Den RDP Zugriff (Remotedesktop) von bestimmten Systemen auf einen ausgewählten Personenkreis zu beschränken kann durchaus sinnvoll sein. Besonders wenn Ihr verhindern wollt, dass sich der lokale Administrator entweder lokal oder auch der RDP an einem Windows Client oder Windows Server anmelden soll, dann findet Ihr hier nachfolgend die notwendigen Einstellungsmöglichkeiten, um dies entsprechend zu verhindern.

Dazu ist auf dem Windows PC oder Windows Server lediglich per GPEDIT.MSC der Editor für die lokalen Gruppenrichtlinien aufzurufen und zu folgendem Zweig zu wechseln:

  • Computerkonfiguration
  • Windows Einstellungen
  • Sicherheitseinstellungen
  • Lokale Richtlinien
  • Zuweisen von Benutzerrechten

Dort findet Ihr dann 2 Einstellungsmöglichkeiten, die Ihr entsprechend konfigurieren müsst.

  • Anmelden über Remotedesktopdienste verweigern
  • Lokal anmelden verweigern

Anmelden über Remotedesktopdienste verweigern

Hier nachfolgend seht Ihr die erste Regel im Editor für lokale Gruppenrichtlinien.

Anmelden über Remotedesktopdienste verweigern

Microsoft liefert dazu folgende Erklärung:

Anmelden über Remotedesktopdienste verweigern
Mit dieser Sicherheitseinstellung wird festgelegt, welchen Benutzern und Gruppen verweigert wird, sich als Remotedesktopdienste-Client anzumelden.
Standardwert: Kein.
Wichtig
Diese Einstellung hat keine Auswirkung auf Computer unter Windows 2000, die noch nicht auf Service Pack 2 aktualisiert wurden.

Jeder Userkonto, welches Ihr hier einträgt, das sich per RDP nicht mehr an diesem System anmelden. Wenn er es versucht, so erhält er nachfolgende Fehlermeldung.

Für die Remoteanmeldung müssen Sie dazu berechtigt sein

Die genaue Meldung lautet:

Für die Remoteanmeldung müssen Sie dazu berechtigt sein, sich über die Remotedesktopdienste anzumelden. Die Mitglieder der Gruppe „Remotedesktopbenutzer“ sind standardmäßig mit diesem Recht ausgestattet. Wenn die Gruppe, der Sie angehören, nicht über dieses Recht verfügt oder der Gruppe „Remotedesktopbenutzer“ das Recht entzogen wurde, muss es Ihnen manuell zugewiesen werden.

Lokale Anmeldung verweigern.

Im Editor für lokale Gruppenrichlinien findet Ihr unter dem gleichen Schlüssel auch die Einstellung „lokale Anmeldung verweigern„. Dieses beschreibt Microsoft wie folgt:

Lokale Anmeldung verweigern
Mit dieser Sicherheitseinstellung wird festgelegt, welchen Benutzern verweigert wird, sich am Computer anzumelden. Diese Richtlinieneinstellung löst die Richtlinieneinstellung „Lokal anmelden zulassen“ ab, wenn für ein Benutzerkonto beide Richtlinien gelten.
Wichtig
Wenn Sie diese Sicherheitsrichtlinie auf die Gruppe „Jeder“ anwenden, kann sich kein Benutzer lokal anmelden.
Standardwert: Kein.

Jedes Benutzerkonto, welches Ihr dieser Regel hinzufügt, darf sich lokal an diesem Windows System nicht mehr anmelden.

Hier nachfolgend haben wir Euch noch einige andere, interessante Beiträge rund um das Thema „Remotedesktop“ und „Windows Anmeldung“ aufgeführt.

– Laufwerksumleitung bei RDP Sitzung abschalten
– PC mit Windows 10 bei RDP Sitzung neu starten (herunterfahren)
– Windows Profil Fehlermeldung „Die Anmeldung des Dienstes „Benutzerprofildienst“ ist fehlgeschlagen.“
– Windows Update mit automatischer Useranmeldung nach der Installation

– Servergespeicherte Profile auf Fileserver vorhanden (ohne Anmeldung)
– Automatische Anmeldung bei Windows 7
– Windows nach ungültigen Anmeldungen automatisch sperren
– Schwarzer Bildschirm (Desktop) nach Windows Anmeldung – Lösung