Блог

У меня есть контроллер домена Windows Server 2012 R2 в локальной сети с широким спектром версий ОС, от Windows 2000 до Windows 10, а также IOS и Linux.

Я пытаюсь разобраться в этом цирке, и одна из частей — создание политики AD для включения RDP в системах, в которых она уже установлена. Но это не всегда работает.

Всегда кажется, что что-то не так, и выдается обычное сообщение RDP «общая ошибка»: Remote desktop can't connect to the remote computer for one of these reasons... . Даже на компьютерах, где он работал, он перестает работать без видимой причины, например, после перезагрузки для установки новых драйверов. Компьютер находится там и может быть проверен, но служба RDP не отвечает.

Итак, мой вопрос: каковы рекомендации по использованию политики для включения RDP ..?

Ниже приведен «Сохранить отчет …» политики, но очищенный для общего просмотра. Есть ли что-нибудь еще, что я могу добавить к этому, чтобы дать RDP толчок, необходимый для более последовательной работы ..?

Примечание: Это политика, основанная на компьютерных объектах. В настоящее время в группе фильтров безопасности есть три тестовых компьютера, и, как указано выше, надежность RDP является неустойчивой.

 Enable RDP Policy
Data collected on: 4/12/2019 2:33:22 PM 
General
  Details
  Domain    WidgetsInc.local
  Owner WidgetsIncDomain Admins
  Created   4/11/2019 3:59:38 PM
  Modified  4/12/2019 2:33:16 PM
  User Revisions    0 (AD), 0 (SYSVOL)
  Computer Revisions    24 (AD), 24 (SYSVOL)
  Unique ID {12345678-1234-1234-1234-123456789012}
  GPO Status    Enabled
Links
  Location  Enforced    Link Status Path
  WidgetsInc    No  Enabled WidgetsInc.local

Security Filtering
  Name
  WidgetsIncEnable RDP Group
  NT AUTHORITYAuthenticated Users
Delegation
  Name Allowed Permissions Inherited
  WidgetsIncDomain Admins  Edit settings, delete, modify security  No
  WidgetsIncEnable RDP Group   Read (from Security Filtering)  No
  WidgetsIncEnterprise Admins  Edit settings, delete, modify security  No
  NT AUTHORITYAuthenticated Users  Read (from Security Filtering)  No
  NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS    Read    No
  NT AUTHORITYSYSTEM   Edit settings, delete, modify security  No
Computer Configuration (Enabled)
Policies
  Windows Settings
    Security Settings
      Windows Firewall with Advanced Security
        Global Settings
          Policy Setting
            Policy version  2.22
            Disable stateful FTP    Not Configured
            Disable stateful PPTP   Not Configured
            IPsec exempt    Not Configured
            IPsec through NAT   Not Configured
            Preshared key encoding  Not Configured
            SA idle time    Not Configured
            Strong CRL check    Not Configured
        Inbound Rules
          Name Description
          Enable port 3389 for RDP  
            Enabled True
            Program Any
            Action Allow
            Security    Require authentication
            Authorized computers    
            Authorized users    
            Protocol    6
            Local port  3389
            Remote port Any
            ICMP settings   Any
            Local scope Any
            Remote scope    Any
            Profile Domain
            Network interface type  All
            Service All programs and services
            Allow edge traversal    False
            Group   
        Connection Security Settings
Administrative Templates
    Policy definitions (ADMX files) retrieved from the local computer.
    Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections
    Policy Setting Comment
    Allow users to connect remotely by using Remote Desktop Services    Enabled 
    Windows Components/Remote Desktop Services/Remote Desktop Session Host/Security
   Policy Setting Comment
   Require user authentication for remote connections by using Network 
   Level Authentication Enabled 
Preferences
  Control Panel Settings
    Services
      Service (Name: TermService)
        TermService (Order: 1)
          General
            Service name TermService
              Action Start service
              Startup type: Automatic
              Wait timeout if service is locked:    30 seconds
              Service Account
                Log on service as:  NT AUTHORITYNetwork Service
              Recovery
                First failure:  Restart the service
                Second failure: No change
                Subsequent failures:    No change
                Reset fail count after: 0 days
                Restart service after:  1 minute
              Common
                Options
                  Stop processing items on this extension if an error occurs on this item   No
                  Apply once and do not reapply No
User Configuration (Enabled)
  No settings defined.