Добавить пользователя в группу rdp windows — Ваш верный помощник с OS Windows

По умолчанию удаленный RDP доступ к рабочему столу рядовых серверов с Windows Server или к контроллерам домена Active Directory разрешен только пользователям, добавленных в локальную группу Administrators, или администраторам домена (Domain Admins). В этой статье мы покажем, как предоставить RDP доступ к хостам Windows Server или контроллерам домена обычным пользователям без предоставления прав административных полномочий.

Содержание:

Чтобы войти в систему, вам нужно право на вход через службу удаленных рабочих столов
Как предоставить RDP доступ к контроллеру домена Active Directory?
Политика “Разрешить вход в систему через службу удаленных рабочих столов”
Доступ к требуемому сеансу RDP отклонен

По умолчанию настройки безопасности Windows позволяют RDP подключение удаленному пользователю через службу Remote Desktop Services (TermService) если:

Пользователь состоит в локальной группе Administrators или Remote Desktop Users;
Пользователю разрешено подключение через локальную политику Allow the log on through Remote Desktop Services.

Чтобы войти в систему, вам нужно право на вход через службу удаленных рабочих столов

При попытке удаленно подключиться к рабочему столу Windows Server, у пользователя появится ошибка:

To sign in remotely, you need the rights to sign in Remote Desktop Services. By default only members of the Administrators group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from Administrators group, you need to be granted this right manually.

Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов. По умолчанию такое право имеют члены группы Администраторы. Если у вашей группы нет этого права или оно было удалено для группы Администраторы, попросите предоставить его вам вручную.

Если на удаленном хосте для RDP включена проверка подлинности NLA (Network Level Authentication), то при подключении появится другая ошибка:

The connection was denied because the user account is not authorized for remote login.

Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему.

Картинка с сайта: winitpro.ru

В этом случае, чтобы разрешить пользователю подключаться к Windows Server по RDP, вам достаточно добавить его в локальную группу Remote Desktop User. Для этого:

Откройте mmc оснастку Local Users and Groups MMC (
lusrmgr.msc
) и перейдите в раздел Groups;
Щелкните по группе Remote Desktop User (Пользователи удаленного рабочего стола);
Нажмите кнопку Add и укажите имя пользователя (или группы), которому вы хотите предоставить RDP доступ;

Картинка с сайта: winitpro.ru
После этого пользователь сможет подключиться к этому хосту Windows по RDP.

Также вы можете добавить пользователя в группу доступа RDP из командной строки:

net localgroup "Remote Desktop Users" /add winitpro\kbuldogov

или из PowerShell (подробнее про управление локальными пользователями и группами в PowerShell).

Add-LocalGroupMember -Group "Remote Desktop Users" -Member kbuldogov

Вывести список пользователей в группе Remote Desktop Users

Get-LocalGroupMember -Group 'Remote Desktop Users'

список пользователей с правами rdp доступа

По аналогии вы можете предоставить пользователям RDP доступ к рабочим станциям с Windows 10 или 11 (не забудьте включить на них RDP)

По умолчанию Windows Server разрешает две одновременные удаленные RDP сессии. Т.е. два пользователю могут одновременно работать в собственных Remote Desktop сеансах. Если вам нужно большее количество одновременных RDP подключений, придется приобрести и активировать лицензии (RDP CAL) на сервере лицензирования RDS и установить роль Remote Desktop Services (это может быть отдельностоящий сервер с ролью RDSH или полноценная RDS ферма из нескольких серверов).

В RDS ферме для предоставления удаленного доступа можно использовать RDS коллекции. Откройте Server Manager > Remote Desktop Services > Tasks > Edit Deployment Properties.

Откройте коллекцию и в разделе User Group будут указаны группу безопасности, которым разрешено подключаться к RDSH хостам в этой коллекции.

Как предоставить RDP доступ к контроллеру домена Active Directory?

Если вам нужно предоставить рядовому пользователю, удаленный доступ к рабочему столу контроллера домена, то способ, описанный выше не сработает.

Дело в том, что после повышения роли сервера до контроллера домена Active Directory в оснастке управления компьютером пропадает возможность управления локальными пользователями и группами. При попытке открыть консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:

The computer xxx is a domain controller. This snip-in cannot be used on a domain controller. Domain accounts are managed with the Active Directory Users and Computers snap-in.

Оснастка Local Users and Groups (<code data-lazy-src=

lusrmgr.msc) на контроллере домена» width=»547″ height=»226″ srcset=»https://winitpro.ru/wp-content/uploads/2015/02/lusrmgr-on-domain-controller.jpg 705w, https://winitpro.ru/wp-content/uploads/2015/02/lusrmgr-on-domain-controller-300×124.jpg 300w»>

Как вы видите, на контроллере домена отсутствуют локальные группы. Вместо локальной группы Remote Desktop Users, на DC используется встроенная доменная группа Remote Desktop Users (находятся в контейнере Builtin). Управлять данной группой можно из консоли ADUC или из командной строки на DC.

Однако использовать эту группу для предоставления доступа нежелательно, т.к. она предоставит пользователю доступ ко всем DC в домене. В этом случае для предоставления прав лучше использовать политику Allow log on through Remote Desktop Services.

Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям нужен удаленный доступ к рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру обслуживают несколько администраторов, обладающих правами администратора домена, такая необходимость вряд ли понадобится. Обычно хватает возможностей делегирования пользователям административных полномочия в Active Directory или предоставления прав с помощью PowerShell Just Enough Administration (JEA).

Однако в больших корпоративных сетях, обслуживаемых большим количеством персонала, нередко возникает необходимость предоставления RDP доступа к DC (как правило к филиальным DC или RODC) различным группам администраторов серверов, команде мониторинга, дежурным администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC разворачивают сторонние службы, управляемые не доменными администраторами, которое также необходимо как-то обслуживать.

Политика “Разрешить вход в систему через службу удаленных рабочих столов”

Чтобы разрешить доменному пользователю или группе удаленное RDP подключение к Windows, необходимо предоставить ему право SeRemoteInteractiveLogonRight. Вы можете предоставить это полномочие с помощью политики Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов).

В Windows Server 2003 и ранее политика называется Allow log on through terminal services.

Чтобы разрешить RDP подключение к DC членам группы SPB-Server-Admin, нужно изменить настройку этой политики на контроллере домена:

Запустите редактор локальной политики (
gpedit.msc
);
Перейдите в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment;
Найдите политику с именем Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов);
После повышения роли сервера до DC в этой локальной политике остается только группа Administrators (это администраторы домена).

Картинка с сайта: winitpro.ru
Отредактируйте политику, добавьте в нее непосредственно доменного пользователя или группу (в формате domain\somegroupname);

Картинка с сайта: winitpro.ru
Обновите настройки групповых политик командой:
gpupdate /force

Обратите внимание, что группа, которую вы добавили в политику Allow log on through Remote Desktop Services, не должны присутствовать в политике “Deny log on through Remote Desktop Services”, т.к. она имеет приоритет (см статью Ограничение сетевого доступа в домене под локальными учетками). Также, если вы ограничиваете список компьютеров, на которые могут логиниться пользователи, нужно добавить имя сервера в свойствах учетной записи в AD (поле Log on to в атрибуте LogonWorkstations).

Примечание. Чтобы разрешить пользователю локальный вход на DC (через консоль сервера), его учетную запись или группу, нужно добавить также в политику Allow log on locally. По умолчанию это право есть у следующих доменных групп:

Account Operators
Administrators
Backup Operators
Print Operators
Server Operators.

Если это не сделать, при входе появится ошибка Этот метод входа запрещено использовать.

Для удобства вы можете создать в домене новую группу безопасности, например, AllowDCLogin. Затем нужно добавить в нее учетные записи пользователей, которым нужно разрешить удаленный доступ к DC. Если нужно разрешить доступ сразу на все контроллеры домена AD, вместо редактирования локальной политики на каждом DC, лучше через консоль управления доменными политиками (
GPMC.msc
) добавить группу пользователей в доменную политику Default Domain Controllers Policy (политика Allow log on through Remote Desktop Services находится в разделе Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment).

Важно. Если вы изменяете доменную политику, не забудьте добавить в нее группы администраторов домена/предприятия, иначе они потеряют удаленный доступ к контроллерам домена.

разрешить rdp доступ через политику Default Domain Controllers Policy

Теперь пользователи, которых вы добавили в политику, смогут подключаться к рабочему столу контроллеру домена по RDP.

Если вам нужно предоставить обычным пользователями права на запуск/остановку определенных служб на DC, воспользуйтесь следующей инструкцией.

Доступ к требуемому сеансу RDP отклонен

В нескорых случаях при подключении по RDP к контроллеру домена, вы можете получить ошибку:

The requested session access is denied

Доступ к требуемому сеансу отклонен

Если вы подключаетесь к DC под неадминистративной учетной записью, это может быть связано с двумя проблемами:

Вы пытаетесь подключиться к консоли сервера (с помощью
mstsc /admin
). Такой режим подключения разрешен только пользователям с правами администратора сервера. Попробуйте подключиться к серверу в обычном режиме (без параметра
/admin
);
Возможно на сервере уже есть две активные RDP сессии (по умолчанию к Windows Server без службы RDS можно одновременно подключиться не более чем двумя RDP сеансами). Список активных сессий на удалённом компьютере и залогиненых пользователей можно вывести так:
qwinsta /server:dc01

Без прав администратора вы не сможете завершить сессии других пользователей. Нужно дождаться, пока администраторы освободят или завершат одну из сессий;
На хосте Windows Server включен режим Restricted Admin или Windows Defender Remote Credential Guard

Источник

Если у Вас возникла необходимость работать на сервере вдвоем(или сколь угодно больше человек) одновременно, то не обойтись без создания новых локальных пользователей. Данное руководство как раз призвано помочь с этой задачей.

Наглядные примеры будут показаны на основе Windows Server 2019, но добавление пользователя происходит аналогичным образом на остальных версиях ОС, которые представлены у нас.

Итак, первым делом на сервере кликните ПКМ по значку Пуск, чтобы открылось контекстное меню.

По-другому его можно вызвать с помощью сочетания клавиш Win + X.

В нем нужно перейти в раздел Управление компьютером(в англ. редакции “Computer Management”.

В нем в разделе “Локальные пользователи” есть два подраздела: “Пользователи” и “Группы”. Пока нас интересует только “Пользователи”, на котором(либо, перейдя в него, на пустом месте) нужно кликнуть ПКМ и выбрать “Новый пользователь”.

Управление компьютером, новый пользователь

Откроется форма с полями для ввода данных нового пользователя.

В форме также присутствуют чекбоксы, в которых можно по желанию потребовать изменение пароля при первом входе пользователя в систему, либо, наоборот, запретить пользователю изменять пароль и/или сделать его бессрочным.

“Отключить учетную запись”(по крайней мере в рамках этого руководства) выбирать не стоит, поскольку мы хотим создать пользователя, чтобы сразу же использовать его в работе.

Обязательными полями является только “Пользователь”, которое в сущности является логином учетной записи, и “Пароль”, которое является паролем соответственно. Причем пароль должен отвечать требованиям политики безопасности по умолчанию.

Справка самих Microsoft содержит в себе информацию об этих требованиях политики безопасности(в дальнейшем ее можно будет изменить/отключить по своему желанию в соответствующей оснастке).

Итак, выбрав подходящий пароль и создав пользователя, двойный щелчком(или ПКМ по нему => Свойства) откройте его свойства. Далее перейдите в раздел “Членство в группах”.

Далее, кликнув по кнопке “Добавить”, переходим в раздел добавления групп, в которых будет состоять созданный пользователь.

Впишите в текстовое поле “Пользователи удаленного рабочего стола” и кликните на кнопку “Проверить имена”.

Система автоматически подберет соответствующую одноименную группу. Остается лишь кликнуть “ОК”…

…и “Применить” в оставшемся окне. Абсолютно аналогичным образом можно добавить созданного пользователя в группу “Администраторы”, если у Вас есть необходимость работать с правами администратора.

Готово. Пользователь создан и имеет права удаленного доступа к серверу.

Если ранее на сервере уже происходила авторизация под другой учетной записью(например, Administrator), окне подключения кликните на “изменить”, затем “Больше вариантов”, затем “Использовать другую учетную запись”, в поля введите данные созданного пользователя.

Убедиться в корректности осуществленных манипуляций можно в Панели управления, либо зайдя в командную строку(директория в ней по умолчанию будет соответствовать домашней директории нового пользователя.

Источник

In this blog post, we will discuss how to add Active Directory users to the remote desktop users group using Group Policy Object (GPO) and PowerShell.

Create a Security Group for RDP Users

Let’s first create a security group that will be added as a member. This way, you can create multiple groups if needed and organize user access more efficiently.

OPTION 1: Using the Active Directory Users and Computers Console

Log in to the domain controller and open the Active Directory Users and Computers (ADUC) console.

Картинка с сайта: theitbros.com
Navigate to the Active Directory OU container where you want to create the new security group. In this example, we’ll select the Users OU.
Click the New Group button.
On the New Object > Group window, type the group name, select the group scope, select Security as the group type, and click OK.

Картинка с сайта: theitbros.com
Once the security group is created, you can add the members (users and groups) to it. These members are the intended Remote Desktop Access users.

Картинка с сайта: theitbros.com
After adding users and groups as members, click OK to save the changes and close the group properties window.

Option 2: Using PowerShell

To create the Allow RDP Users group using PowerShell:

Log in to the server and open an elevated PowerShell session.
Run the following command to create the security group. This command creates the security group named Allow RDP Users inside the Users OU:
```
New-ADGroup -Name 'Allow RDP Users' -GroupScope Universal 

Get-ADGroup -Identity 'Allow RDP Users'
```
Картинка с сайта: theitbros.com
Lastly, let’s add a user to the group:
```
Add-ADGroupMember -Identity 'Allow RDP Users' -Members grant.gabriel 

Get-ADGroupMember -Identity 'Allow RDP Users'
```
Картинка с сайта: theitbros.com

Add Users to the Remote Desktop Users Group using GPO

Group Policy Object (GPO) is a powerful tool that allows administrators to manage settings for multiple users and computers in an organization. One of the settings that can be controlled using GPO is the remote desktop users group membership.

We’ll configure the Remote Desktop Users policy item in this example using the GUI.

Open the Group Policy Management Console (GPMC) on the domain controller.
gpmc.msc

Картинка с сайта: theitbros.com
Right-click the domain and click Create a GPO in this domain, and Link it here.
Note. You can also create and link the new GPO in a specific OU.

Картинка с сайта: theitbros.com
Type Remote Desktop Users Policy as the policy name and click OK.
Right-click the new policy and click Edit.

Картинка с сайта: theitbros.com
Navigate to Computer Configuration > Policies > Windows Settings > Security Settings.
Right-click on Restricted Groups and click Add Group.
On the Add Group dialog box, type Remote Desktop Users and click OK.
Note. Do not click Browse. You will not see the Remote Desktop Users in the Active Directory because it is a local group on each computer.
The Remote Desktop Users Properties window opens. Under the Members of this group property, click Add.
Browse for the security group you created earlier (Allow RDP Users) and save it as a member of the Remote Desktop Users group.

Картинка с сайта: theitbros.com

Note. You can also add domain users to the Remote Desktop Group.
Click OK on the Remote Desktop Users Properties to save the changes.
Close the Group Policy Editor and the Group Policy Management window.

Картинка с сайта: theitbros.com
Finally, wait for the group policy replication throughout the domain. You can also force the group policy Remote Desktop Users by running gpupdate /force.
Let’s check on one of the computers if the Allow RDP Users group is now a local Remote Desktop Users group member. In this example, we are entering a remote PowerShell session on PC1:
```
Enter-PSSession -ComputerName PC1
```
Next, list the Remote Desktop Users group members on PC1 using the Get-LocalGroupMember cmdlet:
```
Get-LocalGroupMember -Group 'Remote Desktop Users'
```
Картинка с сайта: theitbros.com

That’s it! You’ve created the Remote Desktop Users group policy.

At this point, all Allow RDP Users security group members can RDP into the computers in the domain. If a user who isn’t a Remote Desktop Users group member tries to RDP, they will get a message like the one below.

So an administrator has to add the user as a member of the Remote Desktop Users through the Allow RDP Users security group.

Add Users to the Remote Desktop Users Group using PowerShell

You can also add users to Remote Desktop Users using PowerShell using the Add-LocalGroupMember cmdlet.

Note. A GPO configured for Remote Desktop Users will automatically overwrite the Remote Desktop Users’ group membership every time the computer updates the group policy. Only use this method if the RDP access is needed temporarily or if no GPO is configured for Remote Desktop Users.

Run the command below to add a user to the Remote Desktop Group locally on a computer.

Add-LocalGroupMember -Group 'Remote Desktop Users' -Member 'DOMAIN\USERNAME'

To add a user to the Remote Desktop Group locally on a remote computer, you can use PowerShell remoting with Enter-PSSession.

Enter-PSSession -ComputerName <remote_computer> 
Add-LocalGroupMember -Group 'Remote Desktop Users' -Member 'DOMAIN\USERNAME'

Or you can also run the Invoke-Command cmdlet to run the Add-LocalGroupMember command remotely.

Invoke-Command -ComputerName PC1 -ScriptBlock { 
Add-LocalGroupMember -Group 'Remote Desktop Users' -Member 'DOMAIN\USERNAME' 
}

Conclusion

Managing user access is an important task for system administrators, and adding Active Directory users to the remote desktop users group is just one aspect of this task. By using GPO and PowerShell, administrators can easily manage user access to remote desktops.

By following best practices and regularly reviewing access, administrators can ensure their environments are secure and only authorized users have access.

Cyril Kardashevsky

I enjoy technology and developing websites. Since 2012 I’m running a few of my own websites, and share useful content on gadgets, PC administration and website promotion.

Источник

Do you Know, How to Add User to Remote Desktop Users Group in Windows 10 via Command Prompt or Powershell? Normally only administrative users are allowed to the remote desktop connection (RDP). But we will show our article non-administrative user also access to remote desktop users group in Windows 10 PC. Let’s see –

Add User to Remote Desktop Users Group via Command Prompt –

Step-1: Just open the Command prompt as Administrator.

Step-2: Then type the following command and hit Enter. Just replace the (username) with the main user account, which wants to add to Remote desktop users group.

net localgroup "Remote Desktop Users" "UserName" /add

How to Add User to Remote Desktop Users Group

If you want to remove a user from the Remote Desktop Users group, just run this below command:

net localgroup "Remote Desktop Users" "UserName" /delete

How to Add User to Remote Desktop Users Group via PowerShell –

Step-1: Just open the elevated PowerShell. Just press the Win + X button of your keyboard section. Then just click Windows PowerShell (Admin) from the menu.
You can also open the PowerShell elevated from Run. Just type PowerShell on the Run search box and hit enter.

Step-2: I want to add a user on remote desktop users group by executing this command below.

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "UserName"

If you want to remove a user from Remote Desktop Users, just type the below command.

Remove-LocalGroupMember -Group “Remote Desktop Users” -Member “UserName”

You have done.

Like Article:
How to Password Protect Folders in Windows 10
How to Disable Windows 10 Password Using Command Prompt

Источник

Обновлено: 02.11.2017
Опубликовано: 13.09.2016

Удаленный рабочий стол применяется для дистанционного администрирования системы. Для его настройки нужно сделать, буквально, несколько шагов.

Как включить
Настройка доступа
Ограничения
Доступ из Интернет

Включение

1. Открываем сведения о системе. В Windows Server 2012 R2 / 2016 или 10 кликаем правой кнопкой мыши по Пуск и выбираем Система.

В Windows Server 2012 / 8 и ниже открываем проводник или меню Пуск. Кликаем правой кнопкой по Компьютер и выбираем Свойства.

2. Настраиваем удаленный рабочий стол. В меню слева кликаем по Настройка удаленного доступа.

В открывшемся окне ставим переключатель в положение Разрешить удаленные подключения к этому компьютеру.

* желательно, если будет установлен флажок Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Но если компьютер, с которого мы будем заходить с устаревшей операционной системой, это может вызвать проблемы.

Предоставление доступа

Очень важно, чтобы у пользователя был установлен пароль. Без него зайти в систему с использованием RDP будет невозможно — это программное ограничение. Поэтому всем учетным записям ставим пароли.

У пользователей с правами администратора права на использование удаленного стола есть по умолчанию. Чтобы обычная учетная запись могла использоваться для удаленного входа в систему, добавьте ее в группу Пользователи удаленного рабочего стола. Для этого открываем консоль управления компьютером (команда compmgmt.msc) — переходим по разделам Служебные программы — Локальные пользователи и группы — Группы и кликаем дважды по Пользователи удаленного рабочего стола:

Добавление пользователя в группу для подключения к удаленному рабочему столу

В открывшемся окне добавляем необходимых пользователей.

Для проверки правильности настроек, используйте программу Подключение к удаленному рабочему столу (находится в меню Пуск или вызывается командой mstsc) на любом другом компьютере в сети.

Ограничение по количеству пользователей

По умолчанию, в серверных операционных системах Windows разрешено подключение для одновременно двух пользователей. Чтобы несколько пользователей (больше 2-х) могли использовать удаленный стол, необходима установка роли удаленных рабочих столов (терминального сервера) и активации терминальных лицензий — подробнее, читайте в инструкции Установка и настройка терминального сервера на Windows Server.

В пользовательских системах (Windows 10 / 8 / 7) разрешено подключение только одному пользователю. Это лицензионное ограничение. В сети Интернет можно найти патчи для его снятия и предоставления возможности подключаться удаленным рабочим столом для нескольких пользователей. Однако, это нарушение лицензионного соглашения.

Доступ через глобальную сеть (Интернет)

Для возможности подключения по RDP из вне необходим статический внешний IP-адрес. Его можно заказать у Интернет провайдера, стоимость услуги, примерно, 150 рублей в месяц (некоторые поставщики могут предоставлять бесплатно). Для подключения нужно использовать полученный внешний IP.

Если компьютер подключен к Интернету напрямую, никаких дополнительных действий не потребуется. Если мы подключены через NAT (роутер), необходима настройка проброса портов. Пример того, как это можно сделать на Mikrotik.

Источник