Как подключить компьютер к удаленному домену

Обновлено: 14.07.2024

Удаленное управление компьютерами, не входящими в домен

Мы знаем, что удаленное подключение к компьютерам домена посредством PowerShell происходит практически прозрачно. Все, что нам нужно сделать, это, к примеру:

Однако, если мы попытаемся подключиться к компьютеру рабочей группы (для начала по IP-адресу), мы увидим что-то вроде:

Для чего это нужно.

При обычном подключении, происходящем между двумя доменными компьютерами, удаленный компьютер аутентифицирует подключающегося, что справедливо и для всех остальных случаев. Но кроме этого, компьютер, с которого мы подключаемся также проводит аутентификацию удаленного компьютера, с целью установить, что это именно тот комьпьютер, к которому мы хотим подключиться.

В доменной среде это происходит прозрачно и без нашего участия. Однако, если удаленный компьютер не является членом нашего домена, то просто так проверить его подлинность уже не получится. И тут нам предоставляют выбор.

В качестве второго варианта нам предлагается взять ответственность на себя и явным образом вписать все имена и IP-адреса компьютеров в TrustedHosts, что приведет к тому, что при подключении к этим компьютерам их подлинность проверяться никоим образом не будет.

Certificate

Для начала нужно установить сертификат, которому бы доверял компьютер, с которого мы будем подключаться. Если компьютер, с которого мы хотим подключиться является членом домена и в домене развернута роль Certificate Services, то можно выдать сертификат компьютеру рабочей группы через службы сертификатов. В этом случае вопрос доверия выдвнному сертификату не возникнет. Или же можно создать самоподписанный сертификат с использованием какой-либо утилиты для создания сертификатов (например, makecert) или командлета New-SelfSignedCertificate.

Итак, создаем сертификат:

Что мы тут сделали.

Какой из, возможно, нескольких сертификатов компьютера рабочей группы используется для подключения, мы укажем чуть позже.

В параметре -TextExtension мы указываем значения для нескольких полей сертификата.

В отсутствие Subject Alternative Name, единстенным именем, по котому мы могли бы обратиться к компьютеру было бы имя, заданное в поле Subject.

Как видно из примера, мы использовали DNS и IPAddress. Причем никто не будет против, если имя, указанное в поле Subject мы укажем и здесь тоже.

В случае успешного завершения работы командлета будет выведено два значения: Thumbprint и Subject. Значение отпечатка (Thumbprint) нам понадобится на следующем шаге.

Listener

Вообще, мы предполагаем, что PowerShell Remoting уже включен, но если же вдруг это не так, мы можем его включить при помощи командлета:

Если же вступать в диалог с командлетом Enable-PSRemoting и отвечать на задаваемые вопросы не хочется, можно запустить его с параметром -Force.

Итак, возвращаемся к созданию прослушивателя. Создавать мы его будем при помощи утилиты winrm. Одним из аргументов будет значение отпечатка того сертификата, который бы мы хотели использовать для удаленных подключений к этому компьютеру.

Именно этот сертификат будет предъявляться подключающимся при установлении SSL-сессии. Если мы не сохранили отпечаток созданного сертификата, мы можем его получить при помощи команды:

Теперь создадим прослушиватель:

Если мы запускаем эту команду в консоли PowerShell, мы можем получить что-то вроде:

Происходит это потому, что синтаксис утилиты winrm рассчитан на обычную командную строку и он не учитывает, что у PowerShell может быть свое мнение на использование разных специальных символов.

Для того, чтобы для запуска единственной команды не переключаться в cmd, нам нужно попросить PowerShell не парсить всю введенную команду а передать все как есть утилите winrm на выполнение. Сделать мы это можем вставив следующий набор символов после имени утилиты:

Firewall

Trust Issues

Как мы помним, для того, чтобы доменный компьютер мог подключиться к компьютеру рабочей группы, он должен доверять сертификату (или его издателю), который будет предъявлен компьютером к которому мы подключаемся.

Для того, чтобы доменный компьютер начал с большей степенью доверия относиться к созданному нами сертификату, его потребуется экспортировать из хранилища сертификатов Personal компьютера рабочей группы и импортировать в хранилище Trusted Root Certification Authorities доменного компьютера.

Экспортировать сертификат можно как при помощи Microsoft Management Console (она же mmc), так и посредством PowerShell. Так как закрытый ключ в данном случае нам не нужен, мы воспользуемся командлетом Export-Certificate.

Теперь нам нужно скопировать полученный файл на доменный компьютер (предположим, что мы скопировали его в то же место, корень диска C:) и импортировать находящийся в нем сертификат в хранилище Trusted Root Certification Authorities.

Опять же, это можно сделать как через mmc (уже на доменном компьютере), так и через PowerShell:

Enter-PSSession

Так как при подключении нам потребуется указать учетные данные для подключения к удаленному компьютеру, давайте для удобства заранее сохраним их в переменной:

Теперь подключиться к компьютеру рабочей группы должно увеньчаться успехом:

Теперь мы можем попробовать подключиться используя как краткое имя компьютера:

TrustedHosts

Теперь рассмотрим второй вариант, который заключается в том, что вы добавляете имена и IP-адреса всех компьютеров рабочих групп, к которым вы будете подключаться, в TrustedHosts. Результатом этого действия станет то, что ваш компьютер будет относиться к ним с определенной долей доверия и не будет пытаться проверить их подлинность.

Получить текущее значение TrustedHosts можно так:

По умолчанию какое-либо содержимое отсутствует, но если вы ранее что-то уже задавали, то новые значения нужно будет добавить к уже существующим. Опять же, так как мы хотим иметь возможность подключиться с использованием различной идентификационной информации (IP-адрес, имя, FQDN), в TrustedHosts мы добавим все три значения.

Если мы не хотим, чтобы после введения вышеприведенной команды нам приходилось подтверждать свое действие, мы можем добавить к ней параметр -Force:

Теперь мы можем подключиться к удаленному компьютеру используя прослушиватель (listener) по умолчанию. Для этого мы используем те же самые команды, за исключением параметра -UseSSL:

Server Manager

Стоит сказать, что управлять рабочими станциями через Server Manager у нас не получится, но для серверов, по тем или иным причинам не входящим в домен, это вполне себе полезная возможность.

Теперь мы сможем управлять этим сервером так же, как и теми, что входят в домен.

Для подключения откройте стандартное приложение Windows Подключение к удаленному рабочему столу (mstsc.exe). На вкладке Дополнительно нажмите на кнопку Параметры. На вкладке Общие в поле Компьютер введите домен, в поле Пользователь имя пользователя и нажмите Подключить.

Как подключиться к удаленному компьютеру по RDP?

Использование удаленного рабочего стола

Как подключиться к серверу по RDP?

Нажмите комбинацию клавиш Win+R и в открывшемся окне наберите mstsc.exe и кликните “ОК” . В открывшемся окне укажите IP-адрес VDS и кликните кнопку “Подключить” . Затем укажите имя пользователя и пароль из инструкции и кликните “ОК” . При подключении к серверу приложение покажет уведомление о недоверенном сертификате.

Как подключиться через Microsoft Remote Desktop?

Вот как можно установить клиент Удаленного рабочего стола на устройстве Android.

Как настроить компьютер для удаленного подключения?

Как подключиться к удаленному рабочему столу Windows 10?

Для того, чтобы разрешить подключения к удаленному компьютеру, выполните на нем следующие действия:

  1. Откройте «Панель управления»;
  2. Зайдите в раздел «Система»;
  3. Выберите пункт «Защита системы»;
  4. Выберите вкладку «Удаленный доступ»;
  5. Активируйте пункт «Разрешить удаленные подключения к этому компьютеру»;
ЭТО ИНТЕРЕСНО: Как прокачать тормоза с абс на Пежо 406?

Как подключиться к удаленному рабочему столу на мак?

Выполните следующие шаги, чтобы приступить к работе с удаленным рабочим столом на компьютере Mac.

Как подключиться к Ubuntu из Windows с помощью RDP?

Подключение к рабочему столу Ubuntu из Windows

  1. Откройте меню RDP. Для этого нажмите сочетание клавиш Win+R и введите в строку mstsc: Настройка Ubuntu RDP.
  2. Введите IP-адрес машины, к которой хотите подключиться, и нажмите Подключить:
  3. Укажите данные учётной записи Ubuntu, в которой планируете работать, и кликните ОК:

Как подключиться к серверу через удаленный доступ?

Чтобы подключиться к Windows-серверу по RDP:

Как подключиться по RDP с телефона?

Настройка подключения RDP для Android.

  1. Скачиваем приложение RDClient.
  2. Запускаем его и добавляем новое подключение
  3. Выибраем Desktop.
  4. В настройках указываем IP вашего сервера, а также выбираем опцию, будет ли приложение каждый раз запрашивать данные доступа или нет.
  5. Прописываем данные для доступа

Как подключиться через RD Client?

  1. Установите и запустите клиент на вашем Android-планшете.
  2. В главном окне приложения нажмите на «+», чтобы добавить новое подключение.
  3. В открывшемся окне «Edit Remote Desktop» во вкладке «Remote Desktop» введите реквизиты доступа к виртуальной машине.

Как настроить Microsoft Remote Desktop на Mac?

Как установить Microsoft Remote Desktop на Mac?

Установите и настройте Microsoft Remote Desktop для Mac

Как работать с удаленным рабочим столом?

Удаленный рабочий стол позволяет пользователям подключиться к удаленной машине и получить доступ к приложениям или всему рабочему столу. Для создания пользователями сеанса связи клиента и сервера предназначен клиент подключения к удаленному рабочему столу (Remote Desktop Connection — RDC).

Как настроить удаленный доступ с Windows 7 на Windows 10?

Откройте Настройки — нажмите для этого сочетания клавиш [Win] + [I]. Здесь выберите раздел «Система», а затем слева в предложенном списке кликните на «Удаленный рабочий стол». В пункте «Включить удаленный рабочий стол» установите ползунок на «ВКЛ».

Постановка задачи

Разобрать все методы, позволяющие вам включать RDP доступ на Windows системах, понимать какие ключи реестра за это отвечают и как это можно применять на практике.

Методы активации доступа по RDP

Я могу выделить вот такие способы:

  1. Классический метод с использованием оснастки свойств системы Windows
  2. С помощью оболочки и командлетов PowerShell
  3. Удаленное включение, через реестр Windows
  4. Через GPO политику

Как удаленно включить RDP

И так начну с более интересного метода. Предположим, что у вас есть сервер или компьютер, от которого у вас есть учетные данные для входа, но не активен вход через удаленный рабочий стол. И вам хотели бы его активировать. Делается все это просто. Тут мы воспользуемся удаленным доступом через консоль. Откройте окно выполнить (Сочетание клавиш WIN и R одновременно) и в открывшемся окне введите:

Открываем compmgmt.msc в окне выполнить

Далее щелкаете по корню "Управление компьютера (локальным)" правым кликом и в открывшемся окне выберите пункт "Подключиться к другому компьютеру"

удаленное подключение к другому компьютеру

В окне выбора компьютера, вам необходимо нажать кнопку "Обзор", которое откроет второе окошко, где нужно выбрать необходимый компьютер, так как у меня доменная сеть, то мне еще проще. В моем примере это будет компьютер с операционной системой Windows 10 под DNS-именем W10-CL01. Нажимаем ок.

удаленно включить rdp-03

У вас будет произведено подключение к данному компьютеру. Если у вас выскочит ошибка:

Компьютером невозможно управлять. Убедитесь, что сетевой путь указан правильно, компьютер доступен в сети, а на конечном компьютере включены нужные правила брандмауэра Windows

ошибка подключения к удаленному компьютеру через управление компьютером

В данном случае, нужно проверить две вещи:

  • Доступен ли компьютер по сети, для этого проведите элементарный ping компьютера.
  • Это нужно на этом компьютере в брандмауэре Windows разрешить "Удаленное управление журналом событий"

Про то как локально разрешать в брандмауэре службы и порты я говорил, посмотрите по ссылке. Если доступа нет, сделать, это локально, то ниже я приведу пример, как это сделать удаленно. Когда вы подключились к нужному компьютеру или серверу, вам необходимо перед удаленным включением RDP доступа, удостовериться, что у вас на вкладке службы, в активном состоянии запущен сервис "Удаленный реестр".

Вы так же можете из локальной оснастки "Службы", подключиться к удаленной, для этого в окне "Выполнить" введите services.msc и в открывшемся окне щелкните по корню правым кликом, где выберите соответствующий пункт

В моем примере я подключился к удаленным службам, через управление компьютером.

служба удаленного реестра

Если этого не сделать, то подключиться к реестру не получиться, и вы не сможете включить RDP по сети. Переходим в свойства данной службы и в типе запуска выставите вручную, после чего нажмите применить. После этого у вас станет активной кнопка запуска, нажимаем ее и проверяем, что сервис стартанул. После этого переходим к редактированию реестра по локальной сети.

включение удаленного реестра

В окне выполнить введите regedit и у вас откроется реестр Windows .

удаленно включить rdp-07

В самом верху есть меню файл, открыв его вам необходимо найти пункт "Подключить сетевой реестр".

Как включить RDP Windows через реестр

У вас откроется окно поиска, где вам необходимо найти нужный вам сетевой компьютер или сервер, после чего нажать ок.

Как включить RDP Windows через реестр

В итоге у вас в окне редактора реестра Windows появится еще один куст. Именно через данный реестр вы включите RDP службу на удаленной системе.

подключенный удаленный реестр

Теперь выбираем корень сетевого реестра Windows и нажимаем кнопку CTRL+F, у вас откроется форма поиска по нему. Тут вам необходимо найти ключ fDenyTSConnections.

Поиск ключа реестра fDenyTSConnections

Он также по сути должен лежать по пути:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSсonnections

Где ключу fDenyTSConnections вам необходимо изменить значение с 1 на 0, чтобы включить RDP доступ к удаленному компьютеру.

удаленно включить RDP в реестре

Пробуем произвести подключение, для этого откройте клиента подключения к удаленному рабочему столу (mstsc) и смотрим результат.

удаленно включить rdp

Если у вас будут закрыты порты, то вы увидите вот такую картину. При попытке подключиться у вас будет висеть инициализация удаленного подключения.

После чего вы увидите ошибку:

  1. Удаленному рабочему столу не удается подключиться к удаленному компьютеру по одной из следующих причин:
    Не включен удаленный доступ к серверу
  2. Удаленный компьютер выключен
  3. Удаленный компьютер не подключен к сети

Удостоверьтесь, что удаленный компьютер включен, подключен к сети и удаленный доступ к нему включен

Удостоверьтесь, что удаленный компьютер включен

Напоминаю, что вы можете проверить доступность порта , через утилиту Telnet. Проверять нам нужно порт 3389. Вероятнее всего он не ответит. Как я и писал выше откроем порты и создадим правило в брандмауэре. Для этого мы воспользуемся утилитой PSTools.

На выходе у вас будет архив с утилитами, который нужно будет распаковать через архиватор. Когда вы распакуйте его, зажмите клавишу Shift и кликните правым кликом по папке PSTools. Из контекстного меню выберите пункт "Открыть окно команд".

Открытие RDP удаленно-01

Введите вот такую команду:

PsExec.exe \\IP-адрес или DNS-имя компьютера -u domain\логин -p пароль cmd

Мой пример: PsExec.exe \\w10-cl01 -u root\Администратор -p пароль cmd

PsExec.exe открыть RDP

В итоге у вас будет произведено подключение к удаленному компьютеру, вы увидите в заголовке \\dns-имя: cmd. Это означает, что вы успешно подключены.

PsExec.exe Открытие RDP удаленно-03


Далее вступает утилита командной строки netsh, благодаря ей мы создадим правило разрешающее входящие подключения по RDP.

netsh advfirewall firewall add rule name="allow RemoteDesktop" dir=in protocol=TCP localport=3389 action=allow

Открытие RDP удаленно-04

Если вы до этого не включали через реестр доступ к удаленному рабочему столу, то так же это можно выполнить в PsExec.exe:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

По идее все должно работать сразу и без перезагрузки, но если она требуется, то выполните команду:

Удаленно включить RDP

Классический метод включения удаленного рабочего стола

служба удаленных рабочих столов windows Windows 10

У вас откроется окно система. В правой части нажмите пункт "Настройка удаленного доступа", которое вызовет окно свойств системы. НА вкладке "Удаленный доступ", чтобы активировать службы удаленных рабочих столов Windows, вам нужно активировать пункт "Разрешить удаленные подключения к этому компьютеру". После этого у вас в системе сразу будет работать RDP доступ.

Включение RDP Windows 10

А вот метод исключительно для Windows 10 или Windows Server 2016 и выше. Вы открываете параметры Windows. Переходите в пункт система. В системе будет пункт "Удаленный рабочий стол". Активируем ползунок "Включить удаленный рабочий стол". Выскочит окно с подтверждением, говорим "Подтвердить".

удаленно включить rdp в Windows 10

Все функционал RDP активен, можно подключаться с других компьютеров. Данный метод по сути ставит все тужу галку, что мы видели и в классическом окне системы.

служба удаленных рабочих столов windows-02

Этот подход можно с натяжкой назвать удаленным методом включения RDP, так как на той стороне вам потребуются руки которыми вы будите управлять по телефоны.

Как включить удаленный рабочий стол (RDP) через PowerShell

Открываем на компьютере, где необходимо включить RDP службу оснастку PowerShell.

Первая команда активирует галку "Разрешить удаленные подключения к этому компьютеру"

(Get-WmiObject Win32_TerminalServiceSetting -Namespace root\cimv2\TerminalServices).SetAllowTsConnections(1,1)

Вторая команда активирует галку "Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети"

(Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\TerminalServices -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)

Третья команда, включает правило в Брандмауэре

Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Данные команды вы можете собрать в скрипт и распространить его через групповую политику при включении компьютера или автологоне пользователя.

Как удаленно включить RDP через групповую политику

Данный метод включения удаленного рабочего стола на нужном компьютере возможен за счет домена Active Directory, благодаря централизованному управлению рабочих станций ваших сотрудников. Откройте редактор управления групповыми политиками. Создайте новую политику и прилинкуйте ее к нужному организационному подразделению, которое содержит нужный компьютер. После чего зайдите в свойства данной политики и измените ее настройки. Перейдите по пути:

Конфигурация компьютера - Политики - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Узел сеансов удаленных рабочих столов - Подключения - Разрешать удаленное подключение с использованием служб удаленных рабочих столов

Откройте эту настройку и включите ее. Не забываем после этого обновить групповую политику на нужном компьютере и не забываем там открыть порт для RDP. Так же политиками или локально.

Удаленное включение RDP через GPO

Включив настройку вы можете указать конкретные ip-адреса откуда можно производить подключение или же ввести *, это будет означать, для всех.

Для того, чтобы рабочие станции могли взаимодействовать с контроллером домена необходимо выполнить операцию присоединения компьютера к домену. Предварительно в Вашей локальной сети должен быть поднят минимум один контроллер домена. Как это сделать описано в нашей инструкции.

Кроме того, на машине, которая будет вводиться в домен в качестве одного из серверов DNS необходимо указать DNS, которому известно про этот домен, например ip-адрес контроллера домена.

Сама операция присоединения компьютера к домену выполняется достаточно просто. Необходимо открыть Панель управления, выбрать раздел “Система и безопасность” и в нем открыть “Система”.

Панель управления

Панель управления

Панель управления

В открывшемся окне выбрать раздел “Имя компьютера, имя домена и параметры рабочей группы” и нажать кнопку “Изменить параметры”.

Имя компьютера или домена

В открывшемся окне нажимаем кнопку “Изменить”.

Изменение параметров

При желании меняем сетевое имя компьютера, после чего ставим переключатель в положение “Домен” и вводим имя домена к которому хотим присоединиться (контроллер домена должен быть доступен для этой рабочей станции). Нажимаем “ОК”.

Выбор домена для присоединения

Вводим имя и пароль учетной записи, которая имеет право добавлять компьютеры в домен (обычно это администратор домена) и нажимаем “ОК”.

Доступ для учетной записи

Присоединение к домену

Перезагрузка

Теперь можно закрыть окно свойств системы.

Свойства системы

Будет предложено перезагрузить компьютер сразу или позже. После перезагрузки Ваш компьютер станет полноправным членом домена.

Читайте также: