Разрешение RDP для вложенных групп AD не применяется к новой виртуальной машине Windows Server 2019

Аналогичная проблема без ответов: Вложенные группы AD работают в локальных группах компьютеров, но некоторые серверы не разрешают RDP?

Я только новичок в этой среде, и человек, у которого я взял это на себя, также столкнулся с этой проблемой, но не продвинулся с ней очень далеко (считается низким приоритетом из-за того, что в конечном итоге он исправился).

После создания новой виртуальной машины (VMWare) и установки на нее Windows 2019 с помощью последовательности задач. Последовательность задач создает локальные глобальные группы администраторов для каждого нового сервера, а затем добавляет их в локальные группы администраторов по умолчанию. Затем к глобальным группам добавляется группа администраторов нашей команды с объектом групповой политики, настроенным для разрешения RDP. Некоторый у серверов есть проблемы с тем, что сетевые администраторы не могут подключаться к ним по RDP, но администратор домена работает. Я не вижу общего знаменателя между ними, кроме того, что эта проблема случалась со мной только по пятницам (что может намекать на какой-то процесс/задачу, о запуске которой я не знаю, по пятницам, что вызывает задержку с распространением).

Сервер 1: свежая виртуальная машина, ОС, развернутая последовательностью задач, без проблем подключается к домену, и я могу без проблем подключиться к нему по протоколу RDP.

Сервер 2: свежая виртуальная машина, та же последовательность задач запускается через несколько минут / в то же время, подключается к домену, может войти в систему через консоль, но RDP выдает «не авторизован для rdp».

После этого каждый сервер имеет одну и ту же проблему, а предыдущие — нет, несмотря на то, что все они были созданы примерно в одно и то же время. Накануне я смог сделать то же самое (одновременно развернуть несколько серверов с использованием одной и той же последовательности задач) без каких-либо проблем, а затем примерно в середине пятницы у них возникла эта проблема с RDP. Я могу загружать для них обновления и делать другие вещи, поэтому я знаю, что это не проблема с сетью.

Также странно, что мне даны другие разрешения, которые разрешает эта группа (например, права администратора), но не RDP.

Я заметил, что если я удаляю группу администраторов нашей команды и добавляю свою учетную запись непосредственно в глобальную группу локального администратора, RDP работает сразу, но как только я удаляю ее и снова добавляю группу команд, она не работает.

Это происходит только на некоторых, а не на всех серверах, и я не могу найти никакой связи между ними, все они выглядят одинаково в отношении групп, разрешений и объектов групповой политики, но некоторые разрешают RDP, а некоторые нет. Также стоит отметить, что когда это происходит в пятницу, если я подожду до следующего понедельника/вторника, все будет хорошо, и вы даже не узнаете, что проблема была изначально.

Я подозреваю, что в игре есть какая-то ошибка, смешанная с каким-то процессом, о котором я не знаю, что приводит к этой проблеме. Однако попытка определить его для исправления оказалась довольно сложной. Есть идеи/предложения?

После быстрого прочтения вашей проблемы я подозреваю, что это связано с групповой политикой. Если вы правильно настроите групповые политики, они обеспечат стабильную безопасную надежную среду. Есть ряд областей, которые необходимо учитывать • Включение удаленного рабочего стола на компьютере • Кому разрешено это делать? ¢ Используете ли вы брандмауэры У меня есть один объект групповой политики, который применяется ко всем компьютерам и пользователям и работает надежно. Структура домена выглядит следующим образом: Управление групповой политикой Лес: Ваше доменное имя, местный Домены v Ваше-доменное-имя.local ï Название компании OU — здесь я создал объект групповой политики о _Пользователи о Компьютеры § Настольные компьютеры § Ноутбуки § Серверы

1. Создайте новый объект групповой политики с именем CN_GPO-001 Добавление ИТ-поддержки к локальному администратору и удаленному рабочему столу
2. На вкладке «Область» установите флажок «Фильтрация безопасности», она должна содержать: ï Аутентифицированные пользователи • Компьютеры домена
3. Отредактируйте GPO Goto:

Конфигурация компьютера ï Политики • Настройки Windows • Настройки безопасности ï Группы с ограниченным доступом • Группа = ВСТРОЕННЫЕ\Администраторы • Members = ВАШЕ-ДОМЕННОЕ-ИМЯ\ItsupportUser, ВАШ-ДОМЕН-ИМЯ\Группа поддержки G-IT, YOUR-DOMAIN-NAME\Администраторы домена, ВАШЕ-ДОМЕННОЕ-ИМЯ\adobeupdate, ВАШЕ-ДОМЕННОЕ-ИМЯ\AdministratorUser

• Группа = ВСТРОЕННЫЕ\Пользователи удаленного рабочего стола ⢠Участники = YOUR-DOMAIN-NAME\Группа поддержки G-IT ВАШЕ-ДОМЕННОЕ-ИМЯ\Пользователь Itsupport

• Брандмауэр Windows в режиме повышенной безопасности Брандмауэр Windows в режиме повышенной безопасности Глобальные настройки Настройка политики Версия политики 2.26 Отключить не настроенный FTP с отслеживанием состояния Отключить PPTP с отслеживанием состояния, не настроенный Исключение IPsec Не настроено IPsec через NAT не настроен Кодировка предварительного ключа не настроена Время простоя SA Не настроено Строгая проверка CRL не настроена

Входящие правила Имя Описание Удаленный рабочий стол — теневое (TCP-входящее) правило входящего трафика для службы удаленного рабочего стола, разрешающее теневое копирование существующего сеанса удаленного рабочего стола. (TCP-вход) Это правило может содержать некоторые элементы, которые не могут быть интерпретированы текущей версией модуля отчетности GPMC.
Включено Истинно Программа %SystemRoot%\system32\RdpSa.exe Действие Разрешить Безопасность Требовать аутентификацию Авторизованные компьютеры
Авторизованные пользователи
Протокол 6 Локальный порт Любой Удаленный порт Любой Настройки ICMP Любые Локальная область действия Любая Удаленная область действия Любая Профиль Все Тип сетевого интерфейса Все Сервис Все программы и сервисы Разрешить обход края True Групповой удаленный рабочий стол

Удаленный рабочий стол — режим пользователя (UDP-In) Входящее правило для службы удаленного рабочего стола, чтобы разрешить RDP-трафик. [УДП 3389] Это правило может содержать некоторые элементы, которые не могут быть интерпретированы текущей версией модуля отчетности GPMC.
Включено Истинно Программа %SystemRoot%\system32\svchost.exe Действие Разрешить Безопасность Требовать аутентификацию Авторизованные компьютеры
Авторизованные пользователи
Протокол 17 Местный порт 3389 Удаленный порт Любой Настройки ICMP Любые Локальная область действия Любая Удаленная область действия Любая Профиль Все Тип сетевого интерфейса Все Условия обслуживания Разрешить обход края False Групповой удаленный рабочий стол

Удаленный рабочий стол — режим пользователя (TCP-In) Входящее правило для службы удаленного рабочего стола, чтобы разрешить RDP-трафик. [TCP 3389] Это правило может содержать некоторые элементы, которые не могут быть интерпретированы текущей версией модуля отчетности GPMC.
Включено Истинно Программа %SystemRoot%\system32\svchost.exe Действие Разрешить Безопасность Требовать аутентификацию Авторизованные компьютеры
Авторизованные пользователи
Протокол 6 Местный порт 3389 Удаленный порт Любой Настройки ICMP Любые Локальная область действия Любая Удаленная область действия Любая Профиль Все Тип сетевого интерфейса Все Условия обслуживания Разрешить обход края False Групповой удаленный рабочий стол

✓ Входящее правило для RDP-порта 3389 Входящее правило для RDP-порта 3389 Это правило может содержать некоторые элементы, которые не могут быть интерпретированы текущей версией модуля отчетности GPMC.
Включено Истинно Программа Любая Действие Разрешить Безопасность Требовать аутентификацию Авторизованные компьютеры
Авторизованные пользователи
Протокол 6 Местный порт 3389 Удаленный порт Любой Настройки ICMP Любые Локальная область действия Любая Удаленная сфера Любая Домен профиля Тип сетевого интерфейса Все Сервис Все программы и сервисы Разрешить обход края False Группа

Настройки безопасности подключения Никто

• Административные шаблоны Я добавил файлы ADMX для двух версий сборок Windows, IE 20H2 и 21H1. Административные шаблоны Определения политик (файлы ADMX), полученные с локального компьютера.

Компоненты Windows/Службы удаленных рабочих столов/Узел сеансов удаленных рабочих столов/Подключения Комментарий к параметру политики Разрешить пользователям удаленно подключаться с помощью служб удаленных рабочих столов Включено

Конфигурация пользователя (включено) Политики Административные шаблоны Определения политик (файлы ADMX), полученные с локального компьютера. Компоненты Windows/Службы удаленных рабочих столов/Узел сеансов удаленных рабочих столов/Подключения Комментарий к параметру политики Установка правил для удаленного управления сеансами пользователей служб удаленных рабочих столов Включено

Надеюсь это поможет

Во-первых, попадают ли пользовательские группы AD в правильную локальную группу на затронутых серверах? Если они были добавлены, вы должны увидеть их в разделе «Управление компьютером» на каждом поле. Вы можете столкнуться с задержками при репликации новых групп до того, как ваша последовательность задач добавит их.

Если вы можете, я предлагаю, чтобы создание групп было первой задачей в вашей последовательности. Будем надеяться, что остальная часть сборки займет больше времени, чем интервал для распространения изменений AD на каждый контроллер домена — очевидно, если репликация занимает час, это может быть проблемой. Одним из обходных путей является захват SID группы при ее создании и использование его для добавления в локальную группу. Когда AD догонит вас, вы должны увидеть обновление имени группы в поле.

Если группы присутствуют на проблемных серверах, я бы предложил запустить GPResult /H, чтобы увидеть, получают ли они все необходимые политики. Кстати, если ваша последовательность задач не делает две перезагрузки после установки ОС, я настоятельно рекомендую это сделать. Например, базовая установка ОС, присоединение к домену, перезагрузка, настройка локальных групп, другие действия после сборки, перезагрузка.

По умолчанию локальные администраторы имеют доступ к RDP, поэтому я не понимаю, почему поверх него есть дополнительная политика разрешения RDP (если только она не отключена для администраторов каким-либо другим способом). Если администраторы были ограничены в доступе по RDP или ваша группа не должна быть в группе администраторов, я бы предложил также вложить группу AD в локальную группу пользователей удаленного рабочего стола в вашей последовательности задач, а не через объект групповой политики (хотя, естественно, это должно все равно работать).