Как разрешить обычным пользователям RDP доступ к контроллеру домена

По умолчанию удаленный rdp-доступ к рабочему столу контроллеров домена есть только у членов группы администраторов домена. В этой статье мы покажем, как предоставить rdp доступ к контроллерам домена обычным пользователям.

Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям доступ к рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру обслуживают несколько администраторов, обладающих правами администратора домена, такая необходимость вряд ли понадобится. Однако в больших корпоративных сетях, обслуживаемых большим количеством персонала, нередко возникает необходимость предоставления rdp доступа к DC различным группам администрирования серверов, команде мониторинга, дежурным администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC разворачивают сторонние службы, управляемые не доменными администраторами, которое необходимо обслуживать.

Совет. Одновременное сосуществование ролей Active Directory Domain Services и Remote Desktop Service (терминальная роль) на одном сервере не поддерживается. Если имеется только один физический сервер, на котором требуется развернуть и DC и терминальные службы, лучше прибегнуть к виртуализации, тем более лицензионная политика Microsoft разрешает запуск сразу двух виртуальных серверов на одной лицензии Windows Server 2012 Standard.

После повышения роли сервера до контроллера домена из оснасток управления компьютерами пропадают инструменты управления локальными пользователями и группами. При попытке открыть консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:

The computer xxx is a domain controller. This snip-in cannot be used on a domain controller. Domain accounts are managed with the Active Directory Users and Computers snap-in.

Оснастка Local Users and Groups (lusrmgr.msc) на контроллере доменаТ.е. возникает ощущение, что на контроллере домена отсутствуют локальные группы. На самом деле локальные группы на DC никуда не пропадают, управлять ими можно из командной строки.

Выведем состав локальной группы Remote Desktop Users на контроллере домена:

net localgroup "Remote Desktop Users"

Как вы видите, она пустая. Добавим в нее доменного пользователя itpro (в нашем примере itpro—обычный пользователь домена без административных привилегий).

net localgroup "Remote Desktop Users" /add corp\itpro

Убедимся, что пользователь был добавлен в группу

net localgroup "Remote Desktop Users"

Добавить пользователя в доменную группу из командной строкиОднако и после этого пользователь не может подключиться к DC через Remote Desktop.

rdp доступ к контроллеру доменаДело в том, что возможность подключение к RDP в системах Windows определяется политикой Allow log on through Remote Desktop Services (в Windows 2003 и ранее политика называется Allow log on through terminal services) . После повышения роли сервера до DC в этой политики остается только группа Administrators.

Чтобы дать возможность подключения членам группы Remote Desktop Users нужно:

  1. Запустить редактор локальной политики (gpedit.msc)
  2. Перейти в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment
  3. Найти политику с именем Allow log on through Remote Desktop ServicesПолитика Allow log on through Remote Desktop Services
  4. Отредактировать политику, добавив в нее локальную группу Remote Desktop Users (в формате dc-name\Remote Desktop Users), либо непосредственно доменного пользователя или группу (в формате domain\somegroupname)
  5. Запустить обновление локальный политик
    gpupdate /force

После данных изменений у указанных пользователей и групп появится возможность rdp подключения к контроллеру домена.


Предыдущая статья Следующая статья

Комментариев: 3 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)