In l'urganizazione induve u travagliu, u travagliu remoto hè pruibitu in principiu. Era. Finu à a settimana passata. Avà aghju avutu urgente à implementà una suluzione. Da l'affari - adattazione di prucessi à un novu formatu di travagliu, da noi - PKI cù codici pin è tokens, VPN, logging detallatu è assai di più.
Frà altre cose, aghju participatu à a creazione di l'Infrastruttura Remote Desktop aka Terminal Services. Avemu parechje implementazioni RDS in diversi centri di dati. Unu di l'ugettivi era di permette à i culleghi di i dipartimenti IT cunnessi per cunnette à e sessioni d'utilizatori in modu interattivu. Comu sapete, ci hè un meccanisimu RDS Shadow regulare per questu è u modu più faciule per delegate hè di dà diritti di amministratore locale nantu à i servitori RDS.
U rispettu è apprezzu i mo culleghi, ma sò assai avidità per a distribuzione di diritti di amministratore. 🙂 Quelli chì sò d'accordu cun mè, per piacè sottu cat.
Ebbè, u compitu hè chjaru, avà - à l'affari.
mossa 1
Crea un gruppu di sicurità in Active Directory RDP_operatori è include in questu i cunti di quelli utilizatori à quale vulemu delegate diritti:
$Users = @(
"UserLogin1",
"UserLogin2",
"UserLogin3"
)
$Group = "RDP_Operators"
New-ADGroup -Name $Group -GroupCategory Security -GroupScope DomainLocal
Add-ADGroupMember -Identity $Group -Members $Users
Sì avete parechji siti AD, allora prima di passà à u prossimu passu, avete bisognu à aspittà finu à chì hè replicatu à tutti i controller di duminiu. Di solitu, ùn dura micca più di 15 minuti.
mossa 2
Demu à u gruppu i diritti per gestisce e sessioni di terminale nantu à ognunu di i servitori RDSH:
Set-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
mossa 3
Aghjunghjite un gruppu à un gruppu lucale Utenti Desktop Remote nantu à ognunu di i servitori RDSH. Se i vostri servitori sò cumminati in cullezzione di sessioni, allora facemu questu à u livellu di cullezzione:
$Group = "RDP_Operators"
$CollectionName = "MyRDSCollection"
[String[]]$CurrentCollectionGroups = @(Get-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup).UserGroup
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup ($CurrentCollectionGroups + $Group)
Per i servitori unichi, utilizate , aspittendu ch'ella sia appiicata à i servitori. Per quelli chì troppu pigri per aspittà, pudete furzà u prucessu cù un bonu vechju gpupdate, preferibile .
mossa 4
Preparamu u seguente PS-script per "managers":
RDSMmanagement.ps1
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
function Invoke-RDPSessionLogoff {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
logoff $SessionID /server:$ComputerName /v 2>&1
}
function Invoke-RDPShadowSession {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
mstsc /shadow:$SessionID /v:$ComputerName /control 2>&1
}
Function Get-LoggedOnUser {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName="localhost"
)
$ErrorActionPreference = "Stop"
Test-Connection $ComputerName -Count 1 | Out-Null
quser /server:$ComputerName 2>&1 | Select-Object -Skip 1 | ForEach-Object {
$CurrentLine = $_.Trim() -Replace "s+"," " -Split "s"
$HashProps = @{
UserName = $CurrentLine[0]
ComputerName = $ComputerName
}
If ($CurrentLine[2] -eq "Disc") {
$HashProps.SessionName = $null
$HashProps.Id = $CurrentLine[1]
$HashProps.State = $CurrentLine[2]
$HashProps.IdleTime = $CurrentLine[3]
$HashProps.LogonTime = $CurrentLine[4..6] -join " "
$HashProps.LogonTime = $CurrentLine[4..($CurrentLine.GetUpperBound(0))] -join " "
}
else {
$HashProps.SessionName = $CurrentLine[1]
$HashProps.Id = $CurrentLine[2]
$HashProps.State = $CurrentLine[3]
$HashProps.IdleTime = $CurrentLine[4]
$HashProps.LogonTime = $CurrentLine[5..($CurrentLine.GetUpperBound(0))] -join " "
}
New-Object -TypeName PSCustomObject -Property $HashProps |
Select-Object -Property UserName, ComputerName, SessionName, Id, State, IdleTime, LogonTime
}
}
$UserLogin = Read-Host -Prompt "Введите логин пользователя"
Write-Host "Поиск RDP-сессий пользователя на серверах..."
$SessionList = @()
ForEach ($Server in $Servers) {
$TargetSession = $null
Write-Host " Опрос сервера $Server"
Try {
$TargetSession = Get-LoggedOnUser -ComputerName $Server | Where-Object {$_.UserName -eq $UserLogin}
}
Catch {
Write-Host "Ошибка: " $Error[0].Exception.Message -ForegroundColor Red
Continue
}
If ($TargetSession) {
Write-Host " Найдена сессия с ID $($TargetSession.ID) на сервере $Server" -ForegroundColor Yellow
Write-Host " Что будем делать?"
Write-Host " 1 - подключиться к сессии"
Write-Host " 2 - завершить сессию"
Write-Host " 0 - ничего"
$Action = Read-Host -Prompt "Введите действие"
If ($Action -eq "1") {
Invoke-RDPShadowSession -ComputerName $Server -SessionID $TargetSession.ID
}
ElseIf ($Action -eq "2") {
Invoke-RDPSessionLogoff -ComputerName $Server -SessionID $TargetSession.ID
}
Break
}
Else {
Write-Host " сессий не найдено"
}
}
Per fà cunvene per eseguisce u script PS, faremu una cunchiglia per questu in forma di un schedariu cmd cù u listessu nome cum'è l'script PS:
RDSManagement.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
Pudemu i dui fugliali in un cartulare chì serà dispunibule per i "managers" è li dumandemu di re-login. Avà, eseguendu u schedariu cmd, puderanu cunnette à e sessioni di l'altri utilizatori in u modu RDS Shadow è furzà elli à u logu (hè utile quandu l'utilizatore ùn pò micca finisce a sessione "appesa" per sè stessu).
Sembra qualcosa cusì:
Per "manager"
Per l'utilizatori
Qualche ultime rimarche
Nuance 1. Se a sessione di l'utilizatore à quale avemu pruvatu à ottene u cuntrollu hè stata cuminciata prima chì u script Set-RDSPermissions.ps1 hè stata eseguita in u servitore, u "manager" riceverà un errore d'accessu. A suluzione quì hè ovvia: aspittà chì l'utilizatore gestitu torna à login.
Nuance 2. Dopu parechji ghjorni di travagliu cù RDP Shadow, anu nutatu un interessante sia un bug o una funzione: dopu à a fine di a sessione d'ombra, l'utilizatore à quale anu cunnessu sparisce a barra di lingua in a bandeja, è per rinvià, u l'utilizatore hà bisognu di ri-login. Comu risulta, ùn simu solu: , , .
Eccu tuttu. Vogliu salute à voi è à i vostri servitori. Cum'è sempre, aghju aspettatu i vostri feedback in i cumenti è vi dumandu di piglià una breve indagine sottu.
Fonti
Solu l'utilizatori registrati ponu participà à l'indagine. , per piacè.
Chì avete aduprà?
-
8,1%AMMYY Admin 5
-
17,7%AnyDesk11
-
9,7%DameWare6
-
24,2%Radmin15
-
14,5%RDS Shadow9
-
1,6%Assistenza rapida / Assistenza remota di Windows 1
-
38,7%TeamViewer 24
-
32,3%VNC20
-
32,3%altru 20
-
3,2%LiteManager 2
62 utilizatori anu vutatu. 22 utilizatori si sò astenuti.
Source: www.habr.com