Im Normalfall ist der Port für die Remote-Desktopverbindung 3389. Allerdings kann es diverse Gründe geben, diese Einstellung zu ändern. Zum Beispiel damit Angreifer nicht so einfach herausfinden, dass über Remote Desktop auf den Computer zugegriffen werden kann. Auf seinem Heim-PC hat einer unserer Leser diesen Dienst aktiviert und möchte den Port ändern.

Die Einstellung befindet sich hierfür in der Registrierung unter „HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/
TerminalServer/WinStations/RDP-TCP/”. Hier kann unter dem Schlüssel „PortNumber” ein Port angegeben werden. Allerdings sollte die Darstellungsweise vorher auf „Dezimal” umgestellt werden, damit auch der gewünschte Port genutzt wird.

Für die Verbindung muss fortan zusätzlich zu dem Servernamen und der IP-Adresse der oben angegebene Port mit einem Doppelpunkt getrennt angegeben werden, zum Beispiel „MeinPC:4433”.

Ein mysteriöses Problem beschäftigte einen unserer Leser in der letzten Woche. Er hat als Administrator eine vorhandene Windows-Domäne übernommen und ein Problem bei der Einrichtung von lokalen Administratoren auf den Clients: Nach einem Neustart waren die hinzugefügten Benutzer wieder aus der Gruppe der lokalen Administratoren verschwunden.

Für die Rechtevergabe gibt es in Windows-Domänen eine nützliche Hilfe: Die Gruppenrichtlinie „Eingeschränkte Gruppen” unter „Computerkonfiguration” -> „Windows-Einstellungen” -> „Sicherheitseinstellungen”. Hiermit lassen sich auf den Domänen-Computern Mitglieder zu den lokalen Benutzergruppen hinzufügen. Wird ein Domänen-Benutzerkonto nicht über diese Richtlinie gezielt in eine lokale Gruppe aufgenommen, ist sie automatisch nur Mitglied der Gruppe „Benutzer”.

Der Haken an der Sache folgt auf dem Fuße: Die Benutzerkonten, die in der Gruppenrichtlinie definiert werden, ergänzen die Mitglieder der lokalen Gruppen der Computer nicht, sie ersetzen sie. Hier fand sich auch die Ursache für das Problem unseres Lesers: Die lokalen Administratoren waren über die eingeschränkten Gruppen definiert. Alle lokal hinzugefügten Mitglieder der Gruppe wurden hierdurch wieder entfernt, sobald die Gruppenrichtlinie angewendet wurde (z.B. durch einen Neustart oder in den Standardeinstellungen nach ca. 90 Minuten).

Bei der Benutzung dieser Richtlinie sollte man übrigens immer darauf achten, seinen Domänenadministratoren nicht die lokalen Administrationsrechte auf den Clients zu entziehen