Permisiunea RDP pentru grupuri AD imbricate nu se aplică noului VM Windows Server 2019

Problemă similară fără răspunsuri: Grupuri AD imbricate care lucrează în grupuri de computere locale, dar anumite servere nu permit RDP?

Sunt doar nou în acest mediu și persoana de la care am preluat acest lucru a experimentat și ea această problemă, dar nu a ajuns prea departe cu ea (considerată cu prioritate scăzută, deoarece s-a corectat în cele din urmă).

După construirea unui nou VM (VMWare) și instalarea Windows 2019 pe el, folosind o secvență de activități. Secvența de activități creează grupuri globale de administrare locală pentru fiecare server nou și apoi le adaugă la grupurile de admin locale implicite. Grupurile globale au apoi grupul nostru de administrare a echipelor adăugat la el cu un GPO configurat pentru a permite RDP. niste serverele au probleme cu a nu permite administratorilor de rețea să le RDP, dar administratorul de domeniu funcționează. Nu văd că niciun numitor comun între ele, în afară de această problemă, mi s-a întâmplat doar vineri (ceea ce poate sugera un proces/sarcină despre care nu știu despre rularea vineri, ceea ce provoacă o întârziere cu propagarea).

Server 1: VM proaspăt, sistem de operare implementat în secvență de sarcini, se conectează la domeniu fără probleme și pot RDP la el fără probleme.

Server 2: VM proaspăt, aceeași secvență de activități rulează câteva minute mai târziu/în același timp, se conectează la domeniu, se poate autentifica prin consolă, dar RDP dă „neautorizat pentru rdp”.

Fiecare server de după aceea are aceeași problemă, dar cele de dinainte nu au, deși toate au fost create aproximativ în același timp. În ziua precedentă, am reușit să fac exact același lucru (să am mai multe servere implementate în același timp folosind aceeași secvență de sarcini) fără probleme, apoi cam la jumătatea drumului de vineri au început să aibă această problemă RDP. Pot să descarc actualizări pentru ei și să fac alte lucruri, așa că știu că nu este o problemă de rețea.

De asemenea, este ciudat că mi se acordă alte permisiuni pe care le permite acest grup (adică drepturi de administrator), dar nu RDP.

Observ că dacă elimin grupul nostru de administrare a echipelor și îmi adaug contul direct la grupul global de administrare local, RDP funcționează imediat, dar de îndată ce îl elimin și îmi adaug grupul de echipe înapoi, nu funcționează.

Acest lucru se întâmplă doar pe unele și nu pe toate serverele și nu pot găsi nicio conexiune între ele, toate arată exact la fel în ceea ce privește grupurile, permisiunile și GPO-urile, dar unele vor permite RDP și altele nu. De asemenea, este de remarcat faptul că, atunci când se întâmplă acest lucru vineri, dacă aștept până în următoarea luni/marți totul este bine și nici nu ați ști că a existat o problemă în primul rând.

Bănuiesc că există un fel de eroare în joc, amestecată cu un proces de care nu sunt conștient, care duce la această problemă. Cu toate acestea, încercarea de a-l identifica pentru remediere s-a dovedit destul de dificilă. Ceva idei/sugestii?

După o citire rapidă a problemei dvs., bănuiesc că este legată de politica de grup. Dacă configurați corect politicile de grup, acestea oferă un mediu stabil și sigur Există o serie de domenii care trebuie luate în considerare ⢠Activarea Desktop la distanță pe computer ⢠Cine are voie să facă asta? ⢠Folosiți firewall-uri Am un singur GPO care se aplică tuturor computerelor și utilizatorilor care funcționează în mod fiabil. Structura Domeniului este următoarea: Managementul politicii de grup Pădure: Numele-domeniul dvs., local Domenii v Numele-domeniu-dvs..local ï Nume companie OU - Mi-am creat GPO aici o _Utilizatori o Calculatoare ï§ Desktop-uri ï§ Laptop-uri ï§ Servere

1. Creați un nou GPO numit CN_GPO-001 Adăugați suport IT la Administratorul local și RDP
2. În fila Scop, bifați Filtrarea de securitate ar trebui să conțină: ï Utilizatori autentificați ï Domeniu Calculatoare
3. Editați GPO Goto:

Configurarea computerului ï Politici ï Setări Windows ï Setări de securitate ï Grupuri restricționate ⢠Grup = BUILTIN\Administratori ⢠Membri = YOUR-DOMAIN-NAME\ItsupportUser, YOUR-DOMAIN-NAME\G-IT grup de asistență, YOUR-DOMAIN-NAME\Domain Admins, YOUR-DOMAIN-NAME\adobeupdate, YOUR-DOMEN-NAME\AdministratorUser

⢠Grup = Utilizatori BUILTIN\Remote Desktop ⢠Membri = YOUR-DOMAIN-NAME\G-IT Support Group YOUR-DOMAIN-NAME\Itsupport User

ï Windows Firewall cu securitate avansată Firewall Windows cu securitate avansată Setări globale Setarea politicii Versiunea politicii 2.26 Dezactivați FTP cu stare neconfigurat Dezactivați PPTP cu stare neconfigurat Exceptat IPsec Nu este configurat IPsec prin NAT neconfigurat Codificarea cheii predistribuite nu este configurată Timp de inactivitate SA neconfigurat Verificare CRL puternică nu este configurată

Reguli de intrare Nume Descriere Remote Desktop - Shadow (TCP-In) Regula de intrare pentru serviciul Remote Desktop să permită umbrirea unei sesiuni existente de Desktop la distanță. (TCP-In) Această regulă poate conține unele elemente care nu pot fi interpretate de versiunea curentă a modulului de raportare GPMC
Activat Adevărat Programul %SystemRoot%\system32\RdpSa.exe Acțiune Permite Securitate Necesită autentificare Calculatoare autorizate
Utilizatori autorizați
Protocolul 6 Port local Oricare Port de la distanță Oricare Setări ICMP Oricare Domeniu local Oricare Domeniul de aplicare la distanță Oricare Profil Toate Tip de interfață de rețea Toate Service Toate programele și serviciile Permite traversarea marginilor Adevărat Grup de desktop la distanță

Remote Desktop - User Mode (UDP-In) Regula de intrare pentru ca serviciul Remote Desktop să permită Trafic RDP. [UDP 3389] Această regulă poate conține unele elemente care nu pot fi interpretate de versiunea curentă a modulului de raportare GPMC
Activat Adevărat Programul %SystemRoot%\system32\svchost.exe Acțiune Permite Securitate Necesită autentificare Calculatoare autorizate
Utilizatori autorizați
Protocolul 17 Port local 3389 Port de la distanță Oricare Setări ICMP Oricare Domeniu local Oricare Domeniul de aplicare la distanță Oricare Profil Toate Tip de interfață de rețea Toate Termen de serviciu Permite traversarea marginilor Fals Grup de desktop la distanță

Remote Desktop - User Mode (TCP-In) Regula de intrare pentru serviciul Remote Desktop să permită Trafic RDP. [TCP 3389] Această regulă poate conține unele elemente care nu pot fi interpretate de versiunea curentă a modulului de raportare GPMC
Activat Adevărat Programul %SystemRoot%\system32\svchost.exe Acțiune Permite Securitate Necesită autentificare Calculatoare autorizate
Utilizatori autorizați
Protocolul 6 Port local 3389 Port de la distanță Oricare Setări ICMP Oricare Domeniu local Oricare Domeniul de aplicare la distanță Oricare Profil Toate Tip de interfață de rețea Toate Termen de serviciu Permite traversarea marginilor Fals Grup de desktop la distanță

â Regula de intrare pentru portul RDP 3389 Regula de intrare pentru portul RDP 3389 Această regulă poate conține unele elemente care nu pot fi interpretate de versiunea curentă a modulului de raportare GPMC
Activat Adevărat Program Orice Acțiune Permite Securitate Necesită autentificare Calculatoare autorizate
Utilizatori autorizați
Protocolul 6 Port local 3389 Port de la distanță Oricare Setări ICMP Oricare Domeniu local Oricare Domeniul de aplicare la distanță Oricare Domeniul de profil Tip de interfață de rețea Toate Service Toate programele și serviciile Permite traversarea marginilor Fals grup

Setări de securitate a conexiunii Nici unul

ï Șabloane administrative Am adăugat fișierele ADMX pentru cele 2 versiuni de Windows Builds, IE 20H2 și 21H1 Șabloane administrative Definiții de politică (fișiere ADMX) preluate de pe computerul local.

Componente Windows/Servicii Desktop la distanță/Gazdă sesiune Desktop la distanță/Conexiuni Comentariu privind setarea politicii Permiteți utilizatorilor să se conecteze de la distanță utilizând Serviciile Desktop la distanță activate

Configurare utilizator (activată) Politici Șabloane administrative Definiții de politică (fișiere ADMX) preluate de pe computerul local. Componente Windows/Servicii Desktop la distanță/Gazdă sesiune Desktop la distanță/Conexiuni Comentariu privind setarea politicii Setați reguli pentru controlul de la distanță al sesiunilor de utilizatori Remote Desktop Services Activat

Sper că acest lucru vă ajută

În primul rând, grupurile AD personalizate ajung în grupul local corect de pe serverele afectate? Dacă au fost adăugate, ar trebui să le vedeți în Managementul computerului în fiecare casetă. Este posibil să aveți întârzieri la replicarea noilor grupuri înainte ca secvența dvs. de activități să le adauge.

Dacă puteți, vă sugerez ca crearea grupurilor să fie prima sarcină din secvența dvs. Sperăm că restul construcției durează mai mult decât intervalul de propagare a modificărilor AD la fiecare DC - evident, dacă replicarea durează o oră, aceasta ar putea fi o problemă. O soluție este să capturați SID-ul grupului atunci când îl creați și să îl utilizați pentru a-l adăuga la grupul local. Când AD ajunge din urmă, ar trebui să vedeți actualizarea numelui grupului pe casetă.

Dacă grupurile sunt prezente pe serverele cu probleme, aș sugera să rulați un GPResult /H pentru a vedea dacă primește toate politicile necesare. Apropo, dacă secvența dvs. de activități nu face două reporniri după instalarea sistemului de operare, vă recomand cu căldură să o facă. De exemplu, instalați sistemul de bază, conectați-vă la domeniu, reporniți, configurați grupurile locale, alte activități post-build, reporniți.

În mod implicit, administratorii locali au acces RDP, așa că nu văd de ce există o politică suplimentară de autorizare RDP pe deasupra (cu excepția cazului în care a fost dezactivată pentru administratori într-un alt mod). Dacă Administratorii au fost restricționați de la accesul RDP sau grupul dvs. nu ar trebui să fie în Administratori, aș sugera să imbricați grupul AD în grupul local Utilizatori Desktop la distanță și în secvența dvs. de activități, mai degrabă decât prin GPO (deși, în mod natural, ar trebui lucrează oricum).