Перейти к содержанию

Настройка GPO через RDP для ВМ в домене MS AD

Для настройки необходимо выполнить 3 шага:

  1. Создать группу безопасности.
  2. Создать групповую политику.
  3. Проверка применения групповой политики.

Создание группы безопасности

Создадим группу VDI_RDP и добавим пользователей, которым будет разрешено входить на ВМ через протокол RDP. Для это заходим в оснастку Windows Active Directory — пользователи и компьютерыИмя доменаUsers, щелкаем по нему правой кнопкой мыши и выбираем из доступных свойств СоздатьГруппа, вводим имя группы и нажимаем ОК.

Пример

image

Создание групповой политики

Открываем раздел управления групповыми политиками: ПускСредства администрирование WindowsУправление групповой политикой. Создаём организационный контейнер VDI. Контейнер можно создать через Управление групповой политикой либо через Active Directory — пользователи и компьютеры.

Политика применяется на организационный контейнер VDI, в котором располагаются подконтрольные ВМ, поэтому раскрываем домен, находим контейнер VDI, щелкаем по нему правой кнопкой мыши и выбираем из доступных свойств Создать объект групповой политики в этом домене и связать его.... Назовём его Enable RDP. Открываем политику на редактирование и переходим в элементы конфигурирования настроек на компьютер: Enable RDPКонфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасностиГруппы с ограниченным доступом. Щелкаем правой кнопкой мыши, вызываем свойства и выбираем Добавить группуОбзор, далее через Обзор находим созданную группу VDI_RDP. По окончании нажимаем кнопку Применить и OK.

В окне Свойства группы настраиваем членства к другой группе. Нажимаем Добавить, находим группу Пользователи удалённого рабочего стола и добавляем. Нажимаем ОК.

Пример

image

Теперь активируем разрешить подключение к удалённому рабочему столу в свойства системы ВМ. Для этого внесём изменения в групповую политику Enable RDP: Enable RDPКонфигурация компьютераНастройкаКонфигурация WindowsРеестр, создаем новый ключ, СоздатьЭлемент реестра.

Значения настроек

  1. Действие: Обновить.
  2. Куст: HKEY_LOCAL_MACHINE.
  3. Путь раздела: System\CurrentControlSet\Control\Terminal Server.
  4. Имя параметра: fDenyTSConnections.
  5. Тип параметра: REG_DWORD.
  6. Значение: 00000000.

По окончании настроек нажимаем кнопку Применить и OK для принятия изменений. Теперь, чтобы политика применилась на рабочие станции в организационном контейнере VDI, они должны быть перезагружены.

Пример

image

Проверка применения групповой политики

Чтобы проверить, применилась ли групповая политика Enable RDP, необходимо зайти на ВМ в оснастку Windows Управление компьютеромЛокальные пользователиГруппыПользователи удалённого рабочего стола. В свойствах группы должна быть указана группа VDI_RDP.

Пример

image