У арганізацыі, дзе я працую, выдаленне забаронена ў прынцыпе. Была. Да мінулага тыдня. Цяпер прыйшлося ў тэрміновым парадку ўкараняць рашэнне. Ад бізнэсу - адаптацыя працэсаў да новага фармату працы, ад нас - PKI з пін-кодамі і токена, VPN, дэталёвае лагіраванне і шмат чаго яшчэ.
Апроч усяго іншага, я займаўся наладай інфраструктуры выдаленых працоўных сталоў aka службы тэрміналаў. У нас некалькі RDS-разгортванняў у розных ЦАДах. Адной з задач было даць магчымасць калегам з сумежных падраздзяленняў ІТ падлучацца да карыстацкіх сеансаў у інтэрактыўным рэжыме. Як вядома, для гэтага ёсць штатны механізм RDS Shadow і самы просты спосаб яго дэлегаваць – даць правы лакальнага адміністратара на RDS-серверах.
Я паважаю і шаную сваіх калегаў, але вельмі прагны да раздачы адмінскіх правоў. 🙂 Тых, хто са мной салідарны, прашу пад кат.
Што ж, задача ясная, зараз - да справы.
Крок 1
Створым у Active Directory групу бяспекі RDP_Operators і ўключым у яе ўліковыя запісы тых карыстальнікаў, якім хочам дэлегаваць правы:
$Users = @(
"UserLogin1",
"UserLogin2",
"UserLogin3"
)
$Group = "RDP_Operators"
New-ADGroup -Name $Group -GroupCategory Security -GroupScope DomainLocal
Add-ADGroupMember -Identity $Group -Members $Users
Калі ў вас некалькі AD-сайтаў, то перад тым, як перайсці да наступнага кроку, трэба пачакаць, пакуль яна будзе рэплікаваная на ўсе кантролеры дамена. Звычайна гэта займае не больш за 15 хвілін.
Крок 2
Дадзім групе права на кіраванне тэрмінальнымі сесіямі на кожным з RDSH-сервераў:
Set-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
Крок 3
Дадамо групу ў лакальную групу Карыстальнікі выдаленага працоўнага стала на кожным з RDSH-сервераў. Калі ў вас серверы аб'яднаны ў калекцыі сеансаў, то які робіцца гэта на ўзроўні калекцыі:
$Group = "RDP_Operators"
$CollectionName = "MyRDSCollection"
[String[]]$CurrentCollectionGroups = @(Get-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup).UserGroup
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup ($CurrentCollectionGroups + $Group)
Для адзіночных сервераў задзейнічаны , дачакаўшыся, пакуль яна прымяніцца на серверах. Тыя, каму лянота чакаць, могуць фарсіраваць працэс з дапамогай старога добрага gpupdate, пажадана .
Крок 4
Падрыхтуем для «кіраўнікоў» такі PS-скрыпт:
RDSManagement.ps1
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
function Invoke-RDPSessionLogoff {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
logoff $SessionID /server:$ComputerName /v 2>&1
}
function Invoke-RDPShadowSession {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
mstsc /shadow:$SessionID /v:$ComputerName /control 2>&1
}
Function Get-LoggedOnUser {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName="localhost"
)
$ErrorActionPreference = "Stop"
Test-Connection $ComputerName -Count 1 | Out-Null
quser /server:$ComputerName 2>&1 | Select-Object -Skip 1 | ForEach-Object {
$CurrentLine = $_.Trim() -Replace "s+"," " -Split "s"
$HashProps = @{
UserName = $CurrentLine[0]
ComputerName = $ComputerName
}
If ($CurrentLine[2] -eq "Disc") {
$HashProps.SessionName = $null
$HashProps.Id = $CurrentLine[1]
$HashProps.State = $CurrentLine[2]
$HashProps.IdleTime = $CurrentLine[3]
$HashProps.LogonTime = $CurrentLine[4..6] -join " "
$HashProps.LogonTime = $CurrentLine[4..($CurrentLine.GetUpperBound(0))] -join " "
}
else {
$HashProps.SessionName = $CurrentLine[1]
$HashProps.Id = $CurrentLine[2]
$HashProps.State = $CurrentLine[3]
$HashProps.IdleTime = $CurrentLine[4]
$HashProps.LogonTime = $CurrentLine[5..($CurrentLine.GetUpperBound(0))] -join " "
}
New-Object -TypeName PSCustomObject -Property $HashProps |
Select-Object -Property UserName, ComputerName, SessionName, Id, State, IdleTime, LogonTime
}
}
$UserLogin = Read-Host -Prompt "Введите логин пользователя"
Write-Host "Поиск RDP-сессий пользователя на серверах..."
$SessionList = @()
ForEach ($Server in $Servers) {
$TargetSession = $null
Write-Host " Опрос сервера $Server"
Try {
$TargetSession = Get-LoggedOnUser -ComputerName $Server | Where-Object {$_.UserName -eq $UserLogin}
}
Catch {
Write-Host "Ошибка: " $Error[0].Exception.Message -ForegroundColor Red
Continue
}
If ($TargetSession) {
Write-Host " Найдена сессия с ID $($TargetSession.ID) на сервере $Server" -ForegroundColor Yellow
Write-Host " Что будем делать?"
Write-Host " 1 - подключиться к сессии"
Write-Host " 2 - завершить сессию"
Write-Host " 0 - ничего"
$Action = Read-Host -Prompt "Введите действие"
If ($Action -eq "1") {
Invoke-RDPShadowSession -ComputerName $Server -SessionID $TargetSession.ID
}
ElseIf ($Action -eq "2") {
Invoke-RDPSessionLogoff -ComputerName $Server -SessionID $TargetSession.ID
}
Break
}
Else {
Write-Host " сессий не найдено"
}
}
Каб PS-скрыпт было зручна запускаць, зробім для яго абалонку ў выглядзе cmd-файла з такім жа імем, як у PS-скрыпту:
RDSManagement.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
Кладзём абодва файла ў тэчку, якая будзе даступная «кіраўнікам» і просім іх пералагініцца. Зараз, запусціўшы cmd-файл, яны змогуць падлучацца да сесій іншых карыстачоў у рэжыме RDS Shadow і прымусова іх разлагінваць (бывае карысна, калі карыстач не можа самастойна завяршыць «завіслую» сесію).
Выглядае гэта прыкладна так:
Для «кіраўніка»
Для карыстальніка
Некалькі заўваг напрыканцы
Нюанс 1. Калі сеанс карыстальніка, да якога спрабуем атрымаць кіраванне, быў запушчаны да таго, як на серверы адпрацаваў скрыпт Set-RDSPermissions.ps1, то "кіраванец" атрымае памылку доступу. Рашэнне тут відавочна: пачакаць, пакуль кіраваны карыстач пералагініцца.
Нюанс 2. Пасля некалькіх дзён працы з RDP Shadow заўважылі цікавы ці то баг, ці то фічу: пасля завяршэння ценявага сеансу ў карыстача, да якога падлучаліся, знікае моўная панэль у трэі і каб яе вярнуць, карыстачу трэба пералагініцца. Як аказалася, мы не самотныя: , , .
На гэтым усё. Жадаю здароўя вам і вашым серверам. Як заўсёды, чакаю зваротнай сувязі ў каментарах і прашу прайсці невялікае апытанне ніжэй.
крыніцы
Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. , Калі ласка.
Чым карыстаецеся?
-
8,1%AMMYY Admin5
-
17,7%AnyDesk11
-
9,7%DameWare6
-
24,2%Radmin15
-
14,5%RDS Shadow9
-
1,6%Quick Assist / Windows Remote Assistance1
-
38,7%TeamViewer24
-
32,3%VNC20
-
32,3%іншае20
-
3,2%LiteManager2
Прагаласавалі 62 карыстальніка. Устрымаліся 22 карыстальніка.
Крыніца: habr.com