Quelle und Danke: https://www.maffert.net/remotedesktop-rdp-ueber-gpo-gruppenrichtlinien-aktivieren/
Remotedesktop (RDP) über GPO (Gruppenrichtlinien) aktivieren
Hat man mehrere Clients und Server die per Remotedesktop (RDP) erreichbar sein sollen, empfiehlt es sich diese Einstellungen über eine GPO (Gruppenrichtlinie in einer Domäne) zu verteilen. Diese hier aufgezeigte Lösung ist nur ein Beispiel und sollte im Produktivsystem Sicherheitstechnisch einmal durchdacht werden.
Gruppenrichtlinienverwaltung öffnen > neue GPO erstellen z.B. RDP und folgendes einstellen:
Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen:
Computerkonfiguration > Richtlinien > Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX) > Windows-Komponenten > Remotedesktopdienste > Remotedesktopsitzungs-Host > Verbindungen > „Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen“ öffnen und den Punkt auf „Aktiviert“ setzen.
Anmelden über Remotedesktopdienste zulassen:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden über Remotedesktopdienste zulassen (Anmelden über Terminaldienste zulassen) öffnen, bei „Diese Richtlinieneinstellungen definieren“ ein Haken rein und via dem Button „Benutzer oder Gruppe hinzufügen …“ die Benutzer bzw. Gruppen hinzufügen.
Eingehende Remotedesktopausnahmen zulassen:
Computerkonfiguration > Richtlinien > Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX) > Netzwerk > Netzwerkverbindungen > Windows-Firewall > Domänenprofil > „Windows Firewall: Eingehende Remotedesktopausnahmen zulassen“ öffnen, den Punkt auf „Aktiviert“ setzen und ein * in das Eingabefeld eingeben um von allen IP-Adressen auf die Clients verbinden zu können.
Nun kann man sich via Remotedesktop, als Administrator, auf den Servern/PCs aufschalten und los legen. Möchte man sich nun auf einem PC aufschalten, mit dem gleichen Benutzer der zur Zeit angemeldet ist (z.B. aus Support zwecken), wird man relativ schnell die Meldung „Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist“ erhalten. Genau genommen fehlt auf dem PC unter Systemsteuerung > System > Remoteeinstellungen > Remote > Remotedesktop der Benutzereintrag bzw. der Benutzer in der Remotedesktopbenutzer Liste. Lange Rede kurzer Sinn, hier die Lösung:
Benutzer/Gruppe über die GPO Lokal in die Remotedesktopbenutzer Liste eintragen:
Computerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Lokale Benutzer und Gruppen > Neu > Lokale Gruppe > Aktualisieren (Empfohlen) > Gruppenname: Remotedesktopbenutzer (integiert) auswählen > unten auf „Hinzufügen…“ klicken und die Benutzer/Gruppe auswählen. Nun warten oder auf dem Client „gpupdate /force“ ausführen.
Zusätzliche Info: Haken bei „Alle Mitgliederbenutzer löschen“ = löscht alle vorhandenen Benutzer und trägt die ein, die hinterlegt wurden.
Probleme / Fehlermeldungen:
Fehlermeldung: Sie müssen über die Berechtigung „Anmeldung über Terminaldienste zulassen“ verfügen, um sich remote an dem Computer anmelden zu können“
Lösung: Nochmals die Einstellung „Anmelden über Remotedesktopdienste zulassen“ überprüfen
Fehlermeldung: Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist
Lösung: Sicher das die Benutzer bzw. Gruppe Lokal auf dem PC/Server eingetragen ist? Ansonsten noch einmal folgendes überprüfen „Benutzer/Gruppe über die GPO lokal auf in die Remotedesktopbenutzer eintragen“