Разрешение RDP для вложенных групп AD не применяется к новой виртуальной машине Windows Server 2019
Аналогичная проблема без ответов:Вложенные группы AD, работающие в локальных группах компьютеров, но определенные серверы не разрешают RDP?
Я только новичок в этой среде, и человек, от которого я принял это, также сталкивался с этой проблемой, но не продвинулся далеко с ней, (считая ее низкоприоритетной, поскольку со временем она исправилась).
После создания новой ВМ (VMWare)и установки на нее Windows 2019 с помощью последовательности задач. Последовательность задач создает локальные глобальные группы администраторов для каждого нового сервера, а затем добавляет их в локальные группы администраторов по умолчанию. Затем к глобальным группам добавляется группа администраторов нашей команды с объектом групповой политики, настроенным для разрешения RDP. Некоторые серверы имеют проблемы с тем, что сетевые администраторы не могут подключаться к ним по протоколу RDP, но администратор домена работает. Я не вижу между ними общего знаменателя, кроме того, что эта проблема случалась со мной только по пятницам (, что может указывать на какой-то процесс/задачу, о запуске которой я не знаю, по пятницам, что вызывает задержку с распространением).
Сервер 1:Свежая виртуальная машина, ОС, развернутая последовательностью задач, без проблем подключается к домену, и я без проблем могу подключиться к ней по протоколу RDP.
Сервер 2:Свежая виртуальная машина, та же последовательность задач запускается через несколько минут/в то же время, подключается к домену, может войти через консоль, но RDP выдает «не авторизован для rdp».
Каждый последующий сервер имеет одну и ту же проблему, а предыдущие — нет, несмотря на то, что все они были созданы примерно в одно и то же время. Накануне я смог сделать то же самое (с одновременным развертыванием нескольких серверов с использованием одной и той же последовательности задач)без каких-либо проблем,затем примерно в середине пятницы у них начинается эта проблема с RDP. Я могу загружать для них обновления и делать другие вещи, поэтому я знаю, что это не проблема с сетью.
Также странно, что мне даны другие разрешения, которые позволяет эта группа (т.е.; права администратора), но не RDP.
Я заметил, что если я удаляю группу администраторов нашей команды и добавляю свою учетную запись непосредственно в глобальную группу локального администратора, RDP работает сразу, но как только я удаляю ее и снова добавляю группу команд, она не работает.
Это происходит только на некоторых, а не на всех серверах, и я не могу найти никакой связи между ними, все они выглядят одинаково в отношении групп, разрешений и объектов групповой политики, но некоторые разрешают RDP, а некоторые нет. Также стоит отметить, что когда это происходит в пятницу, если я подожду до следующего понедельника/вторника, все будет хорошо, и вы даже не узнаете, что проблема была изначально.
Я подозреваю, что существует какая-то ошибка, смешанная с каким-то процессом, о котором я не знаю, что приводит к этой проблеме. Однако попытка определить-исправление проблемы оказалась довольно трудной задачей. Есть идеи/предложения?
После беглого прочтения вашей проблемы я подозреваю, что она связана с групповой политикой. Если вы правильно настроите групповые политики, они обеспечат стабильную безопасную надежную среду. Есть ряд областей, которые необходимо учитывать • Включение удаленного рабочего стола на компьютере • Кому разрешено это делать? • Используете ли вы брандмауэры У меня есть один объект групповой политики, который применяется ко всем компьютерам и пользователям и работает надежно. Структура домена выглядит следующим образом:Управление групповой политикой Лес:Ваш-Домен-Имя,местный Домены v Ваш-Домен-Имя.local Название компании OU -Здесь я создал объект групповой политики o _Пользователи о Компьютеры Настольные компьютеры Ноутбуки Серверы
- Создайте новый GPO с именем CN_GPO-001 Добавить ИТ-поддержку для локального администратора и RDP
- На вкладке «Область»проверьте фильтрацию безопасности, которую он должен содержать: Аутентифицированные пользователи Компьютеры домена
- Изменить GPO Перейти к:
Конфигурация компьютера Политики Настройки Windows Настройки безопасности Группы с ограниченным доступом • Группа = ВСТРОЕННЫЕ\Администраторы • Участники = ВАШ-ДОМЕН-ИМЯ\ItsupportUser, ВАШ-ДОМЕН-ИМЯ\G-Группа ИТ-поддержки, ВАШ-ДОМЕН-ИМЯ\Администраторы домена, ВАШ-ДОМЕН-ИМЯ\adobeupdate, ВАШ-ДОМЕН-ИМЯ\АдминистраторПользователь
• Группа = ВСТРОЕННЫЕ\Пользователи удаленного рабочего стола • Участники = ВАШ-ДОМЕН-ИМЯ\G-Группа ИТ-поддержки ВАШ-ДОМЕН-ИМЯ\Пользователь Itsupport
Брандмауэр Windows в режиме повышенной безопасности Брандмауэр Windows в режиме повышенной безопасности Глобальные настройки Настройка политики Версия политики 2.26 Отключить не настроенный FTP с отслеживанием состояния Отключить PPTP с отслеживанием состояния, не настроенный Исключение IPsec Не настроено IPsec через NAT не настроен Кодировка предварительного ключа не настроена Время простоя SA Не настроено Строгая проверка CRL не настроена
Правила для входящих подключений Имя Описание Удаленный рабочий стол -Shadow (TCP-In)Входящее правило для службы удаленного рабочего стола, чтобы разрешить теневое копирование существующего сеанса удаленного рабочего стола. (TCP-Вход)Это правило может содержать некоторые элементы, которые не могут быть интерпретированы текущей версией модуля отчетности GPMC
. Включено Истинно Программа %SystemRoot%\system32\RdpSa.exe Действие Разрешить Безопасность Требовать аутентификацию Авторизованные компьютеры
Авторизованные пользователи
Протокол 6 Локальный порт Любой Удаленный порт Любой Настройки ICMP Любые Локальная область действия Любая Удаленная область действия Любая Профиль Все Тип сетевого интерфейса Все Сервис Все программы и сервисы Разрешить обход края True Групповой удаленный рабочий стол
Удаленный рабочий стол -Режим пользователя (UDP-В)Входящее правило для службы удаленного рабочего стола, чтобы разрешить RDP-трафик.[УДП 3389] Это правило может содержать некоторые элементы, которые не могут быть интерпретированы текущей версией модуля отчетности GPMC
. Включено Истинно Программа %SystemRoot%\system32\svchost.exe Действие Разрешить Безопасность Требовать аутентификацию Авторизованные компьютеры
Авторизованные пользователи
Протокол 17 Местный порт 3389 Удаленный порт Любой Настройки ICMP Любые Локальная область действия Любая Удаленная область действия Любая Профиль Все Тип сетевого интерфейса Все Условия обслуживания Разрешить обход края False Групповой удаленный рабочий стол
Удаленный рабочий стол -Режим пользователя (TCP -В )Входящее правило для службы удаленного рабочего стола, чтобы разрешить RDP-трафик. [TCP 3389] Это правило может содержать некоторые элементы, которые не могут быть интерпретированы текущей версией модуля отчетности GPMC
. Включено Истинно Программа %SystemRoot%\system32\svchost.exe Действие Разрешить Безопасность Требовать аутентификацию Авторизованные компьютеры
Авторизованные пользователи
Протокол 6 Местный порт 3389 Удаленный порт Любой Настройки ICMP Любые Локальная область действия Любая Удаленная область действия Любая Профиль Все Тип сетевого интерфейса Все Условия обслуживания Разрешить обход края False Групповой удаленный рабочий стол
Входящее правило для RDP-порта 3389 Входящее правило для RDP-порта 3389 Это правило может содержать некоторые элементы, которые не могут быть интерпретированы текущей версией модуля отчетности GPMC
. Включено Истинно Программа Любая Действие Разрешить Безопасность Требовать аутентификацию Авторизованные компьютеры
Авторизованные пользователи
Протокол 6 Местный порт 3389 Удаленный порт Любой Настройки ICMP Любые Локальная область действия Любая Удаленная область действия Любая Домен профиля Тип сетевого интерфейса Все Сервис Все программы и сервисы Разрешить обход края False Группа
Настройки безопасности подключения Нет
Административные шаблоны Я добавил файлы ADMX для двух версий сборок Windows, IE 20H2 и 21H1. Административные шаблоны Определения политик (ADMX-файлы), полученные с локального компьютера.
Компоненты Windows/Службы удаленных рабочих столов/Узел сеансов удаленных рабочих столов/Подключения Комментарий к параметру политики Разрешить пользователям удаленное подключение с помощью служб удаленных рабочих столов Включено
Конфигурация пользователя (Включено )Политики Административные шаблоны Определения политик (ADMX-файлы), полученные с локального компьютера. Компоненты Windows/Службы удаленных рабочих столов/Узел сеансов удаленных рабочих столов/Подключения Комментарий к параметру политики Установка правил для удаленного управления сеансами пользователей служб удаленных рабочих столов Включено
Надеюсь, это поможет
Во-первых, попадают ли пользовательские группы AD в правильную локальную группу на затронутых серверах? Если они были добавлены, вы должны увидеть их в разделе «Управление компьютером» на каждом поле. Вы можете столкнуться с задержками при репликации новых групп до того, как ваша последовательность задач добавит их.
Если вы можете, я предлагаю, чтобы создание групп было первой задачей в вашей последовательности. Надеемся, что остальная часть сборки занимает больше времени, чем интервал для распространения изменений AD на каждый контроллер домена -. Очевидно, что если репликация занимает час, это может быть проблемой. Одним из обходных путей является захват SID группы при ее создании и использование его для добавления в локальную группу. Когда AD догонит вас, вы должны увидеть обновление имени группы в поле.
Если группы присутствуют на проблемных серверах, я бы посоветовал запустить GPResult /H, чтобы проверить, получают ли они все необходимые политики. Кстати, если ваша последовательность задач не делает две перезагрузки после установки ОС, я настоятельно рекомендую это сделать. Например, базовая установка ОС, присоединение к домену, перезагрузка, настройка локальных групп,другие действия после-сборки, перезагрузка.
По умолчанию локальные администраторы имеют доступ по RDP, поэтому я не понимаю, зачем поверх него есть дополнительная политика разрешения-RDP (, если только она не отключена для администраторов каким-то другим способом). Если администраторы ограничены в доступе по RDP или ваша группа не должна входить в группу администраторов, я бы предложил также вложить группу AD в локальную группу «Пользователи удаленного рабочего стола» в вашей последовательности задач, а не через объект групповой политики (, хотя это и естественно. это должно работать в любом случае).