none
RDP-Berechtigung per GPO verteilen RRS feed

  • Frage

  • Hallo!

    .

    ich steige nicht mehr durch :)

    Es gibt bei Google einiges zum Thema aber jede "Lösung" zerschießt mir an anderer Stelle den Zugang oder ist nur mit manueller Konfiguration umsetzbar.

    .

    Ich habe ein paar Server 2019 (1x AD und der Rest sind Anwendungsserver). Dazu gibt's einen Haufen Clients mit Win10.

    Aktuell habe ich einen Admin-User, der automatisch überall RDP-Berechtigung hat (auf Servern und Clients). Dazu gibt es 2 Clients, wo ein AD-Benutzer manuell berechtigt wurde, per RDP zugreifen zu dürfen. Alle weiteren Admin-User sind von RDP ausgeschlossen mit der GPO "Anmelden über Remotedesktopdienste verweigern".

    Das klappt alles wunderbar.

    .

    Die neue, umzusetzende Richtlinie besagt nun aber: Admins dürfen kein RDP mehr machen. Es muss einen separaten RDP-User (ohne Admin-Rechte) geben. Für entsprechende Zugriffe kommt dann eben innerhalb der RDP-Sitzung die UAC-Aufforderung.

    .

    Ich erstellte also einen User im AD (nennen wir ihn "RDP") und fügte ihn zur Gruppe "Remotedesktopbenutzer" hinzu. Der Gedanke, dass der neue User damit irgendwo RDP darf war völlig falsch.

    Dann hab ich per GPO den neuen User bei "Anmelden über Remotedesktopdienste zulassen" eingetragen. Ergebnis: er kann sich noch immer nicht anmelden - aber an meinen 2 Spezial-Clients konnte sich nun auch niemand mehr anmelden! Vermutlich hat die GPO die lokale Einstellung überschrieben. Die nicht-funktionierende GPO wieder auf "nicht definiert" gesetzt und die 2 Clients gehen wieder.

    .

    Dann hab ich gesehen, dass am DC nur die Gruppe "Administratoren" RDP darf. Auf dem anderen Server dürfen "Administratoren" und "Remotedesktopbenutzer". Aber trotz der Mitgliedschaft des neuen Users in der Gruppe "Remotedesktopbenutzer" darf er dennoch nicht per RDP auf die Anwendungsserver.

    .

    Dann habe ich am Anwendungsserver in den lokalen Benutzern und Gruppen in der dort vorhandenen Gruppe "Remotedesktopbenutzer" versucht meine Domänen-Gruppen "Remotedesktopbenutzer" hinzuzufügen. Die steht jedoch nicht zur Auswahl - wie alles was im AD unter "BuiltIn" steht. Grund: unklar.

    .

    Nur wenn ich manuell an jedem PC und jedem Client in der lokalen Gruppe "Remotedesktopbenutzer" den neuen User "RDP" hinzufüge - dann geht's.

    Das muss doch einfacher gehen! Und vor allem zentral gesteuert.....

    .

    Ich blicke nicht mehr durch :/

    Grüße und Danke für Hinweise

    Dienstag, 23. November 2021 14:22

Antworten

  • Moin,

    habt ihr über Restricted Admin Mode und Remote Credential Guard nachgedacht?

    Domain Controller blende ich mal aus - dort sollte sich grundsätzlich niemand lokal anmelden, und wenn es dann einmal *wirklich* nötig ist, dann per Change, und dann kann es auch ein Domain Admin sein. Denn PtH und andere Schweinereien, vor denen ihr euch damit schützen wollt, bedingen ja, dass Du als Angreifer lokaler Admin bzw. SYSTEM auf der Maschine bist. Und wenn Du SYSTEM auf nem DC bist, brauchst Du keine weiteren Credentials mehr ;-)

    Auf Member Servern funktioniert das genau so wie Du es beschrieben hast:

    • Domänen-Admins aus den lokalen Admins raus
    • lokale Admins bekommen "Anmeldung über RDP zulassen" entzogen
    • RDP-berechtigte User kommen in "Remote Desktop Users"

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert Thomas Raasch Mittwoch, 24. November 2021 14:49
    Dienstag, 23. November 2021 15:25

Alle Antworten

  • Moin,

    habt ihr über Restricted Admin Mode und Remote Credential Guard nachgedacht?

    Domain Controller blende ich mal aus - dort sollte sich grundsätzlich niemand lokal anmelden, und wenn es dann einmal *wirklich* nötig ist, dann per Change, und dann kann es auch ein Domain Admin sein. Denn PtH und andere Schweinereien, vor denen ihr euch damit schützen wollt, bedingen ja, dass Du als Angreifer lokaler Admin bzw. SYSTEM auf der Maschine bist. Und wenn Du SYSTEM auf nem DC bist, brauchst Du keine weiteren Credentials mehr ;-)

    Auf Member Servern funktioniert das genau so wie Du es beschrieben hast:

    • Domänen-Admins aus den lokalen Admins raus
    • lokale Admins bekommen "Anmeldung über RDP zulassen" entzogen
    • RDP-berechtigte User kommen in "Remote Desktop Users"

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert Thomas Raasch Mittwoch, 24. November 2021 14:49
    Dienstag, 23. November 2021 15:25
  • Hallo,

    .

    Also Restricted Admin Mode muss ich mal Googlen... nie gehört :/

    Remote Credential Guard (wenn ich es richtig verstanden habe) geht bei uns nicht, weil wir uns per RDP teils von PCs anmelden, die ihrerseits in einer anderer Domäne sind oder sogar mal ein Windows Home dabei ist - ganz ohne Domäne.

    Und so wie ich das verstanden habe kann dann Remote Credentials Guard nicht funktionieren.

    .

    und zum Vorgehen auf den Member-Servern:

    • Domänen-Admins aus den lokalen Admins raus
      Ist damit gemeint, dass in der lokalen Gruppe "Administratoren" der Eintrag "DOMAIN\Domänen-Admins" entfernt werden soll? Warum das? Und das ist doch wieder nicht per GPO steuerbar...!?
    • lokale Admins bekommen "Anmeldung über RDP zulassen" entzogen
      wir haben einen lokalen Rückfall-Admin, der natürlich in der lokalen Gruppe "Administratoren" ist. Um diesen auszuschließen könnte ich a) in den lokalen Sicherheitsrichtlinien unter "Anmelden über Remotedesktopdienste zulassen" die Gruppe Administratoren entfernen oder b) unter "Anmelden über Remotedesktopdienste verweigern" den User "Rückfall-Admin" eintragen. Beides aber wieder nicht per GPO, oder?!
    • RDP-berechtigte User kommen in "Remote Desktop Users"
      In welche? In die Gruppe im AD? Da hat's ja keine Auswirkung! Oder auf jeden Member-Server in die lokale Gruppe?

    Das hab ich mir irgendwie einfacher vorgestellt :)

    Grüße

    Mittwoch, 24. November 2021 08:34
  • Moin,

    alle drei Spiegelstriche gehen wunderbar per GPO. Der erste ist optional, wenn Du den zweiten machst.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 24. November 2021 11:49
  • es hat KLICK gemacht.... manchmal sieht man den Wald vor Bäumen nicht.

    .

    ich habe jetzt einfach per GPO für die gesamte Domain definiert:

    "Anmelden über Remotedesktopdienste verweigern" -> nicht definiert

    "Anmelden über Remotedesktopdienste zulassen" -> definiert, Einträge sind die Gruppe "Remotedesktopbenutzer" und mein frisch erstellter User "RDP"

    .

    Damit haben dann automatisch alle Admins keinen Zugriff mehr weil ich ja die Standardeinstellung, laut der Admins dürfen, überschreibe.

    .

    also zumindest bestätigen meine Testläufe dieses Ergebnis

    Mittwoch, 24. November 2021 12:30
  • ...wobei "nicht definiert" gefährlich ist, denn es könnte ja jemand eine LocalGPO erzeugen, die dann wirkt, wenn aus der Domäne nichts kommt.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 24. November 2021 12:50
  • stimmt... :)

    Ich schlafe mal ne Nacht drüber

    Mittwoch, 24. November 2021 14:50