У меня есть контроллер домена Windows Server 2012 R2 в локальной сети с широким спектром версий ОС, от Windows 2000 до Windows 10, а также IOS и Linux.
Я пытаюсь разобраться в этом цирке, и одна часть - это создание политики AD для включения RDP в системах, в которых она уже установлена. Но это не всегда работает.
Всегда кажется, что что-то не так, и получается обычное RDP-сообщение об ошибке: Remote desktop can't connect to the remote computer for one of these reasons.... Даже на машинах, где он работал, он перестает работать без видимой причины, например, после перезагрузки для установки новых драйверов. Машина может быть проверена, но служба RDP не отвечает.
И вот мой вопрос: каковы наилучшие практики использования политики для включения RDP ..?
Ниже приведен «Сохранить отчет ...» политики, но санированный для всеобщего обозрения. Есть ли что-то еще, что я могу добавить к этому, чтобы дать RDP толчок, необходимый для более последовательной работы ..?
Примечание. Это политика, основанная на объектах компьютеров. В настоящее время в группе фильтров безопасности есть три тестовых машины, и, как указано выше, надежность RDP является неустойчивой.
Enable RDP Policy
Data collected on: 4/12/2019 2:33:22 PM
General
Details
Domain WidgetsInc.local
Owner WidgetsInc\Domain Admins
Created 4/11/2019 3:59:38 PM
Modified 4/12/2019 2:33:16 PM
User Revisions 0 (AD), 0 (SYSVOL)
Computer Revisions 24 (AD), 24 (SYSVOL)
Unique ID {12345678-1234-1234-1234-123456789012}
GPO Status Enabled
Links
Location Enforced Link Status Path
WidgetsInc No Enabled WidgetsInc.local
Security Filtering
Name
WidgetsInc\Enable RDP Group
NT AUTHORITY\Authenticated Users
Delegation
Name Allowed Permissions Inherited
WidgetsInc\Domain Admins Edit settings, delete, modify security No
WidgetsInc\Enable RDP Group Read (from Security Filtering) No
WidgetsInc\Enterprise Admins Edit settings, delete, modify security No
NT AUTHORITY\Authenticated Users Read (from Security Filtering) No
NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS Read No
NT AUTHORITY\SYSTEM Edit settings, delete, modify security No
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
Windows Firewall with Advanced Security
Global Settings
Policy Setting
Policy version 2.22
Disable stateful FTP Not Configured
Disable stateful PPTP Not Configured
IPsec exempt Not Configured
IPsec through NAT Not Configured
Preshared key encoding Not Configured
SA idle time Not Configured
Strong CRL check Not Configured
Inbound Rules
Name Description
Enable port 3389 for RDP
Enabled True
Program Any
Action Allow
Security Require authentication
Authorized computers
Authorized users
Protocol 6
Local port 3389
Remote port Any
ICMP settings Any
Local scope Any
Remote scope Any
Profile Domain
Network interface type All
Service All programs and services
Allow edge traversal False
Group
Connection Security Settings
Administrative Templates
Policy definitions (ADMX files) retrieved from the local computer.
Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections
Policy Setting Comment
Allow users to connect remotely by using Remote Desktop Services Enabled
Windows Components/Remote Desktop Services/Remote Desktop Session Host/Security
Policy Setting Comment
Require user authentication for remote connections by using Network
Level Authentication Enabled
Preferences
Control Panel Settings
Services
Service (Name: TermService)
TermService (Order: 1)
General
Service name TermService
Action Start service
Startup type: Automatic
Wait timeout if service is locked: 30 seconds
Service Account
Log on service as: NT AUTHORITY\Network Service
Recovery
First failure: Restart the service
Second failure: No change
Subsequent failures: No change
Reset fail count after: 0 days
Restart service after: 1 minute
Common
Options
Stop processing items on this extension if an error occurs on this item No
Apply once and do not reapply No
User Configuration (Enabled)
No settings defined.