- Вопрос или проблема
- Ответ или решение
- Проблема: Невозможность входа в систему через удаленный рабочий стол для учетной записи администратора домена после развертывания групповой политики
- Описание проблемы
- Причина проблемы
- Возможные причины потери привилегий
- Решение проблемы
- Рекомендации по улучшению безопасности
- Заключение
Вопрос или проблема
В нашей сети есть два виртуализированных Windows Server DC и Windows-клиенты. Мне нужно включить удаленный рабочий стол на всех компьютерах с помощью групповой политики, используя руководства, найденные в других местах в Интернете, и применить групповую политику ко всему домену.
В результате клиенты были обновлены и теперь показывают опцию удаленного рабочего стола, как ВКЛ по умолчанию и затененную. Однако учетная запись администратора домена не может подключиться по RDP к любому компьютеру. Для обычных пользователей RDP работает.
Проблема была вызвана тем, что у учетной записи не было привилегии “Разрешить вход через службы терминалов”.
Что могло привести к тому, что учетная запись утратила привилегию?
Были ли руководства неправильными или неполными, или я, должно быть, что-то перепутал на этом этапе?
Привилегия “Разрешить вход через службы терминалов” также должна быть настроена с помощью групповой политики. Сначала выполните rsop.msc, чтобы диагностировать, уже применена ли она с помощью GPO или нет. По умолчанию она содержит встроенных пользователей удаленного рабочего стола и администраторов, которые сами по себе по умолчанию содержат администраторов домена.
Отвечая на ваш вопрос: одна из ваших GPO может перезаписывать группу локальных администраторов или разрешенные (запрещенные) привилегии для входа через службы терминалов.
Кроме того, вам следует рассмотреть возможность внедрения модели доступа на основе уровней, где администраторы домена могут подключаться или управлять только службами идентификации или федерацией. Важно уменьшить вероятность получения доступа к хостам роли идентификации в случае кражи сеанса или учетных данных с хостов с менее важными службами или основными ноутбуками/рабочими станциями.
Проверьте эту страницу, чтобы получить больше информации о моделях доступа: https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-access-model#evolution-from-the-legacy-ad-tier-model
Ответ или решение
Проблема: Невозможность входа в систему через удаленный рабочий стол для учетной записи администратора домена после развертывания групповой политики
Описание проблемы
В вашей сети, состоящей из двух виртуальных контроллеров домена на базе Windows Server и клиентских компьютеров Windows, была развернута групповая политика для включения функции удаленного рабочего стола на всех компьютерах. После применения этой политики клиенты отобразили параметр удаленного рабочего стола как активированный, но учетная запись администратора домена не могла подключаться к каким-либо машинам через RDP. При этом обычные пользователи успешно использовали RDP.
Причина проблемы
Как вы уже выяснили, основная причина вашей проблемы заключается в том, что учетная запись администратора домена не имеет привилегии "Разрешить вход в систему через терминальные службы". По умолчанию в эту группу должны входить участники на уровне "Remote Desktop Users" и "Administrators", но есть вероятность, что ваша групповая политика переписала эти настройки, что и привело к потере прав доступа для учетной записи администратора.
Возможные причины потери привилегий
- Несоответствующие групповые политики: Были применены настройки GPO, которые изменили локальные группы безопасности, включая группу администраторов, что могло привести к потере доступа для учетной записи администратора домена.
- Конфликтующие GPO: Если в вашей сети применяются несколько GPO, может произойти конфликт, в результате которого определенные настройки могут переопределить другие. Это часто происходит, если одна политика блокирует или изменяет правила, установленные другой политикой.
- Ручные изменения в GPO: В процессе настройки вы могли внести изменения вручную, что также могло привести к ошибкам в конфигурации.
- Установка сторонних приложений или обновлений: Некоторые сторонние приложения или обновления Windows могли также повлиять на настройки безопасности и сортировку групповых политик.
Решение проблемы
-
Диагностика с помощью RSoP: Первым шагом нужно запустить
rsop.msc, чтобы проверить, какие именно GPO применяются к учетной записи администратора домена. Это поможет вам увидеть, какие настройки привилегий активно действуют. -
Проверка службы Terminal Services: Убедитесь, что ваше приложение Terminal Services или RDP правильно настроено на всех клиентских системах и что требуется для доступа к ним.
-
Корректировка GPO:
- Откройте консоль управления групповыми политиками и перейдите в настройки, связанные с политикой безопасности.
- Найдите "Разрешить вход в систему через терминальные службы" (Allow log on through Terminal Services) и добавьте группу "Domain Admins" в эту политику.
-
Изучение журнальных событий: Проверьте журналы безопасности на предмет записи о неудачных попытках входа для вашей учетной записи администратора домена. Это может дать дополнительную информацию о том, какие ошибки возникают.
Рекомендации по улучшению безопасности
Рекомендуется внедрить модель доступа по уровням, где администраторы домена могут подключаться и управлять только теми системами, которые непосредственно связаны с сервисами идентификации или федерации. Это критически важно для снижения рисков, связанных с возможностью доступа к учетной записи в случае кражи сеанса или учетных данных. Для получения дополнительных рекомендаций по моделям доступа ознакомьтесь с информацией по модели безопасного доступа.
Заключение
Недостаток привилегий у вашей учетной записи администратора домена для доступа через RDP может быть вызван несколькими факторами, связанными с неправильной конфигурацией групповой политики. Важно провести детальную проверку применяемых GPO и, при необходимости, откорректировать настройки. Не забывайте также о повышении уровня безопасности, чтобы предотвратить подобные проблемы в будущем.