Настройка терминального сервера Windows Server 2025 с доменом Active Directory

Перед настройкой терминального сервера нам необходимо развернуть домен Active Directory. Для упрощения демонстрации в данной статье контроллером домена и терминальным сервером будет выступать одна виртуальная машина, однако отметим, что мы не рекомендуем использовать такую конфигурацию, поскольку предоставление доступа обычным пользователям к контроллеру домена не является безопасным.

Установка Active Directory в Windows Server 2025

Для развёртки домена перейдём в диспетчер серверов:

В правом верхнем углу выберем Управление – Добавить роли и компоненты:

На шаге «Тип установки» выбираем «Установка ролей или компонентов» и идём далее:

Теперь выбираем наш сервер из списка:

Далее выбираем следующие роли из списка: «DNS-сервер» и «Доменные службы Active Directory» (если DNS-сервер у вас находится на другом сервере, выбирать его не нужно):

Пропускаем следующие шаги до шага «Подтверждение». Здесь проверяем список устанавливаемых ролей и нажимаем «Установить» (на ваше усмотрение можно поставить галочку возле поля «Автоматический перезапуск конечного сервера, если потребуется» – в таком случае мастер добавления ролей и компонентов сам перезапустит сервер без дополнительных предупреждений, если это потребуется в ходе установки):

После успешной установки компонентов выберите «Повысить роль этого сервера до уровня контроллера домена» и произведите настройку вашего домена. Когда настройка будет завершена, Ваш сервер перезагрузится для применения всех внесённых изменений.

После перезагрузки сервера мы можем домен будет отображаться в свойствах локального сервера в диспетчере серверов:

Установка  терминальных служб Windows Server 2025

Теперь приступим к настройке терминального сервера. Откроем Диспетчер серверов и выберем Управление – Добавить роли и компоненты:

На шаге «Тип установки» указываем Установка ролей или компонентов:

Выбираем наш сервер из списка и переходим далее:

На шаге «Роли сервера» нужно выбрать «Службы удаленных рабочих столов»:

Далее пропускаем шаг «Компоненты» и в «Службы ролей» выбираем «Лицензирование удаленных рабочих столов» и «Узел сеансов удаленных рабочих столов»:

После этого проверяем список выбранных компонентов на шаге «Подтверждение» и жмём «Установить» (на ваше усмотрение можно поставить галочку возле поля «Автоматический перезапуск конечного сервера, если потребуется» – в таком случае мастер добавления ролей и компонентов сам перезапустит сервер без дополнительных предупреждений, если это потребуется в ходе установки):

Теперь необходимо задать режим лицензирования. Перейдём в Диспетчер серверов – Средства – Управление групповой политикой:

Выбираем нашу групповую политику и жмём «Изменить»:

Далее переходим по пути «Конфигурация компьютера» - «Административные шаблоны» - «Компоненты Windows» - «Службы удаленных рабочих столов» - «Узел сеансов удаленных рабочих столов» - «Лицензирование», выбираем параметр политики «Использовать указанные серверы лицензирования удаленных рабочих столов», включаем его и указываем имя нашего сервера лицензирования (имя можно узнать в Параметры – Система – О системе):

Также меняем параметр «Задать режим лицензирования удаленных рабочих столов» – переводим в состояние Включено и выбираем режим «На пользователя»:

Для применения внесенных изменений открываем командную строку от имени администратора и вводим команду

gpupdate /force:

Далее перейдём в Диспетчер серверов – Средства – Remote Desktop Services – Диспетчер лицензирования удаленных рабочих столов, выберем наш сервер и нажмём «Активировать сервер»:

Следуем по шагам мастера активации сервера. На шаге «Метод подключения» нужно выбрать «Авто», после чего указать актуальную информацию о пользователе:

После окончания работы мастера оставляем галочку «Запустить мастер установки лицензий» и жмём далее. Выбираем тип лицензии «Другое соглашение» и переходим далее:

На следующем шаге указываем номер соглашения и переходим далее.

Указываем версию продукта «Windows Server 2025», «Тип лицензии» выбираем в соответствии с установленным нами в групповой политике и количество лицензий, доступных на сервере лицензирования (для примера мы создадим 5 лицензий для 5 пользователей терминального сервера):

После установки лицензий мы увидим, что наш сервер не активирован до конца. Необходимо выбрать пункт Рецензия:

Здесь нам нужно добавить сервер в группу серверов лицензирования и зарегистрировать как точку подключения службы в доменных службах Active Directory:

После выполнения данных действий необходимо будет перезапустить службы лицензирования удаленных рабочих столов на нашем сервере:

Для этого перейдём в Диспетчер серверов – Средства – Службы:

Здесь найдём службу «Лицензирование удаленных рабочих столов» и выберем действие «Перезапустить»:

Последним шагом настройки определим пользователей, которым разрешено удалённое подключение к нашему терминальному серверу. Для этого перейдём в редактор групповой политики в Диспетчер серверов – Средства – Управление групповой политикой:

В редакторе групповой политики перейдём по пути Конфигурация компьютера - Политики - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Разрешить вход в систему через службу удаленных рабочих столов:

Выбираем галочку «Определить следующие параметры политики» и добавляем пользователей в список:

Далее открываем командную строку от имени администратора и вводим команду gpupdate /force, чтобы применить внесенные в политику изменения:

Теперь нам нужно добавить наших пользователей в группу «Пользователи удаленного рабочего стола». Для этого перейдём в Диспетчер серверов – Средства – Пользователи и компьютеры Active Directory:

Здесь перейдём в папку «Users», откроем свойства нашего пользователя и выберем вкладку «Член групп»:

Выберем «Добавить» и добавим группу «Пользователи удаленного рабочего стола»:

Как заблокировать учётную запись пользователя RDP?

В нашем случае существует три способа заблокировать доступ пользователю в систему:

1. Удалить пользователя из группы «Пользователи удаленного рабочего стола»

Для этого нам необходимо перейти в список пользователей Диспетчер серверов – Средства – Пользователи и компьютеры Active Directory:

Найти нашего пользователя в списке и открыть его свойства:

Далее перейти во вкладку «Член групп», выбрать группу «Пользователи удаленного рабочего стола» и нажать «Удалить», после чего нажать «Применить» и «ОК»:

Чтобы вернуть пользователю возможность подключения по RDP нужно будет вернуть его в группу «Пользователи удаленного рабочего стола» и применить изменения.

2. Изменить параметр политики 

Для этого перейдём в редактор групповой политики в Диспетчер серверов – Средства – Управление групповой политикой:

В редакторе групповой политики перейдём по пути Конфигурация компьютера - Политики - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Разрешить вход в систему через службу удаленных рабочих столов:

Выберем нашего пользователя в списке и нажмём «Удалить»:

Далее открываем командную строку от имени администратора и вводим команду gpupdate /force, чтоб применить внесенные в политику изменения:

Чтобы разблокировать пользователя, нужно добавить его обратно в список данного параметра политики и выполнить команду gpupdate /force для повторного обновления групповой политики.

3. Отключить учётную запись пользователя

Данный способ полностью отключает учётную запись пользователя так, что зайти в неё будет нельзя даже локально. Для этого нам нужно перейти в список пользователей Диспетчер серверов – Средства – Пользователи и компьютеры Active Directory:

Найти нашего пользователя в списке и открыть его свойства:

Далее перейти во вкладку Учётная запись и в списке Параметры учётной записи отметить галочкой пункт «Отключить учётную запись», после чего нажать «Применить» и «ОК»:

Чтобы разблокировать запись пользователя, достаточно снять галочку с указанного пункта и применить изменения.