Протокол Remote Desktop Protocol (RDP) позволяет удаленно подключаться к рабочему столу Windows, обеспечивая полноценное управление, как на локальном компьютере. По умолчанию RDP отключен, но его можно активировать через графический интерфейс, PowerShell, групповые политики или удаленные методы. В этой статье мы подробно разберем, как включить и настроить RDP в Windows 10 (Pro/Enterprise) и Windows Server 2016/2019, а также как обеспечить безопасность подключений и управлять доступом.
Включение RDP в Windows 10 через графический интерфейс
Самый простой способ активации RDP — использование графических настроек системы.
1. Откройте свойства системы:
— Через Панель управления -> Система и безопасность -> Система -> Настройка удаленного доступа.
— Или выполните команду:
SystemPropertiesRemote
2. На вкладке Удаленный доступ включите опцию Разрешить удаленные подключения к этому компьютеру.
3. Для повышения безопасности активируйте Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети (NLA).
4. Нажмите ОК для сохранения изменений.
По умолчанию право на RDP-подключение есть у членов группы Администраторы. Чтобы предоставить доступ другим пользователям:
1. Нажмите Выбрать пользователей и добавьте нужные учетные записи.
2. Добавленные пользователи автоматически включаются в группу Пользователи удаленного рабочего стола.
Проверьте состав группы командой:
net localgroup "Пользователи удаленного рабочего стола"
Ожидаемый вывод:
Alias name Пользователи удаленного рабочего стола
Members
-------------------------------------------------------------------------------
publicuser
Для добавления пользователя в группу выполните:
net localgroup "Пользователи удаленного рабочего стола" /add publicuser
Включение RDP через настройки Windows 10
В последних версиях Windows 10 (например, 2004 и выше) рекомендуется использовать современную панель настроек:
1. Перейдите в Параметры -> Система -> Удаленный рабочий стол.
2. Включите опцию Включить удаленный рабочий стол.
3. Подтвердите активацию.
Примечание: RDP поддерживается только в редакциях Windows 10 Pro и Enterprise. В Windows 10 Home сервер RDP недоступен, но существуют обходные решения.
По умолчанию активируются настройки:
— Оставлять компьютер активным для подключений при питании от сети.
— Обнаружение компьютера в частных сетях для автоматического подключения.
В разделе Дополнительные параметры включите NLA для повышения безопасности.
Настройка брандмауэра Windows для RDP
Если включен Брандмауэр Защитника Windows, убедитесь, что входящие RDP-подключения разрешены (порт TCP 3389, а в новых версиях также UDP 3389).
1. Откройте Панель управления -> Брандмауэр Защитника Windows -> Разрешение взаимодействия с приложением или компонентом.
2. Убедитесь, что правило Удаленный рабочий стол активно для профилей Частная сеть и, при необходимости, Публичная.
Подключение к удаленному рабочему столу
Для подключения используйте встроенный клиент mstsc.exe:
1. Запустите mstsc.exe через меню «Выполнить» (Win + R).
2. Введите имя или IP-адрес удаленного компьютера.
3. Сохраните учетные данные в Диспетчере учетных данных Windows для удобства.
Альтернативные клиенты: RDCMan, mRemoteNG. RDP поддерживает копирование файлов через буфер обмена.
Включение RDP через PowerShell
Для быстрой активации RDP используйте PowerShell с правами администратора:
1. Включите RDP в реестре:
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections" -Value 0
Для отключения измените -Value на 1.
2. Разрешите RDP в брандмауэре:
Enable-NetFirewallRule -DisplayGroup "Удаленный рабочий стол"
3. Добавьте пользователя в группу Пользователи удаленного рабочего стола:
Add-LocalGroupMember -Group "Пользователи удаленного рабочего стола" -Member 'a.petrov'
4. Проверьте доступность порта 3389:
Test-NetConnection -ComputerName deskcomp323 -CommonTCPPort RDP
Ожидаемый вывод:
ComputerName : deskcomp323
RemoteAddress : 192.168.1.100
RemotePort : 3389
InterfaceAlias : Ethernet
SourceAddress : 192.168.1.101
TcpTestSucceeded : True
RDP в Windows Server 2016/2019
В Windows Server по умолчанию поддерживаются два одновременных RDP-подключения для администрирования. Включение выполняется аналогично:
— Через SystemPropertiesRemote.
— Через Диспетчер серверов -> Локальный сервер -> Удаленный рабочий стол.
— Через PowerShell (команды выше).
Для использования сервера как терминального (многопользовательского) установите роль Remote Desktop Session Host и приобретите лицензии RDS CAL.
Для защиты сессий настройте SSL/TLS-сертификаты.
Включение RDP через групповые политики в домене
Для массового включения RDP в домене Active Directory используйте групповые политики:
1. Откройте консоль Управление групповыми политиками (gpmc.msc).
2. Создайте или отредактируйте GPO и привяжите её к нужной OU.
3. Перейдите в Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленного рабочего стола -> Узел сеансов удаленного рабочего стола -> Подключения.
4. Включите политику Разрешить пользователям подключаться удаленно с помощью служб удаленного рабочего стола (установите Включено).
5. Для брандмауэра активируйте правило в разделе Конфигурация компьютера -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр Windows -> Доменный профиль -> Разрешить входящие исключения для удаленного рабочего стола.
6. Обновите политики на клиентах:
gpupdate /force
Для точечного применения используйте WMI-фильтры.
Удаленное включение RDP
Если у вас есть административный доступ к удаленному компьютеру через PowerShell или WMI, можно включить RDP удаленно.
Через службу Remote Registry
1. Подключитесь к службам удаленного компьютера:
— Откройте services.msc.
— Выберите Подключиться к другому компьютеру и укажите имя машины.
— Найдите службу Удаленный реестр, установите тип запуска Вручную и запустите её.
Или через командную строку:
sc \\WKMDK22SQ65 config RemoteRegistry start= demand
sc \\WKMDK22SQ65 start RemoteRegistry
2. Подключитесь к реестру удаленного компьютера:
— Запустите regedit.exe.
— Выберите Файл -> Подключить сетевой реестр и укажите имя компьютера.
— Перейдите в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server.
— Установите параметр fDenyTSConnections (тип REG_DWORD) в 0. Если параметр отсутствует, создайте его.
Для отключения установите 1.
3. Или выполните команду:
REG ADD "\\WKMDK22SQ65\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
Через PowerShell Remoting
Если включен PowerShell Remoting:
Invoke-Command -ComputerName WKMDK22SQ65 -ScriptBlock {Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 0}
Через WMI
Используйте WMI для включения RDP:
$compname = "WKMDK22SQ65"; (Get-WmiObject -Class Win32_TerminalServiceSetting -Namespace root\CIMV2\TerminalServices -Computer $compname -Authentication 6).SetAllowTSConnections(1,1)
Через OpenSSH
Если на компьютере настроен сервер OpenSSH, подключитесь через SSH-клиент и выполните изменения в реестре локально.
Включение и настройка RDP в Windows 10 и Windows Server возможны через графический интерфейс, PowerShell, групповые политики или удаленные методы. Для безопасности используйте NLA, настройте брандмауэр и ограничьте доступ через группу Пользователи удаленного рабочего стола. Для терминальных серверов установите роль RDS и лицензии CAL. Регулярно проверяйте настройки и используйте SSL/TLS для защиты сессий.
