Авторизация каждого пользователя

Определения

NLA - Network-Level Authentication

ddos - Distributed Denial of Service

Начиная с версии Windows Server 2008 R2 по умолчанию включена авторизация с NLA - у пользователя нет окна для ввода логина/пароля. Сделано это в т.ч для защиты от ddos - подробнее можно почитать здесь.

Для предоставления пользователю возможности ввода логина и пароля необходимо отключить NLA на стороне сервера, а именно:

  • через групповую политику - зайти в целевой объект групповой политики и там последовательно выбрать “Computer Configuration” -> “Administrative Templates” -> “Windows Components” -> “Remote Desktop Session Host” -> “Security” и там включить параметр Require user authentication for remote connections by using Network Layer Authentication.
  • локально - подменю Properties (стандартное подменю у Computer) и выбора там вкладки Remote, в которой будет выбор из трёх вариантов – запрещать подключения по RDP к данному хосту, разрешать подключения по любому RDP, разрешать только с NLA. Всегда включайте вариант с NLA, это в первую очередь защищает сервер.
  • при включенном терминальном сервисе - открыть "Конфигурация узла сеансов удаленных рабочих столов", выбрать "Свойства RDP-Tcp", снять галку "Разрешить подключаться только с компьютеров , на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети".

 

В случае необходимости использовать авторизацию с NLA можно принудительно вводить имя и пароль пользователя на стороне клиента. Для этого отметить <Remote server settings> <Session 1 - <Ctrl+Alt+F1> ><RDP>  \ <RDP authorization> \ Prompt password: [ ] default Off