Как разрешить обычным пользователям RDP доступ к контроллеру домена

14.03.2018

По умолчанию удаленный rdp-доступ к рабочему столу контроллеров домена Active Directory есть только у членов группы администраторов домена. В этой статье мы покажем, как предоставить rdp доступ к контроллерам домена обычным пользователям без предоставления административных полномочий.

Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям нужен удаленный доступ к рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру обслуживают несколько администраторов, обладающих правами администратора домена, такая необходимость вряд ли понадобится. Однако в больших корпоративных сетях, обслуживаемых большим количеством персонала, нередко возникает необходимость предоставления rdp доступа к DC (как правило к филиальным DC или RODC) различным группам администраторов серверов, команде мониторинга, дежурным администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC разворачивают сторонние службы, управляемые не доменными администраторами, которое также необходимо как-то обслуживать.

Совет. Одновременное сосуществование ролей Active Directory Domain Services и Remote Desktop Service (роль терминального сервера) на одном сервере не поддерживается. Если имеется только один физический сервер, на котором требуется развернуть и DC и терминальные службы, лучше прибегнуть к виртуализации, тем более лицензионная политика Microsoft разрешает запуск сразу двух виртуальных серверов на одной лицензии Windows Server 2016 / 2012 R2 в редакции Standard.

После повышения роли сервера до контроллера домена из оснасток управления компьютерами пропадают инструменты управления локальными пользователями и группами. При попытке открыть консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:

The computer xxx is a domain controller. This snip-in cannot be used on a domain controller. Domain accounts are managed with the Active Directory Users and Computers snap-in.

Как вы видите, на контроллере домена отсутствуют локальные группы. Вместо локальной группы Remote Desktop Users, на DC используется встроенная доменная группа Remote Desktop Users (находятся контейнере Builtin). Управлять данной группой можно из консоли ADUC или из командной строки на DC.

Выведем состав локальной группы Remote Desktop Users на контроллере домена:

net localgroup "Remote Desktop Users"

Как вы видите, она пустая. Добавим в нее доменного пользователя itpro (в нашем примере itpro—обычный пользователь домена без административных привилегий).

net localgroup "Remote Desktop Users" /add corp\itpro

Убедимся, что пользователь был добавлен в группу

net localgroup "Remote Desktop Users"

Также можно проверить, что теперь пользователь входит в доменную группу Remote Desktop Users.

доменная группа Remote Desktop Users

Однако и после этого пользователь не может подключиться к DC через Remote Desktop.

To sign in remotely, you need the rights to sign in Remote Desktop Services. By default only members of the Administrators group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from Administrators group, you need to be granted this right manually.

Дело в том, что возможность подключение к RDP в системах Windows определяется политикой Allow log on through Remote Desktop Services (в Windows 2003 и ранее политика называется Allow log on through terminal services). После повышения роли сервера до DC в этой политики остается только группа Administrators (это администраторы домена)..

Чтобы дать возможность подключения членам группы Remote Desktop Users нужно нужно на контроллере домена:

Запустить редактор локальной политики (gpedit.msc)
Перейти в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment
Найти политику с именем Allow log on through Remote Desktop Services
Отредактировать политику, добавив в нее доменную группу Remote Desktop Users (в формате domain\Remote Desktop Users), либо непосредственно доменного пользователя или группу (в формате domain\somegroupname)
Запустить обновление локальный политик
```
gpupdate /force
```

Обратите внимание, что требуемые группы не должны присутствовать в политике «Deny log on through Remote Desktop Services», т.к. она имеет приоритет (см статью Ограничение сетевого доступа в домене под локальными учетками).

Примечание. Чтобы разрешить пользователю локальный вход на DC (через консоль сервера), его учетную запись или группу, в которой он состоит нужно добавить также и в политику Allow log on locally. По умолчанию это право есть у следующих доменных групп

Account Operators
Administrators
Backup Operators
Print Operators
Server Operators.

Лучше всего создать в домене новую группу безопасности, например, AllowDCLogin и добавить в нее учетные записи пользователей, которым нужно разрешить удаленный доступ к DC. Если нужно разрешить доступ сразу на все контроллеры домена AD, вместо редактирования локальной политики на каждом DC, лучше через консоль GPMC,msc добавить группу пользователей в доменную политику Default Domain Controllers Policy (политика Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment -> Allow log on through Remote Desktop Services).

Важно. В том случае, если вы изменяете доменную политику, не забудьте добавить в нее группы администраторов домена/предприятия, иначе они потеряют удаленный доступ к контроллерам домена

разрешить rdp доступ через политику Default Domain Controllers Policy

После данных изменений у указанных пользователей и групп появится возможность rdp подключения к контроллеру домена. Попробуйте по RDP подключится к DC под учетной записью пользователя. Он должен увидеть рабочий стол контроллера домена. Обычным пользователями можно предоставить право на запуск/остановку определенных служб на DC следующим образом.

Предыдущая статья Следующая статья

Настройка Internet Explorer 11 с помощью GPO в домене

Отслеживание изменений в группах Active Directory

Группа защищенных пользователей Active Directory

Использование Get-ADUser для получения разной информации о пользователях домена AD

Выявляем источник блокировки учетной записи пользователя в Active Directory

Настройка Google Chrome с помощью ADMX шаблонов групповых политик

LAPS: управление паролями локальных администраторов на компьютерах домена

Комментариев: 7 Оставить комментарий

Игорь 27.02.2015
После данных действий пользователи попадают в доменную группу corp\Builtin\Remote Desktop Users — таким образом получают RDP доступ на все компьютеры домена, а не только на конкретный контроллер домена. Будьте аккуратны с такими расширенными правами.
Ответить
- itpro 27.02.2015
  Да, таким образом пользователь попадает в доменную группу Remote Desktop Users, но она ведь не входит локальные группы Remote Desktop Users на доменных машинах. Или я ошибаюсь?
  Ответить
  - Игорь 27.02.2015
    Да, я ошибся. Не на все компьютеры домена, а все контроллеры домена, где произведены настройки локальной политики.
    Таким образом можно не только через «net localgroup», но и через оснастку ADUC давать доступ RDP.
    Очередной раз — спасибо за статью 🙂
    Ответить
Евгений 12.03.2019
Если создать новую группу, например, AllowDCLogin, то она должна быть: и включена в группу ADUC «Пользователи удаленного рабочего стола», и добавлена в запись gpedit.msc «Разрешить вход в систему через службу удаленных рабочих столов». Вопрос: в чем смысл создания новой группы, если она, всё равно должна входить в группу ADUC «Польз. уд. раб. стола»?
Ответить
- itpro 14.03.2019
  » то она должна быть: и включена в группу ADUC «Пользователи удаленного рабочего стола» — это не обязательно, достаточно добавить группу в политику «Разрешить вход в систему через службу удаленных рабочих столов»
  Ответить
  - Евгений 14.03.2019
    Вы попробуйте, если у Вас есть возможность. У меня без добавления «новой группы» в группу ADUC «Пользователи удаленного рабочего стола», пользователи не могут подключаться по RDP.
    Добавить «новую группу» в политику «Разрешить вход в систему через службу удаленных рабочих столов» — это обязательно! AD Server 2016.
    Ответить
    - Серж 22.10.2019
      AD Server 2016
      Затестил. Новая группа — «Remote Access», в которой нужные пользователи. Эта группа добавлена в дефолтную политику «Разрешить вход в систему через службу удаленных рабочих столов». Но либо вся группа, либо её пользователи (первое удобнее) должны быть добавлены и во встроенную группу «Пользователи удаленного рабочего стола».
      Группа «Remote Access» может потребоваться лишь для наглядности и удобства.
      Может кто-то ещё попробует оспорить сей факт? Ю велкам.
      В остальном поднятая тема раскрыта достаточно. Спасибо автору.
      Ответить

Оставить комментарий