Обновлено: 25.06.2024

По умолчанию только члены группы «Администраторы домена» имеют удаленный доступ RDP к рабочему столу контроллеров домена Active Directory. В этой статье мы покажем, как предоставить RDP-доступ к контроллерам домена для учетных записей пользователей, не являющихся администраторами, без предоставления прав администратора.

Многие из вас вполне резонно могут задаться вопросом: а зачем обычным пользователям домена доступ к рабочему столу ДЦ? Ведь в инфраструктурах малого или среднего размера, когда их обслуживает несколько администраторов с привилегиями администраторов домена, это вряд ли понадобится. В большинстве случаев достаточно делегирования некоторых административных разрешений в Active Directory или использования PowerShell Just Enough Administration (JEA).

Однако в крупных корпоративных сетях, обслуживаемых многими администраторами, может возникнуть необходимость предоставить RDP-доступ к контроллеру домена (обычно к контроллеру домена филиала или контроллеру домена только для чтения) для различных групп администраторов серверов, группы мониторинга, дежурных администраторов или других лиц. технические кадры. Кроме того, время от времени некоторые сторонние сервисы, не управляемые администраторами домена, развертываются на контроллере домена, и возникает необходимость в обслуживании этих сервисов.

Совет. Microsoft не рекомендует устанавливать доменные службы Active Directory и роль службы удаленных рабочих столов (сервер терминалов) на одном сервере. Если есть только один физический сервер, на котором вы хотите развернуть и DC, и RDS, лучше использовать виртуализацию, так как политика лицензирования виртуализации Microsoft позволяет запускать два виртуальных сервера под одной лицензией Windows Server Standard.

Для удаленного входа вам нужны права на вход через службы удаленных рабочих столов

После того, как сервер был повышен до контроллера домена, вы не можете управлять локальными пользователями и группами с помощью оснастки управления компьютером mmc. При попытке открыть консоль «Локальные пользователи и группы» ( lusrmgr.msc ) появляется следующая ошибка:

Как видите, на контроллере домена нет локальных групп. Вместо локальной группы Пользователи удаленного рабочего стола контроллер домена использует встроенную доменную группу Пользователи удаленного рабочего стола (находится в контейнере Builtin). Вы можете управлять этой группой из консоли ADUC или из командной строки контроллера домена.

Отобразите членов доменной группы Пользователи удаленного рабочего стола на контроллере домена с помощью команды:

net localgroup "Пользователи удаленного рабочего стола"

Как видите, он пуст. Добавьте в него пользователя домена it-pro (в нашем примере это обычный пользователь домена без прав администратора):

net localgroup "Пользователи удаленного рабочего стола" /add corp\it-pro

Убедитесь, что пользователь добавлен в эту группу:

net localgroup "Пользователи удаленного рабочего стола"

Вы также можете убедиться, что пользователь теперь является членом доменной группы пользователей удаленного рабочего стола, с помощью оснастки ADUC ( dsa.msc ).

Однако даже после этого пользователь по-прежнему не может подключиться к контроллеру домена через удаленный рабочий стол с ошибкой:

Для удаленного входа вам необходимо право на вход через службы удаленных рабочих столов. По умолчанию этим правом обладают члены группы «Администраторы». Если группа, в которую вы входите, не имеет права или если право было удалено из группы администраторов, вам необходимо предоставить право вручную.

Групповая политика: разрешить вход через службы удаленных рабочих столов

Чтобы разрешить пользователю домена или группе удаленное подключение RDP к Windows, необходимо предоставить ему привилегии SeRemoteInteractiveLogonRight. По умолчанию этим правом обладают только члены группы «Администраторы». Это разрешение можно предоставить с помощью политики Разрешить вход через службы удаленных рабочих столов.

Чтобы разрешить удаленное подключение к контроллерам домена для членов группы «Пользователи удаленного рабочего стола», вам необходимо изменить настройки этой политики на вашем контроллере домена:

1. Запустите редактор локальной групповой политики ( gpedit.msc );
2. Перейдите в раздел GPO «Конфигурация компьютера» -> «Параметры Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Назначение прав пользователя»;
3. Найдите политику Разрешить вход через службы удаленных рабочих столов;

После повышения роли сервера до контроллера домена в этой локальной политике остается только группа Администраторы (это администраторы домена).

Обратите внимание, что группа, которую вы добавили в политику «Разрешить вход в систему через службы удаленных рабочих столов», не должна присутствовать в политике «Запретить вход в систему через службы удаленных рабочих столов», поскольку она имеет более высокий приоритет (см. статью Ограничение доступа к сети). под локальными аккаунтами). Кроме того, если вы ограничиваете список компьютеров, на которых пользователи могут входить в систему, вам необходимо добавить имя контроллера домена в свойства учетной записи AD (атрибут пользователя LogonWorkstations).

Примечание. Чтобы разрешить пользователю локальный вход на контроллер домена (через консоль сервера), необходимо добавить учетную запись или группу в политику «Разрешить локальный вход». По умолчанию это разрешение разрешено для следующих групп домена:

• Операторы резервного копирования
• Администраторы
• Операторы печати
• Операторы серверов
• Операторы аккаунта

Лучше создать в домене новую группу безопасности, например, AllowLogonDC, и добавить в нее учетные записи пользователей, которым необходим удаленный доступ к контроллеру домена. Если вы хотите разрешить доступ ко всем контроллерам домена AD сразу, вместо редактирования локальной политики на каждом контроллере домена лучше добавить группу пользователей в политику контроллеров домена по умолчанию с помощью консоли GPMC.msc (изменить параметры политики в том же разделе: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя -> Разрешить вход через службы удаленных рабочих столов).

Предупреждение. Если вы изменяете политику контроллеров домена по умолчанию, не забудьте добавить группы администраторов домена/предприятия в политику Разрешить вход через службы удаленных рабочих столов, иначе они потеряют удаленный доступ к контроллерам домена.

Теперь пользователи (группы), добавленные вами в политику, смогут подключаться к контроллерам домена AD через RDP.

Если вам нужно предоставить пользователям без прав администратора разрешения на запуск/остановку определенных служб на контроллере домена, воспользуйтесь следующим руководством.

Отказано в доступе к запрошенному сеансу RDP

В некоторых случаях при подключении по RDP к контроллеру домена может появиться ошибка:

Если вы подключаетесь к контроллеру домена под учетной записью пользователя без прав администратора, это может быть связано с двумя проблемами:

Как выбрать/добавить пользователей для подключения к удаленному рабочему столу в Windows 8 / 10 / 11 (разрешить, запретить, авторизовать доступ)?

(Image-1) Выбор пользователей для удаленного рабочего стола Windows

Шаг за шагом�выберите и добавьте пользователей для подключения к удаленному рабочему столу Windows 10, 8.1!

<р>2. В окне Пользователи удаленного рабочего стола нажмите кнопку «Добавить».

<р>3. Чтобы открыть окно выбора пользователя (1), нажмите кнопку «Дополнительно».

<р>4. В окне «Выбрать пользователя» (2) нажмите кнопку «Найти сейчас».

<р>5. Чтобы просмотреть всех пользователей и теперь вы можете выбрать (выбрать) пользователя для Windows 10, 8.1, . Подключение к удаленному рабочему столу.

Подключение к удаленному рабочему столу работает, только если пароль для удаленной учетной записи уже существует

Об этом: . Как я могу изменить или удалить пароль пользователя Windows 8?

(Изображение-2) Выбор пользователей Подключения к удаленному рабочему столу Windows-8

Перечисленные ниже пользователи могут подключаться к этому компьютеру, и любые члены группы администраторов могут подключаться, даже если они не указаны в списке.

Активировать удаленную поддержку Win 8 для подключения к удаленному рабочему столу в ОС Windows?

Чтобы использовать и активировать удаленную поддержку Win 8 для подключения к удаленному рабочему столу в Windows-8 Удаленный рабочий стол Win8 доступен в Windows 8 Pro, состояние удаленной поддержки Win8 по умолчанию включено

Как я могу подключиться к Windows 8 / 10 с помощью подключения к удаленному рабочему столу (команда, командная строка)?

Чтобы запустить программу подключения к удаленному рабочему столу для подключения к удаленному рабочему столу на ПК с Windows-8.Пожалуйста, запустите "RUN" с помощью сочетания клавиш [логотип Windows]

Как управлять пользователями в Windows-8 (добавлять, удалять, включать, удалять, 8.1)?

Для управления пользователями в Windows 8 / 10 и Win 8.1 или для добавления, удаления, включения, отключения или удаления учетных записей пользователей лучше всего подходит программа lusrmgr.msc Local Users and Groups Manager
< /p>

Как изменить изображение учетной записи пользователя в Windows 8.1, 8, 11, 10 (логин, вход, изображение)

Решение изменить изображение учетной записи пользователя в Windows 8 и 8.1 и в новых Windows 11/10 Содержание: 1. Изменить изображение учетной записи пользователя в Windows 8 / 8.1 2.

Как переключить учетные записи пользователей на windows 8/8.1 (сменить, поменять местами)?

Чтобы переключить учетные записи пользователей в Windows 8, используйте простой и удобный способ через диалоговое окно «Завершение работы Windows» в Windows-8 и 8.1 Быстрое переключение пользователей

Удалите или удалите приложения Windows 8.1 / 10!

Что такое папка Program Files (x86) в 64-разрядной версии Windows 8.1 / 10 (x64)?

Папка Program Files x86 в Windows 10 и 8.1 — это каталог для 32-битных программ и Program Files для 64-битных программ. Содержание: 1. Разница�

1. Выбрать пользователей, которые могут использовать удаленный рабочий стол Windows 8?
2. Удаленный доступ в Windows 8 разрешен только одному пользователю?
3. Не можете выбрать пользователей для удаленного рабочего стола?
4. Добавить пользователя удаленного рабочего стола Windows 8.1?
5. Windows 8 добавляет пользователей на удаленный рабочий стол?
6. Удаленный рабочий стол Windows 8 не может выбирать пользователей?
7. Windows 8.1, какой у меня пользователь для удаленного доступа?
8. Удаленно подключиться к пользовательскому интерфейсу Windows 8.1?
9. В Windows 8.1 разрешен удаленный доступ?
10. Не удается выбрать пользователей удаленного рабочего стола Windows 8?
11. Добавить пользователей, не являющихся администраторами, в удаленный список Windows 8.1, 10 и 11?
12. В Win8 нельзя добавить пользователя удаленного рабочего стола?
13. Как добавить группы на рабочий стол Windows 8.1?
14. Добавить удаленный рабочий стол Windows 8 и 8.1?
15. Выбрать удаленный рабочий стол пользователей для W8.1?
16. Выбрать удаленных пользователей Windows 7?
17. Удаленный рабочий стол нового пользователя Windows 8.1?
18. Диск для сброса пароля удаленного рабочего стола W8?
19. Добавить новую учетную запись Windows 8 Pro для удаленного доступа?
20. Удаленный рабочий стол, как добавить пользователей Windows 8, 10 и 11?
21. Неверный пароль для подключения к удаленному рабочему столу в Windows 7?
22. Как добавить пользователя для удаленного доступа?
23. Добавить и удалить групповые авторизации в Windows?
24. Добавить удаленного пользователя Windows 8?
25. Как выбрать пользователей-windows8?
26. Windows 8 не может выбрать удаленный рабочий стол пользователя?
27. Включить подключение к удаленному рабочему столу, отсутствующее в Windows 8.1, 10 и 11?
28. Выбрать пользователей удаленного доступа W8?
29. Нет параметров учетной записи пользователя на удаленном рабочем столе в Windows 8, 10 и 11?
30. RDP для Windows 8 подключиться как другой пользователь?
31. Нет возможности выбрать пользователей удаленного доступа для Windows 8?
32. Как выбрать пользователей для подключения к удаленному рабочему столу в Windows 8?
33. Удаленный рабочий стол без пользователя?
34. Переключить пользователей на удаленный рабочий стол Windows 8?
35. Локальная учетная запись удаленного рабочего стола Windows 8.1?
36. Выбрать пользователей для удаленного доступа к рабочему столу?
37. Как удалить подключенную учетную запись удаленного пользователя из Windows 8?
38. Windows 8, как добавить пользователей на удаленный рабочий стол?
39. Удалить авторизацию администратора windows 8.1?
40. Как добавить пользователей и группы к пользователям удаленного рабочего стола в Windows-8?
41. Не удается добавить пользователей на удаленный рабочий стол Windows 8?
42. Добавить пользователей в группу пользователей удаленного рабочего стола?
43. В Windows 8.1 разрешен удаленный вход в систему?
44. Добавить нового пользователя удаленного рабочего стола Windows 8 и 8.1?
45. Как настроить пользователей удаленного рабочего стола Windows-8?
46. Удаленный рабочий стол, как авторизовать пользователя?
47. В Windows 8 и 8.1 разрешены удаленные пользователи?
48. Почему я не могу выбрать пользователей для удаленного доступа в Windows 8?
49. Выбор удаленного пользователя Windows 8.1?
50. Добавить удаленных пользователей Windows 8?
51. Включить удаленный доступ в 64-разрядной версии Windows 8 Home?
52. Удаленный рабочий стол 8.1 не позволяет добавить пользователя?
53. Удаленный доступ к Windows 8?
54. Как добавить удаленный рабочий стол Windows 8?
55. Выбрать подключение пользователей к удаленному рабочему столу?
56. Добавить удаленный рабочий стол в Windows 8?
57. Как выбрать учетную запись пользователя Windows 8?
58. Eindows 8, выбрать пользователей rdp?
59. Как предоставить разрешение на удаленный доступ пользователю Windows 8?
60. Выбрать пользователя для удаленного рабочего стола?
61. Удаленный доступ к рабочему столу для Windows 8 и 8.1 OEM?
62. Как отключить сообщение о подключении к удаленному рабочему столу в Windows 8?
63. Как добавить пользователя удаленного доступа в Windows 8?
64. Пользователи удаленного рабочего стола Windows 8?
65. Выбрать пользователей пользователей удаленного рабочего стола?
66. В Windows 8.1 разрешен протокол RDP?
67. Отсутствуют пользователи выбора удаленного рабочего стола?
68. Нет проблем с удаленным рабочим столом избранных пользователей?
69. Пользователь удаленного рабочего стола создает win8?
70. Windows 8, как добавить сетевую учетную запись удаленного пользователя?
71. Добавить пользователя в авторизованный удаленный доступ?
72. Нет удаленного рабочего стола избранных пользователей?
73. Как выбрать пользователей и добавить пользователей удаленного рабочего стола?
74. Группа пользователей удаленного рабочего стола Windows 8?
75. Разрешить пользователю удаленный вход в систему Win 8?
76. Локальный пользователь отсутствует на удаленном рабочем столе?
77. В Windows 8.1 добавить пользователя удаленного рабочего стола?
78. Удаленный рабочий стол Windows 8 без выбранного пользователя?
79. Почему нет возможности выбирать пользователей при удаленном доступе?
80. Как добавить пользователя для удаленного рабочего стола Windows 8?
81. Как добавить подключение к удаленному рабочему столу в Windows 8?
82. Выбрать пользователя для входа в систему Win 8?
83. Как авторизовать подключение к удаленному рабочему столу?
84. Выбрать подключение к удаленному рабочему столу пользователей или групп?
85. Учетная запись пользователя не авторизована для удаленного входа в систему в win8?
86. Удаленный рабочий стол 8.1?
87. Javaprogam разрешает доступ к сети windows8?
88. Отсутствует удаленный рабочий стол Win8?
89. Как авторизовать удаленного пользователя в Windows 8?
90. Удаленный рабочий стол: добавить пользователей в Windows 8.1, 10 и 11?
91. Добавить удаленного пользователя на компьютер с Windows 8 и 8.1, 10 и 11?
92. Включить запрещенный RDP-компьютер?
93. Удаленный рабочий стол 8.1, 10 и 11?
94. Добавление пользователей к удаленному рабочему столу Windows 8 и 8.1?
95. Добавить пользователя рабочего стола в Windows 8 и 8.1?

Ключевые слова: windows, 8.1, восемь, 10, 11, десять, выбрать, пользователи, удаленный, рабочий стол, подключения, разрешить, запретить, доступ, авторизация, вопросы, ответы, программное обеспечение

+ Бесплатное ПО
+ Управление файлами
+ Украшение и развлечение
+ Автоматизация
+ Офис
+ Заказ на ПК
+ ПК инструменты тестирования

+ Top
+ Desktop-OK
+ Quad Explorer
+ Don't Sleep
+ Win-Scan-2-PDF
+ Quick-Text -Past
+ Печать дерева папок
+ Поиск одинаковых изображений
+ Experience-Index-OK
+ Font-View-OK

Сеансы удаленного рабочего стола работают по зашифрованному каналу, поэтому никто не может просматривать ваш сеанс путем прослушивания в сети. Однако в методе, используемом для шифрования сеансов в более ранних версиях RDP, есть уязвимость. Эта уязвимость может сделать возможным несанкционированный доступ к вашему сеансу с помощью атаки «человек посередине».

Удаленный рабочий стол можно защитить с помощью SSL/TLS в Windows Vista, Windows 7, Windows 8, Windows 10 и Windows Server 2003/2008/2012/2016. *Некоторые перечисленные системы больше не поддерживаются Microsoft и поэтому не соответствуют стандартам безопасности Campus. Если неподдерживаемые системы все еще используются, требуется исключение безопасности.

Хотя удаленный рабочий стол более безопасен, чем инструменты удаленного администрирования, такие как VNC, которые не шифруют весь сеанс, всякий раз, когда администратору предоставляется удаленный доступ к системе, возникают риски. Следующие советы помогут защитить удаленный доступ к рабочим столам и серверам, которые вы поддерживаете.

Основные советы по безопасности для удаленного рабочего стола

1. Используйте надежные пароли

Надежные пароли для любых учетных записей с доступом к удаленному рабочему столу следует рассматривать как обязательный шаг перед включением удаленного рабочего стола. Советы см. в руководстве по сложности пароля кампуса.

2. Используйте двухфакторную аутентификацию

Отделы должны рассмотреть возможность использования двухфакторной аутентификации. Эта тема выходит за рамки этой статьи, но шлюзы удаленных рабочих столов можно настроить для интеграции с экземпляром Campus DUO. Другими доступными опциями, не поддерживаемыми кампусом, будет простой механизм контроля аутентификации с помощью смарт-карт на основе двухфакторных сертификатов. Этот подход использует сам узел удаленного рабочего стола в сочетании с YubiKey и RSA в качестве примеров.

3. Обновите программное обеспечение

Одним из преимуществ использования удаленного рабочего стола по сравнению со сторонними инструментами удаленного администрирования является то, что компоненты автоматически обновляются с использованием последних исправлений безопасности в рамках стандартного цикла исправлений Microsoft. Убедитесь, что вы используете последние версии как клиентского, так и серверного программного обеспечения, включив и проведя аудит автоматических обновлений Microsoft. Если вы используете клиенты удаленного рабочего стола на других платформах, убедитесь, что они по-прежнему поддерживаются и у вас установлены последние версии. Старые версии могут не поддерживать высокий уровень шифрования и иметь другие недостатки безопасности.

4.Ограничить доступ с помощью брандмауэров

Используйте брандмауэры (как программные, так и аппаратные, если они доступны), чтобы ограничить доступ к прослушивающим портам удаленного рабочего стола (по умолчанию TCP 3389). Использование шлюза RDP настоятельно рекомендуется для ограничения доступа RDP к рабочим столам и серверам (см. обсуждение ниже). В качестве альтернативы для поддержки подключения за пределами кампуса вы можете использовать программное обеспечение кампусной VPN, чтобы получить IP-адрес кампуса и добавить пул сетевых адресов кампусной VPN в правило исключения брандмауэра RDP. Посетите нашу страницу для получения дополнительной информации о VPN-сервисе кампуса.

5. Включить аутентификацию на уровне сети

Windows 10, Windows Server 2012 R2/2016/2019 также по умолчанию обеспечивают проверку подлинности на уровне сети (NLA). Лучше оставить это на месте, так как NLA обеспечивает дополнительный уровень аутентификации до установления соединения. Серверы удаленных рабочих столов следует настраивать так, чтобы разрешать подключения без NLA, только если вы используете клиенты удаленных рабочих столов на других платформах, которые его не поддерживают.

NLA должен быть включен по умолчанию в Windows 10, Windows Server 2012 R2/2016/2019.

Для проверки можно посмотреть параметр групповой политики Требовать аутентификацию пользователя для удаленных подключений с помощью аутентификации на уровне сети, который находится в папке Компьютер\Политики\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность. Этот параметр групповой политики должен быть включен на сервере с ролью узла сеансов удаленных рабочих столов.

6. Ограничьте количество пользователей, которые могут входить в систему с помощью удаленного рабочего стола

По умолчанию все администраторы могут входить в удаленный рабочий стол. Если на вашем компьютере есть несколько учетных записей администратора, вы должны ограничить удаленный доступ только теми учетными записями, которым это необходимо. Если удаленный рабочий стол не используется для системного администрирования, удалите весь административный доступ через RDP и разрешите только учетные записи пользователей, которым требуется служба RDP. Для отделов, которые управляют многими машинами удаленно, удалите учетную запись локального администратора из доступа RDP по адресу и вместо этого добавьте техническую группу.

Нажмите Пуск-->Программы-->Администрирование-->Локальная политика безопасности

.

В разделе «Локальные политики» -> «Назначение прав пользователя» выберите «Разрешить вход через службы терминалов». Или «Разрешить вход через службы удаленных рабочих столов»

Удалите группу «Администраторы» и оставьте группу «Пользователи удаленного рабочего стола».

Используйте панель управления системой, чтобы добавить пользователей в группу пользователей удаленного рабочего стола.

Типичная операционная система MS по умолчанию имеет следующие настройки, как показано в локальной политике безопасности:

Проблема в том, что «Администраторы» здесь по умолчанию, а ваша учетная запись «Локальный администратор» находится в группе администраторов. Несмотря на то, что рекомендуется соглашение о паролях, чтобы избежать идентичных паролей локального администратора на локальном компьютере и жестко контролировать доступ к этим паролям или соглашениям, использование учетной записи локального администратора для удаленной работы на компьютере не позволяет должным образом регистрировать и идентифицировать пользователя, использующего систему. Лучше всего переопределить локальную политику безопасности с помощью параметра групповой политики.

Для управления доступом к системам также полезно использовать «Группы с ограниченным доступом» с помощью групповой политики.

Если вы используете параметр «Группа с ограниченным доступом», чтобы поместить свою группу, например, «CAMPUS\LAW-TECHIES» в «Администраторы» и «Пользователи удаленного рабочего стола», ваши технические специалисты по-прежнему будут иметь удаленный административный доступ, но с помощью шагов выше вы удалили проблемную «учетную запись локального администратора», имеющую доступ по RDP. В дальнейшем при добавлении новых машин в OU под объектом групповой политики ваши настройки будут правильными.

7. Установите политику блокировки учетной записи

Настроив свой компьютер на блокировку учетной записи для определенного количества неверных ответов, вы поможете хакерам не получить доступ к вашей системе с помощью инструментов автоматического подбора пароля (это называется атакой методом грубой силы). Чтобы установить политику блокировки учетной записи:

1. Выберите "Пуск" --> "Программы" --> "Администрирование" --> "Локальная политика безопасности".
2. В разделе «Политика учетной записи» -> «Политика блокировки учетной записи» задайте значения для всех трех параметров. Три недействительные попытки с трехминутной блокировкой являются разумным выбором.

Рекомендации по обеспечению дополнительной безопасности

1. Не разрешайте прямой доступ RDP к клиентам или серверам за пределами кампуса.

Настоятельно не рекомендуется открывать RDP (порт 3389) для сетей за пределами кампуса, поскольку это известное направление для многих атак. В приведенных ниже параметрах перечислены способы повышения безопасности при разрешении RDP-доступа к системе.

После настройки шлюза RDP хосты должны быть настроены так, чтобы разрешать подключения RDP только с хоста шлюза или подсетей кампуса, где это необходимо.

2. Использовать шлюзы RDP (лучший вариант)

Служба шлюза RDP также поддерживает новое требование к службам удаленного доступа черновика обновления MSSND (требование 8), которое требует использования утвержденной службы (например, шлюза RDP, выделенного шлюза или bSecure VPN) для доступ к сети Калифорнийского университета в Беркли из общедоступного Интернета.

Служба выделенного шлюза (управляемая). Требуется для доступа по протоколу RDP к системам с UC P4 или выше. Также необходимо настроить для DUO

В некоторых кампусных подразделениях в качестве шлюза удаленных рабочих столов используется VPS, управляемый IST. Приблизительно можно предположить, что 30-100 одновременных пользователей могут использовать один шлюз удаленных рабочих столов. HA на виртуальном уровне обеспечивает достаточно отказоустойчивый и надежный доступ; однако с балансировкой сетевой нагрузки можно реализовать несколько более сложную реализацию шлюза удаленных рабочих столов.

Установка конфигурации службы роли в основном соответствует описанию; однако рекомендуется использовать выданный Calnet доверенный сертификат Comodo. Использование самозаверяющего сертификата подходит для тестирования, а использование сертификата CalnetPKI может работать, если все клиенты доверяют корневому каталогу UCB. Сертификат Comodo обычно принимается лучше, чтобы ваши конечные пользователи не получали предупреждений о сертификате.

По сути, достаточно просто изменить вкладку "Дополнительно" вашего RDP-клиента:

3. Измените порт прослушивания для удаленного рабочего стола

Изменение порта прослушивания поможет «скрыть» удаленный рабочий стол от хакеров, которые сканируют сеть на наличие компьютеров, прослушивающих порт удаленного рабочего стола по умолчанию (TCP 3389). Это обеспечивает эффективную защиту от новейших червей RDP, таких как Morto. Для этого отредактируйте следующий раздел реестра (ВНИМАНИЕ: не пытайтесь сделать это, если вы не знакомы с реестром Windows и TCP/IP): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Измените порт прослушивания с 3389 на что-то другое и не забудьте обновить все правила брандмауэра с помощью нового порта. Хотя этот подход полезен, это безопасность через неизвестность, что не является самым надежным подходом к обеспечению безопасности. Вам следует убедиться, что вы также используете другие методы ограничения доступа, как описано в этой статье.

4. Туннельное подключение к удаленному рабочему столу через IPSec или SSH

5. Используйте существующие инструменты управления для регистрации и настройки RDP

Использование других компонентов, таких как VNC или PCAnywhere, не рекомендуется, так как они могут не обеспечивать аудит или защиту. При использовании RDP входы в систему проверяются в локальном журнале безопасности и часто в системе аудита контроллера домена. При мониторинге локальных журналов безопасности ищите аномалии в сеансах RDP, например попытки входа в систему из учетной записи локального администратора. RDP также имеет преимущество подхода централизованного управления через GPO, как описано выше. По возможности используйте объекты групповой политики или другие инструменты управления конфигурацией Windows, чтобы обеспечить согласованную и безопасную конфигурацию RDP на всех ваших серверах и настольных компьютерах.

Принудительно используя шлюз RDP, вы также получаете третий уровень аудита, который легче читать, чем прочесывать логины контроллера домена, и он отделен от целевой машины, поэтому он не подвержен несанкционированному вмешательству. Этот тип журнала значительно упрощает отслеживание того, как и когда используется RDP на всех устройствах в вашей среде.

Ограничение доступа к RDP с помощью брандмауэра Windows

Если у вас есть компьютер, управляемый кампусом:

• Обратитесь за помощью в ИТ-службу поддержки клиентов или в ИТ-поддержку вашего отдела.

Если у вас есть персональный компьютер и права администратора:

• Следуйте инструкциям в этой статье, чтобы обновить брандмауэр Windows, чтобы только авторизованные хосты и сети могли получить доступ к вашей системе через удаленный рабочий стол (RDP).

Настройки > Обновление и безопасность > Безопасность Windows > Брандмауэр и защита сети > Дополнительные параметры > Правила для входящих подключений > Удаленный рабочий стол — режим пользователя (TCP-In) > Свойства > Область действия > Удаленный IP-адрес > Добавить > Этот IP-адрес или подсеть< /p>

1. Безопасность Windows > Брандмауэр и защита сети

1. Правила для входящих подключений > Удаленный рабочий стол — Режим пользователя (TCP-входящий) > Свойства

1. В поле Этот IP-адрес или подсеть добавьте только те IP-адреса и сетевые подсети, которым должно быть разрешено подключение к службе удаленного рабочего стола (RDP) вашего компьютера. Некоторые распространенные примеры IP-адресов и подсетей кампуса перечислены в разделе ниже.

IP-адреса и подсети кампуса

Исходя из ваших потребностей, выбирайте только авторизованные IP-адреса и подсети кампуса для подключения к службе RDP вашего компьютера. Network Operations & Services поддерживает исходный список UC Berkeley Campus Networks, но некоторые распространенные примеры приведены ниже для справки.

IST RD Gateway
Чтобы получить доступ к вашей системе через RDP напрямую из Интернета, используйте Campus Remote Desktop Gateway. Шлюз удаленных рабочих столов позволит вам использовать ваш идентификатор CalNet с push-уведомлениями Duo для подключения. Вы можете авторизовать шлюз удаленных рабочих столов, добавив следующую подсеть в правило брандмауэра:

Кампусные VPN-сети удаленного доступа (bSecure Remote Access Services with GlobalProtect)
Чтобы получить доступ к вашей системе через RDP через кампусную VPN, добавьте одну или несколько следующих VPN-сетей в правило брандмауэра:< /p>

• Раздельные туннельные клиентские сети
  • 10.136.128.0/18
  • 136.152.16.0/20
  • 136.152.210.0/23

  Сети кампуса (на месте)

  Чтобы получить доступ к вашей системе через RDP, находясь в кампусе, добавьте соответствующие беспроводные или проводные сети кампуса в правило брандмауэра:

  • AirBears2 и беспроводные сети eduroam
    • 10.142.0.0/16, 136.152.28.0/22, 136.152.36.0/22, 136.152.142.0/24, 136.152.145.0/24, 136.152.148.0/22, 2607:f140:400::/48
    • 128.32.0.0/16, 136.152.0.0/16, 136.152.0.0/16, 192.31.105.0/24

    
    Эта работа находится под лицензией Creative Commons Attribution-NonCommercial 4.0 International License.

    Удаленное подключение к компьютеру удобно, когда оно работает, и раздражает, когда оно не работает. Если ваше подключение к удаленному рабочему столу не работает, вы хотели бы знать, как это исправить.

    
    

    В этой статье мы покажем вам, насколько просто устранять неполадки и устранять сбои подключения к удаленному рабочему столу на основе наиболее распространенных причин для различных операционных систем Windows.

    Как исправить неработающее подключение к удаленному рабочему столу?

    Существует множество причин, по которым не удается подключиться к удаленному рабочему столу: сертификаты с истекшим сроком действия, заблокированные брандмауэры, проблемы на клиенте — список можно продолжить. Здесь мы рассмотрим, как исправить одну распространенную причину недостаточных разрешений. Дополнительные исправления см. в других разделах этой статьи.

    Чтобы назначить пользователям разрешения на доступ к удаленному рабочему столу с удаленного сервера, выполните следующие действия:

    Как исправить, что подключение к удаленному рабочему столу не работает в Windows 10?

    Убедитесь, что служба брандмауэра Защитника Windows разрешает трафик удаленного рабочего стола:

    Как исправить, что подключение к удаленному рабочему столу не работает в Windows 8?

    Убедитесь, что служба брандмауэра в Windows Server 2016 разрешает удаленный трафик:

    1. Доступ к диспетчеру серверов.
    2. Слева выберите «Локальный сервер».
       • Текущее состояние вашей системы будет определено.
    3. Если удаленный рабочий стол отключен, нажмите «Отключено», чтобы открыть окно «Свойства системы».
    4. Выберите «Разрешить удаленные подключения к этому компьютеру» в «Свойствах системы».
    5. Вы получите предупреждающее сообщение. Нажмите "ОК", чтобы продолжить.
       • Нажмите «Выбрать пользователей». чтобы разрешить пользователям или группам подключаться через удаленный рабочий стол.
    6. Выберите "ОК".
    7. В диспетчере серверов статус удаленного рабочего стола может по-прежнему отображаться как «Отключено». Нажмите кнопку обновления, чтобы изменить его на «Включено».

    Как исправить, что подключение к удаленному рабочему столу не работает по Wi-Fi?

    Для успешного подключения к удаленному рабочему столу через Wi-Fi попробуйте следующее:

    Разрешите следующие службы через брандмауэр для частных и общедоступных сетей, установив оба флажка:

    • "Сетевое обнаружение"
    • "Удаленный рабочий стол"
    • Удаленное управление услугами
    • "Маршрутизация и удаленный доступ"
    • "Удаленное управление Windows".

    Как исправить, что подключение к удаленному рабочему столу не работает после обновления Windows 10?

    Если вам не удается подключиться к удаленному рабочему столу после обновления Windows 10 20H2, попробуйте сделать следующее:

    • Если вы получили сообщение об ошибке «Удаленный компьютер не найден», убедитесь, что вы ввели правильное имя удаленного компьютера, или попробуйте ввести его IP-адрес.
    • Если вы получаете сообщение об ошибке "Возникла проблема с сетью", убедитесь, что ваш сетевой адаптер работает, и попробуйте:
      • Для домашних сетей: убедитесь, что маршрутизатор включен.
      • Для проводных сетей: убедитесь, что кабель Ethernet правильно подключен к сетевому адаптеру.
      • Для устройств в беспроводных сетях: убедитесь, что беспроводное соединение вашего ПК включено.

      Чтобы проверить, принимает ли компьютер запросы удаленного рабочего стола от других сетевых компьютеров, выполните следующие действия:

      
      

      1. Щелкните правой кнопкой мыши "Этот компьютер" > "Свойства".
         
      2. Выберите «Удаленные настройки» в системном окне.
      3. Перейдите на вкладку "Удаленный" в "Свойствах системы" и выберите "Разрешить удаленные подключения к этому компьютеру".
      4. Снимите флажок "Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети (рекомендуется)".
      5. Выберите «Применить» и «ОК».
      6. Перейдите в «Панель управления» > «Сеть и Интернет» > «Центр управления сетями и общим доступом».
      7. Убедитесь, что под названием сети указано «Частная сеть».

      Как исправить, что подключение к удаленному рабочему столу не работает через VPN?

      Если вам не удается подключиться к удаленному рабочему столу через VPN, попробуйте следующее:

      1. Нажмите Windows + R, чтобы получить доступ к команде «Выполнить».
      2. Введите команду «devmgmt.msc» > «ОК».
         
      3. В «Диспетчере устройств» разверните «Сетевые адаптеры».
         
      4. Удалите следующее, щелкнув его правой кнопкой мыши > «Удалить устройство» > «Удалить:»
         • "Мини-порт WAN (SSTP)"
         • "Мини-порт WAN (PPTP)"
         • "Мини-порт WAN (PPPOE)"
         • "Мини-порт WAN (L2TP)"
         • "Мини-порт WAN (IKEv2)"
         • "Мини-порт WAN (IP)"
         • «Мини-порт WAN (сетевой монитор)»
         • "Мини-порт WAN (IPv6)".
      5. Выберите «Действие» > «Поиск изменений оборудования», чтобы обновить изменения.

      Как исправить, что подключение к удаленному рабочему столу не работает из внешней сети?

      Для успешного подключения к удаленному рабочему столу из-за пределов сети убедитесь, что порт сопоставлен.

      Примечание. Это схема; шаги будут немного отличаться от маршрутизатора к маршрутизатору. Конкретные шаги для вашего маршрутизатора должны быть доступны в Интернете.

      Перед сопоставлением порта убедитесь, что у вас есть следующее:

      • Внутренний IP-адрес ПК: «Настройки» > «Сеть и Интернет» > «Статус» > «Просмотр свойств сети». Получите IPv4-адрес конфигурации сети со статусом «Работает».
      • IP-адрес маршрутизатора (ваш общедоступный IP-адрес). Можно найти, выполнив поиск «мой IP» через Bing или Google. Или в Windows 10 в "Свойствах сети Wi-Fi".
      • Номер порта, который в большинстве случаев является портом по умолчанию, используемым для подключения к удаленному рабочему столу (3389).
      • Доступ администратора к вашему маршрутизатору.

      После сопоставления порта вы сможете подключиться к хост-компьютеру из-за пределов вашей локальной сети, подключившись к общедоступному IP-адресу вашего маршрутизатора.

      В любое время ваш интернет-провайдер может назначить вам новый IP-адрес, что вызовет проблемы с удаленными подключениями. В качестве обходного пути рассмотрите возможность использования динамического DNS, который позволяет подключаться с использованием доменного имени, а не IP-адреса.

      Как исправить подключение к удаленному рабочему столу, не работающее без сообщения об ошибке?

      Чтобы устранить сбой подключения к удаленному рабочему столу при отсутствии сообщения об ошибке, попробуйте следующее:

      Проверьте, не блокируется ли подключение к удаленному рабочему столу на локальном компьютере объектом групповой политики:

      1. Откройте командную строку.
      2. Введите gpresult /H c:\gpresult.html.
      3. После выполнения команды откройте файл gpresult.html. в разделе «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «Службы удаленных рабочих столов» > «Узел сеансов удаленных рабочих столов» > «Подключения» найдите «Разрешить пользователям удаленное подключение с помощью политики служб удаленных рабочих столов». Если настройка:
         • «Включено» — подключение к удаленному рабочему столу не блокируется групповой политикой.
         • "Отключено" — установите флажок "Выигрыш объекта групповой политики", чтобы увидеть объект групповой политики, который блокирует подключения к удаленному рабочему столу.

      Чтобы проверить, блокирует ли объект групповой политики подключения к удаленному рабочему столу на удаленном компьютере, выполните следующие действия:

      1. Откройте командную строку.
      2. Введите gpresult /S /H c:\gpresult- .html
         • Созданный файл будет использовать тот же формат информации, что и версия для локального компьютера.

      Чтобы изменить блокирующий объект групповой политики, используйте один из следующих методов:

      1. Из поиска войдите в редактор групповой политики и откройте его.
      2. Выберите применимый уровень объекта групповой политики, например «локальный» или «домен».
      3. Перейдите к разделу «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «Службы удаленных рабочих столов» > «Узел сеансов удаленных рабочих столов» > «Подключения» > «Разрешить пользователям удаленное подключение с помощью служб удаленных рабочих столов».
         • Затем установите для политики значение «Включено» или «Не настроено».
         • На уязвимом ПК запустите команду gpupdate /force.

      В разделе «Управление групповыми политиками» перейдите к организационному подразделению, в котором политика блокировки применяется к затронутым компьютерам, а затем удалите политику из организационного подразделения.

      Дополнительные часто задаваемые вопросы

      Как переустановить RDP?

      Чтобы переустановить удаленный рабочий стол Windows 10, выполните следующие действия:

      <р>1. Выберите «Пуск», затем щелкните правой кнопкой мыши «Компьютер» > «Свойства».
      <р>2. Выберите вкладку «Удаленный рабочий стол» > «Дополнительно» > «Разрешить».
      <р>3. Выберите «ОК», закройте окна и перезагрузите компьютер.

      RDP переустановит себя.

      Как включить подключение к удаленному рабочему столу?

      Чтобы предоставить разрешение учетным записям, которым требуется удаленное подключение, выполните следующие действия:

      <р>1. Выберите «Пуск» > «Панель управления».

      
      

      <р>2. Выберите «Система и безопасность».

      
      

      <р>3. На вкладке "Системы" выберите "Разрешить удаленный доступ".

      
      

      <р>4. На вкладке "Удаленный" в разделе "Удаленный рабочий стол" нажмите "Выбрать пользователей".
      <р>5. В поле «Свойства системы» выберите «Добавить».
      <р>6. Введите информацию для аккаунтов, которые нужно добавить, и нажмите «ОК», когда все будет готово.

      Как сбросить подключение к удаленному рабочему столу?

      Чтобы инициировать перезагрузку удаленного рабочего стола, выполните следующие действия:

      <р>1. Откройте командную строку.
      <р>2. Тип: выключение /r /t 0 .

      Как исправить ошибку подключения к удаленному рабочему столу?

      Ниже описаны две распространенные причины ошибок подключения RDP. Шаги по их устранению могут незначительно отличаться в зависимости от вашей операционной системы.

      Проблема 1. Неверные настройки аутентификации и шифрования.

      Вы получите одно из следующих сообщений об ошибке:

      · «Из-за ошибки безопасности клиент не смог подключиться к серверу терминалов. Убедившись, что вы вошли в сеть, попробуйте снова подключиться к серверу».

      · «Удаленный рабочий стол отключен. Из-за ошибки безопасности клиент не смог подключиться к удаленному компьютеру. Убедитесь, что вы вошли в сеть, а затем повторите попытку подключения».

      Чтобы решить эту проблему, настройте аутентификацию и шифрование, выполнив следующие действия:

      <р>1. Нажмите «Пуск», выберите «Инструменты администрирования», затем «Службы удаленных рабочих столов» > «Конфигурация узла сеансов удаленных рабочих столов».
      <р>2. В разделе «Подключения» щелкните правой кнопкой мыши имя подключения > «Свойства».
      <р>3. В диалоговом окне "Свойства" на вкладке "Общие" в "Уровень безопасности" выберите метод безопасности.
      <р>4. В разделе «Уровень шифрования» выберите нужный уровень.

      Проблема 2. Ограниченные сеансы подключения к службе удаленного рабочего стола или сеансы удаленного рабочего стола.

      При попытке установить подключение удаленного рабочего стола к серверу удаленного рабочего стола под управлением Windows Server 2008 R2 могут появиться следующие сообщения об ошибках:

      · «Попробуйте подключиться еще раз. Если проблема не исчезнет, ​​обратитесь к владельцу удаленного компьютера или администратору сети».

      · «Этот компьютер не может подключиться к удаленному компьютеру».

      · «Удаленный рабочий стол отключен».

      Чтобы устранить проблему, попробуйте следующие способы:

      Проверьте, включен ли удаленный рабочий стол:

      <р>1. Чтобы запустить системный инструмент, нажмите «Пуск» > «Панель управления» > «Система» > «ОК».
      <р>2. В разделе "Главная панель управления" выберите "Удаленные настройки".
      <р>3. Выберите вкладку «Удаленное».
      <р>4. В зависимости от ваших требований к безопасности выберите один из вариантов в разделе

      · «Разрешить подключения с компьютеров, на которых запущена любая версия удаленного рабочего стола (менее безопасная)».

      · «Разрешить подключения с компьютеров только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети (более безопасно)».

      Проверьте лимит служб удаленного рабочего стола. Проверьте политику ограничения количества подключений для служб удаленных рабочих столов:

      <р>1. Запустите оснастку групповой политики.
      <р>2.Откройте «Локальную политику безопасности» или применимую групповую политику.
      <р>3. Перейдите к «Политике локального компьютера» > «Компьютер. Конфигурация» > «Административные шаблоны» > «Компоненты Windows» > «Службы удаленных рабочих столов» > «Узел сеансов удаленных рабочих столов» > «Подключения Ограничить количество подключений».
      <р>4. Выберите «Включено».
      <р>5. Введите максимально допустимое количество подключений в поле «Максимальное разрешенное количество подключений к удаленному рабочему столу», затем нажмите «ОК».

      Проверьте свойства RDP-TCP. Чтобы настроить количество одновременных удаленных подключений, разрешенных для каждого подключения, выполните следующие действия:

      <р>1. На хосте сеанса удаленного рабочего стола нажмите «Пуск», выберите «Инструменты администрирования», затем «Службы удаленных рабочих столов».
      <р>2. В разделе "Подключения" щелкните правой кнопкой мыши имя подключения > "Свойства".
      <р>3. На вкладке «Сетевой адаптер» выберите «Максимум подключений».
      <р>4. Введите количество одновременных подключений, разрешенных для подключения, затем нажмите «ОК».

      Чтобы добавить пользователей и группы в группу пользователей удаленного рабочего стола с помощью оснастки «Локальные пользователи и группы», выполните следующие действия:

      <р>1. Нажмите «Пуск» > «Администрирование» > «Управление компьютером».
      <р>2. В дереве консоли выберите «Локальные пользователи и группы».
      <р>3. Дважды щелкните папку "Группы".
      <р>4. Дважды щелкните «Пользователи удаленного рабочего стола» > «Добавить».
      <р>5. Чтобы указать место поиска, нажмите «Местоположения» в диалоговом окне «Поиск пользователей».
      <р>6. Чтобы указать объекты для поиска, выберите «Типы объектов».
      <р>7. Введите имя, которое вы хотите добавить, в поле «Введите имена объектов для выбора (примеры)».
      <р>8. Чтобы найти имя, выберите «Проверить имена» > «ОК».

      Почему не работает подключение к удаленному рабочему столу?

      Причин, по которым подключение к удаленному рабочему столу не работает, может быть несколько. Когда сообщения об ошибках не предоставляются, необходимо устранить неполадки, чтобы найти причину. Чтобы помочь вам понять, в чем может быть проблема, вот два наиболее распространенных типа:

      Сбой сети

      Подключение к удаленному рабочему столу может быть неудачным, если нет каналов связи. Вы можете попробовать подключиться с клиента, который в прошлом был успешен, чтобы выяснить, в чем причина: в сети, на сервере Windows или в отдельном клиенте.

      Проблемы с DNS

      Если в IP-адрес хоста было внесено изменение, у клиента будут проблемы с подключением, пока не истечет срок действия кеша преобразователя DNS. Чтобы очистить кеш, выполните следующие действия:

      <р>1. Откройте окно командной строки.
      <р>2. Введите команду: IPConfig /FlushDNS .
      <р>3. Теперь проверьте с помощью предпочтительного сетевого адаптера, что используется правильный DNS-сервер. Если указанные сведения о сервере неверны, вы можете указать это, введя в свойствах IP-адрес компьютера или настроив его на использование DHCP-сервера.

      Как изменить подключение к удаленному рабочему столу?

      Чтобы изменить подключение к удаленному рабочему столу из Windows 10, сделайте следующее:

      <р>1. В меню «Пуск» > «Все программы» > «Стандартные».
      <р>2. Выберите «Подключение к удаленному рабочему столу».
      <р>3. При необходимости измените имя компьютера, IP-адрес или номер порта.
      <р>4. Выберите «Подключиться».

      ·В окне меню на вашем компьютере теперь вы увидите рабочий стол удаленного компьютера.

      Успешные удаленные подключения

      Возможность удаленного подключения к другому компьютеру стала важным инструментом для удаленной работы.

      Теперь, когда мы рассказали о некоторых возможных причинах сбоя подключения к удаленному рабочему столу, нам хотелось бы узнать, как вы пытались решить эту проблему. Удалось ли вам успешно подключиться? Дайте нам знать в разделе комментариев ниже.

      Читайте также:

        
      • Batman arkham city не запускается на Windows 10
        
      • Отсутствует панель задач на рабочем столе Windows 7
        
      • Работает ли Microsoft Store на пиратской версии Windows 10
        
      • Ex machina windows 10 не загружает сохранения
        
      • Vp9videoextensions windows 10 что это такое