Beschreibung

diese Kurzanleitung soll die Schritte darstellen, wie Sie mit Hilfe einer GPO Richtlinie und der dazugehörigen FW-Anpassung Mitgliedern einer AD-Sicherheitsgruppe eine RDP Verbindung auf Clientobjekten aufbauen lassen zu können.

Schritte - erstellen der Sicherheitsgruppe:

1. Erstellen Sie eine neue Sicherheitsgruppe mit einem eindeutigen Namen: Bsp.: lab-sec-rdp-users
2. Fügen Sie der neuen Gruppe die Mitglieder zu, die später den RDP Zugriff erhalten sollen.
3. Öffnen Sie die Gruppenrichtlinienverwaltung und erstellen eine neue GPO mit einem eindeutigen Namen: Bsp.: Client-RDP-UserAccess

Schritte - erstellen der GPO:

1. Öffnen Sie die GPO (Bearbeiten) und navigieren in das folgende Verzeichnis:
   
   Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitsrichtlinien > Lokale Richtlinien > Zuweisen von Benutzerrechten
   
   
2. Wählen Sie die Richtlinie "Anmelden über Remotedesktopdienste zulassen" aus und fügen die erstellte Sicherheitsgruppe hinzu.
3. Navigieren Sie in folgendes Verzeichnis:
   
   Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitsrichtlinien > Eingeschränkte Gruppen
   
   
   
4. Klicken Sie mit der Rechten Maustaste auf die Rechte Fensterseite, wählen "Gruppe hinzufügen" aus und geben die AD Gruppe "Remotedesktopbenutzer" an.
5. Nachdem Sie sie hinzugefügt haben, klicken Sie doppelt auf den Eintrag um die erstellte Sicherheitsgruppe unter "Mitglieder dieser Gruppe" hinzu zufügen.
6. Legen Sie folgende Ausnahmen und Vorgaben fest:
   
   

   Pfad: Computerkonfiguration > Administrative Vorlagen > Netzwerk > Netzwerkverbindungen > Windows-Firewall > Domänenprofil Richtlinie: Windows-Firewall: Eingehende Remotedesktopausnahme zulassen Status: Aktiviert

   Pfad: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktopsitzungs-Host > Verbindungen Richtlinie: Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen Status: Aktiviert

   OPTIONAL Pfad: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktopsitzungs-Host > Sicherheit Richtlinie: Berechtigungsanpassung für lokale Administratoren nicht zulassen Status: Aktiviert

   OPTIONAL Pfad: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktopsitzungs-Host > Sicherheit Richtlinie: Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich Status: Deaktiviert

   
   
   
   
7. Schließen Sie die Bearbeitung der GPO um die getätigten Anpassungen zu speichern.
8. Verknüpfen Sie die neu erstellte GPO mit der OU, in der sich die Client Objekte befinden.

Wenn Sie die oben genannten Schritte durchgeführt haben, könne Sich die Mitglieder der Sicherheitsgruppe via RDP auf die Clientobjekte verbinden.

Quelle: http://www.dannyeckes.com/server-2012-enable-remote-desktop-rdp-group-policy-gpo