Mithilfe von Remotedesktop-Verbindungsautorisierungsrichtlinien (RD CAPs) können Sie angeben, wer eine Verbindung mit einem RD-Gatewayserver herstellen kann. Dieses Verfahren beschreibt, wie Sie eine neue lokale RD CAP erstellen. Alternativ können Sie einen zentralen RD CAP-Speicher angeben. Weitere Informationen finden Sie unter Angeben eines neuen zentralen RD-CAP-Speichers oder unter Angeben eines vorhandenen lokalen oder zentralen RD-CAP-Speichers.
Wichtig | |
Wenn noch nicht geschehen, müssen Sie auch eine Ressourcenautorisierungsrichtlinie für Remotedesktop (RD-RAP) erstellen. Erst wenn Sie sowohl eine RD CAP als auch eine RD-RAP erstellt haben, können Benutzer über diesenRD-Gatewayserver Verbindungen mit Netzwerkressourcen herstellen. |
Dieses Verfahren beschreibt, wie Sie eine benutzerdefinierte RD CAP mithilfe von Remotedesktopgateway-Manager erstellen. Alternativ können Sie den Autorisierungsrichtlinien-Assistenten verwenden, um schnell eine RD CAP und eine RD-RAP für RD-Gateway zu erstellen.
Grundvoraussetzung zum Abschließen dieses Verfahrens ist die Mitgliedschaft in der lokalen Administratorgruppe oder eine entsprechende Mitgliedschaft auf dem RD-Gatewayserver, den Sie konfigurieren möchten. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter
So erstellen Sie eine Remotedesktop-Verbindungsautorisierungsrichtlinie (RD-CAP) |
Öffnen Sie Remotedesktopgateway-Manager auf dem RD-Gatewayserver. Klicken Sie zum Öffnen von Remotedesktopgateway-Manager auf Start, zeigen Sie auf Verwaltung, zeigen Sie auf Remotedesktopdienste, und klicken Sie dann auf Remotedesktopgateway-Manager.
Erweitern Sie in der Konsolenstruktur den Knoten für den RD-Gatewayserver, der nach dem Computer benannt ist, auf dem der RD-Gatewayserver ausgeführt wird.
Erweitern Sie Richtlinien in der Konsolenstruktur, und klicken Sie dann auf Verbindungsautorisierungsrichtlinien.
Klicken Sie mit der rechten Maustaste auf den Ordner Verbindungsautorisierungsrichtlinien, zeigen Sie auf Neue Richtlinie erstellen, und klicken Sie dann auf Benutzerdefiniert.
Geben Sie im Dialogfeld Neue Remotedesktop-Verbindungsautorisierungsrichtlinie auf der Registerkarte Allgemein im Feld Richtlinienname einen Namen für die Richtlinie ein, und stellen Sie dann sicher, dass das Kontrollkästchen Richtlinie aktivieren aktiviert ist.
Aktivieren Sie auf der Registerkarte Anforderungen unter Unterstützte Windows-Authentifizierungsmethoden mindestens eines der folgenden Kontrollkästchen:
- Kennwort
- Smartcard
Wenn beide Optionen ausgewählt werden, können Clients, die eine der beiden Authentifizierungsmethoden verwenden, Verbindungen herstellen.
- Kennwort
Klicken Sie unter Benutzergruppenmitgliedschaft (erforderlich) auf Gruppe hinzufügen, und geben Sie dann eine Benutzergruppe an, deren Mitglieder eine Verbindung mit dem RD-Gatewayserver herstellen können. Sie müssen mindestens eine Benutzergruppe angeben.
Geben Sie im Dialogfeld Gruppen auswählen den Standort und den Namen der Benutzergruppe an, und klicken Sie dann nach Bedarf auf OK, um den Namen zu überprüfen und das Dialogfeld Gruppen auswählen zu schließen. Wenn Sie mehrere Benutzergruppen angeben möchten, führen Sie eine der folgenden Aktionen aus:
- Geben Sie die Namen der Benutzergruppen ein, und grenzen Sie die einzelnen Namen durch Semikolons voneinander ab.
- Fügen Sie weitere Gruppen aus verschiedenen Domänen hinzu, indem Sie diesen Schritt für jede Gruppe wiederholen.
- Geben Sie die Namen der Benutzergruppen ein, und grenzen Sie die einzelnen Namen durch Semikolons voneinander ab.
Zum Angeben optionaler zusätzlicher Domänenmitgliedschaftskriterien, die Clientcomputer erfüllen müssen, klicken Sie auf der Registerkarte Anforderungen unter Clientcomputer-Gruppenmitgliedschaft (optional) auf Gruppe hinzufügen, und geben Sie dann die Computergruppen an.
Zum Angeben der Computergruppen können Sie dieselben Schritte verwenden wie zum Angeben von Benutzergruppen.
Wählen Sie auf der Registerkarte Geräteumleitung eine der folgenden Optionen aus, um die Umleitung für Remoteclientgeräte zu aktivieren oder zu deaktivieren:
- Um die Umleitung beim Herstellen von Verbindungen über den RD-Gatewayserver für alle Clientgeräte zu gestatten, klicken Sie auf Geräteumleitung für alle Clientgeräte aktivieren. Diese Option ist standardmäßig aktiviert.
- Um die Geräteumleitung beim Herstellen von Verbindungen über den RD-Gatewayserver nur für bestimmte Gerätetypen zu deaktivieren, klicken Sie auf Geräteumleitung für folgende Clientgerättypen deaktivieren, und aktivieren Sie dann die Kontrollkästchen für die Clientgerätetypen, für die die Geräteumleitung deaktiviert werden soll.
- Um die Umleitung beim Herstellen von Verbindungen über den RD-Gatewayserver für alle Clientgeräte zu gestatten, klicken Sie auf Geräteumleitung für alle Clientgeräte aktivieren. Diese Option ist standardmäßig aktiviert.
Um nur Clientverbindungen mit Servern zuzulassen, die eine Umleitung sicherer Geräte erzwingen, aktivieren Sie auf der Registerkarte Geräteumleitung das Kontrollkästchen Nur Clientverbindungen mit Remotedesktop-Sitzungshostservern zulassen, die RD-Gatewaygeräteumleitung erzwingen.
Vorsicht Durch Aktivieren des Kontrollkästchens Nur Clientverbindungen mit Remotedesktop-Sitzungshostservern zulassen, die RD-Gatewaygeräteumleitung erzwingen wird verhindert, dass Benutzer, die eine ältere Version als Remotedesktopverbindung (RDC) 7.0 ausführen, eine Verbindung herstellen.
Auf der Registerkarte Zeitüberschreitungen können Sie unter folgenden Optionen zum Aktivieren oder Deaktivieren von Zeitüberschreitungen wählen:
- Aktivieren Sie das Kontrollkästchen Leerlaufzeitlimit aktivieren, um Zeitüberschreitungseinstellungen zum Trennen von Verbindungen für eine Leerlaufremotesitzung festzulegen, wenn Sie eine Verbindung über den RD-Gatewayserver herstellen. Geben Sie im Feld Sitzung nach folgender Leerlaufzeit trennen (Minuten) an, für welchen Zeitraum (in Minuten) eine Remotesitzung im Leerlauf sein kann, bevor die Sitzung getrennt wird.
- Aktivieren Sie das Kontrollkästchen Sitzungszeitüberschreitung aktivieren, um Einstellungen für Sitzungszeitüberschreitungen festzulegen, wenn Sie eine Verbindung über den RD-Gatewayserver herstellen. Geben Sie im Feld Sitzungszeitüberschreitung nach den Zeitraum (in Minuten) ein, bis eine Sitzungszeitüberschreitung in Kraft tritt. Wählen Sie die Maßnahme, die nach einer Zeitüberschreitung der Benutzersitzung ergriffen werden soll:
- Klicken Sie auf Sitzung trennen, um die Remotesitzung zu trennen.
- Wenn die Sitzung ununterbrochen fortgesetzt werden soll, sofern keine Änderungen am Benutzerprofil vorgenommen wurden, klicken Sie auf Sitzung im Hintergrund erneut authentifizieren und autorisieren.
- Klicken Sie auf Sitzung trennen, um die Remotesitzung zu trennen.
- Aktivieren Sie das Kontrollkästchen Leerlaufzeitlimit aktivieren, um Zeitüberschreitungseinstellungen zum Trennen von Verbindungen für eine Leerlaufremotesitzung festzulegen, wenn Sie eine Verbindung über den RD-Gatewayserver herstellen. Geben Sie im Feld Sitzung nach folgender Leerlaufzeit trennen (Minuten) an, für welchen Zeitraum (in Minuten) eine Remotesitzung im Leerlauf sein kann, bevor die Sitzung getrennt wird.
Klicken Sie auf OK.
Die neue lokale RD CAP, die Sie erstellt haben, wird im Ergebnisbereich von Remotedesktopgateway-Manager angezeigt. Wenn Sie auf den Namen der RD CAP klicken, werden die Richtliniendetails im unteren Bereich angezeigt.