hanswurst22
Goto Top

Remote Desktop nicht erlaubt, Berechtigung per GPO aber vergeben

Geschätzte Community!

Mir ist die Frage hochunangenehm, aber ich finde einfach meinen Fehler nicht. Vielleicht sieht ihn ja jemand von euch. Auch diversen Anleitungen des Internets, die ich in meiner Verzweiflung schon befragt habe, zufolge sollte das eigentlich so funktionieren, tut es aber nicht.

Folgendes Setup: Es wird über eine Gruppenrichtlinie die Einstellung Anmelden über Terminaldienste zulassen auf eine OU gesetzt. Hier wird die Gruppe GLOBAL_RD_USERS eingesetzt. Anmelden über Terminaldienste verweigern ist gemäß Microsoft Security Baseline auf "Lokales Konto" gesetzt.
Über gpresult ist zu sehen, dass diese Einstellungen am Client auch ankommt.

Möchte sich aber nun ein Benutzer, der Mitglied ebendieser GLOBAL_RD_USERS-Gruppe ist an diesem PC remote anmelden, so erhält er den Fehler "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Die Ereignisanzeige sagt:
- 4624: Konto wurde erfolgreich angemeldet (eben das Konto dieses Benutzers)
- 4627: Informationen zur Gruppenmitgliedschaft (ebendieses Kontos, enthält die GLOBAL_RD_USERS-Gruppe)
- 4825: Einem Benutzer wurde Der Zugriff auf Remotedesktop verweigert. Die Verbindung wird standardm,äßig nur Benutzern erlaubt, die Mitglied der Gruppe "Remotedesktopbenutzer" oder Administratoren sind.

Die Anmeldung via RDP von Administratoren auf den Maschinen ist aber ohne Probleme möglich.

Meinem Verständnis nach müsste ich die Gruppe durch die Einstellung Anmelden über Terminaldienste zulassen doch zu dieser Anmeldung zulassen, oder missverstehe ich da etwas?

Vielen Dank bereits im Vorhinein für eure Hilfe und Inputs!

Content-ID: 7560783276

Url: https://administrator.de/forum/remote-desktop-nicht-erlaubt-berechtigung-per-gpo-aber-vergeben-7560783276.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

kreuzberger
kreuzberger 17.06.2023 um 17:18:51 Uhr
Goto Top
@HansWurst22 Sofern der RDP Zugriff von anderen Clients aus funktioniert solltest du ggf mal die Firewall-Einstellungen auf den Clients vergleichen. Da muss auch einiges für passend stimmen.

Kreuzberger
HansWurst22
HansWurst22 17.06.2023 um 17:22:04 Uhr
Goto Top
Zitat von @kreuzberger:

@HansWurst22 Sofern der RDP Zugriff von anderen Clients aus funktioniert solltest du ggf mal die Firewall-Einstellungen auf den Clients vergleichen. Da muss auch einiges für passend stimmen.

Kreuzberger

Hallo,
danke für deinen Vorschlag. Firewall kann ich glaub ich ausschließen. Die Anmeldung funktioniert mit dem Administrator-Benutzer von einem Client auf die fragliche Maschine, nicht aber mit dem GLOBAL_RD_USERS-User vom gleichen Client aus.

Grüße.
user3086
user3086 17.06.2023 aktualisiert um 21:10:09 Uhr
Goto Top
Nabend,
wenn du die Gruppe der Remotedesktopbenutzer Gruppe der Maschine manuell einfügst, geht es?

elevated prompt:
net localgroup "Remotedesktopbenutzer" /add DOMAIN\GLOBAL_RD_USERS  
emeriks
emeriks 19.06.2023 aktualisiert um 09:41:31 Uhr
Goto Top
Hi,
ich hoffe doch mal, Du hast in dieser GPO nicht bloß diese Gruppe "GLOBAL_RD_USERS"sondern auch "Remotedesktopbenutzer" bzw. "Remote Desktop Users".

Die Richtlinie "Anmelden über Terminaldienste zulassen" ist nicht additiv sondern ersetzend. Standardmäßig steht dort drin "Administratoren" und "Remotedesktopbenutzer". Wenn Du jetzt in der GPO nur noch "GLOBAL_RD_USERS" stehen haben solltest, dann können sich noch nicht mal mehr die in der Gruppe "Remotedesktopbenutzer" stehenden anmelden, sofern sie nicht gleichzeitig Mitglieder der lokalen Administratoren sind.

Ich empfehle, das nicht über diese Richtlinie zu machen sondern nur über die Mitgliedschaft in den "Remotedesktopbenutzer". Deren Mitglieder kann man auch über GPO steuern. Entweder über die Richtlinie "eingeschränkte Gruppen" oder über die Einstellung "lokale Benutzer und Gruppen".

E.
HansWurst22
HansWurst22 19.06.2023 um 21:26:02 Uhr
Goto Top
Hi,

beim Hinzufügen in die Gruppe der lokalen Remotedesktopbenutzer funktioniert es grundsätzlich.


Zitat von @emeriks:

Hi,
ich hoffe doch mal, Du hast in dieser GPO nicht bloß diese Gruppe "GLOBAL_RD_USERS"sondern auch "Remotedesktopbenutzer" bzw. "Remote Desktop Users".

Doch, es ist lediglich diese Gruppe dort drin, weil die lokale Remotedesktopbenutzer-Gruppe überhaupt nicht verwendet wird bzw. verwendet werden soll.


Zitat von @emeriks:
Die Richtlinie "Anmelden über Terminaldienste zulassen" ist nicht additiv sondern ersetzend. Standardmäßig steht dort drin "Administratoren" und "Remotedesktopbenutzer". Wenn Du jetzt in der GPO nur noch "GLOBAL_RD_USERS" stehen haben solltest, dann können sich noch nicht mal mehr die in der Gruppe "Remotedesktopbenutzer" stehenden anmelden, sofern sie nicht gleichzeitig Mitglieder der lokalen Administratoren sind.

Das ist mir bewusst danke auch für deinen Lösungsvorschlag, mit diesem funktioniert es grundsätzlich auch wie gewollt - ich verstehe nur leider trotzdem nicht ganz, warum meine Lösung nicht funktioniert, schließlich sollte die Gruppe doch dann zum Remotezugriff freigegeben sein, oder?