задача решается в 3 приема — подключаетесь на машину с админ учеткой, добавляете пользователя в группу rds users, подключаетесь под пользователем, но еще раз повторю что это не решение а опасный костыль
Как включить удаленный доступ на сервере?
Можно настроить компьютер для удаленного доступа с помощью нескольких простых действий.
- На устройстве, с которого вы собираетесь подключиться, откройте меню Пуск и щелкните значок Параметры.
- Выберите группу Система возле элемента Удаленный рабочий стол.
- Включите удаленный рабочий стол с помощью ползунка.
Как разрешить пользователю удаленный доступ?
В меню Пуск выберите пункт Администрирование и затем пункт Active Directory — пользователи и компьютеры. Щелкните правой кнопкой мыши учетную запись пользователя, которую вы хотите разрешить удаленный доступ, а затем выберите «Свойства». Перейдите на вкладку «Dial-in», выберите «Разрешить доступ» и нажмите кнопку «ОК».
Как разрешить обычным пользователям RDP доступ к контроллеру домена?
Чтобы разрешить доменному пользователю или группе удаленное RDP подключение к Windows, необходимо предоставить ему право SeRemoteInteractiveLogonRight. Вы можете предоставить это полномочие с помощью политики Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов).
Какая служба отвечает за подключение к удаленному рабочему столу?
Служба удаленных рабочих столов Remote Desktop Services (ранее известная, как Terminal Services) — это компонент Microsoft Windows (серверной и клиентской операционных систем), позволяющий пользователям удаленно запускать приложения или управлять сервером с любой машины, где есть клиент подключения к удаленному …
Как настроить подключение к удаленному рабочему столу Windows 7?
В Windows 7 . Доступ к удаленному рабочему столу
- Зайдите в свойства компьютера (или перейдите в «Панель управления» -> «Система») и выберите пункт «Дополнительные параметры системы»: …
- В открывшемся окне выберите пункт «Удаленный доступ»: …
- Поставьте галку напротив пункта «Разрешить подключение удаленного помощника к этому компьютеру».
Как включить удаленный доступ к компьютеру Windows 10 Home?
Действия по включению функции удаленного рабочего стола Windows 10 Home
- Загрузите последнюю версию библиотеки RDP Wrapper с Github.
- Запустите установочный файл. …
- Введите Remote Desktop в поиске, и вы сможете увидеть программное обеспечение RDP.
- Введите имя удаленного компьютера и пароль для подключения к компьютеру.
Как закрыть удаленный доступ от админа?
Конфигурация компьютера | Настройки Windows | Настройки безопасности | Местные Политики | Назначение прав пользователя. Найдите и дважды щелкните «Запретить вход через службы удаленных рабочих столов». Добавьте пользователя и / или группу, доступ к которой вы хотите запретить. Нажмите ОК
Как в реестре включить удаленный рабочий стол?
Как включить удаленный рабочий стол удаленно
- На любом компьютере, работающем под управлением Windows, запустите редактор реестра.
- В редакторе реестра откройте меню Файл — Подключить сетевой реестр
- В диалоговом окне Выбор компьютера введите имя компьютера, к которому нужно подключиться и нажмите кнопку Проверить имена.
Как добавить пользователей RDP?
В панели управления в разделе «Учётные записи пользователей» нажмите «Изменение типа учётной записи» . Откроется список пользователей вашего сервера.
…
Чтобы новый пользователь мог подключиться к серверу по RDP, ему потребуются следующие данные:
- IP-адрес вашего сервера / домен;
- логин пользователя;
- пароль пользователя.
Как подключиться по RDP к компьютеру в домене?
Для подключения откройте стандартное приложение Windows Подключение к удаленному рабочему столу (mstsc.exe). На вкладке Дополнительно нажмите на кнопку Параметры. На вкладке Общие в поле Компьютер введите домен, в поле Пользователь имя пользователя и нажмите Подключить.
Как включить удаленный доступ к серверу Windows Server 2012?
Настройка rdp windows server 2012 r2 — пошаговая инструкция
Нам необходимо перейти в раздел Local Serve (слева). Откроется окно настроек сервера. Необходимо найти среди всех настроек пункт Remote Desktop, щелкнуть по значению Disabled. В результате нажатия значения Disabled, откроется окно включения rdp.
Как включить удаленный доступ к серверу Windows Server 2016?
Опцию RDP через TLS можно активировать через набор правил и настроек защиты сервера удаленных рабочих столов. Введите команду gpedit. msc и перейдите в раздел Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Безопасность.
Как включить удаленный рабочий стол?
Как включить удалённый рабочий стол на Windows 10 в графическом интерфейсе На устройстве, с которого вы собираетесь подключиться, откройте меню Пуск и щёлкните значок Параметры: Выберите Система: На вкладке «Удалённый рабочий стол» включите соответствующий ползунок.
Как проверить включен ли удаленный доступ к компьютеру?
Зайти в меню Пуск — Нажать правой кнопкой мыши Мой компьютер — в контекстном меню выбрать Свойства. В открывшемся окне с системной информацией, в правой части нажмите Настройка удаленного доступа. У вас открылось диалоговое окно Свойства системы, вкладка Удаленный доступ.