Làm cách nào để Bật Giao thức Máy tính Từ xa (RDP) trên Windows?

Giao thức Máy tính Từ xa (RDP) cho phép bạn kết nối từ xa với màn hình của máy tính chạy Windows và làm việc với nó như thể đó là máy tính cục bộ của bạn. Theo mặc định, quyền truy cập Máy tính Từ xa bị tắt trong Windows. Trong bài viết này, chúng tôi sẽ hướng dẫn cách bật và định cấu hình quyền truy cập RDP trên Windows 10/11 và Windows Server 2019/2022.

Cách Bật và Sử dụng Kết nối Máy tính Từ xa trên Windows 10 hoặc 11?

Cách dễ nhất để bật Kết nối Máy tính Từ xa trong Windows là sử dụng GUI của Bảng Điều khiển.

Mở thuộc tính hệ thống trong Bảng điều khiển hoặc chạy SystemPropertiesRemote lệnh.

Mở Cài đặt từ xa và bật tab Cho phép kết nối từ xa với máy tính này Lựa chọn.

Vì lý do bảo mật, chỉ nên cho phép kết nối đối với các máy khách RDP có hỗ trợ NLA (Allow connections only from computers running Remote Desktop with Network Level Authentication ).

Lưu các thay đổi bằng cách nhấp vào OK.

Theo mặc định, chỉ các thành viên của Administrators cục bộ nhóm có thể kết nối từ xa với máy tính qua RDP. Nếu bạn muốn cho phép truy cập RDP cho những người dùng khác, hãy nhấp vào Chọn người dùng .

net localgroup "Remote Desktop Users"

Các thành viên trong nhóm này được cấp quyền đăng nhập từ xa.

Để thêm người dùng mới vào nhóm truy cập RDP, hãy chạy lệnh bên dưới:

net localgroup "Remote Desktop Users" /add a.williams

Trong các bản dựng hiện tại của Windows 10 và Windows 11, Thuộc tính hệ thống cổ điển hộp thoại cho phép truy cập RDP bị ẩn và Microsoft khuyên bạn nên sử dụng Cài đặt mới bảng điều khiển:

1. Mở Cài đặt -> Hệ thống - > Máy tính từ xa ;
2. Chuyển Bật Máy tính Từ xa để BẬT;
3. Xác nhận bật RDP trên máy tính.

Bạn có thể bật RDP trên Windows 11 bằng cách sử dụng Cài đặt hiện đại ứng dụng. Đi tới Hệ thống -> Máy tính từ xa -> Bật Màn hình từ xa bằng cách sử dụng nút bật tắt.

Lưu ý rằng theo mặc định, hai tùy chọn được bật khi bạn bật Máy tính từ xa:

• Giữ cho PC của tôi luôn tỉnh táo để kết nối khi nó được cắm vào
• Đặt PC của tôi ở chế độ có thể phát hiện được trên các mạng riêng tư để cho phép kết nối tự động từ một thiết bị từ xa

Nhấp vào Cài đặt nâng cao . Tại đây, bạn có thể bật Xác thực cấp độ mạng cho kết nối RDP của bạn (được khuyến nghị).

Nếu Tường lửa của Bộ bảo vệ Windows được bật trên máy tính, hãy đảm bảo rằng nó cho phép các kết nối RDP đến. Theo mặc định, cổng TCP 3389 được sử dụng cho kết nối RDP và các bản dựng Windows mới nhất cũng sử dụng UDP 3389 (xem bài viết về trường hợp màn hình đen xuất hiện thay vì màn hình trong khi kết nối RDP).

Mở Bảng điều khiển và chọn Tường lửa của Bộ bảo vệ Windows . Mở danh sách các quy tắc Tường lửa mặc định của Windows bằng cách nhấp vào nút Cho phép ứng dụng hoặc tính năng thông qua Tường lửa của Windows ở cột bên trái.

Đảm bảo rằng Máy tính từ xa quy tắc được bật cho Riêng tư hồ sơ (mạng gia đình hoặc mạng công ty) và Công khai một (mạng công cộng) nếu cần.

Nếu muốn, bạn có thể đặt giới hạn (thời gian chờ) về thời lượng của các phiên RDP bằng GPO.

Giờ đây, bạn có thể kết nối từ xa với máy tính này bằng ứng dụng khách RDP. Windows có một ứng dụng khách RDP tích hợp - mstsc.exe . Nó lưu giữ lịch sử của các kết nối RDP và hỗ trợ sao chép tệp giữa các máy tính cục bộ và từ xa thông qua khay nhớ tạm thời RDP.

Bạn cũng có thể sử dụng trình quản lý kết nối RDP, như RDCMan hoặc mRemoteNG, cũng như các ứng dụng khách thay thế.

Để giúp người dùng dễ dàng hơn, bạn có thể lưu mật khẩu kết nối RDP của mình trong Trình quản lý thông tin đăng nhập Windows.

Bật RDP trên Windows bằng PowerShell

Bạn có thể nhanh chóng bật quyền truy cập RDP trên Windows bằng một vài lệnh PowerShell.

1. Chạy PowerShell.exe với tư cách là quản trị viên;
2. Bật quyền truy cập RDP thông qua sổ đăng ký bằng lệnh ghép ngắn Set-ItemProperty:Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 0 Để tắt RDP, hãy thay đổi fDenyTSConnections giá trị thành 1 .
3. Cho phép kết nối RDP với máy tính trong Tường lửa của Bộ bảo vệ Windows. Để thực hiện, hãy bật quy tắc tường lửa sau:Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
4. Nếu bạn muốn thêm người dùng vào nhóm truy cập RDP cục bộ, hãy chạy lệnh sau:Add-LocalGroupMember -Group "Remote Desktop Users" -Member a.williams

Để đảm bảo rằng cổng RDP đang mở trên máy tính, hãy sử dụng lệnh ghép ngắn Test-NetConnection:

Test-NetConnection -ComputerName wksde133 -CommonTCPPort RDP

Bật Kết nối Máy tính Từ xa trên Windows Server 2022/2019

Không giống như các phiên bản Windows 10 (11) dành cho máy tính để bàn, Windows Server hỗ trợ hai kết nối RDP đồng thời theo mặc định. Các kết nối này được quản trị viên sử dụng để quản lý máy chủ.

RDP được bật trên Windows Server theo cách tương tự:sử dụng SystemPropertiesRemote , Trình quản lý máy chủ, hoặc lệnh PowerShell được mô tả ở trên.

Bạn có thể sử dụng Windows Server làm máy chủ đầu cuối. Trong trường hợp này, nhiều người dùng có thể đồng thời kết nối với máy tính để bàn của họ trên máy chủ. Để thực hiện, hãy cài đặt và định cấu hình Máy chủ phiên máy tính từ xa (RDSH) vai trò trên máy chủ. Để sử dụng nó, bạn phải mua và kích hoạt các giấy phép RDS đặc biệt (CAL). Tìm hiểu thêm về cấp phép RDS .

Ngoài ra, bạn có thể sử dụng chứng chỉ SSL / TLS để bảo mật các kết nối RDP của mình.

Làm cách nào để bật RDP qua Chính sách Nhóm (GPO) trong Miền Active Directory?

Nếu bạn cần bật Máy tính Từ xa trên nhiều máy tính cùng một lúc, bạn có thể sử dụng Chính sách Nhóm (GPO). Chúng tôi giả định rằng tất cả các máy tính đều được tham gia vào miền Active Directory.

1. Chạy bảng điều khiển Quản lý Chính sách Nhóm (gpmc.msc );
2. Tạo một Đối tượng chính sách nhóm mới (hoặc chỉnh sửa đối tượng hiện có) và liên kết nó với một đơn vị tổ chức đích có chứa máy tính hoặc máy chủ;
3. Chuyển sang chế độ chỉnh sửa chính sách và chuyển đến phần GPO Cấu hình Máy tính -> Mẫu Quản trị -> Thành phần Windows -> Dịch vụ Máy tính Từ xa -> Máy chủ Phiên Máy tính Từ xa -> Kết nối;
4. Tìm và bật tính năng Cho phép Người dùng kết nối từ xa bằng cách sử dụng Dịch vụ Máy tính Từ xa tham số ;
5. Cập nhật cài đặt GPO trên máy khách;
6. Sau khi áp dụng chính sách, bạn sẽ có thể kết nối với tất cả các máy tính qua RDP (chính sách này sẽ được áp dụng cho cả máy khách máy tính để bàn chạy Windows 10/11 và Windows Server). Nếu cần, bạn có thể nhắm mục tiêu chính sách RDP đến các máy tính cụ thể bằng bộ lọc WMI GPO;
7. Nếu Tường lửa của Bộ bảo vệ Windows được bật trên máy tính, bạn cần cho phép lưu lượng RDP cho cấu hình miền trong cùng một GPO. Để thực hiện, hãy kích hoạt Tường lửa của Windows:Cho phép Ngoại lệ Máy tính Từ xa đến quy tắc (nằm trong Cấu hình máy tính -> Mẫu quản trị -> Mạng -> Kết nối mạng -> Tường lửa Windows -> Cấu hình miền).

Bật Máy tính Từ xa (RDP) Từ xa trên Windows

Ngoài ra, bạn có thể kích hoạt RDP từ xa trên bất kỳ máy tính nào chạy Windows. Để làm điều đó, bạn phải có quyền truy cập từ xa vào máy tính (thông qua PowerShell hoặc WMI) và tài khoản của bạn phải là thành viên của nhóm Quản trị viên cục bộ trên máy tính từ xa.

Bạn có thể kích hoạt RDP từ xa thông qua sổ đăng ký. Để làm điều đó, dịch vụ Đăng ký Từ xa phải được bật trên máy tính từ xa (dịch vụ này bị tắt theo mặc định). Để chạy dịch vụ:

1. Mở bảng điều khiển quản lý dịch vụ (services.msc );
2. Chọn Kết nối với máy tính khác và chỉ định tên của máy tính từ xa;
3. Tìm Sổ đăng ký Từ xa dịch vụ trong danh sách, thay đổi kiểu khởi động thành Thủ công và bắt đầu dịch vụ.

Điều tương tự có thể được thực hiện từ xa từ dấu nhắc lệnh bằng cách sử dụng sc tích hợp sẵn (nó cho phép tạo, quản lý và gỡ bỏ các dịch vụ Windows):

sc \\wksde133 config RemoteRegistry start= demand
sc \\wksde133 start RemoteRegistry

Sau đó trên máy tính cục bộ:

1. Chạy Registry Editor (regedit.exe );
2. Chọn Kết nối Cơ quan đăng ký mạng trong menu Tệp;
3. Chỉ định tên hoặc địa chỉ IP của máy tính từ xa mà bạn muốn bật RDP;
4. Đi tới khóa reg HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server ;
5. Tìm tham số fDenyTSConnections (REG_DWORD). Nếu bạn không thể tìm thấy nó, hãy tạo nó. Thay đổi giá trị của nó thành 0 để bật RDP.

Sau đó, máy tính từ xa có thể truy cập qua RDP ngay lập tức mà không cần khởi động lại.

Nhưng bật RDP trong sổ đăng ký của máy tính từ xa nhanh hơn nhiều qua dấu nhắc lệnh:

REG ADD "\\wksde133\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Nếu tính năng gỡ bỏ PowerShell được định cấu hình trên một máy tính từ xa, bạn có thể chạy lệnh từ xa trên đó thông qua Invoke-Command:

Invoke-Command -Computername wksde133 -ScriptBlock {Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" –Value 0}

Ngoài ra, bạn có thể kết nối với máy tính từ xa và bật RDP qua WMI:

$computername = “wksde133”
(Get-WmiObject -Class Win32_TerminalServiceSetting -Namespace root\CIMV2\TerminalServices -Computer $computername -Authentication 6).SetAllowTSConnections(1,1)