Med jevne mellomrom så havner jeg i situasjoner som gjør at jeg skulle ønske at remote desktop var aktivert på maskiner jeg har behov for å gå inn på. Her ser du hvordan dette gjøres enten via registry eller Group Policy.

Sitter man i nærheten av maskinen er det så klart enkelt å gå og slå det på, men ofte sitter man remote og jobber og andre ganger er maskinen rett og slett ikke så lett tilgjengelig fysisk.

Som med de fleste problemer så finnes det heldigvis en løsning. Løsningen krever at “remote registry”-tjenesten kjører og maskinen må restartes, så det vil nok være situasjoner når løsningen ikke kan brukes. Man må også være administrator på både maskinen man sitter på og maskinen man skal endre.

Slå på Remote Desktop via registry

1. Start registereditoren ved å klikke Start, Run og skrive inn “regedit”

2. Koble opp mot nettverksregisteret ved å velge menyen File, Connect Network Registry… og følg veiviseren.
3. Bla ned til HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server

   Denne nøkkelen finnes selv om du ikke har installert Terminal Services, også på Windows XP og Vista er den der.

   Her finner du en verdi som heter “fDenyTSConnections“. Har den verdien 1 så er tjenesten slått av. Egentlig er den slått på som betyr at den er av ;-). Endre verdien til 0 for å slå på remote desktop.

4. Her finner vi også en liten bonus. Hvis du ser videre nedover finner du en verdi som heter “TSAdvertise“. Setter du denne til 1 så vil man kunne se maskinen med å bla i Remote Desktop-klienten på samme måtte som vi ser servere som har installert Terminal Service-rollen.

Slå på Remote Desktop via Group Policy

1. Start Group Policy-editoren og lag en ny eller modifiser en eksisterende policy. Stien som skal editeres er:
   Computer Configuration / Administrative Templates / Windows Components / Terminal Services / Terminal Server / Connections

2. Endre “Allow users to connect remotely using Terminal Services” til Enable.

Husk at policyene kan styres ved hjelp av rettigheter til å ikke påvirke andre maskiner enn de du måtte ønske å utføre det på.

Flere nødvendige justeringer

Siden det øverste avsnittet innebærer en registerendring som er manuelt utført så blir den ikke aktiv før maskinen har restartet, og hvis den har brannvegg slått på må denne bli skrudd av eller man må åpne for unntak.

På Windows Server 2008 og Vista må man ikke slå av brannvegg service via remote oppkobling mot Services, systemet vil da nekte deg tilgang.

1. Restart av maskinen
   For å restarte maskinen bruk kommandolinjeverktøyet shutdown. Eksempel:
   Shutdown -r -m maskin-navn (eventuelt IP)

   R står for reboot og M for å angi maskin navn. Hvis man ikke ønsker å vente de 30 sekundene som er default før en restart kan man angi “/t 5” for å restarte etter 5 sekunder. I noen tilfelle er også /f nødvendig for å tvinge gjennom en avslutting av kjørende applikasjoner. Men husk at alle som bruker maskinen eller tjenester fra maskinen mister kontakt og det er fare for datatap hvis du ikke passer på.

   Skal du konfigurere brannvegg så bør du vente med å restarte maskinen før alt er ferdig, da sparer du deg en restart.

   Gjøres det med hjelp av en Group Policy så bør man kjøre en restart allikevel, hvis ikke må man vente på refresh intervall som er 90 minutter som standard med 30 minutter off-set. Så det vil da ta 1 til 2 timer mellom hver oppdatering periode, har du flaks er det ikke lenge til neste refresh periode, men man vet ikke når disse kommer.

2. Endre brannvegg
   Det er flere måter å endre brannveggreglene på. I noen scenarioer må man velge riktig. For eksempel fungere ikke alltid netsh -r eller man har ikke Active Directory-rettigheter nok til å lage Group Policier. Derfor kommer det nå to måter å gjøre det på:
   1. Netsh
      Man kan bruker NetSH remote for å konfigurere brannvegginnstillingene. Kommandoen for det er:

      netsh -r “maskinnav” -u “domene/brukernavn” -p “passord” advbrannvegg brannvegg set rule group=”remote desktop” new enable=Yes

   2. Group Policy
      I en Group Policy kan man slå av brannveggen helt ved å gå inn på:
      Computer Configuration/Administrative Templates/Network/Network Connections/Windows Brannvegg/

      Velg riktig profil og endre “Windows Brannvegg: Protect all network connections” til Disabled. Dette er ikke å anbefale, men en mulighet.

      

   3. Oppstartsscript
      En bedre løsning er å bruke et oppstartsskript for maskinen som tilpasser brannveggen til å godta “Remote Desktop”. Skriptet legges inn i en Group Policy under:
      Computer Configuration/Windows Settings/Script/

      

      Skriptet skal inneholde følgende:
      netsh advbrannvegg brannvegg set rule group=”remote desktop” new enable=Yes

   4. Registry
      Er ikke maskinen med i domene eller du ikke ønsker å bruke policyer (husk at en policy kan bli satt opp slik at du kun påvirker 1 maskin med å bruker rettigheter), må man sørge for at skriptet blir kjørt under oppstart. Dette kan igjen gjøres ved å endre registeret. Under stien:

      HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce

      velger du å opprette en ny nøkkel. Bruk menyen “New, String Value” og skriv inn et navn på nøkkelen. (Bruk hva du vil, da dette ikke har noen påvirkning). Som verdi bruk stien og navnet på filen som inneholder skriptet som nevnt tidligere. Det lureste er å kopiere filen inn på den lokale disken på maskinen bruk da gjerne den skjulte stien //maskinnavn/c$ .

      

      Siden “RunOnce” brukes når en logger seg på maskinen, må vi sørge for at maskinen automatisk logger seg på etter reboot (i Windows XP og tidligere versjoner kunne man bruke andre registrynøkler som RunServiceOnce, men av sikkerhetshensyn er disse fjernet). Vi må derfor også endre/legge til noe under stien:

      HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

      Vi skal endre “AutoAdminLogon“-verdien til 1 og legge til (eventuelt endre hvis de alt eksisterer) “DefaultUserName” som skal være en “String Value (REG_SZ)“. Det skal også “DefaultPassword” være. Som du sikkert skjønner så skal “DefaultUserName” være brukeren som skal logge på og “DefaultPassword” er passordet til den brukeren.

      

      Brukeren trenger ikke å være administrator. Den bør faktisk ikke være det. Og ikke minst når man er ferdig, så må man passe på fjerne denne infoen fra registeret igjen og sette “AutoAdminLogon” til 0 igjen. Denne ryddejobben kan forsåvidt effektiviseres ved å bruke en reg-fil som endrer innstillingen og kjøre denne som en del av skriptet som tilpasser brannveggen.

   5. Slå av oppstart av brannmur
      Man kan slå av brannveggen helt på XP/2003 via tjenestene remote fra, mens på Vista/2008 må man bruke nok en registry-innstilling. Gå inn på remote registry og finn frem til:

      HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/MpsSvc

      Og endre verdien “Start” til 4 (2 = Automatic, 4 = Disabled). Husk å slå på brannveggen igjen når du er ferdig.

      Etter en restart bør det nå virke. Husk å fjerne brukernavnet og passordet i registeret og sett “AutoAdminLogon” til 0 igjen.

Enkelt sagt så skal dette gjøres:

1. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server
   Nøkkel “fDenyTSConnections” settes til verdien 1 ved hjelp av remote registry
2. netsh -r “maskinnav” -u “domene/brukernavn” -p “passord” advbrannvegg brannvegg set rule group=”remote desktop” new enable=Yes
   For å modifisere brannveggreglene eller en av de andre metodene forklart ovenfor.
3. Shutdown -r -m “datamaskin navn eller IP”
   For å restarte maskinen.
4. Bruk Remote Desktop. Husk å fjerne autologin hvis du måtte bruke det.

Eller ved hjelp av Group Policy

1. Computer Configuration/Administrative Templates/Windows Components/Terminal Services/Terminal Server/Connections
   Og endre “Allow users to connect remotely using Terminal Services” til Enable
2. Computer Configuration/Administrative Templates/Network/Network Connections/Windows Brannvegg/”
   Velge riktig profil og endre “Windows Brannvegg: Protect all network connections” til Disabled
3. Shutdown -r -m “datamaskin navn eller IP”
   For å restarte maskinen.
4. Bruk Remote Desktop.

Anbefaler på det sterkeste å lage bedre brannveggregler enn å bare slå den av!

Juks deg litt på vei

Ønsker du å jukse og gjøre det enda lettere så prøv ut verktøyet RDP Enable Utility som er gratis. Du må derimot fortsatt endre brannvegginnstillingene på Vista og Server 2008. Tror ikke det er nødvendig på XP/2003, men har ikke testet det.

Last ned RDP Enable Utility.

Eller du kan finne frem lommeboken å kjøpe programmet VNCScan Enterprise Network Manager (finnes i 30 dagers trial versjon) som også har masse annet bra hvis du har mange servere og arbeidsstasjoner som du bruker remote desktop mot, spesielt hvis du også bruker VNC vil dette verktøyet gi deg mye. Prisen er overkommelig, men test det ut først. Igjen så må brannveggen tilpasses, i hvert fall på Vista/2008.

Last ned VNCScan Enterprise Network Manager 2009.2.25.