Der Remote-Desktop-Zugriff auf Windows-Server oder Domänencontroller kann kompliziert sein, wenn man nicht den richtigen Gruppen angehört oder die Einstellungen nicht korrekt konfiguriert sind. Windows ist standardmäßig sehr restriktiv – Administratoren oder Domänenadministratoren haben in der Regel die alleinigen Zugriffsrechte für RDP. Als normaler Benutzer kann man sich nur verbinden, wenn man einige Einstellungen anpasst. Diese Anleitung hilft Ihnen, Benutzern ohne Administratorrechte RDP-Zugriff zu gewähren, ohne sie zu vollwertigen Administratoren zu machen. Das Ziel? Eine reibungslose Verbindung für alle Benutzer und die Einhaltung aller Sicherheitsrichtlinien. Die Sache ist etwas knifflig, da lokale Gruppen auf Domänencontrollern nicht auf dieselbe Weise verwaltet werden – sie werden zentral über Active Directory verwaltet, was die Suche erschweren kann, wenn man nicht weiß, wo man suchen muss. Sie erfahren außerdem, wie Sie Fehler wie „Der angeforderte Sitzungszugriff wurde verweigert“ beheben, die auftreten, wenn die Berechtigungen nicht übereinstimmen.
Wie man RDP-Zugriffsprobleme behebt und die richtigen Berechtigungen festlegt
Nicht-Administratoren die Remote-Anmeldung auf Windows Server ermöglichen
Das ist eigentlich offensichtlich, aber wenn der Benutzer nicht der richtigen Gruppe angehört, erhält er Fehlermeldungen wie „Sie haben keine Berechtigung, sich remote anzumelden“.Unter Windows Server können sich nur Mitglieder der Administratorgruppe oder explizit der Gruppe „Remotedesktopbenutzer “ hinzugefügte Benutzer remote anmelden. Wenn beim Verbindungsaufbau ein Fehler auftritt, lässt sich das Problem in der Regel beheben, indem der Benutzer der Gruppe „Remotedesktopbenutzer“ hinzugefügt wird. Da Windows diese Richtlinien durchsetzt, gehen Sie wie folgt vor:
- Öffnen Sie lusrmgr.msc (Lokale Benutzer und Gruppen) — Ja, Sie werden dies nicht im normalen Snap-In eines Domänencontrollers finden, daher sollten Sie dies am besten von einem Server aus tun, auf den Sie lokalen Zugriff haben, oder von einer Verwaltungs-Workstation mit installierten RSAT-Tools.
- Suchen Sie die Gruppe „Remotedesktopbenutzer“ und doppelklicken Sie darauf.
- Klicken Sie auf Hinzufügen und geben Sie dann den Namen des Benutzers ein – zum Beispiel
domain\username. - Sie können sich nun über RDP verbinden, vorausgesetzt, die RDP-Einstellungen des Servers sind aktiviert.
Falls Sie die Kommandozeile oder Skripte bevorzugen, hier die wichtigsten Informationen:
net localgroup "Remote Desktop Users" /add domain\username
Und für PowerShell-Fans:
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "domain\username"
Dient dazu Get-LocalGroupMember -Group 'Remote Desktop Users', zu überprüfen, wer sich dort aufhält.
Denken Sie daran, dass diese Gruppe auf Domänencontrollern standardmäßig in Active Directory integriert ist. Die Verwaltung erfolgt am besten über ADUC oder PowerShell. Seien Sie jedoch vorsichtig: Wenn Sie Benutzer zu dieser Domänengruppe hinzufügen, erhalten Sie automatisch RDP-Zugriff auf *alle* Domänencontroller, sofern Sie dies nicht explizit einschränken.
Berechtigungen auf Domänencontrollern für Nicht-Administratorbenutzer erteilen
Wenn ein Benutzer ohne Administratorrechte per RDP auf einen Domänencontroller zugreifen soll, wird es komplizierter. Lokale Gruppen lassen sich nicht einfach anpassen, da die lokalen Verwaltungstools auf einem Domänencontroller anders funktionieren – es wird die Fehlermeldung „Dieses Snap-In kann nicht auf einem Domänencontroller verwendet werden“ angezeigt. Stattdessen werden Berechtigungen über Gruppenrichtlinien oder Active Directory verwaltet.
Um einem Benutzer RDP-Zugriff zu gewähren, müssen Sie zwei Dinge tun:
- Fügen Sie den Benutzer oder eine Sicherheitsgruppe (wie AllowDCLogin ) der Richtlinie „Anmeldung über Remotedesktopdienste zulassen“ hinzu, die Sie über gpmc.msc (Gruppenrichtlinien-Verwaltungskonsole) ändern können.
- Wenden Sie die Richtlinie auf Ihre Domänencontroller an – idealerweise über die Standardrichtlinie für Domänencontroller. Vergessen Sie nicht,
gpupdate /forceanschließend einen neuen Befehl auszuführen, damit die Änderungen wirksam werden.
Das ist wesentlich sicherer, als alle Benutzer zur Domänengruppe „Remotedesktopbenutzer“ hinzuzufügen, wodurch RDP-Zugriff auf *alle* Domänencontroller gewährt wird – wahrscheinlich mehr, als Sie benötigen, es sei denn, Sie beabsichtigen dies ausdrücklich. Erstellen Sie stattdessen eine dedizierte Sicherheitsgruppe in Active Directory, weisen Sie den Benutzer dieser Gruppe zu und verknüpfen Sie diese Gruppe anschließend mit dem Gruppenrichtlinienobjekt (GPO).
Behandlung von Fehlern der Art „Der angeforderte Sitzungszugriff wurde verweigert“
Das ist ein klassisches Berechtigungsproblem. Es tritt auf, wenn jemand versucht, eine RDP-Verbindung herzustellen und blockiert wird, oft aufgrund von Richtlinien oder Kontoberechtigungen. Hauptsächlich passiert dies, wenn ein Benutzer ohne Administratorrechte versucht, sich in speziellen Modi (z. B.über den eingeschränkten Administratormodus mstsc /admin) mit einem Server zu verbinden oder wenn bestimmte Einschränkungen aktiviert sind, wie etwa Windows Defender Remote Credential Guard oder der eingeschränkte Administratormodus.
Überprüfen Sie die Benutzerberechtigungen und stellen Sie Folgendes sicher:
- Der Benutzer gehört zur richtigen Gruppe (z. B.Remote Desktop-Benutzer in AD).
- Die Richtlinie „ Anmeldung über Remotedesktopdienste zulassen“ schließt die Benutzergruppe mit ein.
- Es gibt keine widersprüchlichen Einschränkungen wie Ablehnungsrichtlinien oder Sicherheitseinstellungen, die den Zugriff blockieren.
Manchmal gpupdate /forcereicht ein Neustart des Servers aus, um diese Probleme zu beheben. Das hängt jedoch von den Berechtigungen ab. Noch eine Besonderheit: Wenn der eingeschränkte Administratormodus aktiviert ist, können sich normale Benutzer nur dann verbinden, wenn dies explizit eingerichtet wurde.
Ich bin mir nicht sicher, warum es so kompliziert ist, aber Windows scheint den Fernzugriff so sicher wie möglich gestalten zu wollen, manchmal bis zum Exzess.