RDP Restricted Admin Mode Fehler: Account restrictions are preventing this user from signing in…
Mit dem RDP Client in Windows 8.1 / Windows Server 2012 R2 wurde als Eines der neuen Features der Restricted Admin Mode eingeführt. Dieser Modus verhindert, dass Credentials vom Client an den Remote Host übertragen werden und soll dadurch Pass-The-Hash Angriffe reduzieren, eine Schwachstelle der NTLM-Authentifizierung.
Der Restricted Admin Mode schränkt die Rechte ein, wenn man über die RDP Session auf weitere Netzwerk-Ressourcen zugreifen möchte. Der Zugriff erfolgt dann im Kontext des Computer-Accounts, statt des User-Accounts der RDP-Session.
RDP Verbindungen im Restricted Admin Mode werden entweder per Aufruf der mstsc.exe
mit Parameter /restrictedAdmin
oder per .rdp-Datei mit dem Parameter gestartet. Remote Desktop Tools für Admins, wie z.B. Devolutions Remote Desktop Manager, verfügen i.d.R. über entsprechende GUI-Optionen, die aktiviert werden können.
Fehlermeldung: Account restrictions are preventing this user from signing in…
Da der Restricted Admin Mode gravierende Änderungen nach sich zieht, was Authentifizierung und Delgierung angeht, kann es im ersten Anlauf zu folgender Fehlermeldung kommen:
In der Regel ist keine der in der Fehlermeldung genannten Probleme die Ursache für den Fehler, wenn man dies überprüft:
- das Passwort ist nicht leer
- die Anmeldezeiten sind nicht limitiert
- die Rechte zur Remote Anmeldung sind nicht beschränkt
Tatsächlich ist i.d.R. eine neu in Windows 8.1 / Windows 2012 R2 eingeführt GPO die Ursache des Problems:
Computer Configuration Policies Administrative Templates System Credential Delegation -> Restrict delegation of credentials to remote servers
Ist diese Einstellung Enabled auf dem Client, von dem aus die RDP-Session hergestellt werden soll (nicht auf dem Remote Host!), tritt der o.g. Fehler auf. Wird die Einstellung auf Disabled gesetzt, kann die RDP-Session im Restriced Admin Mode erfolgreich hergestellt werden.