Wie man die Windows Remote Desktop Users-Gruppe konfiguriert

Windows Remote Desktop ist eine der leistungsstärksten integrierten Funktionen, die Microsoft je ausgeliefert hat. Sie ermöglicht es Administratoren, Support-Teams und autorisierten Benutzern, sich von überall auf der Welt mit einem Computer zu verbinden und ihn vollständig zu steuern – ohne physisch davor zu sitzen. Doch mit dieser Leistungsfähigkeit geht eine kritische Verantwortung einher: zu kontrollieren, wer Fernzugriff erhält und was diese Personen nach der Verbindung tun können.

Standardmäßig beschränkt Windows den Fernzugriff auf Administratoren. Das ist eine sinnvolle Voreinstellung, schafft aber ein praktisches Problem: Man möchte nicht immer Admin-Zugangsdaten herausgeben, nur damit sich jemand remote anmelden kann. Genau hier kommt die Gruppe der Remotedesktopbenutzer ins Spiel.

Dieser Leitfaden führt Sie durch alles, was Sie wissen müssen – vom Verständnis des Zwecks der Gruppe über die Aktivierung von RDP, das Hinzufügen und Entfernen von Benutzern bis hin zur Überprüfung des Zugriffs – damit Sie die Remote-Konnektivität sicher und effizient verwalten können.

Was ist die Gruppe der Remotedesktopbenutzer?

Die Gruppe der Remotedesktopbenutzer ist eine integrierte lokale Sicherheitsgruppe in Windows. Ihr einziger Zweck besteht darin, Nicht-Administrator-Konten das Recht zu gewähren, eine Remote Desktop Protocol (RDP)-Sitzung mit einem Computer herzustellen.

Warum das in der Praxis wichtig ist:

• Ohne diese Gruppe können sich nur Mitglieder der lokalen Administratorengruppe per RDP verbinden.
• Mit dieser Gruppe können Sie bestimmten Standardbenutzern Fernzugriff gewähren, ohne ihre Berechtigungen auf vollständige Administratorrechte zu erhöhen.
• Dies folgt dem Prinzip der minimalen Rechtevergabe – einem grundlegenden Konzept der Systemsicherheit, das besagt, dass Benutzer nur die Berechtigungen haben sollten, die sie tatsächlich benötigen.

Ob Sie eine einzelne Workstation oder eine Flotte von Servern verwalten – das Verstehen und korrekte Konfigurieren dieser Gruppe ist ein unverzichtbarer Bestandteil einer verantwortungsvollen Systemadministration.

> Betreiben Sie einen Remote-Server? Wenn Sie eine VPS Hosting-Umgebung verwalten, ist die korrekte Konfiguration der RDP-Benutzergruppe besonders wichtig, da Ihr Server dem öffentlichen Internet ausgesetzt ist.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Folgendes vorhanden ist:

• Lokaler Administratorzugriff auf dem Computer, den Sie konfigurieren möchten (ohne diesen können Sie keine lokalen Gruppen ändern).
• Die genauen Benutzernamen der Konten, die Sie zur Gruppe der Remotedesktopbenutzer hinzufügen möchten.
• Remotedesktop aktiviert auf dem Zielcomputer (wird in Schritt 1 unten behandelt).
• Netzwerkkonnektivität zwischen dem Client-Computer und dem Zielhost, mit geöffnetem TCP-Port 3389 in der Firewall.

Schritt 1: Remotedesktop auf dem Zielcomputer aktivieren

Bevor Sie verwalten können, wer sich per RDP verbindet, müssen Sie bestätigen, dass Remotedesktop tatsächlich aktiviert ist. So geht’s:

Systemeigenschaften öffnen

1. Klicken Sie mit der rechten Maustaste auf Dieser PC (oder Arbeitsplatz) auf dem Desktop oder im Datei-Explorer.
2. Wählen Sie Eigenschaften.

Auf Remote-Einstellungen zugreifen

1. Klicken Sie im linken Bereich auf Remoteeinstellungen. Dadurch wird der Dialog Systemeigenschaften direkt auf der Registerkarte Remote geöffnet.

Remotedesktop aktivieren

1. Wählen Sie im Abschnitt Remotedesktop die Option Remoteverbindungen mit diesem Computer zulassen.
2. Möglicherweise erscheint eine Aufforderung mit einem Hinweis zu Firewallregeln – klicken Sie auf OK, damit Windows die Firewallausnahme für RDP automatisch konfiguriert.

Authentifizierung auf Netzwerkebene (NLA)

1. Sie sehen ein Kontrollkästchen mit der Bezeichnung Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen).

• Lassen Sie dieses Kontrollkästchen in den meisten Fällen aktiviert. NLA erfordert, dass Benutzer sich authentifizieren, bevor eine vollständige RDP-Sitzung aufgebaut wird, was die Angriffsfläche gegen Brute-Force- und Denial-of-Service-Angriffe erheblich reduziert.
• Deaktivieren Sie es nur, wenn Sie ältere Clients unterstützen müssen, die NLA nicht unterstützen (Windows XP, ältere Thin Clients usw.). Dies ist ein Sicherheitskompromiss und sollte dokumentiert werden.

Änderungen übernehmen

1. Klicken Sie auf Übernehmen und dann auf OK.

Remotedesktop ist jetzt auf diesem Computer aktiv.

Schritt 2: Benutzer zur Gruppe der Remotedesktopbenutzer hinzufügen

Mit aktiviertem RDP können Sie nun die Gruppe der Remotedesktopbenutzer mit den Konten befüllen, die Zugriff benötigen.

Methode A: Über die Computerverwaltung (Empfohlen für die meisten Administratoren)

Computerverwaltung öffnen:

1. Klicken Sie mit der rechten Maustaste auf die Schaltfläche Start und wählen Sie Computerverwaltung.

• Alternativ drücken Sie Windows + R, geben compmgmt.msc ein und drücken Enter.

Zu lokale Benutzer und Gruppen navigieren:

1. Erweitern Sie im linken Bereich Lokale Benutzer und Gruppen.
2. Klicken Sie auf Gruppen.

Die Gruppe der Remotedesktopbenutzer öffnen:

1. Suchen Sie im mittleren Bereich nach Remotedesktopbenutzer und doppelklicken Sie darauf. Dadurch wird das Eigenschaftenfenster der Gruppe geöffnet.

Benutzer hinzufügen:

1. Klicken Sie auf die Schaltfläche Hinzufügen.
2. Geben Sie im Dialogfeld Benutzer auswählen die Benutzernamen der Konten ein, die Sie hinzufügen möchten. Trennen Sie bei mehreren Benutzern die Namen durch ein Semikolon (;).
3. Klicken Sie auf Namen überprüfen, um die Einträge gegen die lokale Benutzerdatenbank (oder Active Directory, wenn domänengebunden) zu validieren.
4. Klicken Sie zur Bestätigung auf OK.

Speichern und schließen:

1. Klicken Sie erneut auf OK, um das Eigenschaftenfenster der Remotedesktopbenutzer zu schließen.

Die ausgewählten Benutzer haben nun RDP-Zugriff auf diesen Computer.

Methode B: Über PowerShell (Schneller für Massenoperationen)

Wenn Sie mehrere Computer verwalten oder diesen Prozess automatisieren möchten, ist PowerShell weitaus effizienter.

Einen einzelnen Benutzer hinzufügen:

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "username"

Einen Domänenbenutzer hinzufügen:

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "DOMAINusername"

Aktuelle Gruppenmitglieder anzeigen:

Get-LocalGroupMember -Group "Remote Desktop Users"

Einen Benutzer entfernen:

Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "username"

PowerShell-Befehle können per Skript über Gruppenrichtlinien oder Remote-Management-Tools bereitgestellt werden, was sie ideal für Unternehmensumgebungen oder die Verwaltung von Dedicated Servers in großem Maßstab macht.

Methode C: Über die Verknüpfung in den Systemeigenschaften

Es gibt einen schnelleren Weg direkt aus dem Dialog der Remote-Einstellungen:

1. Kehren Sie zu Systemeigenschaften → Registerkarte Remote zurück.
2. Klicken Sie unten auf die Schaltfläche Benutzer auswählen…
3. Dadurch öffnet sich eine vereinfachte Version desselben Dialogs, mit der Sie Benutzer zur Gruppe der Remotedesktopbenutzer hinzufügen oder daraus entfernen können, ohne durch die Computerverwaltung navigieren zu müssen.

Schritt 3: Überprüfen, ob der Benutzerzugriff funktioniert

Konfiguration ohne Überprüfung ist unvollständig. Nachdem Sie Benutzer zur Gruppe hinzugefügt haben, bestätigen Sie, dass der Zugriff tatsächlich wie erwartet funktioniert.

Die Verbindung testen

1. Drücken Sie auf dem Client-Computer Windows + R, geben Sie mstsc ein und drücken Sie Enter, um die Remotedesktopverbindung zu starten.
2. Geben Sie die IP-Adresse oder den Hostnamen des Zielcomputers ein.
3. Klicken Sie auf Verbinden.
4. Geben Sie bei Aufforderung die Anmeldeinformationen des neu hinzugefügten Benutzers ein (kein Admin-Konto).

Was zu erwarten ist

• Wenn alles korrekt konfiguriert ist, authentifiziert sich der Benutzer und landet in einer Remote-Desktop-Sitzung.
• Wenn die Verbindung abgelehnt wird, überprüfen Sie Folgendes:
• Der Benutzer ist tatsächlich in der Gruppe der Remotedesktopbenutzer.
• Remotedesktop ist auf dem Zielcomputer aktiviert.
• Die Windows-Firewall lässt eingehende Verbindungen auf TCP-Port 3389 zu.
• Keine Gruppenrichtlinie überschreibt die lokalen RDP-Einstellungen (häufig in Domänenumgebungen).

Die Windows-Firewallregel überprüfen

Öffnen Sie die Windows Defender-Firewall mit erweiterter Sicherheit und bestätigen Sie, dass die Regel Remotedesktop – Benutzermodus (TCP eingehend) aktiviert und auf Verbindung zulassen eingestellt ist.

Schritt 4: Benutzer verwalten und entfernen

Zugriffsverwaltung ist eine fortlaufende Verantwortung, keine einmalige Aufgabe. Benutzer verlassen Organisationen, Rollen ändern sich, und Zugriff, der vor sechs Monaten angemessen war, kann heute ein Sicherheitsrisiko darstellen.

Einen Benutzer über die Computerverwaltung entfernen

1. Öffnen Sie die Computerverwaltung (compmgmt.msc).
2. Navigieren Sie zu Lokale Benutzer und Gruppen → Gruppen.
3. Doppelklicken Sie auf Remotedesktopbenutzer.
4. Wählen Sie das Benutzerkonto aus, das Sie entfernen möchten.
5. Klicken Sie auf Entfernen.
6. Klicken Sie auf OK, um die Änderungen zu speichern.

Einen Benutzer über PowerShell entfernen

Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "username"

Best Practices für die laufende Zugriffsverwaltung

Erweiterte Überlegungen

Gruppenrichtlinien und Domänenumgebungen

In einer Active Directory-Domäne können lokale Gruppeneinstellungen durch Gruppenrichtlinienobjekte (GPOs) überschrieben werden. Die relevante Richtlinie befindet sich unter:

Computer Configuration → Windows Settings → Security Settings →
Local Policies → User Rights Assignment → Allow log on through Remote Desktop Services

Wenn Benutzer trotz Mitgliedschaft in der lokalen Gruppe der Remotedesktopbenutzer keine Verbindung herstellen können, prüfen Sie, ob ein GPO dieses Recht auf Domänenebene einschränkt oder überschreibt.

RDP über eine sichere Verbindung

Port 3389 direkt dem Internet auszusetzen ist ein bekanntes Sicherheitsrisiko. Angreifer scannen aktiv nach offenen RDP-Ports. Erwägen Sie diese Härtungsmaßnahmen:

• Den Standard-RDP-Port von 3389 auf einen nicht standardmäßigen Port ändern.
• Ein VPN verwenden, um RDP-Datenverkehr zu tunneln, anstatt ihn öffentlich zugänglich zu machen.
• Ein RDP-Gateway einrichten, um Verbindungen zu vermitteln und zu authentifizieren, bevor sie den Zielcomputer erreichen.
• Kontosperrungsrichtlinien aktivieren, um Brute-Force-Versuche zu begrenzen.

> Betreiben Sie Ihren eigenen Server? Wenn Sie Windows auf einem VPS mit cPanel oder einem verwalteten Dedicated Server betreiben, umfasst die Infrastruktur von AlexHost DDoS-Schutz und Firewalling auf Netzwerkebene, das eine wichtige erste Verteidigungslinie rund um Ihre RDP-Endpunkte bildet.

Ihre Serverumgebung weiter absichern

Die Konfiguration von Remotedesktop ist nur eine Schicht einer umfassenden Sicherheitsstrategie. Wenn Sie geschäftskritische Dienste auf Ihrem Server betreiben, sollten Sie Ihre RDP-Härtung mit Folgendem kombinieren:

• Ein gültiges SSL-Zertifikat für alle webbasierten Dienste auf demselben Host.
• Ordnungsgemäße Domainregistrierung und DNS-Konfiguration, damit Ihr Server über einen vertrauenswürdigen Hostnamen statt einer reinen IP-Adresse erreichbar ist.
• E-Mail-Hosting getrennt von Ihrem primären Server, um die Angriffsfläche zu reduzieren.

Häufige RDP-Probleme beheben

Fazit

Die Konfiguration der Windows-Gruppe der Remotedesktopbenutzer ist eine grundlegende Fähigkeit für jeden Systemadministrator. Richtig durchgeführt, gibt sie Ihnen präzise, granulare Kontrolle darüber, wer remote auf einen Computer zugreifen kann – ohne unnötigerweise Administratoranmeldeinformationen weiterzugeben.

Zusammenfassung der wichtigsten Schritte:

1. Remotedesktop aktivieren in den Systemeigenschaften und NLA entsprechend konfigurieren.
2. Benutzer hinzufügen zur Gruppe der Remotedesktopbenutzer über die Computerverwaltung, PowerShell oder die Verknüpfung in den Systemeigenschaften.
3. Zugriff überprüfen durch Testen einer Verbindung mit dem neu hinzugefügten Benutzerkonto.
4. Zugriff fortlaufend verwalten – Benutzer entfernen, die keinen Zugriff mehr benötigen, und die Gruppenmitgliedschaft regelmäßig prüfen.

Remotedesktop ist ein unverzichtbares Werkzeug für die Remote-Verwaltung, den IT-Support und die Serveradministration. Aber wie jedes leistungsstarke Werkzeug erfordert es eine sorgfältige Konfiguration und kontinuierliche Überwachung, um sicher zu bleiben.

Ob Sie eine einzelne Workstation oder eine gesamte Infrastruktur aus VPS-Servern und dedizierten Maschinen verwalten – diese Grundsätze gelten universell. Entwickeln Sie jetzt gute Gewohnheiten, und Ihr Remote-Zugriffs-Setup wird langfristig sowohl produktiv als auch sicher sein.