По умолчанию в Windows Server и на контроллерах домена Active Directory (AD DC) удаленный доступ по RDP разрешен только членам групп Administrators или Domain Admins. Обычные пользователи сталкиваются с ошибками, такими как:
«Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов»
«Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему»
В этой статье мы разберем, как предоставить RDP-доступ обычным пользователям на Windows Server и контроллерах домена без административных прав, используя локальные группы, политики безопасности и доменные GPO.
Условия для RDP-доступа
Для подключения по RDP через службу Remote Desktop Services (TermService) пользователь должен:
— Быть членом локальной группы Remote Desktop Users или Administrators.
— Иметь право SeRemoteInteractiveLogonRight через политику Allow log on through Remote Desktop Services.
Предоставление RDP-доступа на Windows Server
Для предоставления RDP-доступа обычным пользователям на Windows Server (не контроллере домена):
Через графический интерфейс
1. Откройте консоль управления пользователями и группами:
lusrmgr.msc
2. Перейдите в раздел Groups и выберите Remote Desktop Users (Пользователи удаленного рабочего стола).
3. Нажмите Add и укажите имя пользователя или группы (например, domain\username).
4. Нажмите OK.
Через командную строку
Добавьте пользователя в группу Remote Desktop Users:
net localgroup "Remote Desktop Users" /add softcomputers\user
Через PowerShell
Add-LocalGroupMember -Group "Remote Desktop Users" -Member kbuldogov
Проверьте состав группы:
Get-LocalGroupMember -Group "Remote Desktop Users"
Проверка
Пользователь сможет подключиться по RDP к серверу. По умолчанию Windows Server поддерживает до двух одновременных RDP-сессий. Для большего числа подключений установите роль Remote Desktop Services (RDSH) и приобретите лицензии RDS CAL.
RDS-ферма
В RDS-ферме настройте доступ через коллекции:
1. Откройте Server Manager -> Remote Desktop Services -> Tasks -> Edit Deployment Properties.
2. В разделе User Groups укажите группы безопасности, которым разрешен доступ к RDSH-хостам.
Предоставление RDP-доступа на контроллере домена
На контроллерах домена (DC) управление локальными группами недоступно через lusrmgr.msc (ошибка: «This snap-in cannot be used on a domain controller»). Вместо этого используйте политику Allow log on through Remote Desktop Services.
Через локальную политику
1. Запустите редактор локальных политик:
gpedit.msc
2. Перейдите в Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя.
3. Откройте политику Allow log on through Remote Desktop Services (Разрешить вход в систему через службы удаленных рабочих столов).
4. Добавьте пользователя или группу (например, domain\SPB-Server-Admin).
5. Обновите политики:
gpupdate /force
Через доменную политику
Для предоставления доступа ко всем DC в домене:
1. Откройте консоль управления доменными политиками:
gpmc.msc
2. Выберите политику Default Domain Controllers Policy.
3. Перейдите в Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя.
4. Отредактируйте Allow log on through Remote Desktop Services, добавив группу безопасности (например, AllowDCLogin).
5. Убедитесь, что группы Domain Admins и Enterprise Admins также включены, чтобы избежать потери их доступа.
6. Обновите политики:
gpupdate /force
Дополнительные проверки
— Убедитесь, что группа/пользователь не входит в политику Deny log on through Remote Desktop Services, так как она имеет приоритет.
— Если доступ ограничен атрибутом LogonWorkstations в учетной записи AD, добавьте имя сервера в поле Log on to.
— Для локального входа на DC добавьте пользователя в политику Allow log on locally (по умолчанию доступно группам Administrators, Account Operators, Backup Operators, Print Operators, Server Operators).
Устранение ошибок
Ошибка: «Доступ к требуемому сеансу отклонен»
— Причина 1: Подключение с параметром /admin (mstsc /admin). Этот режим доступен только администраторам. Подключитесь без /admin.
— Причина 2: Две активные RDP-сессии уже заняты. Проверьте сессии:
qwinsta /server:dc01
Без административных прав завершить чужие сессии нельзя. Дождитесь освобождения одной из сессий.
— Причина 3: Включен режим Restricted Admin или Windows Defender Remote Credential Guard. Отключите их через GPO:
Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Делегирование учетных данных -> Restricted Admin (установите Отключено).
Ошибка: «Подключение было запрещено» (NLA)
— Убедитесь, что пользователь добавлен в группу Remote Desktop Users или политику Allow log on through Remote Desktop Services.
— Проверьте, включена ли Network Level Authentication (NLA). Если да, клиент RDP должен поддерживать NLA.
Рекомендации
— Создайте отдельную группу безопасности (например, AllowDCLogin) для управления RDP-доступом.
— Избегайте использования встроенной группы Remote Desktop Users на DC, так как она предоставляет доступ ко всем контроллерам домена.
— Ограничьте доступ к DC только необходимым пользователям из-за повышенных рисков безопасности.
— Регулярно проверяйте журналы событий (Event Viewer -> Windows Logs -> Security) для отслеживания RDP-подключений.
— Для более чем двух RDP-сессий установите роль RDSH и лицензии RDS CAL.
Предоставление RDP-доступа обычным пользователям на Windows Server возможно через добавление в группу Remote Desktop Users. Для контроллеров домена используйте политику Allow log on through Remote Desktop Services, настроенную локально или через доменную GPO. Эти методы позволяют безопасно управлять доступом без предоставления административных прав, минимизируя риски для инфраструктуры.
