Konfiguration des Active Directory-Benutzerkontos
Der Benutzer des Enrollment Agents und der NLA-Benutzer müssen in Microsoft Active Directory erstellt werden. Im Folgenden wird beschrieben, wie Sie diese Benutzer anlegen.
Benutzerkonto des Enrollment Agents
Das Benutzerkonto des Enrollment Agents ist erforderlich, um Zertifikate über den RAS-Registrierungsserver im Namen des authentifizierten Benutzers zu registrieren. Beachten Sie, dass der Enrollment Agent-Benutzer Anmelderechte auf dem Rechner benötigt, auf dem der RAS Enrollment Server Agent installiert ist.
NLA-Benutzerkonto
Der NLA-Benutzer wird benötigt, um die NLA-Verbindung mit RD-Sitzungshosts und/oder VDI-Gästen zu initiieren. Beachten Sie, dass der NLA-Benutzer Anmelderechte für den Sitzungshost benötigt.
Der NLA-Benutzer muss Mitglied der Gruppe der Remotedesktopbenutzer sein und die Berechtigung Anmelden über Remotedesktopdienste zulassen erhalten. Gleichzeitig muss es dem NLA-Benutzer untersagt werden, sich über Remotedesktopdienste anzumelden.
Um das NLA-Benutzerkonto auszuschließen, muss ihm das Recht Anmelden über Remotedesktopdienste verweigern zugewiesen werden.
Um beide Ziele zu erreichen, können Sie lokale oder Domänen-GPOs (mit OU oder domänenweit verknüpft) verwenden.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam ist. Jede Änderung der Zuweisung von Benutzerrechten für ein Konto wird wirksam, wenn sich der Eigentümer des Kontos das nächste Mal anmeldet.
Die Gruppenrichtlinieneinstellungen werden über GPOs in der folgenden Reihenfolge angewendet, wodurch die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:
Lokale Richtlinieneinstellungen
Einstellungen der Website-Richtlinien
Einstellungen der Domänenrichtlinie
OU-Richtlinien-Einstellungen
Erstellen Sie ein neues GPO oder verwenden Sie das Standard-Domänenrichtlinien-GPO wie folgt:
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC).
Öffnen oder erstellen Sie ein GPO, das mit der OU verknüpft ist, in der sich die RDSH- oder VDI-Objekte befinden.
Navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisung von Benutzerrechten und öffnen Sie die Option Anmeldung über Remotedesktopdienste zulassen“.
Wählen Sie Benutzer oder Gruppe hinzufügen...“, fügen Sie den NLA-Benutzer hinzu und klicken Sie auf OK.
Hinweis: Diese Option setzt die Standardeinstellungen (auf der Workstation und den Servern: Administratoren, Remotedesktopbenutzer; auf Domänencontrollern: Administratoren) außer Kraft. Vergessen Sie daher nicht, die Gruppen wie lokale Administratorengruppe oder Domänen-Administratorengruppe hinzuzufügen.
Navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisung von Benutzerrechten und öffnen Sie die Option Anmelden über Remotedesktopdienste verweigern.
Wählen Sie Benutzer oder Gruppe hinzufügen...“, fügen Sie den NLA-Benutzer hinzu und klicken Sie auf OK.