Меню

Настройка прав пользователя rdp



Добавление пользователя в разрешения RDP служб терминалов с помощью WMI

В этой статье описываются три способа добавления пользователей или групп в разрешения протокола удаленного рабочего стола служб терминалов (RDP).

Исходная версия продукта: Windows Server 2012 R2
Исходный номер статьи базы знаний: 290720

Аннотация

Два из трех методов используют инструментарий управления Windows (WMI). Один из способов заключается в графическом интерфейсе пользователя (GUI), а два других метода используют WMI с помощью сценария и программы командной строки WMI, WMIC.

Дополнительная информация

Чтобы добавить пользователей или группы в разрешения RDP служб терминалов, используйте один из следующих способов.

Использование графического интерфейса пользователя

  1. Откройте оснастку «Настройка служб терминалов».
  2. В папке подключения щелкните правой кнопкой мыши RDP-TCP.
  3. Выберите Свойства.
  4. На вкладке разрешения нажмите кнопку Добавить, а затем добавьте нужных пользователей и группы.

Вы не можете использовать GUI для настройки разрешений на вход в сеанс консоли с помощью RDP. Чтобы изменить разрешения для сеанса консоли (нулевой сеанс), необходимо использовать приведенные ниже методы WMI и указать консоль, а не RDP-Tcp для имени терминала.

Использование WMI в сценарии

Корпорация Майкрософт предоставляет примеры программирования только в целях демонстрации без явной или подразумеваемой гарантии. В том числе подразумеваемые гарантии пригодности для реализации или пригодности для определенных целей. В этой статье предполагается, что вы знакомы с языком программирования, который вы демонстрируете, и со средствами, используемыми для создания и отладки процедур. Инженеры службы поддержки Майкрософт могут объяснить функциональность отдельной процедуры. Однако они не изменяют эти примеры, чтобы предоставить дополнительные функции или создать процедуры для удовлетворения конкретных требований. Создайте скрипт с помощью следующего примера кода:

Где «домен \ пользователь», X:

  • Домен \ пользователь: конечный домен и учетная запись (пользователь или группа), которым необходимо назначить разрешения. Для локальных учетных записей замените *домен * пользователь только пользователь, где пользователь — это локальная учетная запись на компьютере, на котором выполняется команда.
  • X: тип доступа, который требуется получить:
    0 = WINSTATION_GUEST_ACCESS
    1 = WINSTATION_USER_ACCESS
    2 = WINSTATION_ALL_ACCESS

Чтобы изменить разрешения для сеанса консоли, измените имя терминала на Console, а не на RDP-TCP.

Чтобы вернуться к разрешениям по умолчанию, укажите соответствующее имя терминала. Затем вызовите RestoreDefaults метод.

Использование программы командной строки WMI: WMIC

В командной строки введите WMIC.

Если он отсутствует в пути, добавьте %SystemRoot%\System32\Wbem\ или измените этот каталог и запустите WMIC.

В поле wmic:root\cli> prompt введите следующую команду:
PATH WIN32_TSPermissionsSetting. Терминалнаме = «RDP-TCP» Call Аддаккаунт «домен \ пользователь», X

Где «домен \ пользователь», X:

  • Домен \ пользователь: конечный домен и учетная запись (пользователь или группа), которым необходимо назначить разрешения. Для локальных учетных записей замените *домен * пользователь только пользователь, где пользователь — это локальная учетная запись на компьютере, на котором выполняется команда.
  • X: тип доступа, который требуется получить:
    0 = WINSTATION_GUEST_ACCESS
    1 = WINSTATION_USER_ACCESS
    2 = WINSTATION_ALL_ACCESS

Чтобы изменить разрешения для сеанса консоли, измените имя терминала на Console, а не на RDP-TCP.

Чтобы вернуться к разрешениям по умолчанию, укажите соответствующее имя терминала. Затем вызовите метод Ресторедефаултс.

Читайте также:  Настройка расходомера bmw m30

Ниже приведен пример текста, который вы увидите после запуска WMIC и ввода команды:

Введите quit, чтобы выйти из командной строки WMIC и вернуться в окно командной строки.

Источник

Настройка группы пользователей удаленного рабочего стола

Группа «Пользователи удаленного рабочего стола» на сервере Узел сеансов удаленных рабочих столов используется для предоставления пользователям и группам разрешения удаленно подключаться к серверу Узел сеансов удаленных рабочих столов.

Для добавления в эту группу других пользователей и групп используются следующие средства:

    оснастка «Локальные пользователи и группы»;

оснастка «Active Directory — пользователи и компьютеры», если сервер Узел сеансов удаленных рабочих столов установлен на контроллере домена;

на вкладке Удаленный доступ в диалоговом окне Свойства системы на сервере Узел сеансов удаленных рабочих столов.

Используйте указанную ниже процедуру, чтобы добавить пользователей и группы в группу пользователей удаленного рабочего стола с помощью вкладки Удаленный доступ диалогового окна Свойства системы на сервере Узел сеансов удаленных рабочих столов.

Для выполнения этой процедуры пользователь по меньшей мере должен быть членом локальной группы Администраторы или аналогичной группы на сервере узла сеансов удаленных рабочих столов, который планируется настроить.

Добавление пользователей и групп в группу пользователей удаленного рабочего стола с помощью вкладки «Подключение»

Запустите компонент «Система». Для этого в меню Пуск выберите пункт Выполнить, введите команду control system и нажмите кнопку ОК.

В области Задачи выберите пункт Параметры удаленного рабочего стола.

В диалоговом окне Свойства системы на вкладке Удаленный нажмите кнопку Выбор пользователей. Добавьте пользователей или группы, которым необходимо подключаться к серверу Узел сеансов удаленных рабочих столов, используя удаленный рабочий стол. Выбранные пользователи и группы будут добавлены в группу пользователей удаленного рабочего стола.

Члены локальной группы «Администраторы» могут подключаться даже в том случае, если они не указаны в списке.

Если на вкладке Удаленный выбрать переключатель Не разрешать подключения к этому компьютеру, пользователи не смогут удаленно подключаться к этому компьютеру, даже если они являются членами группы пользователей удаленного рабочего стола.

Источник

Как разрешить RDP для пользователя не администратора домена на контроллере домена

Как разрешить RDP для пользователя не администратора домена на контроллере домена

Как разрешить RDP для пользователя не администратора домена на контроллере домена-01

Всем привет сегодня хочу рассказать как разрешить RDP для пользователя не администратора домена на контроллере домена.

По умолчанию, для контроллеров домена действует политика, запрещающая подключения к ним через RDP членам группы Remote Desktop Users, если они не входят в группу Domain Admins. При попытке подключения такого пользователя к DC, появляется сообщение: «To log on to this remote computer, you must be granted the Allow log on through Terminal Services right. By default, members of Remote Desktop Users group have this right. If you are not a member of the Remote Desktop Users group or another group tha has this right, or if the Remote Desktop User group does not have this right, you must be granted this right manually.»

Определенная логика в такой политике есть, но бывают ситуации, когда на DC развертываются службы, управляемые не доменными администраторами. И в этом случае возникает необходимость предоставить им возможность управления сервером с соответствующим делегированием полномочий. Как было упомянуто, добавление администраторов в группу Remote Desktop Users не срабатывает. Зато срабатывает следующее:

1. Открываем из меню Start -> Settings -> Control Panel -> Administrative Tools -> Terminal Services Configuration;
2. В разделе Connections открываем Properties соединения RDP-Tcp;
3. Во вкладке Permissions добавляем учетную запись, которой требуется доступ к серверу через Remote Desktop, и даем ей необходимые права (User Access, например):

Как разрешить RDP для пользователя не администратора домена на контроллере домена-02

Вот так вот просто предоставить права на RDP сессию пользователю не входящему в группу Администраторы домена, на ваш DC.

Источник

Как разрешить обычным пользователям RDP доступ к контроллеру домена?

По умолчанию удаленный RDP-доступ к рабочему столу контроллеров домена Active Directory разрешен только членам группы администраторов домена (Domain Admins). В этой статье мы покажем, как предоставить RDP доступ к контроллерам домена обычным пользователям без предоставления административных полномочий.

Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям нужен удаленный доступ к рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру обслуживают несколько администраторов, обладающих правами администратора домена, такая необходимость вряд ли понадобится. Обычно хватает возможностей делегирования пользователям административных полномочия в Active Directory или предоставления прав с помощью PowerShell Just Enough Administration (JEA).

Однако в больших корпоративных сетях, обслуживаемых большим количеством персонала, нередко возникает необходимость предоставления RDP доступа к DC (как правило к филиальным DC или RODC) различным группам администраторов серверов, команде мониторинга, дежурным администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC разворачивают сторонние службы, управляемые не доменными администраторами, которое также необходимо как-то обслуживать.

Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов

После повышения роли сервера до контроллера домена в оснастке управления компьютером пропадает возможность управления локальными пользователями и группами. При попытке открыть консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:

Как вы видите, на контроллере домена отсутствуют локальные группы. Вместо локальной группы Remote Desktop Users, на DC используется встроенная доменная группа Remote Desktop Users (находятся контейнере Builtin). Управлять данной группой можно из консоли ADUC или из командной строки на DC.

Чтобы вывести состав локальной группы Remote Desktop Users на контроллере домена, выполните команду:
net localgroup «Remote Desktop Users»
Как вы видите, она пустая. Попробуем добавить в нее доменного пользователя itpro (в нашем примере itpro—обычный пользователь домена без административных привилегий).
net localgroup «Remote Desktop Users» /add corp\itpro
Убедитесь, что пользователь был добавлен в группу:
net localgroup «Remote Desktop Users»
Также можно проверить, что теперь пользователь входит в доменную группу Remote Desktop Users.

Однако и после этого пользователь не может подключиться к DC через Remote Desktop с ошибкой:

Политика “Разрешить вход в систему через службу удаленных рабочих столов”

Чтобы разрешить доменному пользователю или группе удаленное RDP подключение к Windows, необходимо предоставить ему право SeRemoteInteractiveLogonRight. Вы можете предоставить это полномочие с помощью политики Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов).

Чтобы разрешить RDP подключение членам группы Remote Desktop Users, нужно изменить настройку этой политики на контроллере домена:

  1. Запустите редактор локальной политики ( gpedit.msc );
  2. Перейдите в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment;
  3. Найти политику с именем Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов);

Обратите внимание, что группа, которые вы добавили в политику Allow log on through Remote Desktop Services, не должны присутствовать в политике “Deny log on through Remote Desktop Services”, т.к. она имеет приоритет (см статью Ограничение сетевого доступа в домене под локальными учетками). Также, если вы ограничиваете список компьютеров, на которые могут логиниться пользователи, нужно добавить имя сервера в свойствах учетной записи в AD (поле Log on to, атрибут LogonWorkstations).

  • Account Operators
  • Administrators
  • Backup Operators
  • Print Operators
  • Server Operators.

Лучше всего создать в домене новую группу безопасности, например, AllowDCLogin. Затем нужно добавить в нее учетные записи пользователей, которым нужно разрешить удаленный доступ к DC. Если нужно разрешить доступ сразу на все контроллеры домена AD, вместо редактирования локальной политики на каждом DC, лучше через консоль управления доменными политиками ( GPMC.msc ) добавить группу пользователей в доменную политику Default Domain Controllers Policy (политика Allow log on through Remote Desktop Services находится в разделе Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment).

Теперь пользователи, которых вы добавили в политику, смогут подключаться к рабочему столу контроллеру домена по RDP.

Доступ к требуемому сеансу RDP отклонен

В нескорых случаях при подключении по RDP к контроллеру домена, вы можете получить ошибку:

Если вы подключаетесь к DC под неадминистративной учетной записью, это может быть связано с двумя проблемами:

  • Вы пытаетесь подключиться к консоли сервера (с помощью mstsc /admin ). Такой режим подключения разрешен только пользователям с правами администратора сервера. Попробуйте подключиться к серверу в обычном режиме (без параметра /admin );
  • Возможно на сервере уже есть две активные RDP сессии (по умолчанию к Windows Server без службы RDS можно одновременно подключиться не более чем двумя RDP сеансами). Без прав администратора вы не сможете завершить сессии других пользователей. Нужно дождаться, пока администраторы освободят одну из сессий.

Источник

Adblock
detector
Примечание