Richtlinien-CSP – RemoteDesktopServices
Tipp
Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.
Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.
Wichtig
Dieser CSP enthält einige Einstellungen, die sich in der Entwicklung befinden und nur für Windows Insider Preview-Builds gelten. Diese Einstellungen können geändert werden und weisen möglicherweise Abhängigkeiten von anderen Vorschau-Features oder -Diensten auf.
AllowUsersToConnectRemotely
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
Mit dieser Richtlinieneinstellung können Sie den Remotezugriff auf Computer mithilfe von Remotedesktopdiensten konfigurieren.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer, die Mitglieder der Gruppe Remotedesktopbenutzer auf dem Zielcomputer sind, mithilfe von Remotedesktopdiensten eine Remoteverbindung mit dem Zielcomputer herstellen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer über Remotedesktopdienste keine Remoteverbindung mit dem Zielcomputer herstellen. Der Zielcomputer behält alle aktuellen Verbindungen bei, akzeptiert jedoch keine neuen eingehenden Verbindungen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwenden Remotedesktopdienste die Remotedesktopeinstellung auf dem Zielcomputer, um zu bestimmen, ob die Remoteverbindung zulässig ist. Diese Einstellung befindet sich auf der Registerkarte Remote im Blatt Systemeigenschaften. Standardmäßig sind Remoteverbindungen nicht zulässig.
Hinweis
Sie können einschränken, welche Clients mithilfe von Remotedesktopdiensten eine Remoteverbindung herstellen können, indem Sie die Richtlinieneinstellung unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopsitzungshost\Sicherheit\Benutzerauthentifizierung für Remoteverbindungen mithilfe der Authentifizierung auf Netzwerkebene erforderlich konfigurieren.
Sie können die Anzahl der Benutzer, die gleichzeitig eine Verbindung herstellen können, begrenzen, indem Sie die Richtlinieneinstellung unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Connections\Anzahl von Verbindungen beschränken oder indem Sie die Richtlinieneinstellung Maximum Connections mithilfe des WMI-Anbieters für Remotedesktopsitzungshosts konfigurieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_DISABLE_CONNECTIONS |
| Anzeigename | Zulassen, dass Benutzer eine Remoteverbindung mithilfe von Remotedesktopdiensten herstellen können |
| Location | Computerkonfiguration |
| Pfad | Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshost-Connections > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| ADMX-Dateiname | TerminalServer.admx |
ClientConnectionEncryptionLevel
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/ClientConnectionEncryptionLevel
Gibt an, ob die Verwendung einer bestimmten Verschlüsselungsstufe erforderlich sein soll, um die Kommunikation zwischen Clientcomputern und RD-Sitzungshostservern während RDP-Verbindungen (Remotedesktopprotokoll) zu schützen. Diese Richtlinie gilt nur, wenn Sie die native RDP-Verschlüsselung verwenden. Die native RDP-Verschlüsselung (im Gegensatz zur SSL-Verschlüsselung) wird jedoch nicht empfohlen. Diese Richtlinie gilt nicht für die SSL-Verschlüsselung.
- Wenn Sie diese Richtlinieneinstellung aktivieren, muss die gesamte Kommunikation zwischen Clients und RD-Sitzungshostservern während Remoteverbindungen die in dieser Einstellung angegebene Verschlüsselungsmethode verwenden. Standardmäßig ist die Verschlüsselungsebene auf Hoch festgelegt. Die folgenden Verschlüsselungsmethoden sind verfügbar:
Hoch: Die Einstellung Hoch verschlüsselt Daten, die vom Client an den Server und vom Server an den Client gesendet werden, mithilfe einer starken 128-Bit-Verschlüsselung. Verwenden Sie diese Verschlüsselungsstufe in Umgebungen, die nur 128-Bit-Clients enthalten (z. B. Clients, auf denen Remotedesktopverbindung ausgeführt wird). Clients, die diese Verschlüsselungsstufe nicht unterstützen, können keine Verbindung mit RD-Sitzungshostservern herstellen.
Clientkompatibel: Die Einstellung Clientkompatibel verschlüsselt Daten, die zwischen dem Client und dem Server gesendet werden, mit der maximalen Schlüsselstärke, die vom Client unterstützt wird. Verwenden Sie diese Verschlüsselungsstufe in Umgebungen, die Clients enthalten, die keine 128-Bit-Verschlüsselung unterstützen.
Niedrig: Die Einstellung Niedrig verschlüsselt nur Daten, die vom Client an den Server gesendet werden, mithilfe der 56-Bit-Verschlüsselung.
- Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die verschlüsselungsstufe, die für Remoteverbindungen mit RD-Sitzungshostservern verwendet werden soll, nicht über Gruppenrichtlinie erzwungen.
Wichtig.
FIPS-Konformität kann über die Systemkryptografie konfiguriert werden. Verwenden Sie FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierungseinstellungen in Gruppenrichtlinie (unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen). Die FIPS-kompatible Einstellung verschlüsselt und entschlüsselt Daten, die vom Client an den Server und vom Server an den Client gesendet werden, mit dem FiPS 140-Verschlüsselungsalgorithmen (Federal Information Processing Standard) 140 mithilfe von Microsoft-Kryptografiemodulen. Verwenden Sie diese Verschlüsselungsstufe, wenn für die Kommunikation zwischen Clients und RD-Sitzungshostservern die höchste Verschlüsselungsebene erforderlich ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_ENCRYPTION_POLICY |
| Anzeigename | Festlegen der Verschlüsselungsebene für Clientverbindungen |
| Location | Computerkonfiguration |
| Pfad | Sicherheit des Remotedesktop-Sitzungshosts > für Windows-Komponenten > für Remotedesktopdienste > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| ADMX-Dateiname | TerminalServer.admx |
DisconnectOnLockLegacyAuthn
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.2461] und höher ✅ [10.0.25398.887] und höher ✅Windows 10, Version 2004 [10.0.19041.4474] und höher ✅Windows 11, Version 21H2 mit KB5037770 [10.0.22000.2960] und höher ✅Windows 11, Version 22H2 mit KB5037771 [10.0.22621.3593] und höher ✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockLegacyAuthn
Mit dieser Richtlinieneinstellung können Sie die Benutzeroberfläche konfigurieren, wenn die Remotedesktopsitzung durch den Benutzer oder eine Richtlinie gesperrt wird. Sie können angeben, ob die Remotesitzung den Remotesperrbildschirm anzeigen oder die Verbindung trennen soll, wenn die Remotesitzung gesperrt ist. Durch das Trennen der Remotesitzung wird sichergestellt, dass eine Remotesitzung nicht auf dem Sperrbildschirm verbleiben kann und die Verbindung aufgrund eines Verlusts der Netzwerkkonnektivität nicht automatisch wiederhergestellt werden kann.
Diese Richtlinie gilt nur, wenn die Legacyauthentifizierung zur Authentifizierung beim Remote-PC verwendet wird. Die Legacyauthentifizierung ist auf Benutzername und Kennwort oder Zertifikate wie Smartcards beschränkt. Die Legacyauthentifizierung nutzt nicht die Microsoft Identity Platform, z. B. Microsoft Entra ID. Die Legacyauthentifizierung umfasst die Standardauthentifizierungsprotokolle NTLM, CredSSP, RDSTLS, TLS und RDP.
Wenn Sie diese Richtlinieneinstellung aktivieren, trennen Remotedesktopverbindungen mit Legacyauthentifizierung die Remotesitzung, wenn die Remotesitzung gesperrt ist. Benutzer können die Verbindung wiederherstellen, wenn sie bereit sind, und ihre Anmeldeinformationen erneut eingeben, wenn sie dazu aufgefordert werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird bei Remotedesktopverbindungen mit Legacyauthentifizierung der Remotesperrbildschirm angezeigt, wenn die Remotesitzung gesperrt ist. Benutzer können die Remotesitzung mithilfe ihres Benutzernamens und Kennworts oder mit Zertifikaten entsperren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_DISCONNECT_ON_LOCK_POLICY |
| Anzeigename | Trennen der Remotesitzung bei Sperre für die Legacyauthentifizierung |
| Location | Computerkonfiguration |
| Pfad | Sicherheit des Remotedesktop-Sitzungshosts > für Windows-Komponenten > für Remotedesktopdienste > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Name des Registrierungswertes | fDisconnectOnLockLegacy |
| ADMX-Dateiname | TerminalServer.admx |
DisconnectOnLockMicrosoftIdentityAuthn
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.2461] und höher ✅ [10.0.25398.887] und höher ✅Windows 10, Version 2004 [10.0.19041.4474] und höher ✅Windows 11, Version 21H2 mit KB5037770 [10.0.22000.2960] und höher ✅Windows 11, Version 22H2 mit KB5037771 [10.0.22621.3593] und höher ✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockMicrosoftIdentityAuthn
Mit dieser Richtlinieneinstellung können Sie die Benutzeroberfläche konfigurieren, wenn die Remotedesktopsitzung durch den Benutzer oder eine Richtlinie gesperrt wird. Sie können angeben, ob die Remotesitzung den Remotesperrbildschirm anzeigen oder die Verbindung trennen soll, wenn die Remotesitzung gesperrt ist. Durch das Trennen der Remotesitzung wird sichergestellt, dass eine Remotesitzung nicht auf dem Sperrbildschirm verbleiben kann und die Verbindung aufgrund eines Verlusts der Netzwerkkonnektivität nicht automatisch wiederhergestellt werden kann.
Diese Richtlinie gilt nur, wenn ein Identitätsanbieter verwendet wird, der die Microsoft Identity Platform verwendet, z. B. Microsoft Entra ID, um sich beim Remote-PC zu authentifizieren. Diese Richtlinie gilt nicht bei Verwendung der Legacyauthentifizierung, die die Standardauthentifizierungsprotokolle NTLM, CredSSP, RDSTLS, TLS und RDP umfasst.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, trennen Remotedesktopverbindungen mit dem Microsoft Identity Platform die Remotesitzung, wenn die Remotesitzung gesperrt ist. Benutzer können die Verbindung wiederherstellen, wenn sie bereit sind, und die kennwortlose Authentifizierung verwenden, wenn dies konfiguriert ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren, zeigen Remotedesktopverbindungen, die die Microsoft Identity Platform verwenden, den Remotesperrbildschirm an, wenn die Remotesitzung gesperrt ist. Benutzer können die Remotesitzung mithilfe ihres Benutzernamens und Kennworts oder mit Zertifikaten entsperren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_DISCONNECT_ON_LOCK_AAD_POLICY |
| Anzeigename | Remotesitzung bei Sperre für Microsoft Identity Platform-Authentifizierung trennen |
| Location | Computerkonfiguration |
| Pfad | Sicherheit des Remotedesktop-Sitzungshosts > für Windows-Komponenten > für Remotedesktopdienste > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Name des Registrierungswertes | fDisconnectOnLockMicrosoftIdentity |
| ADMX-Dateiname | TerminalServer.admx |
DoNotAllowDriveRedirection
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowDriveRedirection
Diese Richtlinieneinstellung gibt an, ob die Zuordnung von Clientlaufwerken in einer Remotedesktopdienste-Sitzung (Laufwerkumleitung) verhindert werden soll.
Standardmäßig ordnet ein RD-Sitzungshostserver Clientlaufwerke automatisch bei der Verbindung zu. Zugeordnete Laufwerke werden in der Sitzungsordnerstruktur in Explorer oder Computer im Format <driveletter> auf <computername>angezeigt. Sie können diese Richtlinieneinstellung verwenden, um dieses Verhalten außer Kraft zu setzen.
Wenn Sie diese Richtlinieneinstellung aktivieren, ist die Umleitung des Clientlaufwerks in Remotedesktopdienste-Sitzungen nicht zulässig, und die Umleitung von Zwischenablagedateien ist auf Computern unter Windows XP, Windows Server 2003, Windows Server 2012 (und höher) oder Windows 8 (und höher) nicht zulässig.
Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Umleitung des Clientlaufwerks immer zulässig. Darüber hinaus ist die Kopierumleitung von Zwischenablagedateien immer zulässig, wenn die Umleitung der Zwischenablage zulässig ist.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Umleitung des Clientlaufwerks und die Umleitung von Zwischenablagedateikopien nicht auf der Gruppenrichtlinie-Ebene angegeben.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_CLIENT_DRIVE_M |
| Anzeigename | Laufwerkumleitung nicht zulassen |
| Location | Computerkonfiguration |
| Pfad | Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshostgerät > und Ressourcenumleitung |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Name des Registrierungswertes | fDisableCdm |
| ADMX-Dateiname | TerminalServer.admx |
DoNotAllowPasswordSaving
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowPasswordSaving
Steuert, ob Kennwörter über die Remotedesktopverbindung auf diesem Computer gespeichert werden können.
Wenn Sie diese Einstellung aktivieren, ist das Kontrollkästchen zum Speichern des Kennworts in der Remotedesktopverbindung deaktiviert, und Benutzer können Kennwörter nicht mehr speichern. Wenn ein Benutzer eine RDP-Datei mithilfe der Remotedesktopverbindung öffnet und seine Einstellungen speichert, wird jedes Kennwort, das zuvor in der RDP-Datei vorhanden war, gelöscht.
Wenn Sie diese Einstellung deaktivieren oder nicht konfiguriert lassen, kann der Benutzer Kennwörter mithilfe der Remotedesktopverbindung speichern.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_CLIENT_DISABLE_PASSWORD_SAVING_2 |
| Anzeigename | Speichern von Kennwörtern nicht zulassen |
| Location | Computerkonfiguration |
| Pfad | Remotedesktopverbindungsclient für Windows-Komponenten > für Remotedesktopdienste > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Name des Registrierungswertes | DisablePasswordSaving |
| ADMX-Dateiname | TerminalServer.admx |
DoNotAllowWebAuthnRedirection
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 22H2 [10.0.22621] und höher |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowWebAuthnRedirection
Mit dieser Richtlinieneinstellung können Sie die Umleitung von Webauthentifizierungsanforderungen (WebAuthn) von einer Remotedesktopsitzung auf das lokale Gerät steuern. Diese Umleitung ermöglicht es Benutzern, sich mit ihrem lokalen Authentifikator (z. B. Windows Hello for Business, Sicherheitsschlüssel oder anderen) bei Ressourcen innerhalb der Remotedesktopsitzung zu authentifizieren.
Standardmäßig lässt Remotedesktop die Umleitung von WebAuthn-Anforderungen zu.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ihren lokalen Authentifikator nicht innerhalb der Remotedesktopsitzung verwenden.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer lokale Authentifikatoren innerhalb der Remotedesktopsitzung verwenden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_WEBAUTHN |
| Anzeigename | WebAuthn-Umleitung nicht zulassen |
| Location | Computerkonfiguration |
| Pfad | Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshostgerät > und Ressourcenumleitung |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Name des Registrierungswertes | fDisableWebAuthn |
| ADMX-Dateiname | TerminalServer.admx |
LimitClientToServerClipboardRedirection
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.2523] und höher ✅ [10.0.25398.946] und höher ✅Windows 11, Version 21H2 [10.0.22000.3014] und höher ✅Windows 11, Version 22H2 mit KB5037853 [10.0.22621.3672] und höher ✅Windows 11, Version 23H2 mit KB5037853 [10.0.22631.3672] und höher ✅Windows 11, Version 24H2 [10.0.26100] und höher |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
Mit dieser Richtlinieneinstellung können Sie die Übertragung von Zwischenablagedaten vom Client zum Server einschränken.
Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Sie aus den folgenden Verhaltensweisen wählen:
Deaktivieren Sie Zwischenablageübertragungen vom Client zum Server.
Nur-Text-Kopieren vom Client zum Server zulassen.
Das Kopieren von Nur-Text und Bildern vom Client auf den Server zulassen.
Das Kopieren von Nur-Text, Bildern und Rich-Text-Formaten vom Client zum Server zulassen.
Nur-Text, Bilder, Rich-Text-Format und HTML-Kopieren von Client zu Server zulassen.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer beliebige Inhalte vom Client auf den Server kopieren, wenn die Umleitung der Zwischenablage aktiviert ist.
Hinweis
Diese Richtlinieneinstellung wird sowohl in der Computerkonfiguration als auch in der Benutzerkonfiguration angezeigt. Wenn beide Richtlinieneinstellungen konfiguriert sind, wird die strengere Einschränkung verwendet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_CLIENT_CLIPBOARDRESTRICTION_CS |
| Anzeigename | Einschränken der Übertragung der Zwischenablage vom Client zum Server |
| Location | Computer- und Benutzerkonfiguration |
| Pfad | Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshostgerät > und Ressourcenumleitung |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| ADMX-Dateiname | TerminalServer.admx |
LimitServerToClientClipboardRedirection
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.2523] und höher ✅ [10.0.25398.946] und höher ✅Windows 11, Version 21H2 [10.0.22000.3014] und höher ✅Windows 11, Version 22H2 mit KB5037853 [10.0.22621.3672] und höher ✅Windows 11, Version 23H2 mit KB5037853 [10.0.22631.3672] und höher ✅Windows 11, Version 24H2 [10.0.26100] und höher |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
Mit dieser Richtlinieneinstellung können Sie die Übertragung von Zwischenablagedaten vom Server an den Client einschränken.
Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Sie aus den folgenden Verhaltensweisen wählen:
Deaktivieren Sie Zwischenablageübertragungen vom Server zum Client.
Nur-Text-Kopieren vom Server zum Client zulassen.
Nur-Text- und Bildkopiervorgänge vom Server auf den Client zulassen.
Das Kopieren von Nur-Text, Bildern und Rich-Text-Formaten vom Server auf den Client zulassen.
Nur-Text, Bilder, Rich-Text-Format und HTML-Kopieren vom Server zum Client zulassen.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer beliebige Inhalte vom Server auf den Client kopieren, wenn die Umleitung der Zwischenablage aktiviert ist.
Hinweis
Diese Richtlinieneinstellung wird sowohl in der Computerkonfiguration als auch in der Benutzerkonfiguration angezeigt. Wenn beide Richtlinieneinstellungen konfiguriert sind, wird die strengere Einschränkung verwendet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_CLIENT_CLIPBOARDRESTRICTION_SC |
| Anzeigename | Einschränken der Übertragung der Zwischenablage vom Server zum Client |
| Location | Computer- und Benutzerkonfiguration |
| Pfad | Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshostgerät > und Ressourcenumleitung |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| ADMX-Dateiname | TerminalServer.admx |
PromptForPasswordUponConnection
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/PromptForPasswordUponConnection
Diese Richtlinieneinstellung gibt an, ob Remotedesktopdienste den Client bei der Verbindung immer zur Eingabe eines Kennworts auffordert.
Sie können diese Einstellung verwenden, um eine Kennwortaufforderung für Benutzer zu erzwingen, die sich bei Remotedesktopdiensten anmelden, auch wenn sie das Kennwort bereits im Remotedesktopverbindungsclient angegeben haben.
Remotedesktopdienste ermöglichen benutzern standardmäßig die automatische Anmeldung durch Eingabe eines Kennworts im Remotedesktopverbindungsclient.
Wenn Sie diese Richtlinieneinstellung aktivieren, können sich Benutzer nicht automatisch bei Remotedesktopdiensten anmelden, indem sie ihre Kennwörter im Remotedesktopverbindungsclient angeben. Sie werden zur Eingabe eines Kennworts für die Anmeldung aufgefordert.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können sich Benutzer immer automatisch bei Remotedesktopdiensten anmelden, indem sie ihre Kennwörter im Remotedesktopverbindungsclient angeben.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die automatische Anmeldung nicht auf der Gruppenrichtlinie-Ebene angegeben.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_PASSWORD |
| Anzeigename | Bei Verbindung immer zur Eingabe des Kennworts auffordern |
| Location | Computerkonfiguration |
| Pfad | Sicherheit des Remotedesktop-Sitzungshosts > für Windows-Komponenten > für Remotedesktopdienste > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Name des Registrierungswertes | fPromptForPassword |
| ADMX-Dateiname | TerminalServer.admx |
RequireSecureRPCCommunication
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/RequireSecureRPCCommunication
Gibt an, ob ein Remotedesktop-Sitzungshostserver eine sichere RPC-Kommunikation mit allen Clients erfordert oder eine ungesicherte Kommunikation zulässt.
Sie können diese Einstellung verwenden, um die Sicherheit der RPC-Kommunikation mit Clients zu erhöhen, indem Sie nur authentifizierte und verschlüsselte Anforderungen zulassen.
Wenn die status auf Aktiviert festgelegt ist, akzeptiert Remotedesktopdienste Anforderungen von RPC-Clients, die sichere Anforderungen unterstützen, und lassen keine ungesicherte Kommunikation mit nicht vertrauenswürdigen Clients zu.
Wenn die status auf Deaktiviert festgelegt ist, fordert Remotedesktopdienste immer Sicherheit für den gesamten RPC-Datenverkehr an. Die unsichere Kommunikation ist jedoch für RPC-Clients zulässig, die nicht auf die Anforderung reagieren.
Wenn die status auf Nicht konfiguriert festgelegt ist, ist die ungesicherte Kommunikation zulässig.
Hinweis
Die RPC-Schnittstelle wird zum Verwalten und Konfigurieren von Remotedesktopdiensten verwendet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_RPC_ENCRYPTION |
| Anzeigename | Sichere RPC-Kommunikation erforderlich |
| Location | Computerkonfiguration |
| Pfad | Sicherheit des Remotedesktop-Sitzungshosts > für Windows-Komponenten > für Remotedesktopdienste > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Name des Registrierungswertes | fEncryptRPCTraffic |
| ADMX-Dateiname | TerminalServer.admx |
TS_SERVER_REMOTEAPP_USE_SHELLAPPRUNTIME
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.2400] und höher ✅ [10.0.25398.827] und höher ✅Windows 11, Version 21H2 [10.0.22000.2898] und höher ✅Windows 11, Version 22H2 mit KB5035942 [10.0.22621.3374] und höher ✅Windows 11, Version 23H2 mit KB5035942 [10.0.22631.3374] und höher ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/TS_SERVER_REMOTEAPP_USE_SHELLAPPRUNTIME
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TS_SERVER_REMOTEAPP_USE_SHELLAPPRUNTIME |
| ADMX-Dateiname | TerminalServer.admx |