По умолчанию удаленный RDP-доступ к рабочему столу контроллеров домена Active Directory разрешен только членам группы администраторов домена (Domain Admins). В этой статье мы покажем, как предоставить RDP доступ к контроллерам домена обычным пользователям без предоставления административных полномочий.
Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям нужен удаленный доступ к рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру обслуживают несколько администраторов, обладающих правами администратора домена, такая необходимость вряд ли понадобится. Обычно хватает возможностей делегирования пользователям административных полномочия в Active Directory или предоставления прав с помощью PowerShell Just Enough Administration (JEA).
Однако в больших корпоративных сетях, обслуживаемых большим количеством персонала, нередко возникает необходимость предоставления RDP доступа к DC (как правило к филиальным DC или RODC) различным группам администраторов серверов, команде мониторинга, дежурным администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC разворачивают сторонние службы, управляемые не доменными администраторами, которое также необходимо как-то обслуживать.
Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов
После повышения роли сервера до контроллера домена в оснастке управления компьютером пропадает возможность управления локальными пользователями и группами. При попытке открыть консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:
Как вы видите, на контроллере домена отсутствуют локальные группы. Вместо локальной группы Remote Desktop Users, на DC используется встроенная доменная группа Remote Desktop Users (находятся контейнере Builtin). Управлять данной группой можно из консоли ADUC или из командной строки на DC.
Чтобы вывести состав локальной группы Remote Desktop Users на контроллере домена, выполните команду:net localgroup "Remote Desktop Users"
Как вы видите, она пустая. Попробуем добавить в нее доменного пользователя itpro (в нашем примере itpro—обычный пользователь домена без административных привилегий).net localgroup "Remote Desktop Users" /add corp\itpro
Убедитесь, что пользователь был добавлен в группу:net localgroup "Remote Desktop Users"
Также можно проверить, что теперь пользователь входит в доменную группу Remote Desktop Users.
Однако и после этого пользователь не может подключиться к DC через Remote Desktop с ошибкой:
To sign in remotely, you need the rights to sign in Remote Desktop Services. By default only members of the Administrators group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from Administrators group, you need to be granted this right manually.
Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов. По умолчанию такое право имеют члены группы Администраторы. Если у вашей группы нет этого права или оно было удалено для группы Администраторы, попросите предоставить его вам вручную.
Политика “Разрешить вход в систему через службу удаленных рабочих столов”
Чтобы разрешить доменному пользователю или группе удаленное RDP подключение к Windows, необходимо предоставить ему право SeRemoteInteractiveLogonRight. Вы можете предоставить это полномочие с помощью политики Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов).
Чтобы разрешить RDP подключение членам группы Remote Desktop Users, нужно изменить настройку этой политики на контроллере домена:
- Запустите редактор локальной политики (
gpedit.msc); - Перейдите в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment;
- Найти политику с именем Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов);После повышения роли сервера до DC в этой локальной политике остается только группа Administrators (это администраторы домена).
- Отредактируйте политику, добавьте в нее доменную группу Remote Desktop Users (в формате domain\Remote Desktop Users), либо непосредственно доменного пользователя или группу (в формате domain\somegroupname);
- Обновите настройки групповых политик командой:
gpupdate /force
Обратите внимание, что группа, которые вы добавили в политику Allow log on through Remote Desktop Services, не должны присутствовать в политике “Deny log on through Remote Desktop Services”, т.к. она имеет приоритет (см статью Ограничение сетевого доступа в домене под локальными учетками). Также, если вы ограничиваете список компьютеров, на которые могут логиниться пользователи, нужно добавить имя сервера в свойствах учетной записи в AD (поле Log on to, атрибут LogonWorkstations).
- Account Operators
- Administrators
- Backup Operators
- Print Operators
- Server Operators.
Лучше всего создать в домене новую группу безопасности, например, AllowDCLogin. Затем нужно добавить в нее учетные записи пользователей, которым нужно разрешить удаленный доступ к DC. Если нужно разрешить доступ сразу на все контроллеры домена AD, вместо редактирования локальной политики на каждом DC, лучше через консоль управления доменными политиками (GPMC.msc) добавить группу пользователей в доменную политику Default Domain Controllers Policy (политика Allow log on through Remote Desktop Services находится в разделе Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment).
Теперь пользователи, которых вы добавили в политику, смогут подключаться к рабочему столу контроллеру домена по RDP.
Доступ к требуемому сеансу RDP отклонен
В нескорых случаях при подключении по RDP к контроллеру домена, вы можете получить ошибку:
The requested session access is denied
Доступ к требуемому сеансу отклонен
Если вы подключаетесь к DC под неадминистративной учетной записью, это может быть связано с двумя проблемами:
- Вы пытаетесь подключиться к консоли сервера (с помощью
mstsc /admin). Такой режим подключения разрешен только пользователям с правами администратора сервера. Попробуйте подключиться к серверу в обычном режиме (без параметра/admin); - Возможно на сервере уже есть две активные RDP сессии (по умолчанию к Windows Server без службы RDS можно одновременно подключиться не более чем двумя RDP сеансами). Без прав администратора вы не сможете завершить сессии других пользователей. Нужно дождаться, пока администраторы освободят одну из сессий.
После данных действий пользователи попадают в доменную группу corp\Builtin\Remote Desktop Users — таким образом получают RDP доступ на все компьютеры домена, а не только на конкретный контроллер домена. Будьте аккуратны с такими расширенными правами.
Да, таким образом пользователь попадает в доменную группу Remote Desktop Users, но она ведь не входит локальные группы Remote Desktop Users на доменных машинах. Или я ошибаюсь?
Да, я ошибся. Не на все компьютеры домена, а все контроллеры домена, где произведены настройки локальной политики.
Таким образом можно не только через «net localgroup», но и через оснастку ADUC давать доступ RDP.
Очередной раз — спасибо за статью 🙂
Если создать новую группу, например, AllowDCLogin, то она должна быть: и включена в группу ADUC «Пользователи удаленного рабочего стола», и добавлена в запись gpedit.msc «Разрешить вход в систему через службу удаленных рабочих столов». Вопрос: в чем смысл создания новой группы, если она, всё равно должна входить в группу ADUC «Польз. уд. раб. стола»?
» то она должна быть: и включена в группу ADUC «Пользователи удаленного рабочего стола» — это не обязательно, достаточно добавить группу в политику «Разрешить вход в систему через службу удаленных рабочих столов»
Вы попробуйте, если у Вас есть возможность. У меня без добавления «новой группы» в группу ADUC «Пользователи удаленного рабочего стола», пользователи не могут подключаться по RDP.
Добавить «новую группу» в политику «Разрешить вход в систему через службу удаленных рабочих столов» — это обязательно! AD Server 2016.
AD Server 2016
Затестил. Новая группа — «Remote Access», в которой нужные пользователи. Эта группа добавлена в дефолтную политику «Разрешить вход в систему через службу удаленных рабочих столов». Но либо вся группа, либо её пользователи (первое удобнее) должны быть добавлены и во встроенную группу «Пользователи удаленного рабочего стола».
Группа «Remote Access» может потребоваться лишь для наглядности и удобства.
Может кто-то ещё попробует оспорить сей факт? Ю велкам.
В остальном поднятая тема раскрыта достаточно. Спасибо автору.
Здравствуйте. Прошу прощения, в статье идёт вопрос про контроллер домена, а если нет доступ к обычному серверу в домене, тоже нужно всё что Вы описали делать?