Регистър на отдалечен работен плот. Конфигуриране на отдалечен работен плот на Windows в командния ред

Протоколът за отдалечен работен плот (RDP) е технология, която ви позволява да се свързвате дистанционно с работния плот на вашия компютър. Първоначално RDP е сървърна технология, но Microsoft, в опит да угоди на своите потребители, започна да включва отдалечен работен плот във всички клиентски операционни системи, започвайки с Windows XP. Последната версия на клиентската операционна система, Windows 8, не беше изключение.

Отдалеченият работен плот е наличен в следните версии на Windows 8:

• Windows 8 Enterprise
• Windows 8 Professional

За да използвате RDP в основната (Core) версия на Windows 8, ще трябва да надстроите операционната система до Pro версия.

По подразбиране от съображения за сигурност отдалеченият достъп до работния плот на Windows 8 е деактивиран; в тази статия ще разгледаме няколко начина за активиране на отдалечен работен плот на клиенти, работещи под Windows 8.

Как да активирате отдалечен работен плот в Windows 8 от GUI

Най-лесният и често срещан начин за активиране на rdp е да използвате графичния интерфейс на Windows. Тази операция трябва да се извърши под акаунт с права на локален администратор. Стартирайте конзолата за управление Система(можете да го намерите в контролния панел или в Explorer, като щракнете с десния бутон върху иконата Компютър и изберете менюто Свойства).

Отворете прозореца за настройки на отдалечената връзка, като щракнете върху връзката в лявата колона Дистанционни настройки(същият прозорец се извиква от командата SystemPropertiesRemote.exe).

За да разрешите отдалечен rdp достъп до тази машина, изберете опцията Разрешете отдалечена връзка с този компютър(за по-сигурна връзка можете да разрешите връзки само от rdp клиенти с – Разрешаване на връзки само от компютри, работещи с отдалечен работен плот с удостоверяване на мрежово ниво) и щракнете върху OK.

По подразбиране членовете на групата на локалните администратори имат права за отдалечено свързване към работния плот на компютъра. Допълнителни потребители могат да бъдат зададени чрез бутона Изберете Потребители.

Сега можете да се свържете с този компютър с Windows 8 дистанционно, като използвате rdp клиент (между другото)

Ако защитната стена на Windows е активирана на вашия компютър, трябва да проверите дали позволява входящи rdp връзки. Отидете в контролния панел и изберете елемент Защитна стена на Windowsл. Отворете списъка с предварително зададени правила на защитната стена на Windows, като щракнете върху връзката в лявата колона Разрешаване на приложение или функция през защитната стена на Windows. Проверете правилото Отдалечен работен плотактивиран за частния профил (домашна или работна мрежа) и, ако е необходимо, за публичния профил (публични мрежи).

Разрешете RDP достъп с помощта на групови правила

В случай, че е необходимо да активирате RDP на голям брой компютри наведнъж, възможностите на груповите политики ще ни помогнат (предполага се, че всички компютри).

Създайте нова (или редактирайте съществуваща) групова политика и я свържете с целевата OU.

Интересуваме се от посочения параметър Позволете на потребителите да се свързват дистанционно чрез услуги за отдалечен работен плот, намираща се в секцията Компютърна конфигурация -> Административни шаблони -> Компоненти на Windows -> Услуги за отдалечен работен плот -> Хост на сесия на отдалечен работен плот -> Връзки. Отворете този параметър и променете стойността му на Активирайте.

След прилагане на тази политика всички целеви компютри ще станат достъпни за връзка с отдалечен работен плот. Тази политика ви позволява да активирате RDP достъп както на Windows 8, така и на Windows Server 2012 клиенти.

Ако защитната стена на Windows е активирана на вашите компютри, трябва да разрешите RDP трафик в профила на домейна на защитната стена. За да направите това, трябва да активирате правилото Защитна стена на Windows: Разрешаване на изключение за отдалечен работен плот(намира се в раздела Компютърна конфигурация -> Административни шаблони -> Мрежа -> Мрежови връзки -> Защитна стена на Windows -> Профил на домейн).

Дистанционно активирайте RDP в Windows 8

По-горе разгледахме начини за локално активиране на отдалечен работен плот в Windows 8 и масово активиране в домейн с помощта на групови правила. След това ще разгледаме конкретни техники за отдалечено активиране на RDP през мрежа с помощта на различни инструменти.

Естествено, предполагаме, че отдалеченият компютър е достъпен през мрежата (достъпът не е блокиран от защитна стена) и имате права на локален администратор върху него.

Активирайте отдалечен работен плот отдалечено през системния регистър

RDP в Windows 8 може да се активира дистанционно, като се използва възможността за промяна на регистъра чрез услугата за отдалечен регистър - RemoteRegistry. По подразбиране услугата RemoteRegistry в Windows 8 е деактивирана от съображения за сигурност. За да го активирате, свържете се с вашия компютър с Win 8 чрез конзолата Компютърно управление, отидете на раздел Услуги и приложения -> Услуги, намери сервиз Отдалечен регистър, променете типа на стартиране на Наръчник(ръчно) и след това стартирайте услугата – Започнете.

Същото може да се направи дистанционно с помощта на командите sc (позволяващи ви да създавате, управлявате или):

Sc \\Win8_RDP_PC..site start RemoteRegistry

След това на вашата машина стартирайте редактора на системния регистър regedit.exe, изберете (Свързване на мрежов регистър) от менюто Файл, посочете името или IP адреса на компютъра с Windows 8, на който искате да активирате RDP.

Отидете в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server. Намерете параметъра fDenyTSConnection(напишете REG_DWORD). Ако този ключ липсва, създайте го.

Ключът fDenyTSConnection може да приема следните стойности:

• fDenyTSConnection=0- Активиран отдалечен работен плот
• fDenyTSConnection=1- Отдалеченият работен плот е деактивиран

Тези. за да активирате RDP достъп до този компютър, задайте този параметър на 0 . Веднага след това, без рестартиране, отдалеченият компютър с Windows 8 трябва да стане достъпен чрез RDP.

Активирайте отдалечения работен плот през мрежата от командния ред

Горният трик за отдалечена модификация на системния регистър може да се направи още по-лесно и по-елегантно само с една команда. На помощ ще ни дойде командата REG ADD, която ви позволява да добавяте и променяте данни в системния регистър на Windows. Не всеки знае, че може да работи с регистъра на отдалечен компютър (както в предишния случай, услугата Remote Registry трябва да бъде активирана на целевия компютър).

Командата за дистанционно активиране на RDP на клиентски компютър с име Win8_RDP_PC може да изглежда така:

REG ADD "\\Win8_RDP_PC\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f

Активирайте RDP с помощта на PowerShell

И накрая, нека да разгледаме друг метод за отдалечено активиране на PowerShell. Нека използваме възможностите за свързване от PowerShell към WMI.

Отворете конзолата Powershell и изпълнете последователно следните PoSh команди:

$ts=get-WMIObject Win32_TerminalServiceSetting -име на компютър Win8_RDP_PC $ts.SetAllowTSConnections(1)

Където Win8_RDP_PC е името на компютъра с Windows 8, на който искате да активирате RDP.

Ако отдалеченият работен плот трябва да бъде деактивиран, втората команда трябва да бъде.

Въпреки че има много различни алтернативи, отдалеченият работен плот на Microsoft е идеална опция за достъп до друг компютър, но програмата трябва да се използва правилно. Като цяло Remote Desktop е мощен инструмент, който ви позволява да избегнете инсталирането на приложения на трети страни за този тип функционалност.

• Windows 8.1 Pro
• Windows 8.1 Enterprise
• Windows 8 Enterprise
• Windows 8 Pro
• Windows 7 Professional
• Windows 7 Enterprise
• Windows 7 Ultimate
• Windows Vista Business
• Windows Vista Ultimate
• Windows Vista Enterprise
• Windows XP Professional

Активиране на отдалечен работен плот

Първо, трябва да активирате отдалечения работен плот и да изберете потребители, които ще имат отдалечен достъп до компютъра. Натиснете клавиша Windows + R, за да отворите подканата за стартиране и въведете „sysdm.cpl“.

Друг начин да активирате това меню е да отидете в „Моят компютър“ и да щракнете върху „Свойства“:

Във всеки от тези случаи ще бъдете отведени до определеното меню, където трябва да щракнете върху раздела Отдалечено:

Изберете „Разрешаване на отдалечени връзки към този компютър“ и също „Разрешаване на връзки от компютри, работещи с отдалечен работен плот с удостоверяване на мрежово ниво“.

Удостоверяването на мрежово ниво не се изисква, но осигурява допълнителна сигурност на потребителя, предпазвайки ви от атаки. Дори по-стари системи като Windows XP могат да се свързват с възли за удостоверяване на мрежовия слой, така че няма причина да не използвате функцията на него.

Вероятно може да получите предупреждение за вашите настройки за захранване, когато включите отдалечения работен плот:

Ако получите това съобщение, щракнете върху връзката за опции за захранване и конфигурирайте компютъра си така, че да не може да премине в режим на заспиване.

Всички акаунти от групата на администраторите вече ще имат достъп. Ако трябва да дадете отдалечен достъп на други потребители, просто щракнете върху „Добавяне“ и въведете имената на желаните потребители.

Кликнете върху бутона „Проверка на имената“, за да проверите дали потребителското име е въведено правилно и щракнете върху „OK“. В прозореца със свойства също щракнете върху бутона „Ok“.

Сигурност на отдалечен достъп

Компютърът засега ще бъде свързан чрез отдалечен достъп (само във вашата локална мрежа, ако използвате рутер), но има още няколко настройки, които трябва да бъдат зададени, за да се постигне максимална сигурност.

Първо, нека настроим очевидната настройка. Всички потребители, за които сте предоставили отдалечен достъп, трябва да имат силни пароли.

Има много различни ботове, които сканират интернет, за да намерят уязвими компютри с предоставен отдалечен достъп, така че не подценявайте значението на задаване на силна парола. Използвайте повече от 8 знака (препоръчително е да създадете парола от 12 или повече знака) с цифри, малки и главни букви и специални знаци.

Отидете в менюто "Старт" или отворете лентата за изпълнение (клавиш Windows + R) и въведете "secpol.msc", за да отворите локалното меню за защита.

Отидете в менюто, разгънете „Локални настройки“ и щракнете върху „Присвояване на потребителски права“.

Щракнете двукратно върху опцията „Разрешаване на влизане чрез услуги за отдалечен достъп“, разположена вдясно.

Също така ви съветваме да изтриете и двете групи, изброени в този прозорец: Администратори и Потребители с отдалечен достъп. След това щракнете върху бутона „Добавяне на потребител или група“ и ръчно добавете потребителите, на които трябва да бъде предоставен отдалечен достъп. Тези стъпки не са задължителни, но ви дават повече права върху профилите, които споделяте с тях. Ако в бъдеще създадете нов администраторски акаунт и не зададете силна парола, достъпът до вашия компютър ще бъде практически отворен за хакери от цял ​​свят.

Затворете прозореца на настройките за локална защита и отворете редактора на настройките на локалната група, като напишете „gpedit.msc“ в Старт или Изпълнение.

Когато се отвори редакторът за настройки на локална група, разгънете Настройки на компютъра > Административни шаблони > Компоненти на Windows > Услуги за отдалечен достъп > Хост на отдалечена сесия и след това изберете Защита.

Задайте нивото на криптиране на клиентската връзка на Високо, за да сте сигурни, че сесиите ви за отдалечен достъп са подкрепени от 128-битово криптиране.

Изискването за сигурност на RPC комуникацията е зададено на Активирано.

Изискването за използване на специално ниво на сигурност за отдалечени (RDP) връзки е да се настрои на SSL (TLS 1.0).

Изискване на удостоверяване на потребителя за отдалечени връзки чрез мрежов слой за удостоверяване - задайте на Активирано.

След като тези промени бъдат направени, можете да затворите редактора на настройките на локалната група. Последната препоръка за сигурност, която ще споделим с вас, е да промените порта по подразбиране, на който се намира дистанционното управление. Тази стъпка също не се счита за задължителна и се счита само за подобряване на безопасността въз основа на практиката. Въпросът обаче е, че промяната на номера на порта по подразбиране значително намалява броя на опитите за неоторизирано свързване, които ще ударят вашия компютър. Вашата парола и настройки за сигурност правят отдалечения достъп неуязвим, независимо от порта, на който е, но тази стъпка може да намали броя на опитите за свързване.

Сигурност чрез скриване: Промяна на RDP порта по подразбиране

Портът по подразбиране за отдалечен работен плот е 3389. Изберете произволно петцифрено число (по-малко от 65535), което искате да използвате за вашия порт за отдалечен достъп. След като запомните този номер, отворете редактора на системния регистър, като напишете „Regedit“ в менюто „Старт“ или програмата „Изпълни“.

Когато се отвори редакторът на системния регистър, разгънете HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > Terminal Server > WinStations > RDP-Tcp и щракнете двукратно върху “PortNumber” в прозореца вдясно.

С отворен ключ на регистъра "PortNumber", изберете "Decimal" от дясната страна на прозореца и въведете същия петцифрен код на порт в "Value data" от лявата страна.

Щракнете върху „Ok“ и затворете редактора на системния регистър.

RDP за отдалечен работен плотили услугата е безплатна и друг полезен инструмент за отдалечен достъп до отдалечен компютъри получаване на пълен достъп и привилегии, ако потребителят е в локалната конзола. Отдалечен работен плотизвестен също като терминални услуги. Това е полезно, ако сървърът или компютърът е на отдалечено място и честите посещения на сайта за отстраняване на неизправности, конфигуриране и управление имат система, която не е жизнеспособна опция.

Въпреки че в повечето версии на операционни системи като напр Windows 2008, XP и Vista, всъщност идва с свързване към отдалечен работен плот, но е деактивиран по подразбиране. Активирането му чрез локалната конзола ви позволява лесно да управлявате отдалечения работен плот, а Microsoft предоставя подобен GUI (графичен потребителски интерфейс) във всички издания на Windows (вижте ръководството).

Въпреки това, ако сървърът извън сайта трябва да бъде достъпен чрез връзката с отдалечен работен плот (RDC) на клиента веднага, но отдалеченият работен плот не е активиран на сървъра, тогава това ще бъде главоболие. За щастие е възможно дистанционно да активирате услугите за отдалечен работен плот на отдалечен компютър или дистанционно да редактирате неговия регистър на сървър.

За да активирате отдалечен работен плот на друг компютър, изпълнете следните стъпки:

1. Влезте в работната станция с администраторски права.
2. Бягай редактор на системния регистър (Regedit) .
3. Кликнете върху менюто файл.
4. От падащото меню изберете Свържете мрежата на регистъра.

1. Отваря се диалоговият прозорец за търсене на избор на компютър. В текстовото поле въведете името на хоста на отдалечения компютър или прегледайте Active Directory, за да намерите отдалечения сървър, или щракнете върху бутона Разширени, за да потърсите отдалечения компютър.

1. Щракнете върху OK, след като изберете отдалечения компютър. Възелът за системния регистър на отдалечената компютърна мрежа ще се появи в редактора на системния регистър в HKEY_LOCAL_MACHINE (HKLM) и HKEY_USERS (HKU).

1. Отидете до следния ключ на системния регистър за отдалечения компютър:

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Контролен терминален сървър

1. В десния панел потърсете стойност REG_DWORD с име fDenyTSConnection. Кликнете два пъти върху fDenyTSConnectionи променете стойността на данните от 1 (отдалечен работен плот) на 0 (Отдалеченият работен плот е активиран).

1. Рестартирайте отдалечения компютър, като изпълните следната команда командна линия :

изключване -m \име на хост -r

Заменете името на хоста с действителното име на компютъра на отдалечения хост.

1. Отдалеченият работен плот за отдалечения компютър е активиран и по подразбиране е портът за отдалечен работен плот за всяка входяща връзка с отдалечен работен плот. От съображения за сигурност може да помислите за промяна на порта за слушане на връзка с отдалечен работен плот.

Има и много безплатни помощни програми, които позволяват на потребителя да активира дистанционно отдалечен работен плот, без да променя системния регистър.

Поздравявам те. Александър Глебов се свързва с вас. Този път ще ви кажа и ще ви покажа как да активирате отдалечен работен плот, тоест rdp, дистанционно. Ако се интересувате, прочетете нататък.

Въведение

Може да попитате: "Защо изобщо трябва да активираме отдалечен работен плот от разстояние? В домейн това обикновено може да се направи от политици и т.н." Ще ви кажа къде трябваше да активирам отдалечен работен плот. По едно време работех в компанията ZAO NG Energo и там имаше такъв случай. В един офис инсталираха нов компютър с инсталиран Windows 7, но не беше в домейна, а в Windows RDP е деактивиран по подразбиране. Така че трябваше да помисля как да активирам rdp дистанционно, за да мога след това да се свържа и да вляза в компютъра в домейна. Да минем по същество...

Процедура - активирайте отдалечен работен плот (rdp) дистанционно

Има няколко изисквания, без които не можете да активирате rdp дистанционно, а именно:

• Трябва да имате администраторски идентификационни данни на отдалечената работна станция;
• трябва да има физически достъп през мрежата.

Така че да започваме. Щракнете върху старт, щракнете върху изпълнение, въведете regedit и натиснете enter. В резултат на това ще се отвори редакторът на системния регистър. Случва се да няма бутон за изпълнение, след което натиснете „Windows + R“, ще се отвори нашето собствено изпълнение. Изглежда така:

В редактора на системния регистър, който се отваря, трябва да свържете отдалечения регистър. Това се прави по следния начин: щракнете в горния ляв ъгъл, „файл“, след това „свързване на мрежов регистър“. В прозореца, който се отваря, въведете името или IP на отдалечения компютър и щракнете върху OK.

В резултат на това, ако компютърът ви е в домейн и имате достатъчно права, тоест акаунтът ви е в групата на локалните администратори, в редактора ще се появи нов клон на регистъра (пример по-долу). Ако, както в моя пример, компютърът е в работна група, тогава ще се появи заявка за въвеждане на идентификационни данни, които имат съответните права:

Прочетете също:

Преглед на Windows update minitool - алтернативен инструмент за актуализиране на Windows 10

Въведете данните за вход (Потребител) във формат: име на отдалечен компютър\име на отдалечен потребител, след това въведете паролата и щракнете върху OK. Ако данните са въведени правилно, получаваме следната картина:

След това вървим по следния път: „HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server“, а вдясно виждаме набор от ключове, интересуваме се от ключа fDenyTSConnections. Трябва да му бъде присвоена стойност 0.

След това молим някой да рестартира компютъра и да се опита да се свърже чрез RDP. Въпреки това може да се случи, че няма да можете да се свържете, това означава, че FireWall най-вероятно е активиран на отдалечения компютър и трябва да добавите правило, което ви позволява да се свързвате през стандартен порт 3389. Ако по някаква причина сте били не можете да добавите ключа чрез редактора на системния регистър, след това прочетете по-долу. Там предоставям командата за активиране на rdp чрез pstools и командния ред.

Как да добавя правило към защитната стена на отдалечен компютър?

Изискванията са все същите, трябва да има физически достъп през мрежата и трябва да имате администраторски идентификационни данни на отдалечения компютър. Нека изпълним следните стъпки: