blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

RDP Restricted Admin Mode Fehler: Account restrictions are preventing this user from signing in…

von ·

Mit dem RDP Client in Windows 8.1 / Windows Server 2012 R2 wurde als Eines der neuen Features der Restricted Admin Mode eingeführt. Dieser Modus verhindert, dass Credentials vom Client an den Remote Host übertragen werden und soll dadurch Pass-The-Hash Angriffe reduzieren, eine Schwachstelle der NTLM-Authentifizierung.

Der Restricted Admin Mode schränkt die Rechte ein, wenn man über die RDP Session auf weitere Netzwerk-Ressourcen zugreifen möchte. Der Zugriff erfolgt dann im Kontext des Computer-Accounts, statt des User-Accounts der RDP-Session.

RDP Verbindungen im Restricted Admin Mode werden entweder per Aufruf der mstsc.exe mit Parameter /restrictedAdmin oder per .rdp-Datei mit dem Parameter gestartet. Remote Desktop Tools für Admins, wie z.B. Devolutions Remote Desktop Manager, verfügen i.d.R. über entsprechende GUI-Optionen, die aktiviert werden können.

Fehlermeldung: Account restrictions are preventing this user from signing in…

Da der Restricted Admin Mode gravierende Änderungen nach sich zieht, was Authentifizierung und Delgierung angeht, kann es im ersten Anlauf zu folgender Fehlermeldung kommen:

Fehlermeldung: Account restrictions are preventing this user from signing in...

Fehlermeldung: Account restrictions are preventing this user from signing in…

In der Regel ist keine der in der Fehlermeldung genannten Probleme die Ursache für den Fehler, wenn man dies überprüft:

  • das Passwort ist nicht leer
  • die Anmeldezeiten sind nicht limitiert
  • die Rechte zur Remote Anmeldung sind nicht beschränkt

Tatsächlich ist i.d.R. eine neu in Windows 8.1 / Windows 2012 R2 eingeführt GPO die Ursache des Problems:

Computer Configuration
   Policies
      Administrative Templates
         System
            Credential Delegation -> Restrict delegation of credentials to remote servers
Group Policy: Restrict delegation of credentials to remote servers

Group Policy: Restrict delegation of credentials to remote servers

Ist diese Einstellung Enabled auf dem Client, von dem aus die RDP-Session hergestellt werden soll (nicht auf dem Remote Host!), tritt der o.g. Fehler auf. Wird die Einstellung auf Disabled gesetzt, kann die RDP-Session im Restriced Admin Mode erfolgreich hergestellt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.