Remotedesktop – Zugriff verweigert

Hallo zusammen,

vor einiger Zeit rief mich einer unserer Kollegen an, und bat mich um Hilfe bei einem Zugriffsproblem auf einem Windows 2008 R2 Terminalserver. Das Problem stellte sich wie folgt dar:

Nach einigen Konfigurationen wurde bei einer RDP-Sitzung, die auf den Server hergestellt werden sollte, nur noch eine „Zugriff verweigert“-Meldung angezeigt. Die Meldung war an sich seltsam, da wir uns zunächst als Administrator verbinden wollten, der üblicherweise über genügend Berechtigungen zur Anmeldung per RDP verfügt.

Nach einigen Versuchen mit verschiedenen Usern und Berechtigungsstufen (Hauptsächlich definiert durch Gruppenmitgliedschaften) stand für uns fest, dass es sich hierbei um ein globales Problem des Servers handeln musste. Die Prüfung des Ereignisprotokolls brachte keine brauchbaren oder in irgendeiner Form mit der Zugriffsverweigerung zusammenhängenden Meldungen zum Vorschein.

Nach einiger Recherche im Internet stießen wir auf folgenden Blog im Technet: The Case of the Mysterious Access Denied aka More on Service Hardening

Hier beschreibt Tim Newton das selbe Phänomen, direkt beim Anmelden an dem Terminalserver wird ihm eine „Access-Denied“ Meldung entgegen geworfen, ganz unabhängig von dem User, seinen Berechtigungen oder ähnlichem. Er beschreibt, das letztendlich ein Vergleich der Registry zwischen einem neu installiertem System und dem betroffenen Server die Fehlerursache zum Vorschein brachte – anscheinend lief der Windows-Dienst „Remotedesktopdienste“ mit den Berechtigungen von „LocalSystem“, statt „NetworkService“ (in unserem Fall „Lokales System“ statt „Netzwerkdienst“)

Diese Einstellung kann auf 2 Arten geändert werden, über die Windows-Dienste in der MMC oder die Registry. Betrachten wir zunächst die „einfachere“ Möglichkeit, sprich die Eigenschaften des Dienstes in der MMC zu ändern. Starten wir zunächst das MMC Snap-In „Dienste“. Dies passiert entweder über Start, Ausführen, „services.msc“ oder über die Computerverwaltung (Rechtsklick auf Computer, Verwalten, Konfiguration, Dienste)

Hier suchen wir uns den betroffenen Dienst aus, und öffnen seine Eigenschaften (rechte Maustaste, Eigenschaften bzw. Doppelklick oder ALT + ENTER). Interessant ist vor allem der Reiter „Anmelden“, hier wird hinterlegt, als welcher Benutzer der Dienst gestartet werden soll.

Fälschlicherweise ist hier aktuell „Lokales Systemkonto“ hinterlegt. Diesen Eintrag ändern wir zunächst auf „Dieses Konto“ und wählen den Button „Durchsuchen…“. In der erscheinenden Maske wählen wir „Erweitert…“ unten links im Eck, um die Konten auf diesem Rechner mit „Jetzt suchen“ durchsuchen zu können. Ich bevorzuge diese Methode um Tippfehlern vorzubeugen 😉

Als korrekter Benutzer muss hier „Netzwerkdienst“ ausgewählt werden, was wir mit OK durch-bestätigen, bis wir wieder im MMC-Snapin „Dienste“ stehen. Sollte die Meldung erscheinen, das Kennwort des Kontos sei nicht gültig, leeren wir einfach beide Kennwort-Felder, und bestätigen noch einmal. Nach einem Neustart des Dienstes sollte nun in der letzten Spalte der MMC stehen „Anmelden Als: Netzwerkdienst“ und RDP-Verbindungen sollten nun wieder möglich sein.

Der zweite Weg, das Benutzerkonto des Dienstes zu ändern führt, wie bereits erwähnt, über die Registry. Öffnen wir die Registry (Start, Ausführen, „regedit“) und navigieren zum Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TermService, so werden uns folgende Werte angezeigt:

Von Bedeutung ist in unserem Fall besonders der REG_SZ-Wert „ObjectName“. Läuft der Dienst fälschlich unter dem lokalen Systemkonto, wird hier der Wert „LocalSystem“ eingetragen. Korrekterweise müsste der Wert lauten „NT AUTHORITY\NetworkService“, wie in folgendem Screenshot:

Auch hier wird nach Änderung des Wertes mindestens ein Neustart des Dienstes fällig, um die Änderungen korrekt zu übernehmen.

Der Einfachheit halber habe ich die RegistryWerte für ObjectName exportiert, so dass man den korrekten Wert per Doppelklick direkt einfügen lassen kann: Klick (termservice.reg)

Ich hoffe das hilft dem ein oder anderen weiter, Kommentare werden immer gern gesehen 😉

In diesem Sinne,

macht’s gut!

Hannes

Dieser Eintrag wurde veröffentlicht in IT. Lesezeichen auf den Permanentlink.

2 thoughts on “Remotedesktop – Zugriff verweigert

  • Vielen Dank, der Artikel hat mir geholfen, denn bei einem Windows Server 2016 Essentials stand die Anmeldung für den Remotedesktopdienst auf „Lokales System“.

    • Freut mich zu hören – anscheinend ist das Problem immer noch aktuell bzw. kann auftreten. Ich habe nur leider nie herausgefunden, warum sich der Dienst umstellte… Aber Hauptsache es läuft 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*