Делегуйте управління сеансом на RemoteApp 2012

9

Ми створили досить велике середовище RemoteApp на 2012 R2, повністю виправлене. Все працює нормально, тому зараз настає час відводити офшори та делегувати завдання команді першого ряду.

Ми хотіли б, щоб наші хлопці першої лінії керували сесіями. Наприклад, якщо сеанс зависне (втрачено з'єднання з профільним накопичувачем). Вони повинні мати можливість вийти з сеансу.

Я намагався налаштувати такі дозволи на всі сервери:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

Але безрезультатно, вони не можуть відкрити Менеджер сервера> Служби віддаленого робочого столу, оскільки вони не можуть підключитися до брокерів RD Connection.

Якщо вони відкриють диспетчер завдань і спробують вийти з нього користувачів, вони не мають відповідних прав. Цей варіант також не найкращий, тому що він вимагатиме від них перегляду та перегляду кожного сервера, якщо користувач увійде в систему (автоматичне завантаження збалансовано на декількох серверах та регіонах).

Отже, в основному: Як члени певної групи можуть відключити користувачів, не даючи їм адміністраторських прав на машині?

Так я робив би це у 2008 році, але інструменти більше не доступні: https://technet.microsoft.com/en-us/library/cc753032.aspx

remote-desktop  windows-server-2012-r2  remoteapp 
Барт Де Вос
джерело
2
Я буду спостерігати за цим, як ми ніколи не могли це зрозуміти. Надання дозволів користувачам / групам на дистанційне керування / відхід / скидання працює добре на сервері, але ми ніколи не зможемо їх отримати від брокера.
pauska
Це може бути шалений бурчання. Чи могли б ви використати щось у цьому напрямку? blogs.technet.com/b/askds/archive/2012/08/02/…, а потім використовуйте get-rdusersession -connectionbroker, а потім використовуйте Invoke-RDUserLogoff, коли у вас є деталі з першої команди
Drifter104

Відповіді:

0

Просто ідея, яка потребує більше роботи:

Що робити, якщо ви використовуєте скрипт (power) оболонки, запускайте кожні n хвилин як заплановане завдання з правами адміністратора, до якого ви передаєте (наприклад, використовуючи текстовий файл, поміщений у захищену папку), користувачі відключаються?

Або, загалом, процес, запущений з підвищеними привілеями, з єдиною метою відключення користувачів, який отримує від користувачів відключення як параметр І спосіб членів вибраної групи передавати ці параметри.

Сільвіо Массіна
джерело
0

Отже, у мене насправді хтось із MS займався цим. Це була відповідь, яку вони мені дали.

Привіт, Барт - найімовірніший спосіб підтримати цей сценарій - це побудувати повноваження над інструментами TS Cmdline та забезпечити тонкодоступний доступ до сеансів виходу з системи тощо за допомогою WMI.

  1. Детальний список інструментів Cmdline, які можна використовувати - див. Тут: • https://technet.microsoft.com/en-us/library/cc753032.aspx
  2. Про використання WMI для надання дозволів див. Тут: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx

Так що в принципі це неможливо, запустити своє.

Якщо мені коли-небудь вдасться закінчити це, я оновлю тут.

Барт Де Вос
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.