Freigeben über


Richtlinien-CSP – RemoteDesktopServices

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

Logo von Windows Insider.

Wichtig

Dieser CSP enthält einige Einstellungen, die sich in der Entwicklung befinden und nur für Windows Insider Preview-Builds gelten. Diese Einstellungen können geändert werden und weisen möglicherweise Abhängigkeiten von anderen Vorschau-Features oder -Diensten auf.

AllowUsersToConnectRemotely

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely

Mit dieser Richtlinieneinstellung können Sie den Remotezugriff auf Computer mithilfe von Remotedesktopdiensten konfigurieren.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer, die Mitglieder der Gruppe Remotedesktopbenutzer auf dem Zielcomputer sind, mithilfe von Remotedesktopdiensten eine Remoteverbindung mit dem Zielcomputer herstellen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer über Remotedesktopdienste keine Remoteverbindung mit dem Zielcomputer herstellen. Der Zielcomputer behält alle aktuellen Verbindungen bei, akzeptiert jedoch keine neuen eingehenden Verbindungen.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwenden Remotedesktopdienste die Remotedesktopeinstellung auf dem Zielcomputer, um zu bestimmen, ob die Remoteverbindung zulässig ist. Diese Einstellung befindet sich auf der Registerkarte Remote im Blatt Systemeigenschaften. Standardmäßig sind Remoteverbindungen nicht zulässig.

Hinweis

Sie können einschränken, welche Clients mithilfe von Remotedesktopdiensten eine Remoteverbindung herstellen können, indem Sie die Richtlinieneinstellung unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopsitzungshost\Sicherheit\Benutzerauthentifizierung für Remoteverbindungen mithilfe der Authentifizierung auf Netzwerkebene erforderlich konfigurieren.

Sie können die Anzahl der Benutzer, die gleichzeitig eine Verbindung herstellen können, begrenzen, indem Sie die Richtlinieneinstellung unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Connections\Anzahl von Verbindungen beschränken oder indem Sie die Richtlinieneinstellung Maximum Connections mithilfe des WMI-Anbieters für Remotedesktopsitzungshosts konfigurieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_DISABLE_CONNECTIONS
Anzeigename Zulassen, dass Benutzer eine Remoteverbindung mithilfe von Remotedesktopdiensten herstellen können
Location Computerkonfiguration
Pfad Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshost-Connections >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
ADMX-Dateiname TerminalServer.admx

ClientConnectionEncryptionLevel

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/ClientConnectionEncryptionLevel

Gibt an, ob die Verwendung einer bestimmten Verschlüsselungsstufe erforderlich sein soll, um die Kommunikation zwischen Clientcomputern und RD-Sitzungshostservern während RDP-Verbindungen (Remotedesktopprotokoll) zu schützen. Diese Richtlinie gilt nur, wenn Sie die native RDP-Verschlüsselung verwenden. Die native RDP-Verschlüsselung (im Gegensatz zur SSL-Verschlüsselung) wird jedoch nicht empfohlen. Diese Richtlinie gilt nicht für die SSL-Verschlüsselung.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, muss die gesamte Kommunikation zwischen Clients und RD-Sitzungshostservern während Remoteverbindungen die in dieser Einstellung angegebene Verschlüsselungsmethode verwenden. Standardmäßig ist die Verschlüsselungsebene auf Hoch festgelegt. Die folgenden Verschlüsselungsmethoden sind verfügbar:
  • Hoch: Die Einstellung Hoch verschlüsselt Daten, die vom Client an den Server und vom Server an den Client gesendet werden, mithilfe einer starken 128-Bit-Verschlüsselung. Verwenden Sie diese Verschlüsselungsstufe in Umgebungen, die nur 128-Bit-Clients enthalten (z. B. Clients, auf denen Remotedesktopverbindung ausgeführt wird). Clients, die diese Verschlüsselungsstufe nicht unterstützen, können keine Verbindung mit RD-Sitzungshostservern herstellen.

  • Clientkompatibel: Die Einstellung Clientkompatibel verschlüsselt Daten, die zwischen dem Client und dem Server gesendet werden, mit der maximalen Schlüsselstärke, die vom Client unterstützt wird. Verwenden Sie diese Verschlüsselungsstufe in Umgebungen, die Clients enthalten, die keine 128-Bit-Verschlüsselung unterstützen.

  • Niedrig: Die Einstellung Niedrig verschlüsselt nur Daten, die vom Client an den Server gesendet werden, mithilfe der 56-Bit-Verschlüsselung.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die verschlüsselungsstufe, die für Remoteverbindungen mit RD-Sitzungshostservern verwendet werden soll, nicht über Gruppenrichtlinie erzwungen.

Wichtig.

FIPS-Konformität kann über die Systemkryptografie konfiguriert werden. Verwenden Sie FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierungseinstellungen in Gruppenrichtlinie (unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen). Die FIPS-kompatible Einstellung verschlüsselt und entschlüsselt Daten, die vom Client an den Server und vom Server an den Client gesendet werden, mit dem FiPS 140-Verschlüsselungsalgorithmen (Federal Information Processing Standard) 140 mithilfe von Microsoft-Kryptografiemodulen. Verwenden Sie diese Verschlüsselungsstufe, wenn für die Kommunikation zwischen Clients und RD-Sitzungshostservern die höchste Verschlüsselungsebene erforderlich ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_ENCRYPTION_POLICY
Anzeigename Festlegen der Verschlüsselungsebene für Clientverbindungen
Location Computerkonfiguration
Pfad Sicherheit des Remotedesktop-Sitzungshosts > für Windows-Komponenten > für Remotedesktopdienste >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
ADMX-Dateiname TerminalServer.admx

DisconnectOnLockLegacyAuthn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.2461] und höher
✅ [10.0.25398.887] und höher
✅Windows 10, Version 2004 [10.0.19041.4474] und höher
✅Windows 11, Version 21H2 mit KB5037770 [10.0.22000.2960] und höher
✅Windows 11, Version 22H2 mit KB5037771 [10.0.22621.3593] und höher
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockLegacyAuthn

Mit dieser Richtlinieneinstellung können Sie die Benutzeroberfläche konfigurieren, wenn die Remotedesktopsitzung durch den Benutzer oder eine Richtlinie gesperrt wird. Sie können angeben, ob die Remotesitzung den Remotesperrbildschirm anzeigen oder die Verbindung trennen soll, wenn die Remotesitzung gesperrt ist. Durch das Trennen der Remotesitzung wird sichergestellt, dass eine Remotesitzung nicht auf dem Sperrbildschirm verbleiben kann und die Verbindung aufgrund eines Verlusts der Netzwerkkonnektivität nicht automatisch wiederhergestellt werden kann.

Diese Richtlinie gilt nur, wenn die Legacyauthentifizierung zur Authentifizierung beim Remote-PC verwendet wird. Die Legacyauthentifizierung ist auf Benutzername und Kennwort oder Zertifikate wie Smartcards beschränkt. Die Legacyauthentifizierung nutzt nicht die Microsoft Identity Platform, z. B. Microsoft Entra ID. Die Legacyauthentifizierung umfasst die Standardauthentifizierungsprotokolle NTLM, CredSSP, RDSTLS, TLS und RDP.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, trennen Remotedesktopverbindungen mit Legacyauthentifizierung die Remotesitzung, wenn die Remotesitzung gesperrt ist. Benutzer können die Verbindung wiederherstellen, wenn sie bereit sind, und ihre Anmeldeinformationen erneut eingeben, wenn sie dazu aufgefordert werden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird bei Remotedesktopverbindungen mit Legacyauthentifizierung der Remotesperrbildschirm angezeigt, wenn die Remotesitzung gesperrt ist. Benutzer können die Remotesitzung mithilfe ihres Benutzernamens und Kennworts oder mit Zertifikaten entsperren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_DISCONNECT_ON_LOCK_POLICY
Anzeigename Trennen der Remotesitzung bei Sperre für die Legacyauthentifizierung
Location Computerkonfiguration
Pfad Sicherheit des Remotedesktop-Sitzungshosts > für Windows-Komponenten > für Remotedesktopdienste >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Name des Registrierungswertes fDisconnectOnLockLegacy
ADMX-Dateiname TerminalServer.admx

DisconnectOnLockMicrosoftIdentityAuthn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.2461] und höher
✅ [10.0.25398.887] und höher
✅Windows 10, Version 2004 [10.0.19041.4474] und höher
✅Windows 11, Version 21H2 mit KB5037770 [10.0.22000.2960] und höher
✅Windows 11, Version 22H2 mit KB5037771 [10.0.22621.3593] und höher
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockMicrosoftIdentityAuthn

Mit dieser Richtlinieneinstellung können Sie die Benutzeroberfläche konfigurieren, wenn die Remotedesktopsitzung durch den Benutzer oder eine Richtlinie gesperrt wird. Sie können angeben, ob die Remotesitzung den Remotesperrbildschirm anzeigen oder die Verbindung trennen soll, wenn die Remotesitzung gesperrt ist. Durch das Trennen der Remotesitzung wird sichergestellt, dass eine Remotesitzung nicht auf dem Sperrbildschirm verbleiben kann und die Verbindung aufgrund eines Verlusts der Netzwerkkonnektivität nicht automatisch wiederhergestellt werden kann.

Diese Richtlinie gilt nur, wenn ein Identitätsanbieter verwendet wird, der die Microsoft Identity Platform verwendet, z. B. Microsoft Entra ID, um sich beim Remote-PC zu authentifizieren. Diese Richtlinie gilt nicht bei Verwendung der Legacyauthentifizierung, die die Standardauthentifizierungsprotokolle NTLM, CredSSP, RDSTLS, TLS und RDP umfasst.

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, trennen Remotedesktopverbindungen mit dem Microsoft Identity Platform die Remotesitzung, wenn die Remotesitzung gesperrt ist. Benutzer können die Verbindung wiederherstellen, wenn sie bereit sind, und die kennwortlose Authentifizierung verwenden, wenn dies konfiguriert ist.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, zeigen Remotedesktopverbindungen, die die Microsoft Identity Platform verwenden, den Remotesperrbildschirm an, wenn die Remotesitzung gesperrt ist. Benutzer können die Remotesitzung mithilfe ihres Benutzernamens und Kennworts oder mit Zertifikaten entsperren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_DISCONNECT_ON_LOCK_AAD_POLICY
Anzeigename Remotesitzung bei Sperre für Microsoft Identity Platform-Authentifizierung trennen
Location Computerkonfiguration
Pfad Sicherheit des Remotedesktop-Sitzungshosts > für Windows-Komponenten > für Remotedesktopdienste >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Name des Registrierungswertes fDisconnectOnLockMicrosoftIdentity
ADMX-Dateiname TerminalServer.admx

DoNotAllowDriveRedirection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowDriveRedirection

Diese Richtlinieneinstellung gibt an, ob die Zuordnung von Clientlaufwerken in einer Remotedesktopdienste-Sitzung (Laufwerkumleitung) verhindert werden soll.

Standardmäßig ordnet ein RD-Sitzungshostserver Clientlaufwerke automatisch bei der Verbindung zu. Zugeordnete Laufwerke werden in der Sitzungsordnerstruktur in Explorer oder Computer im Format <driveletter> auf <computername>angezeigt. Sie können diese Richtlinieneinstellung verwenden, um dieses Verhalten außer Kraft zu setzen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, ist die Umleitung des Clientlaufwerks in Remotedesktopdienste-Sitzungen nicht zulässig, und die Umleitung von Zwischenablagedateien ist auf Computern unter Windows XP, Windows Server 2003, Windows Server 2012 (und höher) oder Windows 8 (und höher) nicht zulässig.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Umleitung des Clientlaufwerks immer zulässig. Darüber hinaus ist die Kopierumleitung von Zwischenablagedateien immer zulässig, wenn die Umleitung der Zwischenablage zulässig ist.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Umleitung des Clientlaufwerks und die Umleitung von Zwischenablagedateikopien nicht auf der Gruppenrichtlinie-Ebene angegeben.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_CLIENT_DRIVE_M
Anzeigename Laufwerkumleitung nicht zulassen
Location Computerkonfiguration
Pfad Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshostgerät > und Ressourcenumleitung
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Name des Registrierungswertes fDisableCdm
ADMX-Dateiname TerminalServer.admx

DoNotAllowPasswordSaving

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowPasswordSaving

Steuert, ob Kennwörter über die Remotedesktopverbindung auf diesem Computer gespeichert werden können.

  • Wenn Sie diese Einstellung aktivieren, ist das Kontrollkästchen zum Speichern des Kennworts in der Remotedesktopverbindung deaktiviert, und Benutzer können Kennwörter nicht mehr speichern. Wenn ein Benutzer eine RDP-Datei mithilfe der Remotedesktopverbindung öffnet und seine Einstellungen speichert, wird jedes Kennwort, das zuvor in der RDP-Datei vorhanden war, gelöscht.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfiguriert lassen, kann der Benutzer Kennwörter mithilfe der Remotedesktopverbindung speichern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_CLIENT_DISABLE_PASSWORD_SAVING_2
Anzeigename Speichern von Kennwörtern nicht zulassen
Location Computerkonfiguration
Pfad Remotedesktopverbindungsclient für Windows-Komponenten > für Remotedesktopdienste >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Name des Registrierungswertes DisablePasswordSaving
ADMX-Dateiname TerminalServer.admx

DoNotAllowWebAuthnRedirection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 22H2 [10.0.22621] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowWebAuthnRedirection

Mit dieser Richtlinieneinstellung können Sie die Umleitung von Webauthentifizierungsanforderungen (WebAuthn) von einer Remotedesktopsitzung auf das lokale Gerät steuern. Diese Umleitung ermöglicht es Benutzern, sich mit ihrem lokalen Authentifikator (z. B. Windows Hello for Business, Sicherheitsschlüssel oder anderen) bei Ressourcen innerhalb der Remotedesktopsitzung zu authentifizieren.

Standardmäßig lässt Remotedesktop die Umleitung von WebAuthn-Anforderungen zu.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ihren lokalen Authentifikator nicht innerhalb der Remotedesktopsitzung verwenden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer lokale Authentifikatoren innerhalb der Remotedesktopsitzung verwenden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_WEBAUTHN
Anzeigename WebAuthn-Umleitung nicht zulassen
Location Computerkonfiguration
Pfad Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshostgerät > und Ressourcenumleitung
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Name des Registrierungswertes fDisableWebAuthn
ADMX-Dateiname TerminalServer.admx

LimitClientToServerClipboardRedirection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.2523] und höher
✅ [10.0.25398.946] und höher
✅Windows 11, Version 21H2 [10.0.22000.3014] und höher
✅Windows 11, Version 22H2 mit KB5037853 [10.0.22621.3672] und höher
✅Windows 11, Version 23H2 mit KB5037853 [10.0.22631.3672] und höher
✅Windows 11, Version 24H2 [10.0.26100] und höher
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection

Mit dieser Richtlinieneinstellung können Sie die Übertragung von Zwischenablagedaten vom Client zum Server einschränken.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Sie aus den folgenden Verhaltensweisen wählen:

  • Deaktivieren Sie Zwischenablageübertragungen vom Client zum Server.

  • Nur-Text-Kopieren vom Client zum Server zulassen.

  • Das Kopieren von Nur-Text und Bildern vom Client auf den Server zulassen.

  • Das Kopieren von Nur-Text, Bildern und Rich-Text-Formaten vom Client zum Server zulassen.

  • Nur-Text, Bilder, Rich-Text-Format und HTML-Kopieren von Client zu Server zulassen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer beliebige Inhalte vom Client auf den Server kopieren, wenn die Umleitung der Zwischenablage aktiviert ist.

Hinweis

Diese Richtlinieneinstellung wird sowohl in der Computerkonfiguration als auch in der Benutzerkonfiguration angezeigt. Wenn beide Richtlinieneinstellungen konfiguriert sind, wird die strengere Einschränkung verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_CLIENT_CLIPBOARDRESTRICTION_CS
Anzeigename Einschränken der Übertragung der Zwischenablage vom Client zum Server
Location Computer- und Benutzerkonfiguration
Pfad Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshostgerät > und Ressourcenumleitung
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
ADMX-Dateiname TerminalServer.admx

LimitServerToClientClipboardRedirection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.2523] und höher
✅ [10.0.25398.946] und höher
✅Windows 11, Version 21H2 [10.0.22000.3014] und höher
✅Windows 11, Version 22H2 mit KB5037853 [10.0.22621.3672] und höher
✅Windows 11, Version 23H2 mit KB5037853 [10.0.22631.3672] und höher
✅Windows 11, Version 24H2 [10.0.26100] und höher
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection

Mit dieser Richtlinieneinstellung können Sie die Übertragung von Zwischenablagedaten vom Server an den Client einschränken.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Sie aus den folgenden Verhaltensweisen wählen:

  • Deaktivieren Sie Zwischenablageübertragungen vom Server zum Client.

  • Nur-Text-Kopieren vom Server zum Client zulassen.

  • Nur-Text- und Bildkopiervorgänge vom Server auf den Client zulassen.

  • Das Kopieren von Nur-Text, Bildern und Rich-Text-Formaten vom Server auf den Client zulassen.

  • Nur-Text, Bilder, Rich-Text-Format und HTML-Kopieren vom Server zum Client zulassen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer beliebige Inhalte vom Server auf den Client kopieren, wenn die Umleitung der Zwischenablage aktiviert ist.

Hinweis

Diese Richtlinieneinstellung wird sowohl in der Computerkonfiguration als auch in der Benutzerkonfiguration angezeigt. Wenn beide Richtlinieneinstellungen konfiguriert sind, wird die strengere Einschränkung verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_CLIENT_CLIPBOARDRESTRICTION_SC
Anzeigename Einschränken der Übertragung der Zwischenablage vom Server zum Client
Location Computer- und Benutzerkonfiguration
Pfad Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshostgerät > und Ressourcenumleitung
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
ADMX-Dateiname TerminalServer.admx

PromptForPasswordUponConnection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/PromptForPasswordUponConnection

Diese Richtlinieneinstellung gibt an, ob Remotedesktopdienste den Client bei der Verbindung immer zur Eingabe eines Kennworts auffordert.

Sie können diese Einstellung verwenden, um eine Kennwortaufforderung für Benutzer zu erzwingen, die sich bei Remotedesktopdiensten anmelden, auch wenn sie das Kennwort bereits im Remotedesktopverbindungsclient angegeben haben.

Remotedesktopdienste ermöglichen benutzern standardmäßig die automatische Anmeldung durch Eingabe eines Kennworts im Remotedesktopverbindungsclient.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können sich Benutzer nicht automatisch bei Remotedesktopdiensten anmelden, indem sie ihre Kennwörter im Remotedesktopverbindungsclient angeben. Sie werden zur Eingabe eines Kennworts für die Anmeldung aufgefordert.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, können sich Benutzer immer automatisch bei Remotedesktopdiensten anmelden, indem sie ihre Kennwörter im Remotedesktopverbindungsclient angeben.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die automatische Anmeldung nicht auf der Gruppenrichtlinie-Ebene angegeben.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_PASSWORD
Anzeigename Bei Verbindung immer zur Eingabe des Kennworts auffordern
Location Computerkonfiguration
Pfad Sicherheit des Remotedesktop-Sitzungshosts > für Windows-Komponenten > für Remotedesktopdienste >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Name des Registrierungswertes fPromptForPassword
ADMX-Dateiname TerminalServer.admx

RequireSecureRPCCommunication

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/RequireSecureRPCCommunication

Gibt an, ob ein Remotedesktop-Sitzungshostserver eine sichere RPC-Kommunikation mit allen Clients erfordert oder eine ungesicherte Kommunikation zulässt.

Sie können diese Einstellung verwenden, um die Sicherheit der RPC-Kommunikation mit Clients zu erhöhen, indem Sie nur authentifizierte und verschlüsselte Anforderungen zulassen.

Wenn die status auf Aktiviert festgelegt ist, akzeptiert Remotedesktopdienste Anforderungen von RPC-Clients, die sichere Anforderungen unterstützen, und lassen keine ungesicherte Kommunikation mit nicht vertrauenswürdigen Clients zu.

Wenn die status auf Deaktiviert festgelegt ist, fordert Remotedesktopdienste immer Sicherheit für den gesamten RPC-Datenverkehr an. Die unsichere Kommunikation ist jedoch für RPC-Clients zulässig, die nicht auf die Anforderung reagieren.

Wenn die status auf Nicht konfiguriert festgelegt ist, ist die ungesicherte Kommunikation zulässig.

Hinweis

Die RPC-Schnittstelle wird zum Verwalten und Konfigurieren von Remotedesktopdiensten verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_RPC_ENCRYPTION
Anzeigename Sichere RPC-Kommunikation erforderlich
Location Computerkonfiguration
Pfad Sicherheit des Remotedesktop-Sitzungshosts > für Windows-Komponenten > für Remotedesktopdienste >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Name des Registrierungswertes fEncryptRPCTraffic
ADMX-Dateiname TerminalServer.admx

TS_SERVER_REMOTEAPP_USE_SHELLAPPRUNTIME

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.2400] und höher
✅ [10.0.25398.827] und höher
✅Windows 11, Version 21H2 [10.0.22000.2898] und höher
✅Windows 11, Version 22H2 mit KB5035942 [10.0.22621.3374] und höher
✅Windows 11, Version 23H2 mit KB5035942 [10.0.22631.3374] und höher
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/TS_SERVER_REMOTEAPP_USE_SHELLAPPRUNTIME

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TS_SERVER_REMOTEAPP_USE_SHELLAPPRUNTIME
ADMX-Dateiname TerminalServer.admx

Dienstanbieter für die Richtlinienkonfiguration