Powershell RDP включается через реестр. Мы рассмотрим примы с удаленной настройкой, локальной и с помощью WMI.

Для включения RDP в Powershell нет готовых команд, но мы можем включить эту возможность помощью редактирование параметров реестра. 

Свойства, которые мы будем редактировать выделены на скриншоте ниже:

Если вы хотите включить терминальные сеанс RDP на компьютере на котором в данный момент работаете нужно сделать следующее:

Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server' -name "fDenyTSConnections" -Value 0

Конечно консоль должна быть запущена от имени администратора либо под ним вы должны быть залогинены. Если вы измените значение на Value на 1, то мы отключим возможность RDP подключения.

Если мы хотим снять галку с «Allow connections only from computers running Remote Desktop with Network Level Authentication» подойдет следующий командлет:

Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' -name UserAuthentication -Value 0

Возможно вы захотите сделать эту процедуру удаленно. Этот вопрос уже рассматривался в статье как выполнять команды Powershell удаленно и если вы столкнетесь с ошибками, то я бы советовал ее прочитать.

Рассмотрим пример удаленного выполнения команды в условиях где оба компьютера участники AD. Для этого нам нужно использовать имена компьютеров, а не IP. Если вы будете использовать IP, то смените проверку подлинности с Kerberos на NTLM и это потребует других настроек. 

Для удаленного включения RDP в Powershell потребуется такая последовательность команд:

# Включения сервиса удаленного подключения в Powershell
# Имена одного или нескольких компьютеров, на котором будет выполнена команда
$computer_name = 'AD1','AD2'
# Выполнение удаленной команды в сессии
Invoke-Command -ComputerName $computer_name -ScriptBlock {Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server'-name "fDenyTSConnections" -Value 0}

В моем случае я выполнял команду от имени администратора обоих компьютеров, поэтому мне не нужно было вводить учетные данные. Если вы хотите выполнить команду от другого пользователя добавьте ключ со значением -Credential (Get-Credential) после переменной $computer_name, у вас запросят учетные данные.

После этого вам может понадобиться включить правило на фаерволе:

Enable-NetFirewallRule -DisplayGroup 'Remote Desktop'

Если этого правила нет, можно создать:

# Powershell
New-NetFirewallRule -DisplayName 'allow RemoteDesktop' -Profile @('Domain', 'Private') -Direction Inbound -Action Allow -Protocol TCP -LocalPort @('3389')
# или netsh
netsh advfirewall firewall add rule name="allow RemoteDesktop" dir=in protocol=TCP localport=3389 action=allow

Ну и проверим, что порт открыт и работает:

Test-NetConnection -ComputerName 'AD1' -CommonTCPPort rdp

Если пользователь не принадлежит к группе Администраторов компьютера, то может понадобиться его добавить в соответствующую группу:

Add-LocalGroupMember -Group "Remote Desktop Users" -Member 'Misha'

Включение RDP в Powershell используя WMI

Так как мы можем работать с объектами WMI в Powershell, то можем включить настройки и таким способом. Если так мы можем увидеть состояние настройки на удаленном компьютере:

# Имя компьютера
$computer_name = 'AD1'
# Настройка powershell rdp sessions
Get-WmiObject -Class Win32_TerminalServiceSetting -Namespace rootCIMV2TerminalServices -Computer $computer_name -Authentication 6

То таким образом включим:

# Имя компьютера
$computer_name = 'AD1'
(Get-WmiObject -Class Win32_TerminalServiceSetting -Namespace rootCIMV2TerminalServices -Computer $computer_name -Authentication 6).SetAllowTSConnections(1,1)

Так как WMI использует другие порты, может потребоваться дополнительная настройка из статьи выше.



RDP WindowsДобрый день! Уважаемые читатели и гости, одного из ведущих компьютерных блогов рунета Pyatilistnik.org. В прошлый раз мы с вами успешно решили проблему со службами удаленного рабочего стола, когда они были заняты в настоящее время. Сегодня я бы хотел осветить, как включить RDP доступ на компьютерах и серверах Windows, так как меня об этом уже не первый раз спрашивают, поэтому проще написать подробную статью, чем постоянно отвечать на одни вопросы. В данном посте мы подробно разберем, как удаленно реализовать доступ по RDP, так как бывают и такие ситуации, меня это лично на практике выручало.

Постановка задачи

Разобрать все методы, позволяющие вам включать RDP доступ на Windows системах, понимать какие ключи реестра за это отвечают и как это можно применять на практике.

Методы активации доступа по RDP

Я могу выделить вот такие способы:

  1. Классический метод с использованием оснастки свойств системы Windows
  2. С помощью оболочки и командлетов PowerShell
  3. Удаленное включение, через реестр Windows
  4. Через GPO политику

Как удаленно включить RDP

И так начну с более интересного метода. Предположим, что у вас есть сервер или компьютер, от которого у вас есть учетные данные для входа, но не активен вход через удаленный рабочий стол. И вам хотели бы его активировать. Делается все это просто. Тут мы воспользуемся удаленным доступом через консоль. Откройте окно выполнить (Сочетание клавиш WIN и R одновременно) и в открывшемся окне введите:

Открываем compmgmt.msc в окне выполнить

Далее щелкаете по корню «Управление компьютера (локальным)» правым кликом и в открывшемся окне выберите пункт «Подключиться к другому компьютеру»

удаленное подключение к другому компьютеру

В окне выбора компьютера, вам необходимо нажать кнопку «Обзор», которое откроет второе окошко, где нужно выбрать необходимый компьютер, так как у меня доменная сеть, то мне еще проще. В моем примере это будет компьютер с операционной системой Windows 10 под DNS-именем W10-CL01. Нажимаем ок.

удаленно включить rdp-03

У вас будет произведено подключение к данному компьютеру. Если у вас выскочит ошибка:

Компьютером невозможно управлять. Убедитесь, что сетевой путь указан правильно, компьютер доступен в сети, а на конечном компьютере включены нужные правила брандмауэра Windows

ошибка подключения к удаленному компьютеру через управление компьютером

В данном случае, нужно проверить две вещи:

  • Доступен ли компьютер по сети, для этого проведите элементарный ping компьютера.
  • Это нужно на этом компьютере в брандмауэре Windows разрешить «Удаленное управление журналом событий»

Про то как локально разрешать в брандмауэре службы и порты я говорил, посмотрите по ссылке. Если доступа нет, сделать, это локально, то ниже я приведу пример, как это сделать удаленно. Когда вы подключились к нужному компьютеру или серверу, вам необходимо перед удаленным включением RDP доступа, удостовериться, что у вас на вкладке службы, в активном состоянии запущен сервис «Удаленный реестр».

Вы так же можете из локальной оснастки «Службы», подключиться к удаленной, для этого в окне «Выполнить» введите services.msc и в открывшемся окне щелкните по корню правым кликом, где выберите соответствующий пункт

В моем примере я подключился к удаленным службам, через управление компьютером.

служба удаленного реестра

Если этого не сделать, то подключиться к реестру не получиться, и вы не сможете включить RDP по сети. Переходим в свойства данной службы и в типе запуска выставите вручную, после чего нажмите применить. После этого у вас станет активной кнопка запуска, нажимаем ее и проверяем, что сервис стартанул. После этого переходим к редактированию реестра по локальной сети.

включение удаленного реестра

В окне выполнить введите regedit и у вас откроется реестр Windows .

удаленно включить rdp-07

В самом верху есть меню файл, открыв его вам необходимо найти пункт «Подключить сетевой реестр».

Как включить RDP Windows через реестр

У вас откроется окно поиска, где вам необходимо найти нужный вам сетевой компьютер или сервер, после чего нажать ок.

Как включить RDP Windows через реестр

В итоге у вас в окне редактора реестра Windows появится еще один куст. Именно через данный реестр вы включите RDP службу на удаленной системе.

подключенный удаленный реестр

Теперь выбираем корень сетевого реестра Windows и нажимаем кнопку CTRL+F, у вас откроется форма поиска по нему. Тут вам необходимо найти ключ fDenyTSConnections.

Поиск ключа реестра fDenyTSConnections

Он также по сути должен лежать по пути:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerfDenyTSсonnections

Где ключу fDenyTSConnections вам необходимо изменить значение с 1 на 0, чтобы включить RDP доступ к удаленному компьютеру.

удаленно включить RDP в реестре

Пробуем произвести подключение, для этого откройте клиента подключения к удаленному рабочему столу (mstsc) и смотрим результат.

удаленно включить rdp

Если у вас будут закрыты порты, то вы увидите вот такую картину. При попытке подключиться у вас будет висеть инициализация удаленного подключения.

После чего вы увидите ошибку:

  1. Удаленному рабочему столу не удается подключиться к удаленному компьютеру по одной из следующих причин:
    Не включен удаленный доступ к серверу
  2. Удаленный компьютер выключен
  3. Удаленный компьютер не подключен к сети

Удостоверьтесь, что удаленный компьютер включен, подключен к сети и удаленный доступ к нему включен

Удостоверьтесь, что удаленный компьютер включен

Напоминаю, что вы можете проверить доступность порта , через утилиту Telnet. Проверять нам нужно порт 3389. Вероятнее всего он не ответит. Как я и писал выше откроем порты и создадим правило в брандмауэре. Для этого мы воспользуемся утилитой PSTools.

скачать PSTools с сайта Microsoft https://technet.microsoft.com/ru-ru/sysinternals/pstools.aspx?f=255&MSPPError=-2147217396

На выходе у вас будет архив с утилитами, который нужно будет распаковать через архиватор. Когда вы распакуйте его, зажмите клавишу Shift и кликните правым кликом по папке PSTools. Из контекстного меню выберите пункт «Открыть окно команд».

Открытие RDP удаленно-01

Введите вот такую команду:

PsExec.exe \IP-адрес или DNS-имя компьютера -u domainлогин -p пароль cmd

Мой пример: PsExec.exe \w10-cl01 -u rootАдминистратор -p пароль cmd

PsExec.exe открыть RDP

В итоге у вас будет произведено подключение к удаленному компьютеру, вы увидите в заголовке \dns-имя: cmd. Это означает, что вы успешно подключены.

PsExec.exe Открытие RDP удаленно-03
Далее вступает утилита командной строки netsh, благодаря ей мы создадим правило разрешающее входящие подключения по RDP.

netsh advfirewall firewall add rule name=»allow RemoteDesktop» dir=in protocol=TCP localport=3389 action=allow

Открытие RDP удаленно-04

Если вы до этого не включали через реестр доступ к удаленному рабочему столу, то так же это можно выполнить в PsExec.exe:

reg add «HKLMSYSTEMCurrentControlSetControlTerminal Server» /v fDenyTSConnections /t REG_DWORD /d 0 /f

По идее все должно работать сразу и без перезагрузки, но если она требуется, то выполните команду:

Удаленно включить RDP

Классический метод включения удаленного рабочего стола

С удаленным включением служб RDP мы разобрались, теперь напомню для новичков, как можно локально его активировать.  По умолчанию данная служба, как я и писал не работает. Чтобы это исправить есть два метода. Универсальный метод для любой версии Windows, я буду показывать на десятке, но для семерки, восьмерки, все будет одинаково. Откройте проводник Windows. Найдите в левой части объект «Этот компьютер (Мой компьютер)». Кликните по нему правым кликом и из контекстного меню перейдите в пункт «Свойства».

служба удаленных рабочих столов windows Windows 10

У вас откроется окно система. В правой части нажмите пункт «Настройка удаленного доступа», которое вызовет окно свойств системы. НА вкладке «Удаленный доступ», чтобы активировать службы удаленных рабочих столов Windows, вам нужно активировать пункт «Разрешить удаленные подключения к этому компьютеру». После этого у вас в системе сразу будет работать RDP доступ.

Включение RDP Windows 10

А вот метод исключительно для Windows 10 или Windows Server 2016 и выше. Вы открываете параметры Windows. Переходите в пункт система. В системе будет пункт «Удаленный рабочий стол». Активируем ползунок «Включить удаленный рабочий стол». Выскочит окно с подтверждением, говорим «Подтвердить».

удаленно включить rdp в Windows 10

Все функционал RDP активен, можно подключаться с других компьютеров. Данный метод по сути ставит все тужу галку, что мы видели и в классическом окне системы.

служба удаленных рабочих столов windows-02

Этот подход можно с натяжкой назвать удаленным методом включения RDP, так как на той стороне вам потребуются руки которыми вы будите управлять по телефоны.

Как включить удаленный рабочий стол (RDP) через PowerShell

Открываем на компьютере, где необходимо включить RDP службу оснастку PowerShell.

Первая команда активирует галку «Разрешить удаленные подключения к этому компьютеру»

(Get-WmiObject Win32_TerminalServiceSetting -Namespace rootcimv2TerminalServices).SetAllowTsConnections(1,1)

Вторая команда активирует галку «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети»

(Get-WmiObject -Class «Win32_TSGeneralSetting» -Namespace rootcimv2TerminalServices -Filter «TerminalName=’RDP-tcp'»).SetUserAuthenticationRequired(0)

Третья команда, включает правило в Брандмауэре

Enable-NetFirewallRule -DisplayGroup «Remote Desktop»

Данные команды вы можете собрать в скрипт и распространить его через групповую политику при включении компьютера или автологоне пользователя.

Как удаленно включить RDP через групповую политику

Данный метод включения удаленного рабочего стола на нужном компьютере возможен за счет домена Active Directory, благодаря централизованному управлению рабочих станций ваших сотрудников. Откройте редактор управления групповыми политиками. Создайте новую политику и прилинкуйте ее к нужному организационному подразделению, которое содержит нужный компьютер. После чего зайдите в свойства данной политики и измените ее настройки. Перейдите по пути:

Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Подключения — Разрешать удаленное подключение с использованием служб удаленных рабочих столов

Откройте эту настройку и включите ее. Не забываем после этого обновить групповую политику на нужном компьютере и не забываем там открыть порт для RDP. Так же политиками или локально.

Удаленное включение RDP через GPO

Конфигурация компьютера — Политики — Административные шаблоны — Сеть — Сетевые подключения — Брандмауэр Windows — Профиль домена — Разрешить исключения для входящих сообщений удаленного управления рабочим столом


Включив настройку вы можете указать конкретные ip-адреса откуда можно производить подключение или же ввести *, это будет означать, для всех.

Удаленное включение RDP через GPO

На этом у меня все, уверен, что есть еще какие-то методы позволяющие удаленно включить RDP службу удаленных рабочих столов, но мне лень гуглить и искать их, я пользуюсь вот такими. С вами был Иван Семин, автор и создатель блога Pyatilistnik.org.

On Windows 10, the “Remote Desktop” feature allows you to access a computer remotely to help other users or manage services without physically being present at the location.

While you can manage this feature through the Settings app, you can also enable Remote Desktop on Windows 10 using PowerShell. You may want to use this method to create a script to configure Remote Desktop on multiple devices quickly or send an automated script to users to set up the feature automatically without additional steps.

This guide will teach you the steps to use PowerShell to enable (or disable) Remote Desktop on Windows 10 and open the required firewall ports for a successful connection.

  • Enable Remote Desktop from PowerShell
  • Disable Remote Desktop from PowerShell

Important: Remote Desktop is only available on Windows 10 Pro. It’s not a feature available on Windows 10 Home. Also, it’s recommended that you do a full backup of your computer before proceeding, as modifying the registry can cause irreversible damage to your system.

To enable the remote desktop protocol with PowerShell, use these steps:

  1. Open Start on Windows 10.

  2. Search for PowerShell, right-click the top result, and select the Run as administrator option.

  3. Type the following command to enable Remote Desktop on Windows 10 and press Enter:

    Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server' -name "fDenyTSConnections" -value 0

    PowerShell enable Remote Desktop

  4. (Optional) Type the following command to allow remote desktop through the Windows Firewall and press Enter

    Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Once you complete the steps, you can use the Remote Desktop modern app or the old Remote Desktop Connection app to access your computer remotely, even with the firewall enabled from Windows 10.

Disable Remote Desktop from PowerShell

To disable Remote Desktop from PowerShell on Windows 10, use these steps:

  1. Open Start.

  2. Search for PowerShell, right-click the top result, and select the Run as administrator option.

  3. Type the following command to disable the remote desktop protocol and press Enter:

    Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server' -name "fDenyTSConnections" -value 1

    PowerShell disable Remote Desktop

  4. (Optional) Type the following command to disable Remote Desktop through the Windows Firewall and press Enter:

    Disable-NetFirewallRule -DisplayGroup "Remote Desktop"

After you complete the steps, the Remote Desktop feature will be disabled, and the firewall port will be closed.

We’re focusing this guide on PowerShell, but you can use these steps to perform the same tasks using Command Prompt.

We may earn commission for purchases using our links to help keep offering the free content. Privacy policy info.

All content on this site is provided with no warranties, express or implied. Use any information at your own risk. Always backup of your device and files before making any changes. Privacy policy info.

Самый простой способ включить Remote Desktop RD в семействе ОС Windows – это использовать графический интерфейс.

Для этого необходимо открыть элемент панели управления «Система», перейти на вкладку «Удаленные настройки» и включить опцию «Разрешить удаленные подключения к этому компьютеру» в разделе «Удаленный рабочий стол».

Однако для этого требуется локальный доступ к компьютеру, на котором вы хотите включить RDP.

Обычно вы можете запросить у пользователя (требуются права администратора) или местную техническую поддержку.

Однако что делать, если в удаленном офисе нет никого, кто мог бы включить удаленный рабочий стол локально?

По умолчанию удаленный рабочий стол отключен как в настольных версиях Windows, так и в Windows Server.

Если вы хотите удаленно включить удаленный рабочий стол (RDP) на удаленном хосте (сервере или компьютере), но у вас нет доступа к консоли локального устройства, мы покажем вам, как это сделать с помощью PowerShell.

Для этого на удаленном компьютере должна быть включена служба WinRM (удаленное управление Windows).

Служба WinRM включена по умолчанию во всех версиях Windows Server, начиная с Windows Server 2012 (однако WinRM по умолчанию отключена в клиентских операционных системах, таких как Windows 10).

Таким образом, для удаленного включения RD через PowerShell удаленный компьютер должен соответствовать следующим требованиям:

  • Служба WinRM должна быть запущена;
  • Вы должны иметь права администратора на удаленном устройстве;
  • Брандмауэр Windows должен быть отключен или должны быть включены правила, разрешающие удаленный доступ через PowerShell Remoting.

Удаленное включение удаленного рабочего стола с помощью PowerShell

Предположим, вы хотите удаленно включить RDP в Windows Server 2012 R2 / 2016 / 2019.

На вашем компьютере откройте консоль PowerShell и выполните следующую команду для удаленного подключения к вашему серверу:

Enter-PSSession -ComputerName server.domain.local -Credential domainadministrator

Итак, вы установили удаленный сеанс с компьютером и теперь можете выполнять на нем команды PowerShell.

Чтобы включить удаленный рабочий стол, вам просто нужно изменить параметр реестра fDenyTSConnections с 1 на 0 на удаленном компьютере.

Запустите команду:

Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server'-name "fDenyTSConnections" -Value 0

Когда RDP включен таким способом (в отличие от метода GUI), правило, разрешающее удаленные RDP-подключения, не включается в правила брандмауэра Windows.

Чтобы разрешить входящие RDP-подключения в брандмауэре Windows, выполните команду:

Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Если по какой-либо причине это правило брандмауэра удалено, вы можете создать его вручную:

netsh advfirewall firewall add rule name="allow RemoteDesktop" dir=in protocol=TCP localport=3389 action=allow

Если вам нужно включить безопасную аутентификацию RDP (NLA – аутентификация сетевого уровня), выполните команду:

Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' -name "UserAuthentication" -Value 1

Теперь со своего компьютера вы можете проверить, что порт TCP 3389 на удаленном хосте стал доступен. Запустите команду:

Test-NetConnection -CommonTCPPort rdp

Должен быть такой результат:

ComputerName :

RemoteAddress :

RemotePort : 3389

InterfaceAlias : Ethernet0

SourceAddress :

TcpTestSucceeded : True

Это означает, что RDP на удаленном хосте включен, и вы можете установить подключение к удаленному рабочему столу с помощью клиента mstsc.

Заметка. По умолчанию только члены локальной группы администраторов могут подключаться через RDP удаленно. Чтобы разрешить подключения RDP для обычных пользователей, просто добавьте их в локальную группу «Пользователи удаленного рабочего стола».

Как включить удаленный рабочий стол через WMI?

Если вы хотите включить RDP на удаленном компьютере, на котором отключен WInRM (например, на обычном компьютере с Windows 10), вы можете использовать команду WMI PowerShell.

Чтобы проверить, включен ли доступ RDP на удаленном компьютере, выполните команду (см. Значение свойства AllowTSConnections):

Get-WmiObject -Class Win32_TerminalServiceSetting -Namespace rootCIMV2TerminalServices -Computer -Authentication 6

Чтобы включить RDP и добавить правило исключений брандмауэра Windows, выполните следующую команду:

(Get-WmiObject -Class Win32_TerminalServiceSetting -Namespace rootCIMV2TerminalServices -Computer -Authentication 6).SetAllowTSConnections(1,1)

