Aby umożliwić dostęp wybranej grupie użytkowników do komputerów poprzez pulpit zdalny (protokół RDP) należy w pierwszej kolejności we właściwościach komputera włączyć dostęp zdalny – zaznaczyć opcję „Zezwalaj na połączenia zdalne z tym komputerem”, a następnie dodać użytkowników – opcja „Wybierz użytkowników”.
Dodanie użytkowników w tym miejscu jest równoznaczne z dodaniem ich do grupy „Użytkownicy pulpitu zdalnego” (Remote Desktop Users).
W przypadku pojedynczego komputera czy kilku komputerów możemy te opcje skonfigurować ręcznie na każdym z komputerów. W przypadku gdy mamy sieć złożoną z kilkudziesięciu czy kilkuset komputerów ręczna konfiguracja jest bardzo czasochłonna. Ponadto jakakolwiek zmiana powoduje że musimy ją wykonać na każdym z komputerów.
W przypadku gdy nasze środowisko pracuje w oparciu o Active Directory całą powyższą konfigurację możemy wykonać za pomocą Zasad Grupy (GPO)
Uruchamiamy przystawkę „Zarządzanie zasadami grupy” tworzymy nową zasadę i przechodzimy do lokalizacji:
Konfiguracja Komputera->Zasady->Szablony Administracyjne->Składniki systemu Windows->Usługi Pulpitu Zdalnego->Host sesji pulpitu zdalnego->Połączenia (Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections.)
wybieramy opcję „Zezwalaj użytkownikom na zdalne łączenie się przy użyciu usług pulpitu zdalnego” (“Allow users to connect remotely by using Remote Desktop Services”) i zaznaczamy ją jako Włączone (Enabled).
Zatwierdzamy zmiany
Aby wymusić uwierzytelnianie na poziomie sieci (opcja zalecana) należy przejść do opcji:
Konfiguracja Komputera->Zasady->Szablony Administracyjne->Składniki systemu Windows->Usługi Pulpitu Zdalnego->Host sesji pulpitu zdalnego->Zabezpieczenia (Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security)
wybrać opcję „Wymagaj uwierzytelniania użytkowników za pomocą uwierzytelniania na poziomie sieci dla połączeń zdalnych” (“Require user authentication for remote connections by using Network Level Authentication”) i zaznaczyć ją jako Włączone (Enabled).
i zatwierdzić zmiany.
Dodatkowo musimy zezwolić na zaporze systemu Windows (Firewall) dostęp poprzez port 3389 (domyślny port dla protokołu RDP). Aby to wykonać przechodzimy do opcji
Konfiguracja Komputera->Zasady->Ustawienia systemu Windows->Ustawienia zabezpieczeń ->Zapora Windows Defender z zabezpieczeniami zaawansowanymi-> Reguły przychodzące (Computer Configuration > Windows Settings > Security Settings > Windows Defender Firewall with Advanced Security > Inbound Rules)
Klikamy prawym klawiszem na opcji „Reguły przychodzące” i wybieramy opcję „Nowa reguła”. Całość konfigurujemy jak na poniższych obrazkach
i zatwierdzamy zmiany
Ostatnią czynnością jest dodanie użytkowników lub grupy użytkowników którzy będą mogli łączyć poprzez pulpit zdalny. Aby to wykonać przechodzimy do lokalizacji
Konfiguracja Komputera->Zasady->Ustawienia systemu Windows->Ustawienia zabezpieczeń -> Zasady lokalne -> Przypisywanie praw użytkownika(Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment)
i edytujemy opcję „Zezwalaj na logowanie za pomocą usług pulpitu zdalnego” (Allow log on through Remote Desktop Services) i dodajemy odpowiednich użytkowników lub grupę użytkowników z naszej domeny.
Po dodaniu grupy zatwierdzamy zmiany.
Na koniec wymuszamy odpowiednią zmianę członków grup na komputerach lokalnych. Aby tego dokonać przechodzimy do opcji
Konfiguracja Komputera->Zasady->Ustawienia systemu Windows->Ustawienia zabezpieczeń -> Grupy z ograniczeniami (Computer Configuration > Policies > Windows Settings > Security Settings >Restricted Group) i dodajemy nową grupę – prawy klik i wybieramy „Dodaj grupę”
W tym momencie bardzo ważną czynnością jest nazewnictwo grupy zależne od wersji językowej na docelowych komputerach. Jeśli mamy komputery z zainstalowaną wersją PL jak i EN to musimy dodać 2 grupy „Użytkownicy pulpitu zdalnego” dla wersji PL oraz „Remote Desktop Users” dla wersji EN. Dla każdej z grup dodajemy odpowiednich użytkowników lub grupy AD
Po zatwierdzeniu przypisujemy stworzoną politykę do odpowiedniego OU. Aby nie czekać na automatyczne odświeżenie polityk możemy na komputerze docelowym wymusić aktualizację polityki wydając polecenie „gpupdate /force„.