Как разрешить обычным пользователям RDP доступ к контроллеру домена | Windows для системных администраторов

Как разрешить обычным пользователям RDP доступ к контроллеру домена

По умолчанию удаленный rdp-доступ к рабочему столу контроллеров домена есть только у членов группы администраторов домена. В этой статье мы покажем, как предоставить rdp доступ к контроллерам домена обычным пользователям.

Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям доступ к рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру обслуживают несколько администраторов, обладающих правами администратора домена, такая необходимость вряд ли понадобится. Однако в больших корпоративных сетях, обслуживаемых большим количеством персонала, нередко возникает необходимость предоставления rdp доступа к DC различным группам администрирования серверов, команде мониторинга, дежурным администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC разворачивают сторонние службы, управляемые не доменными администраторами, которое необходимо обслуживать.

Совет. Одновременное сосуществование ролей Active Directory Domain Services и Remote Desktop Service (терминальная роль) на одном сервере не поддерживается. Если имеется только один физический сервер, на котором требуется развернуть и DC и терминальные службы, лучше прибегнуть к виртуализации, тем более лицензионная политика Microsoft разрешает запуск сразу двух виртуальных серверов на одной лицензии Windows Server 2012 Standard.

После повышения роли сервера до контроллера домена из оснасток управления компьютерами пропадают инструменты управления локальными пользователями и группами. При попытке открыть консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:

The computer xxx is a domain controller. This snip-in cannot be used on a domain controller. Domain accounts are managed with the Active Directory Users and Computers snap-in.

Оснастка Local Users and Groups (lusrmgr.msc) на контроллере доменаТ.е. возникает ощущение, что на контроллере домена отсутствуют локальные группы. На самом деле локальные группы на DC никуда не пропадают, управлять ими можно из командной строки.

Выведем состав локальной группы Remote Desktop Users на контроллере домена:

net localgroup "Remote Desktop Users"

Как вы видите, она пустая. Добавим в нее доменного пользователя itpro (в нашем примере itpro—обычный пользователь домена без административных привилегий).

net localgroup "Remote Desktop Users" /add corp\itpro

Убедимся, что пользователь был добавлен в группу

net localgroup "Remote Desktop Users"

Добавить пользователя в доменную группу из командной строкиОднако и после этого пользователь не может подключиться к DC через Remote Desktop.

rdp доступ к контроллеру доменаДело в том, что возможность подключение к RDP в системах Windows определяется политикой Allow log on through Remote Desktop Services (в Windows 2003 и ранее политика называется Allow log on through terminal services) . После повышения роли сервера до DC в этой политики остается только группа Administrators.

Чтобы дать возможность подключения членам группы Remote Desktop Users нужно:

  1. Запустить редактор локальной политики (gpedit.msc)
  2. Перейти в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment
  3. Найти политику с именем Allow log on through Remote Desktop ServicesПолитика Allow log on through Remote Desktop Services
  4. Отредактировать политику, добавив в нее локальную группу Remote Desktop Users (в формате dc-name\Remote Desktop Users), либо непосредственно доменного пользователя или группу (в формате domain\somegroupname)
  5. Запустить обновление локальный политик
    gpupdate /force

После данных изменений у указанных пользователей и групп появится возможность rdp подключения к контроллеру домена.

Еще записи по теме: Active Directory
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 3

Оставить комментарий
  1. Игорь | 27.02.2015

    После данных действий пользователи попадают в доменную группу corp\Builtin\Remote Desktop Users — таким образом получают RDP доступ на все компьютеры домена, а не только на конкретный контроллер домена. Будьте аккуратны с такими расширенными правами.

    Ответить
    • itpro | 27.02.2015

      Да, таким образом пользователь попадает в доменную группу Remote Desktop Users, но она ведь не входит локальные группы Remote Desktop Users на доменных машинах. Или я ошибаюсь?

      Ответить
      • Игорь | 27.02.2015

        Да, я ошибся. Не на все компьютеры домена, а все контроллеры домена, где произведены настройки локальной политики.
        Таким образом можно не только через «net localgroup», но и через оснастку ADUC давать доступ RDP.
        Очередной раз — спасибо за статью :)

        Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00109 sec