域组策略开启RDP远程桌面功能

一、AD服务器端域组策略配置

1、开启远程桌面：计算机配置 —> 策略 —> 管理模板 —> Windows组件 —> 远程桌面服务 —> 远程桌面会话主机 —> 连接，允许用户通过使用远程桌面服务进行远程连接，状态改为“已启用”。

2、防火墙策略允许远程桌面连接：计算机配置 —> 策略 —> 管理模板 —> 网络 –> 网络连接 —> Windows防火墙 —> 域配置文件，“windows防火墙：允许入站远程桌面例外”状态改为“已启用”，在选项中的“允许来自这些IP地址的未经请求的传入消息：中填写“*”为允许所有IP连接。

 

3、允许普通用户使用远程桌面（可选）：因管理员组成员不受“Remote Desktop Users”组的限制，所以管理员组成员可以远程所有计算机，所以要将普通用户添加到“Remote Desktop Users”组

 组策略找到 计算机配置 —> 首选项 —> 控制面板设置 —> 本地用户和组，右键新建本地组

 

4、锁定普通域用户登录到指定计算机（可选）： 设置域用户只能登录到自己的计算机，此设置同时也限制了远程桌面功能

5、拒绝某个域管理员用户使用远程桌面登录（可选）：管理员用户可以登录所有域计算机，可以组策略禁止

      找到 计算机配置 -> 策略 -> Windos 设置 -> 安全设置 -> 本地策略 -> 用户权限分配，双击拒绝通过远程桌面服务登录，添加要拒绝的用户即可

6、修改RDP应用端口号（可选）：RDP默认是3389，可以修改默认的端口号提升安全性

      找到 计算机配置 -> 首选项 -> Windos 设置 -> 注册表 ，右边空白地方右键新建注册表项

将注册表路径：SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 

                       SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，中的PortNumber可以修改3389以外的端口号，这里演示端口修改为12345

7、开放修改后的端口号（如修改了端口一定要放行相应的端口号）：开启RDP后默认会开放3389端口号，但手动修改别的端口默认不放开需要手动新建防火墙策略放行

      找到 计算机配置 -> 策略 -> Windos 设置 -> 安全设置 -> 高级安全 Windows Defender 防火墙 ->入站规则，右键新建规则放行修改后的12345端口

 

二、客户端更新域组策略验证

1、cmd命令行执行 gpupdate /force 命令刷新域组策略配置

2、重新登陆后可以看到远程桌面被设置为允许