Включение RDP через Active Directory

Этот гайд поможет включить удалённый рабочий стол (RDP) для конкретных компьютеров в домене, используя групповые политики и фильтрацию по группам безопасности.

⚡ Цель: Чтобы RDP был включён ТОЛЬКО на компьютерах, которые входят в группу RDP_Test_Computers.

✅ Основные шаги (коротко)

🔧 Подробный чеклист (делай по порядку)

Шаг 1. Создать группу — в Active Directory Users and Computers → контейнер Users → New → Group. Имя: RDP_Test_Computers, тип: Security, область: Global.

Шаг 2. Добавить компьютеры в группу — свойства группы → вкладка "Члены" → добавить (не забудь в типах объектов поставить галочку "Компьютеры").

Шаг 3. Создать GPO — в Group Policy Management → Объекты групповой политики → создать новую, назвать Включение RDP.

Шаг 4. Настроить параметры RDP в GPO — в редакторе GPO перейти:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Подключения

→ включить параметр "Разрешить пользователям удаленное подключение".

Шаг 5. Разрешить в брандмауэре — тот же редактор:

Конфигурация компьютера → Политики → Административные шаблоны → Сеть → Сетевые подключения → Брандмауэр Защитника Windows → Профиль домена

→ включить "Разрешить входящие исключения удаленного рабочего стола", в поле IP поставить *.

Шаг 6. Дать права пользователям —

Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Локальные политики → Назначение прав пользователя

→ добавить в "Разрешить вход через службу удаленных рабочих столов" группу Пользователи удаленного рабочего стола.

Шаг 7. Security Filtering (фильтрация) — в GPMC выбрать GPO → вкладка "Область" → в разделе "Фильтрация по безопасности" удалить Authenticated Users, добавить RDP_Test_Computers.

Шаг 8. Права на чтение для компьютеров — вкладка "Делегирование" → кнопка "Дополнительно" → добавить Domain Computers с правом Чтение (только чтение!).

Шаг 9. Привязать GPO — правой кнопкой на домене logoakademia.local → "Связать существующий GPO" → выбрать нашу политику.

Шаг 10. Применить на клиенте — на целевом компьютере выполнить от админа: gpupdate /force, затем klist purge и перезагрузить (обязательно!).

Шаг 11. Проверить — gpresult /r /scope:computer — политика должна быть в "Примененных", а в реестре HKLM\...\Terminal Server ключ fDenyTSConnections = 0.

💡 Полезные команды (копируй и вставляй)

🐛 Типичные проблемы и решения

Что сделать	Команда
Проверить применение политики	`gpresult /r /scope:computer`
Проверить статус RDP в реестре	`reg query "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections`
Проверить членство компьютера в группах	`whoami /groups \| findstr /i "RDP"`
Принудительно обновить политику	`gpupdate /force`
Очистить кэш токенов	`klist purge`
Добавить комп в группу (PS)	`Add-ADGroupMember -Identity "RDP_Test_Computers" -Members "PCNAME$"`

Политика в списке, но "Отфильтровано (безопасность)"
→ компьютер не знает, что он в группе. Решение: перезагрузить компьютер после добавления в группу.

Политика не применяется, хотя группа есть
→ забыли дать права на чтение GPO для Domain Computers (шаг 8).

RDP включён, но подключиться не могу
→ пользователь не в группе "Пользователи удаленного рабочего стола". Добавьте его или используйте net localgroup.

Галочка RDP стоит, но это "Удаленный помощник"
→ в GPO настроен не тот параметр. Проверь шаг 4 — именно "Разрешить удаленные подключения", а не помощник.

📌 Итог

Если прошёл все пункты чеклиста и перезагрузил компьютер — RDP будет работать. Главные моменты:

Категории

Включение RDP через Active Directory

✅ Основные шаги (коротко)

🔧 Подробный чеклист (делай по порядку)

💡 Полезные команды (копируй и вставляй)

🐛 Типичные проблемы и решения

📌 Итог

Категории:

Категории

Комментарии

Оставить комментарий

Категории

Включение RDP через Active Directory

✅ Основные шаги (коротко)

🔧 Подробный чеклист (делай по порядку)

💡 Полезные команды (копируй и вставляй)

🐛 Типичные проблемы и решения

📌 Итог

Категории:

Категории

Комментарии

Оставить комментарий

Обратная связь