Remotedesktop remote aktivieren (in der Domäne)

Gespeichert von Peter Schmidt am Do, 02/22/2018 - 11:26

Ich verwalte und betreue die PCs meiner Kunden normalerweise mittels VNC (von TightVNC). In der letzten Zeit ist es mir ein paar Mal passiert, dass beim VNC Dienst die Authentifizierung fehlschlägt, wenn der Zielrechner beim Herunterfahren/Abmelden wegen stockender Programme festhing ("Folgende Programme verhindern das Abmelden" oder so). Auch vorort konnte keiner die Maschine zur Mitarbeit bewegen.

Dann kann man sich mit einer Remotedesktop-Sitzung helfen, nur leider dürfen das

  1.  nur Admins und
  2.  erlaubt Windows 7 nur einen angemeldeten User gleichzeitig.

Man kann sich also nicht als Admin verbinden, weil der normale User ja noch angemeldet ist und der normale User darf sich nicht verbinden, weil er kein Admin ist.

Hier der Plan für den erfolgreichen "Einbruch" per RDP:

Voraussetzungen

  • Ein PC (im selben Netzwerk), auf dem man als Administrator die Computerverwaltung des remote PCs aufrufen kann.
  • Eventuell PSTools (alternativer Link) auf eben diesem PC.

Durchführung

1. Remoteverbindungen zulassen

  1. Starten der Computerverwaltung auf dem verfügbaren PC.
  2. Per rechtsklick auf den Consolen-Stamm ("Computerverwaltung") eine "Verbindung mit anderem Computer herstellen..."
  3. Den Ziel-PC wählen/suchen.
  4. Über "Dienste" die "Remoteregistrierung" starten.
  5. "Regedit" starten
  6. über das Menü "Datei" "Mit Netzwerkverbindung verbinden..."
  7. auch hier den Ziel-PC wählen/suchen.
  8. In "HKEY_LOCAL_MACHINE > System > CurrentControlSet > Control > Terminal Server" den Wert “fDenyTSConnections” auf “0” (null) setzen.

Damit sind einmal Remotedesktopverbindungen auf den PC erlaubt und können getestet werden. Ein Domänen-Admin sollte sich jetzt schon verbinden können, wird jedoch nicht weit kommen, wenn noch ein Benutzer angemeldet ist.

2. Benutzer zum Remotedesktopbenutzer machen

Es dürfen nur Mitgleider der lokalen Gruppe "Remotedesktopbenutzer" (engl: "Remote Desktop User") eine RDP Verbindung aufbauen. Um unseren gestrandeten User dort hinzuzufügen gibt es zwei Möglichkeiten:

  1. die (noch geöffnete) Computerverwaltung.
    Dort findet man unter "System > Lokale Benutzer und Gruppen > Gruppen" die Gruppe "Remotedesktopbenutzer". Über deren Eigenschaften kann man einen Domänen-Benutzer hinzufügen.
  2. PSTools
    Sollte obiges nicht funktionieren (bei mir wegen Problemen mit der Domänenvertrauensstellung), dann kann man vom eigenen PC mittels PSExec (aus den PSTools) eine Remoteshell öffnen und per Kommando den gewünschten User zur Gruppe hinzufügen:

    c:\<pfad zu>\psexec \\remotePC cmd

    In der nun geöffneten Remoteshell kann man mit 

    NET LOCALGROUP "Remotedesktopbenutzer" mydomain\myUser /ADD

    dem User "myUser" das Recht zum Aufbau einer RDP Sitzung geben. (Man beachte, dass die Gruppennamen sprachabhängig sind! Bei einer englischen Installation und bei der Recherche im Netz lautet der Gruppenname "Remote Desktop Users"!)

Jetzt muss man noch über die Computerverwaltung den Dienst "remotedesktopdienste" neu starten. Dannach kann man sich mit dem hängengebliebenen User anmelden, und z.B. den hängenden Prozess beenden und den PC neustarten.

(Quellen: https://mediarealm.com.au/articles/remotely-enable-remote-desktop-in-win... https://serverfault.com/a/367169/130666)

Tags: 
Windows
Netzwerk