Erlauben Sie Benutzern ohne Administratorrechte den RDP-Zugriff auf Windows Server - Gamingdeputy Germany (2023)

von Eshan Williams

Standardmäßig ist der RDP-Zugriff auf den Desktop von Windows Server-Mitgliedsservern oder Active Directory-Domänencontrollern auf Benutzer beschränkt, die dem lokalen Server hinzugefügt wurden Administratoren oder Domänenadministratoren Gruppen. In diesem Beitrag zeigen wir Ihnen, wie Sie Benutzern ohne Administratorrechte RDP-Zugriff auf Windows Server-Hosts oder Domänencontroller gewähren, ohne ihnen lokale Administratorrechte zuzuweisen.

Standardmäßig erlauben die Windows-Sicherheitseinstellungen einem Remotebenutzer, RDP-Verbindungen über Remotedesktopdienste (TermService) herzustellen, wenn:

  • Der Benutzer ist Mitglied des Lokalen Administratoren oder Remotedesktopbenutzer Gruppe;
  • Die lokale Erlauben Sie die Anmeldung über Remotedesktopdienste Die Richtlinie ermöglicht es dem Benutzer, eine Verbindung herzustellen.

Um sich remote anzumelden, benötigen Sie das Recht, sich über Remotedesktopdienste anzumelden

Der Benutzer erhält eine Fehlermeldung, wenn er versucht, eine Remoteverbindung zum Windows Server-Desktop herzustellen:

To sign in remotely, you need the right to sign in Remote Desktop Services. By default only members of the Administrators group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from Administrators group, you need to be granted this right manually.

Wenn Network Level Authentication (NLA) in der RDP-Einstellung auf dem Remote-Host aktiviert ist, tritt beim Herstellen einer Verbindung ein weiterer Fehler auf:

The connection was denied because the user account is not authorized for remote login.

Erlauben Sie Benutzern ohne Administratorrechte den RDP-Zugriff auf Windows Server - Gamingdeputy Germany (1)

In diesem Fall müssen Sie lediglich den Benutzer lokal hinzufügen Remotedesktopbenutzer Gruppe, damit sie über RDP eine Verbindung zu Windows Server herstellen können:

  1. Öffnen Sie das MMC-Snap-In „Lokale Benutzer und Gruppen“ (lusrmgr.msc) und navigieren Sie zum Abschnitt „Gruppen“.
  2. Doppelklicken Sie auf Remotedesktopbenutzer Gruppe;
  3. Klicken Sie auf die Schaltfläche „Hinzufügen“ und geben Sie den Namen des Benutzers (oder der Gruppe) ein, dem Sie RDP-Zugriff gewähren möchten.Erlauben Sie Benutzern ohne Administratorrechte den RDP-Zugriff auf Windows Server - Gamingdeputy Germany (2)
  4. Benutzer können sich dann über RDP mit dem Windows-Host verbinden.

Es ist auch möglich, einen Benutzer über die Befehlszeile zu einer RDP-Zugriffsgruppe hinzuzufügen:

net localgroup "Remote Desktop Users" /add woshubtestuser

oder mit PowerShell (Erfahren Sie mehr darüber, wie Sie lokale Benutzer und lokale Gruppen mit PowerShell verwalten).

Add-LocalGroupMember -Group "Remote Desktop Users" -Member testuser

Listen Sie Benutzer in der Gruppe „Remotedesktopbenutzer“ auf:

Get-LocalGroupMember -Group 'Remote Desktop Users'

Erlauben Sie Benutzern ohne Administratorrechte den RDP-Zugriff auf Windows Server - Gamingdeputy Germany (3)

Ebenso können Sie Benutzern RDP-Zugriff auf Windows 10- oder 11-Workstations gewähren (vergessen Sie nicht, RDP auf diesen Geräten zu aktivieren).

Standardmäßig lässt Windows Server zwei gleichzeitige Remotedesktopsitzungen zu. Das bedeutet, dass zwei Benutzer gleichzeitig in ihren eigenen Remotedesktopsitzungen arbeiten können. Wenn Sie mehr gleichzeitige RDP-Verbindungen benötigen, müssen Sie Lizenzen (RDP CALs) auf dem RDS-Lizenzserver erwerben und aktivieren und die Rolle „Remotedesktopdienste“ installieren (dies kann ein eigenständiger RDSH-Server oder eine vollständige RDS-Farm bestehend aus mehreren Hosts sein). .

Sie können RDS-Sammlungen verwenden, um Remote-Desktop-Zugriff in einer RDS-Farm bereitzustellen. Offen Server Manager -> Remotedesktopdienste –> Aufgaben -> Bearbeiten Sie die Bereitstellungseigenschaften.

Öffnen Sie die Sammlung und die Benutzergruppe Im Abschnitt wird die Sicherheitsgruppe aufgelistet, die eine Verbindung zu den RDSH-Hosts in dieser Sammlung herstellen darf.

Erlauben Sie Benutzern ohne Administratorrechte den RDP-Zugriff auf Windows Server - Gamingdeputy Germany (4)

Erlauben Sie RDP-Zugriff auf den Domänencontroller für Benutzer ohne Administratorrechte

Wenn Sie einem regulären Benutzer (ohne Administratorrechte) Fernzugriff auf den Desktop eines Domänencontrollers gewähren müssen, funktioniert die oben beschriebene Methode nicht.

Nachdem die Serverrolle zu einem Active Directory-Domänencontroller heraufgestuft wurde, können Sie lokale Benutzer und Gruppen nicht mehr über das MMC-Snap-In „Computerverwaltung“ verwalten. Wenn Sie versuchen, die zu öffnen Lokale Benutzer und Gruppen Konsole (lusrmgr.msc), erscheint der folgende Fehler:

The computer xxx is a domain controller. This snip-in cannot be used on a domain controller. Domain accounts are managed with the Active Directory Users and Computers snap-in.

Erlauben Sie Benutzern ohne Administratorrechte den RDP-Zugriff auf Windows Server - Gamingdeputy Germany (5)

Wie Sie sehen, gibt es auf dem Domänencontroller keine lokalen Gruppen. Anstelle der lokalen Gruppe Remotedesktopbenutzerverwendet der DC die integrierte Domänengruppe Remotedesktopbenutzer (liegt in den Eingebaut Container). Sie können diese Gruppe über die ADUC-Konsole oder die DC-Eingabeaufforderung verwalten.

Erlauben Sie Benutzern ohne Administratorrechte den RDP-Zugriff auf Windows Server - Gamingdeputy Germany (6)

Es wird jedoch nicht empfohlen, diese Gruppe zum Gewähren von Remotedesktopzugriff zu verwenden, da der Benutzer dadurch Zugriff auf alle Domänencontroller in der Domäne erhält. In diesem Fall ist es besser, Berechtigungen mithilfe von zu erteilen Anmeldung über Remotedesktopdienste zulassen Politik.

Viele fragen sich vielleicht, warum Nicht-Administratoren Fernzugriff auf den DC-Desktop benötigen. Tatsächlich ist dies in kleinen und mittelgroßen Infrastrukturen, in denen die gesamte Infrastruktur von mehreren Administratoren mit Domänenadministratorberechtigungen verwaltet wird, wahrscheinlich nicht erforderlich. In den meisten Fällen reicht es aus, einige administrative Berechtigungen im Active Directory zu delegieren oder PowerShell Just Enough Administration (JEA) zu verwenden.

In großen Unternehmensnetzwerken mit einer großen Anzahl von Mitarbeitern ist es jedoch häufig erforderlich, verschiedenen Gruppen von Serveradministratoren, diensthabenden Administratoren oder anderem technischen Personal RDP-Zugriff auf den Domänencontroller (normalerweise auf Zweigstellen-Domänencontrollern oder RODCs) bereitzustellen. Es gibt auch Situationen, in denen Dienste von Drittanbietern, die von Nicht-Domänenadministratoren verwaltet werden, auf dem Domänencontroller bereitgestellt werden und diese Dienste gewartet werden müssen.

Wie erlaube ich die Anmeldung über Remotedesktopdienste?

Um einem Domänenbenutzer oder einer Domänengruppe die Remoteverbindung zu Windows über RDP zu ermöglichen, müssen Sie ihm das gewähren SeRemoteInteractiveLogonRight Privileg. Sie können diese Berechtigung mit dem erteilen Anmeldung über Remotedesktopdienste zulassen Politik.

Die Richtlinie heißt Anmeldung über Terminaldienste zulassen in Windows Server 2003 und früher.

Um Mitgliedern der Gruppe „Remotedesktopbenutzer“ eine Remoteverbindung zu den Domänencontrollern zu ermöglichen, müssen Sie die Einstellungen dieser Richtlinie auf Ihrem Domänencontroller ändern:

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien (gpedit.msc);
  2. Gehen Sie zum Abschnitt GPO Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Benutzerrechtezuweisung;
  3. Finden Sie die Richtlinie Anmeldung über Remotedesktopdienste zulassen;

    Sobald der Server zu einem Domänencontroller hochgestuft wurde, ist die einzige Gruppe, die in dieser lokalen Richtlinie verbleibt, die Administratoren Gruppe (dies sind Domänenadministratoren).

  4. Bearbeiten Sie die Richtlinie und fügen Sie den Domänenbenutzer oder die Domänengruppe direkt hinzu (domainCA_Server_Admins) dazu;Erlauben Sie Benutzern ohne Administratorrechte den RDP-Zugriff auf Windows Server - Gamingdeputy Germany (7)
  5. Aktualisieren Sie die lokalen Gruppenrichtlinieneinstellungen auf dem DC mit dem folgenden Befehl: gpupdate /force

Beachten Sie, dass die Gruppe, die Sie hinzugefügt haben Anmeldung über Remotedesktopdienste zulassen Politik sollte nicht in der „Anmeldung über Remotedesktopdienste verweigern”-Richtlinie, da sie eine höhere Priorität hat (lesen Sie den Artikel Fernzugriff unter lokalen Benutzerkonten blockieren). Wenn Sie außerdem die Liste der Computer einschränken, an denen sich Benutzer anmelden können, müssen Sie den Servernamen zu den Benutzerkontoeigenschaften in AD hinzufügen (LogonWorkstations-Benutzerattribut).

Notiz. Damit sich Benutzer lokal (über die Serverkonsole) am DC anmelden können, muss ihr Konto oder ihre Gruppe ebenfalls zum „Lokale Anmeldung zulassen“ Politik. Standardmäßig verfügen die folgenden integrierten Domänengruppen über diese Berechtigung:

  • Backup-Operatoren
  • Administratoren
  • Druckoperatoren
  • Serverbetreiber
  • Kontobetreiber

Wenn Sie dies nicht tun, erhalten Sie beim Versuch, eine Verbindung zum Remotedesktop herzustellen, eine Fehlermeldung: Die Anmeldemethode, die Sie verwenden möchten, ist nicht zulässig.

Zur Vereinfachung können Sie beispielsweise eine neue Sicherheitsgruppe in der Domäne erstellen DCLogin zulassen. Fügen Sie als Nächstes der Richtlinie die Konten hinzu, denen der Remotezugriff auf den Domänencontroller gestattet sein muss. Wenn Sie den Zugriff auf alle AD-Domänencontroller gleichzeitig zulassen müssen, anstatt die lokale Richtlinie auf jedem Domänencontroller zu bearbeiten, ist es besser, die Benutzergruppe zu hinzuzufügen Standardrichtlinie für Domänencontroller mithilfe der Gruppenrichtlinien-Verwaltungskonsole (GPMC.msc). Bearbeiten Sie das Richtlinienelement Anmeldung über Remotedesktopdienste zulassen im Abschnitt ComputerkonfigurationWindows-EinstellungenSicherheitseinstellungenLokale RichtlinienZuweisung von Benutzerrechten.

Warnung. Wenn Sie die Standardrichtlinie für Domänencontroller ändern, vergessen Sie nicht, die Gruppe „Domänen-/Unternehmensadministratoren“ zur Richtlinie hinzuzufügen Anmeldung über Remotedesktopdienste zulassenAndernfalls verlieren sie den Fernzugriff auf die DCs.

Erlauben Sie Benutzern ohne Administratorrechte den RDP-Zugriff auf Windows Server - Gamingdeputy Germany (8)

Die Benutzer, die Sie der Richtlinie hinzugefügt haben, können sich nun über RDP mit dem Desktop des AD-Domänencontrollers verbinden.

Der angeforderte RDP-Sitzungszugriff wird verweigert

In einigen Fällen erhalten Sie möglicherweise die folgende Fehlermeldung, wenn Sie RDP verwenden, um eine Verbindung zu einem Windows Server-Domänenmitgliedshost oder Domänencontroller herzustellen:

The requested session access is denied.

Erlauben Sie Benutzern ohne Administratorrechte den RDP-Zugriff auf Windows Server - Gamingdeputy Germany (9)

Die folgenden Probleme können auftreten, wenn Sie mit einem Nicht-Administratorkonto eine Verbindung zum DC herstellen:

  • Sie versuchen, eine Verbindung zur Serverkonsole herzustellen (mithilfe von mstsc /admin Modus). Dieser Verbindungsmodus ist nur für Administratoren zulässig. Versuchen Sie, mit dem mstsc.exe-Client im normalen RDP-Modus (ohne) eine Verbindung zum Server herzustellen /admin Möglichkeit);
  • Es ist möglich, dass auf dem Host bereits zwei aktive RDP-Sitzungen vorhanden sind (standardmäßig können nicht mehr als zwei gleichzeitige RDP-Sitzungen eine Verbindung zu einem Windows-Server herstellen, ohne dass eine RDS-Rolle bereitgestellt wird). Sie können die Liste der aktiven Sitzungen und angemeldeten Benutzer auf dem Remotecomputer abrufen, indem Sie den folgenden Befehl verwenden:
    qwinsta /server:dc01
    Sie können die Sitzungen anderer Benutzer nicht ohne Administratorrechte beenden. Sie müssen warten, bis Administratoren eine Sitzung freigeben oder beenden.
  • Auf dem Windows Server-Host ist der eingeschränkte Administratormodus oder Windows Defender Remote Credential Guard aktiviert
Top Articles
Latest Posts
Article information

Author: Dong Thiel

Last Updated: 09/06/2023

Views: 6109

Rating: 4.9 / 5 (59 voted)

Reviews: 82% of readers found this page helpful

Author information

Name: Dong Thiel

Birthday: 2001-07-14

Address: 2865 Kasha Unions, West Corrinne, AK 05708-1071

Phone: +3512198379449

Job: Design Planner

Hobby: Graffiti, Foreign language learning, Gambling, Metalworking, Rowing, Sculling, Sewing

Introduction: My name is Dong Thiel, I am a brainy, happy, tasty, lively, splendid, talented, cooperative person who loves writing and wants to share my knowledge and understanding with you.