如何在 Windows 上启用远程桌面协议 (RDP)？

远程桌面协议 (RDP) 允许您远程连接到运行 Windows 的计算机的桌面，并像使用本地计算机一样使用它。默认情况下，Windows 中禁用远程桌面访问。在本文中，我们将展示如何在 Windows 10/11 和 Windows Server 2019/2022 上启用和配置 RDP 访问。

如何在 Windows 10 或 11 上启用和使用远程桌面连接？

在 Windows 中启用远程桌面连接的最简单方法是使用控制面板 GUI。

在控制面板中打开系统属性或运行

SystemPropertiesRemote

命令。

打开远程设置选项卡并启用允许远程连接到此计算机选项。

出于安全原因，建议仅允许支持 NLA 的 RDP 客户端进行连接（

Allow connections only from computers running Remote Desktop with Network Level Authentication

）。

单击“确定”保存更改。

默认情况下，只有本地成员

Administrators

组可以通过 RDP 远程连接到计算机。如果您想要允许其他用户进行 RDP 访问，请单击选择用户。

您在此处指定的所有用户都将添加到本地远程桌面用户组中。您可以使用以下命令显示组中的用户列表：

net localgroup "Remote Desktop Users"

该组中的成员被授予远程登录的权利。

要将新用户添加到 RDP 访问组，请运行以下命令：

net localgroup "Remote Desktop Users" /add a.williams

在当前版本的 Windows 10 和 Windows 11 中，用于启用 RDP 访问的经典系统属性对话框被隐藏，Microsoft 建议使用新的设置面板：

1. 打开设置->系统—>远程桌面；

2. 将启用远程桌面切换为ON；

   

3. 确认在计算机上启用 RDP。

请注意，您无法在 Windows 10 家庭版上启用 RDP。远程桌面服务仅适用于 Windows 10 专业版和企业版。不过，有一个解决方法。

您可以使用现代的设置应用在 Windows 11 上启用 RDP。转至系统 -> 远程桌面 -> 使用切换按钮打开远程桌面。

请注意，默认情况下，启用远程桌面时会启用两个选项：

• 插入电源后让我的电脑保持唤醒状态以进行连接

• 使我的电脑在专用网络上可被发现，以启用远程设备的自动连接

点击高级设置。您可以在此处为 RDP 连接启用网络级身份验证（推荐）。

如果计算机上启用了 Windows Defender 防火墙，请确保它允许传入 RDP 连接。默认情况下，TCP 端口 3389 用于 RDP 连接，最新的 Windows 版本也使用 UDP 3389（请参阅有关 RDP 连接期间出现黑屏而不是桌面的情况的文章）。

打开控制面板并选择Windows Defender 防火墙。单击左列中的允许应用或功能通过 Windows 防火墙，打开默认 Windows 防火墙规则列表。

确保为专用配置文件（家庭或公司网络）和公共配置文件（公共网络）启用远程桌面规则（如果需要）。

在此处了解有关网络类型和 Windows 防火墙配置文件的更多信息。

如果需要，您可以使用 GPO 设置 RDP 会话的持续时间限制（超时）。

现在您可以使用 RDP 客户端远程连接到此计算机。 Windows 有一个内置的 RDP 客户端 -

mstsc.exe

。它保留 RDP 连接的历史记录，并支持通过 RDP 剪贴板在本地和远程计算机之间复制文件。

您还可以使用 RDP 连接管理器，例如 RDCMan 或 mRemoteNG，以及替代客户端。

为了方便用户使用，您可以将 RDP 连接密码保存在 Windows 凭据管理器中。

使用 PowerShell 在 Windows 上启用 RDP

您可以使用几个 PowerShell 命令在 Windows 上快速启用 RDP 访问。

1. 跑步

   PowerShell.exe

   作为管理员；

2. 使用 Set-ItemProperty cmdlet 通过注册表启用 RDP 访问：

   Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 0

   要禁用 RDP，请更改

   fDenyTSConnections

   值为1。

3. 在 Windows Defender 防火墙中允许 RDP 连接到计算机。为此，请启用以下防火墙规则：

   Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

   

4. 如果要将用户添加到本地 RDP 访问组，请运行以下命令：

   Add-LocalGroupMember -Group "Remote Desktop Users" -Member a.williams

要确保计算机上的 RDP 端口处于打开状态，请使用 Test-NetConnection cmdlet：

Test-NetConnection -ComputerName wksde133 -CommonTCPPort RDP

在 Windows Server 2022/2019 上启用远程桌面连接

与桌面 Windows 10 (11) 版本不同，Windows Server 默认支持两个并发 RDP 连接。管理员使用这些连接来管理服务器。

在 Windows Server 上启用 RDP 的方式相同：使用上述的 SystemPropertiesRemote、服务器管理器 或 PowerShell 命令。

您可以使用 Windows Server 作为终端服务器。在这种情况下，多个用户可以同时连接到服务器上自己的桌面。为此，请在服务器上安装并配置远程桌面会话主机 (RDSH) 角色。要使用它，您必须购买并激活特殊的 RDS 许可证 (CAL)。了解有关 RDS 许可的更多信息。

此外，您还可以使用 SSL/TLS 证书来保护您的 RDP 连接。

如何在 Active Directory 域中通过组策略 (GPO) 启用 RDP？

如果需要同时在多台计算机上启用远程桌面，可以使用组策略 (GPO)。我们假设所有计算机都加入到 Active Directory 域。

1. 运行组策略管理控制台（

   gpmc.msc

   ）；

2. 创建一个新的组策略对象（或编辑现有组策略对象）并将其链接到包含计算机或服务器的目标 OU；

   

3. 切换到策略编辑模式，然后转到 GPO 部分计算机配置 -> 管理模板 -> Windows 组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 连接；

4. 找到并启用允许用户使用远程桌面服务进行远程连接参数；

   

5. 更新客户端上的 GPO 设置；

6. 应用该策略后，您将能够通过 RDP 连接到所有计算机（该策略将应用于运行 Windows 10/11 和 Windows Server 的桌面客户端）。如果需要，您可以使用 WMI GPO 过滤器将 RDP 策略定位到特定计算机；

7. 如果计算机上启用了 Windows Defender 防火墙，则需要允许同一 GPO 中的域配置文件的 RDP 流量。为此，请激活Windows 防火墙：允许入站远程桌面例外规则（位于“计算机配置”->“管理模板”->“网络”->“网络连接”->“Windows 防火墙”->“域配置文件”）。

   

详细了解如何使用 GPO 配置 Windows 防火墙规则。

在 Windows 上远程启用远程桌面 (RDP)

此外，您还可以在任何运行 Windows 的计算机上远程启用 RDP。为此，您必须能够远程访问计算机（通过 PowerShell 或 WMI），并且您的帐户必须是远程计算机上本地管理员组的成员。

您可以通过注册表远程启用 RDP。为此，必须在远程计算机上启用远程注册表服务（默认情况下处于禁用状态）。运行该服务：

1. 打开服务管理控制台（

   services.msc

   ）；

2. 选择连接到另一台计算机并指定远程计算机的名称；

   

3. 在列表中找到远程注册表服务，将启动类型更改为手动，然后启动该服务。

   

可以使用内置命令从命令提示符远程完成相同的操作

sc

工具（它允许创建、管理和删除 Windows 服务）：

sc \wksde133 config RemoteRegistry start= demand
sc \wksde133 start RemoteRegistry

然后在本地计算机上：

1. 运行注册表编辑器（

   regedit.exe

   ）；

2. 在文件菜单中选择连接网络注册表；

3. 指定要启用 RDP 的远程计算机的名称或 IP 地址；

4. 转到注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server；

5. 找到fDenyTSConnections 参数(REG_DWORD)。如果找不到它，请创建它。将其值更改为 0 以启用 RDP。

   

要禁用 RDP 访问，您需要将 fDenyTSConnections 值更改为 1。

然后，无需重新启动即可立即通过 RDP 访问远程计算机。

但通过命令提示符在远程计算机的注册表中启用 RDP 要快得多：

REG ADD "\wksde133\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

如果在远程计算机上配置了 PowerShell 远程处理，您可以通过 Invoke-Command 在其上运行远程命令：

Invoke-Command -Computername wksde133 -ScriptBlock {Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 0}

如果 Windows 中安装了 OpenSSH 服务器，您可以使用任何 SSH 客户端连接到它，并在 SSH 会话中更改注册表。

此外，您还可以连接到远程计算机并通过 WMI 启用 RDP：

$computername = “wksde133”
(Get-WmiObject -Class Win32_TerminalServiceSetting -Namespace root\CIMV2\TerminalServices -Computer $computername -Authentication 6).SetAllowTSConnections(1,1)