Разрешить вход в систему через службу удаленных рабочих столов Allow log on through Remote Desktop Services
Область применения Applies to
В этой статье описаны рекомендации, расположение, значения, Управление политиками и параметры безопасности для параметра » Разрешить вход с помощью политики безопасности служб удаленных рабочих столов «. Describes the best practices, location, values, policy management, and security considerations for the Allow log on through Remote Desktop Services security policy setting.
Справочные материалы Reference
Этот параметр политики определяет, какие пользователи или группы могут получать доступ к экрану входа на удаленном устройстве через подключение к службам удаленных рабочих столов. This policy setting determines which users or groups can access the logon screen of a remote device through a Remote Desktop Services connection. Пользователь может установить подключение к службам удаленных рабочих столов к определенному серверу, но не сможет войти на консоль того же сервера. It is possible for a user to establish a Remote Desktop Services connection to a particular server but not be able to log on to the console of that same server.
Константа: SeRemoteInteractiveLogonRight Constant: SeRemoteInteractiveLogonRight
Возможные значения Possible values
- Определяемый пользователей список учетных записей User-defined list of accounts
- Не определено Not Defined
Рекомендации Best practices
- Чтобы управлять тем, кто может открывать подключение к службам удаленных рабочих столов и входить на него, добавьте пользователей в группу «Пользователи удаленного рабочего стола» и удалите их из нее. To control who can open a Remote Desktop Services connection and log on to the device, add users to or remove users from the Remote Desktop Users group.
Location Location
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Значения по умолчанию Default values
По умолчанию участники группы Администраторы имеют это право на контроллерах домена, рабочих станциях и серверах. By default, members of the Administrators group have this right on domain controllers, workstations, and servers. Группа «Пользователи удаленных рабочих столов» также имеет это право на рабочих станциях и серверах. The Remote Desktops Users group also has this right on workstations and servers. В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not Defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Не определено Not Defined |
| Локальная политика безопасности контроллера домена Domain Controller Local Security Policy | Администраторы Administrators |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Администраторы Administrators Пользователи удаленного рабочего стола Remote Desktop Users |
| Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings | Администраторы Administrators |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Администраторы Administrators Пользователи удаленного рабочего стола Remote Desktop Users |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Администраторы Administrators Пользователи удаленного рабочего стола Remote Desktop Users |
Управление политикой Policy management
В этом разделе описаны различные функции и инструменты, которые помогут вам управлять этой политикой. This section describes different features and tools available to help you manage this policy.
Групповая политика Group Policy
Чтобы войти в систему на удаленном устройстве с помощью служб удаленных рабочих столов, пользователь или группа должны быть членами группы «Пользователи удаленного рабочего стола» или «Администраторы» и предоставлять разрешение на вход через службы удаленных рабочих столов . To use Remote Desktop Services to successfully log on to a remote device, the user or group must be a member of the Remote Desktop Users or Administrators group and be granted the Allow log on through Remote Desktop Services right. Пользователь может установить сеанс служб удаленных рабочих столов для определенного сервера, но не сможет войти на консоль того же сервера. It is possible for a user to establish an Remote Desktop Services session to a particular server, but not be able to log on to the console of that same server.
Чтобы исключить пользователей или группы, вы можете назначить их пользователям и группам с помощью кнопки » запретить вход в службу удаленного рабочего стола «. To exclude users or groups, you can assign the Deny log on through Remote Desktop Services user right to those users or groups. Однако будьте внимательны при использовании этого метода, так как вы можете создать конфликты для легальных пользователей или групп, которым разрешен доступ с помощью разрешения входа в систему с помощью служб удаленных рабочих столов . However, be careful when you use this method because you could create conflicts for legitimate users or groups that have been allowed access through the Allow log on through Remote Desktop Services user right.
Перезагрузка устройства не требуется, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Параметры групповой политики применяются к объектам GPO в следующем порядке, что приводит к перезаписи параметров на локальном компьютере при следующем обновлении групповой политики: Group Policy settings are applied through GPOs in the following order, which will overwrite settings on the local computer at the next Group Policy update:
- Параметры локальной политики Local policy settings
- Параметры политики сайта Site policy settings
- Параметры политики домена Domain policy settings
- Параметры политики подразделения OU policy settings
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Любая учетная запись с разрешающим входом в систему с помощью права пользователя служб удаленных рабочих столов может войти в удаленную консоль устройства. Any account with the Allow log on through Remote Desktop Services user right can log on to the remote console of the device. Если вы не ограничиваете это право для легальных пользователей, которые должны войти на консоль компьютера, неавторизованные пользователи могли скачать и запустить вредоносную программу, чтобы повысить уровень привилегий. If you do not restrict this user right to legitimate users who must log on to the console of the computer, unauthorized users could download and run malicious software to elevate their privileges.
Противодействие Countermeasure
Для контроллеров домена назначьте разрешение Вход с помощью службы удаленных рабочих столов прямо в группу Администраторы. For domain controllers, assign the Allow log on through Remote Desktop Services user right only to the Administrators group. Для других ролей и устройств сервера добавьте группу «Пользователи удаленного рабочего стола». For other server roles and devices, add the Remote Desktop Users group. Для серверов, на которых служба роли узла сеансов удаленных рабочих столов (RD) включена и не работает в режиме сервера приложений, убедитесь в том, что только авторизованные ИТ-специалисты, которые должны управлять удаленными компьютерами, находятся в этих группах. For servers that have the Remote Desktop (RD) Session Host role service enabled and do not run in Application Server mode, ensure that only authorized IT personnel who must manage the computers remotely belong to these groups.
Внимание! для серверов узлов сеансов удаленных рабочих столов, работающих в режиме сервера приложений, необходимо убедиться, что только пользователи, которым требуется доступ к серверу, имеют учетные записи, которые относятся к группе «Пользователи удаленного рабочего стола», так как эта встроенная группа по умолчанию имеет право на вход. Caution: For RD Session Host servers that run in Application Server mode, ensure that only users who require access to the server have accounts that belong to the Remote Desktop Users group because this built-in group has this logon right by default.
Кроме того, вы можете назначить учетной записи отказ в доступе пользователям служб удаленных рабочих столов право доступа к группам, таким как операторы учета, операторы сервера и гости. Alternatively, you can assign the Deny log on through Remote Desktop Services user right to groups such as Account Operators, Server Operators, and Guests. Тем не менее, следует соблюдать осторожность при использовании этого метода, так как вы можете заблокировать доступ к легальным администраторам, которые также принадлежат к группе, в которой есть право » запретить вход с помощью пользователей служб удаленных рабочих столов «. However, be careful when you use this method because you could block access to legitimate administrators who also belong to a group that has the Deny log on through Remote Desktop Services user right.
Возможное влияние Potential impact
Удаление разрешения на вход в систему с помощью служб удаленных рабочих столов прямо из других групп (или изменения в членстве в этих группах по умолчанию) может ограничить возможности пользователей, которые выполняют определенные административные роли в вашей среде. Removal of the Allow log on through Remote Desktop Services user right from other groups (or membership changes in these default groups) could limit the abilities of users who perform specific administrative roles in your environment. Убедитесь в том, что делегированные действия не подвержены неблагоприятным последствиям. You should confirm that delegated activities are not adversely affected.
Как настроить RDP на Виндовс 10
Традиционный сценарий использования ПК предполагает, что вы подходите к компьютеру, садитесь в кресло и физически контактируете с устройством. Однако есть и другой вариант — настройка RDP Windows 10 и использование удаленного подключения. У такого метода масса достоинств: не нужно тратить время, чтобы добраться до рабочего места, можно со слабого устройства выполнять задачи на более мощном компьютере или даже попросить более компетентного специалиста подключиться и оказать помощь.
Настройка RDP на Windows 10
Но прежде, чем браться за настройку RDP в Windows 10, убедитесь, что у вас установлена версия Pro или выше: в Home отключены нужные системные компоненты. Плюс, потребуется защитить паролем вашу учетную запись:
- если его нет – установите через соответствующий раздел в Панели управления;
- выберите сложный пароль. Если его можно подобрать за 4 секунды – это плохой пароль.
Включение доступа и добавление пользователей
Первый шаг настройки – корректировка настроек Windows 10, чтобы сделать соединение через интернет с использованием RDP в принципе возможным. Откройте Пуск и нажмите на шестеренку Параметры.
Откройте раздел с настройкой системы.
Просмотрите детальные сведения (можно сразу открыть этот экран комбинацией Win-Pause или Win-Break).
Запомните, какое имя указано для компьютера. Далее перейдите к настройке удаленного доступа.
Если в системе настроено автоматическое переведение в «спячку», то будет показано предупреждение.
Нажмите Электропитание и далее настройки схемы, чтобы убрать помехи к использованию RDP в Win 10.
Выберите из списка «Никогда», если хотите, чтобы ПК был постоянно доступен.
Альтернативный способ – активировать режим повышенной производительности, тогда компьютер не будет отключаться.
В подразделе удаленного рабочего стола разрешите подключаться к компьютеру.
При желании можно провести настройку RDP Windows 10 для нескольких пользователей, нажав кнопку чуть ниже переключателя.
По умолчанию доступ дается администраторам, но можно добавить произвольного пользователя (например, специально созданного для этих целей).
Впишите его имя в системе.
Пользователь появится в списке допуска к RDP.
В зависимости от версии ОС, порядок действий может несколько отличаться. Например, официальное руководство предлагает перейти к параметрам рабочего стола непосредственно в подразделе «Система» или же открыть в браузере адрес «ms-settings:remotedesktop».
Настройка и управление IP
Вместо имени компьютера часто используется IP. Чтобы его просмотреть, правым кликом по значку текущего подключения вызовите Центр управления сетями.
Далее кликните непосредственно по каналу связи с интернетом (например, Ethernet) для просмотра состояния.
В просмотре состояния нажмите Сведения.
Отобразится детальная информация, из которой нужно запомнить или записать IP.
Если адрес выдается динамическим образом, то при повторных включениях ПК он может измениться, и тогда потребуется его каждый раз заново узнавать. Вместо этого, иногда настраивают статический адрес, который остается неизменным при перезагрузках.
Важно! Если у вашей сети есть ответственный администратор, проконсультируйтесь с ним о допустимости такой настройки. Впрочем, это относится и к разрешению удаленного доступа в целом.
В окне просмотра состояния перейдите к свойствам. Далее выберите протокол IPv4 и откройте детальный просмотр.
В качестве адреса укажите значение, которое не попадает в используемый для динамического использования диапазон. Соответствующую настройку можно опять-таки найти в роутере.
Традиционно маска указывается в виде 255.255.255.0, так что IP должен отличаться от адреса шлюза (его не меняем) только последним числом.
В качестве DNS можно указать используемые в вашей сети значения или же воспользоваться публичными сервисами: 8.8.8.8 от Google, 1.1.1.1 от Cloudflare и так далее.
Если используется фиксированный адрес и прямое подключение (то есть у вашего ПК «белый» IP, уточните данную информацию у своего провайдера), его также можно просмотреть при помощи внешних сервисов вроде https://2ip.ru.
Настройка порта RDP
Если система, которой выполняется RDP подключение, находится за роутером, то может потребоваться настройка порта. Для этого стандартным образом подключитесь к роутеру через веб-интерфейс (используемый для этого адрес необходимо уточнить в инструкции к оборудованию). Далее найдите в настройках раздел Port Forwarding (перенаправление портов). Потребуется добавить в него правило со следующими параметрами:
- название может быть произвольным;
- в качестве порта выберите 3389 TCP;
- IP введите от своего ПК;
- локальный порт также пропишите 3389;
- выберите протокол TCP из списка.
После этого станет возможно подключаться удаленно и работать с ПК.
Подключение к удаленному рабочему столу в Windows 10
После настройки для подключения в режиме RDP можно использовать стандартную программу.
Минимальные требования для соединения – указать имя или IP целевого компьютера.
Далее система сама запросит данные для входа в учетную запись. Используйте один из тех аккаунтов, которые добавили на этапе настройки. Можно поставить галочку, чтобы в будущем не вводить их заново.
Если показывается уведомление об отсутствии сертификата, его допустимо проигнорировать (вы же уверены в своем ПК, верно?).
Также в окне подключения можно раскрыть детальные параметры подключения:
- общие;
- для экрана;
- ресурсов;
- возможности взаимодействия;
- и дополнительная вкладка, где можно отключить проверку сертификата.
Важно! В отличие от настройки RDP на Windows Server 2016, здесь одновременно работать может только один пользователь, независимо от того, прямо за компьютером или удаленно. Так что если попробуете подключиться к системе, куда уже кто-то вошел, появится предупреждение. Можно или отключить активного пользователя, или самому подключиться позже.
Если вам нужно настроить РДП с одновременной работой, переходите на серверные ОС, такие как Windows Server 2012 r2.
После этого откроется окно с удаленной системой. По умолчанию режим полноэкранный, а сверху показывается панель подключения.
Если нажать на ней крестик, то пользователь останется залогинен в удаленной системе.
Чтобы полностью выйти в меню Пуск удаленной машины выберите «Отключиться».
Устранение неполадок при подключении к удаленному рабочему столу
Если брандмауэр Windows не дает соединиться, откройте его настройки в параметрах.
Нажмите на изменение параметров над списком.
Укажите для удаленного рабочего стола обе галочки.
В случае, если не срабатывает подключение по порту, нужно уточнить наличие такой возможности у провайдера.
Если показывается ошибка об отсутствии ответа со стороны ПК, к которому вы подключаетесь – убедитесь, что он вообще включен и что он не ушел в спящий режим.
Также может потребоваться переключить в параметрах, в разделе подключения, тип сети с общественной на доверенный.
Выберите частную, в противном случае компьютер может быть не виден даже при работе по локальной сети.