Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich

Folgendes Szenario angenommen:

• Man möchte eine Remotedesktopverbindung herstellen.
• Der Clientcomputer, von welchem aus die Verbindung hergestellt wird, ist nicht Mitglied der gleichen Active Directory Gesamtstruktur wie der Zielcomputer.
• Die Verbindung schlägt mit folgender Fehlermeldung fehl:

A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Das Phänomen tritt auf, wenn der betreffende Benutzer Mitglied der Sicherheitsgruppe "Protected Users" ist und eine der folgenden Bedingungen zutrifft:

• Der Zugriff erfolgt von einem System außerhalb der Active Directory Gesamtstruktur, welcher der Zielcomputer angehört.
• Die Anmeldung erfolgte im Format DOMÄNE\Benutzername.

Die zugrundeliegende Ursache ist, dass in diesem Fall keine Authentifizierung via Kerberos vorgenommen wird, sondern ein Fallback auf NTLM stattfindet.

Wenn der Benutzer Mitglied von "Protected Users" ist, ist jedoch die Verwendung von NTLM nicht möglich.

Lösung

Man kann die Authentifizierung via Kerberos erzwingen, indem man die Anmeldung im Format Benutzername@Domäne vornimmt, also den Benutzerprinzipalnamen (User Principal Name, UPN) verwendet.

Darüber hinaus muss darauf geachtet werden, dass die Verbindung über den vollqualifizierten DNS-Namen des Zielsystems und nicht über dessen IP-Adresse hergestellt wird.

Weiterführende Links:

Externe Quellen

• Protected Users Security Group (Microsoft)
• Ten things you need to be aware of before using the Protected Users Group (Sander Berkouwer)
• A User Account Restriction Is Preventing You From Logging On (Agema A/S)