Як я можу переконатися, що користувачі виходять із сеансів віддаленого робочого столу, а не просто закривають вікно RDP?

19

У нас є купа серверів, на які віддалені робочі сторони наших інженерів, але кожен сервер має два обмеження підключення. Ми часто намагатимемося ввести RDP у ці вікна, і побачимо повідомлення "Ця машина перевищила максимальну кількість з'єднань".

Це великий біль, оскільки ми надіслали цим користувачам кілька електронних повідомлень, і вони ніколи не розуміють.

Я знаю, як підключитися до кореневої консолі та завантажувати людей, але я вважаю за краще не робити цього. Я також знаю, що існують способи завантаження неактивних сеансів через певний проміжок часу, і я теж не хочу цього робити.

Я хочу змусити користувачів дізнатися, що їм потрібно вийти. Це не відбувається, якщо ви виходите з них вручну (плюс вийти з них вручну - це біль). Якщо ви просто вийдете з них вручну, ці інженери не будуть думати двічі про те, щоб залишатися на зв’язку під час сеансу RDP, оскільки це їм зручно.

Я вважаю за краще деяку систему сповіщень, де нерозбірливий користувач повідомляється електронною поштою або повідомленням NET SEND про те, що їх обліковий запис відключається від машини. Таким чином вони зрозуміють, що роблять щось не так. Ще краще, якщо вони порушують кілька разів, я б хотів, щоб їхній обліковий запис був заблокований, поки системний адміністратор не розблокує його.

Чи є спосіб досягти мети, щоб користувачі виходили вручну? Всі пропозиції вітаються.

remote-desktop  windows-server-2008  windows-server-2008-r2 
JackAce
джерело
Найкращий практичний спосіб, який я можу придумати, - це те, що ви вже робите. Надішліть їх усім, окрім додайте "користувача A та користувача B, наразі активно працюють на цій машині. Чи може хтось із вас двох використовувати пошту, коли ви закінчили та вийшли з системи? '. Мета: Так, ви чекаєте. Це люди, які забули вийти, піти скаржитися на них. Крім того, якщо вам регулярно потрібно більше користувачів, тоді є рішення: термінальний сервер. Наскільки мені відомо, це означає оплату ліцензії та зміну однієї DLL.
Геннес

Відповіді:

15

Ви можете скористатися інструментами конфігурації хоста віддаленого робочого столу або (краще) груповою політикою для визначення правил щодо відключення RDP.

Якщо ви використовуєте групову політику та OU, ви зможете дозволити деяким користувачам залишатися "відключеними" і змусити інших відключитися після відключення.

Ознайомтесь із цими галузями політики:

  • Конфігурація комп'ютера \ Політика \ Адміністративні шаблони \ Компоненти Windows \ Послуги віддаленого робочого столу \ Хост віддаленого робочого сеансу \ Обмеження часу сесії
  • Конфігурація користувача \ Політика \ Адміністративні шаблони \ Компоненти Windows \ Послуги віддаленого робочого столу \ Хост віддаленого робочого сеансу \ Обмеження часу сесії

І такі політики:

Закінчення відключеного сеансу

Вкажіть максимальну кількість часу, коли відключений сеанс користувача буде активним на сервері хоста RD Session. Якщо ви вказали "Ніколи", сеанс відключення користувача підтримується необмежений час.

Коли сеанс перебуває у відключеному стані, запущені програми залишаються активними, навіть якщо користувач більше не підключається до активного зв’язку.

.

Коли буде досягнуто обмеження сеансу або розривається з'єднання

Вкажіть, чи потрібно відключати або припиняти сеанс Служб віддаленого робочого столу користувача, коли буде досягнуто обмеження активного сеансу чи ліміт сеансу в режимі очікування.

Якщо сеанс користувача відключено, програми, які користувач працює, залишаються активними, навіть якщо користувач більше не підключений.

Якщо сеанс користувача закінчується, користувачеві потрібно буде встановити новий сеанс Служб віддаленого робочого столу з сервером хоста RD Session.

Для отримання додаткової інформації відвідайте цю сторінку в MS про політику відключення RDP.

Ƭᴇcʜιᴇ007
джерело
Також обговорювалося на ServerFault: serverfault.com/questions/301640/…
1

Для системи сповіщень, я думаю, вам доведеться розробити її, використовуючи такі API, як WTSEnumerateSession .

Це означає розробити щось на кшталт служби Windows, яка регулярно запитуватиме ваші сервери, щоб полювати на відключені сеанси, і робити з ними все, що ви хочете.

Це може зайняти у вас купу днів роботи, щоб виправити це.

В іншому випадку я пропоную інший підхід до цієї проблеми:

  • Налаштуйте дві групи rdp користувачів на серверах: скажімо TrustedDisconnectors та UntrustedDisconnectors.
  • Налаштуйте політику для UntrustedDisconnectors, що призведе до того, що їх сеанс вийшов із системи за дещо короткий час очікування відключення.
  • Повідомте про цю зміну. Заявляє, що інженерам часто не вдається належним чином відключитися без поважних причин більше не дозволятимуть відключатися без виходу з системи.
Фредерік
джерело
0

Не впевнений, наскільки допомога в цьому буде, але варто придивитись до використання програми перегляду VNC . Він може бути налаштований для виходу із системи після відключення останнього глядача.

Потім можна змусити користувачів використовувати VNC, блокуючи порт RDP на пристрої.

greg84
джерело
1
Не дозволяє VNC допускати лише одне з'єднання? Це може погіршити ситуацію (намагання увійти, коли хтось уже увійшов). Плюс VNC мене нервує, тому що хтось, можливо, стоїть перед машиною, яку ви контролюєте, переглядаючи все, що ви вводите, а ви ніколи цього не знаєте.
JackAce
1
Плюс є випадки, коли ви законно хочете відключитися і дозволити деякій операції продовжувати працювати. Бувають випадки, коли я хочу відключитися, коли залишаю роботу, а потім знову підключаюся додому.
JackAce
Будьте обережні з VNC ... якщо ви використовуєте симетричне шифрування (він же єдиний пароль для всіх користувачів), його можна легко розшифрувати: raymond.cc/blog/crack-or-decrypt-vnc-server-encrypted-password
Mick
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.