Active Directory - GPO Richtlinie zum Zulassen von RDP Verbindungen auf Clientojekten V2
Beschreibung
diese Kurzanleitung soll die Schritte darstellen, wie Sie mit Hilfe einer GPO Richtlinie und der dazugehörigen FW-Anpassung Mitgliedern einer AD-Sicherheitsgruppe eine RDP Verbindung auf Clientobjekten aufbauen lassen zu können.
Schritte - erstellen der Sicherheitsgruppe:
- Erstellen Sie eine neue Sicherheitsgruppe mit einem eindeutigen Namen: Bsp.: lab-sec-rdp-users
- Fügen Sie der neuen Gruppe die Mitglieder zu, die später den RDP Zugriff erhalten sollen.
- Öffnen Sie die Gruppenrichtlinienverwaltung und erstellen eine neue GPO mit einem eindeutigen Namen: Bsp.: Client-RDP-UserAccess
Schritte - erstellen der GPO:
- Öffnen Sie die GPO (Bearbeiten) und navigieren in das folgende Verzeichnis:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitsrichtlinien > Lokale Richtlinien > Zuweisen von Benutzerrechten
- Wählen Sie die Richtlinie "Anmelden über Remotedesktopdienste zulassen" aus und fügen die erstellte Sicherheitsgruppe hinzu.
- Navigieren Sie in folgendes Verzeichnis:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitsrichtlinien > Eingeschränkte Gruppen
- Klicken Sie mit der Rechten Maustaste auf die Rechte Fensterseite, wählen "Gruppe hinzufügen" aus und geben die AD Gruppe "Remotedesktopbenutzer" an.
- Nachdem Sie sie hinzugefügt haben, klicken Sie doppelt auf den Eintrag um die erstellte Sicherheitsgruppe unter "Mitglieder dieser Gruppe" hinzu zufügen.
- Legen Sie folgende Ausnahmen und Vorgaben fest:
Pfad: Computerkonfiguration > Administrative Vorlagen > Netzwerk > Netzwerkverbindungen > Windows-Firewall > Domänenprofil Richtlinie: Windows-Firewall: Eingehende Remotedesktopausnahme zulassen Status: Aktiviert
|
Pfad: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktopsitzungs-Host > Verbindungen Richtlinie: Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen Status: Aktiviert
|
OPTIONAL
Pfad: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktopsitzungs-Host > Sicherheit Richtlinie: Berechtigungsanpassung für lokale Administratoren nicht zulassen Status: Aktiviert
|
OPTIONAL
Pfad: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktopsitzungs-Host > Sicherheit Richtlinie: Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich Status: Deaktiviert
|
- Schließen Sie die Bearbeitung der GPO um die getätigten Anpassungen zu speichern.
- Verknüpfen Sie die neu erstellte GPO mit der OU, in der sich die Client Objekte befinden.
Wenn Sie die oben genannten Schritte durchgeführt haben, könne Sich die Mitglieder der Sicherheitsgruppe via RDP auf die Clientobjekte verbinden.
Quelle: http://www.dannyeckes.com/server-2012-enable-remote-desktop-rdp-group-policy-gpo