none
Group policy: consentire connessioni remote da computer che eseguono qualsiasi versione di desktop remoto RRS feed

  • Domanda

  • Buongiorno, vorrei configurare l'accesso al desktop remoto dei pc appartenenti al dominio aziendale via group policy.

    L'accesso lo vorrei dare ad un gruppo di utenti. Il DC è un windows server 2008 R2 Enterprise, i client di test sono windows 7 pro.

    Ho trovato molti articoli ed impostato le GPO del caso, ma non ottengo l'accesso rdp sui nessun client di test.

    La causa è senz'altro il flag "Consenti connessione dai computer che eseguono qualsiasi versione di desktop remoto (meno sicuro)", flag che si trova in locale ad ogni pc - su pannello di controllo - sistema - connessione remota - sezione Desktop remoto.

    Ne sono certo perchè se attivo questo flag lasciando invariati i settaggi impostati via GPo, riesco ad ottenere l'accesso rdp.

    Quello che non riesco ad ottenere è impostare via GPO il flag in questione sui singoli pc, per cui non riesco ad ottenere uno scenario automatizzato in cui non sia costretto a settare individualmente ogni pc del dominio.

    Posto qui i settaggi impostati via GPO, ve ne sono alcuni che probabilmente sono di troppo, nel senso che anche disattivandoli otterrei lo stesso gli scopi indicati sopra (a parte il "malefico flag" che non riesco ad attivare da remoto)

    Nella GPO ho attivato anche l'avvio del servizio di Desktop remoto (TermService) sui pc del dominio ma tale settaggio in realtà non viene applicato sui client. Ho risolto con uno script di login passato via gpo, se interessa posto i comandi.

    Grazie per l'aiuto, di seguito report html della gpo:

    Remote Desktop policy


                 


    mercoledì 10 luglio 2013 06:57

Risposte

  • Ciao,

    quando abiliti desktop remoto su un client win 7 questa chiave di registro

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\ "fDenyTSConnections"

    passa da "1" a "0"

    per  abilitare o disabilitare il network level authentication bisogna cambiare questa chiave di registro

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\

    "UserAuthentication" , in pratica "0" abilita tutte le versioni e "1" abilita il desktop remoto ai pc che eseguono l'autenticazione di rete ecc ecc

    Se "fDenyTSConnections" passa da "1" a "0" tramite regedit ,"UserAuthentication" non viene abilitato (situazione che soddisfa la tua richiesta), in ogni caso farei cambiare questa chiave di registro tramite gpo.

    Saluti ,

    Marco

    • Contrassegnato come risposta rattala mercoledì 10 luglio 2013 15:05
    • Contrassegno come risposta annullato rattala mercoledì 10 luglio 2013 15:06
    • Contrassegnato come risposta rattala mercoledì 10 luglio 2013 15:15
    mercoledì 10 luglio 2013 08:49

Tutte le risposte

  • Ciao,

    quando abiliti desktop remoto su un client win 7 questa chiave di registro

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\ "fDenyTSConnections"

    passa da "1" a "0"

    per  abilitare o disabilitare il network level authentication bisogna cambiare questa chiave di registro

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\

    "UserAuthentication" , in pratica "0" abilita tutte le versioni e "1" abilita il desktop remoto ai pc che eseguono l'autenticazione di rete ecc ecc

    Se "fDenyTSConnections" passa da "1" a "0" tramite regedit ,"UserAuthentication" non viene abilitato (situazione che soddisfa la tua richiesta), in ogni caso farei cambiare questa chiave di registro tramite gpo.

    Saluti ,

    Marco

    • Contrassegnato come risposta rattala mercoledì 10 luglio 2013 15:05
    • Contrassegno come risposta annullato rattala mercoledì 10 luglio 2013 15:06
    • Contrassegnato come risposta rattala mercoledì 10 luglio 2013 15:15
    mercoledì 10 luglio 2013 08:49
  • Spettacolare! Grazie al tuo preziosissimo aiuto abilitando la prima chiave di registro il problema si è risolto.

    Sono contentissimo e davvero riconoscente.

    E' una curiosità in più...ma come si fa a conoscere la corrispondenza tra un flag visibile nella Gui di Windows e la relativa chiave di registro ?

    Ti chiedo perchè vorrei settare la stessa cosa sui client Windows Xp pro e mi aspetto che la chiave sia diversa...o sbaglio ? E poi in realtà e' una domanda che mi pongo da una vita...

    Grazie 1000 per l'inestimabile aiuto.


    • Modificato rattala mercoledì 10 luglio 2013 15:19 errore di digitazione
    mercoledì 10 luglio 2013 15:15
  • Grazie a te ,

    per il flag ho cercato nel registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server e quello che accadeva cambiando stato allo switch interessato, individuata la chiave , ho cercato su internet i vari comportamenti,

    >Se "fDenyTSConnections" passa da "1" a "0" tramite regedit ,"UserAuthentication" non viene abilitato >(situazione che soddisfa la tua richiesta), in ogni caso farei cambiare questa chiave di registro tramite gpo.

    questa è una mia simulazione e ne ho tratto la conclusione, sicuramente sarà anche sul web :-)

    per windows xp, non saprei ma per win2003 è la stessa (parliamo di abilitare desktop remoto)

    Saluti,

    Marco

    mercoledì 10 luglio 2013 16:54
  • Ciao, trovi le indicazioni su come attivare le chiavi nell'articolo Wiki How to Enable or Disable Remote Desktop via Group Policy Windows 2008.

    Saluti
    Nino

    giovedì 11 luglio 2013 06:48
    Moderatore
  • Ho capito, ci vuole tanta esperienza...!

    Grazie ancora a tutti per gli utilissimi suggerimenti, ero ad un punto morto dopo parecchie ore di ricerche e prove...Thanks God, internet exists...

    giovedì 11 luglio 2013 09:46