none
как пользователю в домене разрешить подключаться по RDP к своему ПК RRS feed

  • Вопрос

  • Добрый день коллеги.

    как пользователю в домене разрешить подключаться по RDP только к своему ПК и запретить пользователю подключаться с этими же денными к серверу. Так как иногда пользователю нужно помочь удаленно под его учетной записью. Если я зайду под администратором домена на его ПК, то не смогу управлять его рабочим столом.

    Сейчас ошибка следующая.  "Подключение было запрещено, так как учетная запись не имеет прав для удаленного подключения."

Ответы

  • Причем тут платные программные продукты.

    Наличие сервера говорит о том что ПК в домене.  (Полноценный серверная ОС, Windows Server 2016).

    Повторяю задача следующая, что бы я мог удаленно подключиться к пользовательскому ПК по RDP с его учетными данными.

    то что вы хотите сделать - это не секурный костыль. так как в таком случае вам нужно знать пароль пользователя + пользователь должен иметь возможность подключаться к своему же пк удаленно.

    решается ваша задача по нормальному через удаленный помошник - стильно, модно, молодежно и что важно бесплатно.

    в лоб задача решается в 3 приема - подключаетесь на машину с админ учеткой, добавляете пользователя в группу rds users, подключаетесь под пользователем, но еще раз повторю что это не решение а опасный костыль


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Razor1212007 21 мая 2018 г. 13:14
    Модератор

Все ответы

  • не совсем понятно:

    Если я зайду под администратором домена на его ПК, то не смогу управлять его рабочим столом.

    Так кому надо разрешить доступ по RDP - пользователю или Вам?

    Если Вы хотите подключаться к сессии пользователя, то есть несколько вариантов:

    - Team Viewer (платно для компаний)
    - Ammyy Admin (платно для компаний)
    - Shadow Session (нужно наличие Windows Server, который это поддерживает ибо вроде где-то это вырезали, потом возвращали).

    Модератор
  • В свойствах системы должно быть разрешено подключение и заведен список пользователей кому можно. Win+Pause - Дополнительные параметры системы - Удаленный доступ

    А вообще, для удаленной помощи удобнее использовать соответствующий софт. Dameware например

  • Добрый день!

    Настройте Удаленный помощник Windows. Думаю, в google много мануалов на эту тему.

    • Предложено в качестве ответа Vector BCOModerator 18 мая 2018 г. 13:51
  • skype for business - унифицированный коммуникации (звонилка, чат) и можно для удаленного управления использовать.

    SCCM 2012 - заодно и антивиль (для галочки), встроенный WSUS, софт можно удаленно накатывать, развертывать ОС по PXE

  • Причем тут платные программные продукты.

    Наличие сервера говорит о том что ПК в домене.  (Полноценный серверная ОС, Windows Server 2016).

    Повторяю задача следующая, что бы я мог удаленно подключиться к пользовательскому ПК по RDP с его учетными данными.

  • Свойства Компьютера, дополнительные параметры системы, удаленный доступ (Ставите флажок на против "...от компьютеров с любой версией..."), выбрать пользователей (указуете пользователя который работает за этим ПК)

    Вы за это говорите?

  • Повторяю задача следующая, что бы я мог удаленно подключиться к пользовательскому ПК по RDP с его учетными данными.

    заголовок темы я бы исправил, потому что не пользователю нужно разрешать подключение по RDP, а администартору в сессию к пользователю на его компьютере.

    Из бесплатного - RDP Shadowing. гуглите.

    Модератор
  • Причем тут платные программные продукты.

    Наличие сервера говорит о том что ПК в домене.  (Полноценный серверная ОС, Windows Server 2016).

    Повторяю задача следующая, что бы я мог удаленно подключиться к пользовательскому ПК по RDP с его учетными данными.

    то что вы хотите сделать - это не секурный костыль. так как в таком случае вам нужно знать пароль пользователя + пользователь должен иметь возможность подключаться к своему же пк удаленно.

    решается ваша задача по нормальному через удаленный помошник - стильно, модно, молодежно и что важно бесплатно.

    в лоб задача решается в 3 приема - подключаетесь на машину с админ учеткой, добавляете пользователя в группу rds users, подключаетесь под пользователем, но еще раз повторю что это не решение а опасный костыль


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Razor1212007 21 мая 2018 г. 13:14
    Модератор
  • Вот как раз таки пользователю. Администратор домена на любой ПК может по RDP подключиться. А нужно подключиться к рабочему столу пользователя. Что бы видеть его иконки, что у него открыто и т.д.
  • А если подключится к пользователю по RDP и потом в диспетчере задач, вкладка "Пользователи", на нужно user правой кнопкой мыши "Удаленное управление"?

    Принцип терминального сервера...

  • С удаленным помощником согласен, удобная вещь когда молодой коллектив. Но когда это женщина и у нее что то не запускается. А находиться она в другом здании. И объяснять что в Windows 10 нужно писать приглашение. Потом передать мне пароль. Как то все мудрено.
  • Так вы инструкцию напишите внятную и распечатайте ей.

    Если всё же надумаете использовать SCCM, то там можно подключаться к текущей сессии даже без подтверждения пользака. Ей не придется ничего нажимать, а вам достаточно знать имя ПК.

  • С удаленным помощником согласен, удобная вещь когда молодой коллектив. Но когда это женщина и у нее что то не запускается. А находиться она в другом здании. И объяснять что в Windows 10 нужно писать приглашение. Потом передать мне пароль. Как то все мудрено.

    Как сделать то что вы хотите сделать уже написало два человека KAA88 и я, как решить вашу задачу правильно написало тоже более одного раза.

    Есть платные и бесплатные варианты: бесплатный озвучен Сергеем, платные так же озвучены, чем пользоваться решать вам.

    Ваша задача не нова, и именно под эти здачи по типу dameware и ammy и заточены


    The opinion expressed by me is not an official position of Microsoft


    Модератор
  • С удаленным помощником согласен, удобная вещь когда молодой коллектив. Но когда это женщина и у нее что то не запускается. А находиться она в другом здании. И объяснять что в Windows 10 нужно писать приглашение. Потом передать мне пароль. Как то все мудрено.

    Не накручивайте.

    К примеру - на моем прошлом месте работы мы распространяли через GPO ярлыки всем пользователям с этим помощником, который всегда был на рабочем столе. При открытии этого ярлыка на шаре создавался файл "приглашение" и нам оставалось только открыть этот файл и ввести заведомо известный пароль.

    Точно уже не помню как мы все это настраивали, но там работы на пол часа. Погуглите эту тему.

  • С удаленным помощником согласен, удобная вещь когда молодой коллектив. Но когда это женщина и у нее что то не запускается. А находиться она в другом здании. И объяснять что в Windows 10 нужно писать приглашение. Потом передать мне пароль. Как то все мудрено.

    бро, давно это было, дет в 2005-6 году.. мы для банковских теток комиксы рисовали, типа чочокак делать если чот идет не так. и там не здание было, а регион.

    короче лучше вам обратиться к вашему системному администратору и не париться.

  • Нашел прекрасную статью, с ней все получилось без проблем. Вот только не знаю как по отношению к безопасности.

    Создаем политику Remote Assistance (называем по своему вкусу)

    1. Конфигурация компьютера -- Политики -- АДМ Шаблоны -- Система -- Удаленный помощник
      Включить оптимизацию пропускной способности (Полная оптимизация)
      Настроить запрашиваемую удаленную помощь -- Разрешить помощникам управлять компьютером(5 часов, SIMPLE MAPI)
      Настроить предлагаемую удаленную помощь -- Разрешить помощникам управлять компьютером(DOMEN.local\Techsupport)
    2. Конфигурация компьютера -- Политики -- Конфигурация Windows -- АДМ Шаблоны -- Система -- Сеть -- Сетевые подключения -- Брандмауэр -- Профиль домена
      Брандмауэр Windows:Разрешить локальные исключения программ(Включено)
    3. Брандмауэр Windows:Определение входящих исключений программ
      a) %windir%\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Remote Assistance -- Messenger
      b) %windir%\pchealth\helpctr\binaries\HelpSvc.exe:*:Enabled:Offer Remote Assistance
      c) %windir%\system32\sessmgr.exe:*:Enabled:Remote Assistance
      Брандмауэр Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам (Указываем подсети)
      Брандмауэр Windows:Разрешаем локальные исключения портов (Включено)
      Брандмауэр Windows: Определение Входящих исключений портов (135:TCP:*:Enabled:Offer Remote Assistance )
      Брандмауэр Windows: Разрешить исключения для входящих сообщений удаленного управления рабочим столом(Указываем подсети)
    4. Конфигурация компьютера -- Политики -- Конфигурация Windows -- Параметры Безопасности -- Брандмауэр Windows в режиме повышенной безопасности -- Правила входящих подключений
      Создаем правило -- выбираем предопределенные -- Удаленный помощник   --- НЕ НАШЕЛ ЭТО В ПРЕДОПРЕДЕЛЕННЫХ
      Создаем правило -- выбираем предопределенные -- Доступ к сети COM+
    5. В оснастке "Active Directory - пользователи и компьютеры" создаем группу "Techsupport" и добавляем туда нужных пользователей.
    6. ДЕЙСТВИЕ 7 И 8 Я НЕ ВЫПОЛНЯЛ.
    7. Предлагать удалённую помощь – ВКЛЮЧЕНО (указываем, кому предоставляем доступ на подключение к другим рабочим станциям)
    8. Конфигурация компьютера -- Политики -- Конфигурация Windows -- Параметры Безопасности -- Группы с ограниченным доступом
      Добавляем группу -- И выбираем ранее созданную группу "Удаленные помощники",членов группы можно не добавлять.
    9. На windows 7,8,8,1 windows server 2008R2,2012R2 создаем ярлык и вписываем туда C:\Windows\System32\msra.exe /offerra
  • Если бы он был системный администратор я бы к нему обратился, а так я за него.
  • А что с безопасностью?

    Пока Марья Ивановна не запустит Удаленный помощник вы к ней не подключитесь.

    Во вторых у вас там даже настройка на подсети из которых разрешено подключаться.

  • А что с безопасностью?

    Пока Марья Ивановна не запустит Удаленный помощник вы к ней не подключитесь.

    Во вторых у вас там даже настройка на подсети из которых разрешено подключаться.


    Ей не нужно ничего запускать. Она должна нажать 2 раза ДА что разрешает сначала удаленный рабочий стол, а потом разрешает его управление. 
  • Всем большое спасибо за помощь. Просто такая ситуация что обратиться не к кому за помощью, а прокачиваться в администрировании хочется.