San eagraíocht ina n-oibrím, tá toirmeasc ar chianobair i bprionsabal. Bhí. Go dtí an tseachtain seo caite. Anois bhí orainn réiteach a chur i bhfeidhm go práinneach. Ó ghnó - próisis a oiriúnú go formáid oibre nua, uainn - PKI le cóid PIN agus comharthaí, VPN, logáil mhionsonraithe agus go leor eile.
I measc rudaí eile, bhí Bonneagar Deisce Cianda á bhunú agam aka Seirbhísí Teirminéil. Tá roinnt imscaradh RDS againn in ionaid sonraí éagsúla. Ceann de na spriocanna a bhí ann ná comhghleacaithe ó ranna gaolmhara TF a chumasú chun nascadh le seisiúin úsáideoirí go hidirghníomhach. Mar is eol duit, tá meicníocht Scáth caighdeánach RDS ann chuige seo, agus is é an bealach is éasca chun é a tharmligean ná cearta riarthóirí áitiúla a thabhairt ar fhreastalaithe RDS.
Tá meas agus meas agam ar mo chomhghleacaithe, ach is aoibhinn liom cearta riaracháin a thabhairt. 🙂 Dóibh siúd a aontaíonn liom, lean an gearradh le do thoil.
Bhuel, tá an tasc soiléir, anois déanaimis dul i mbun gnó.
Céim 1
Cruthaímid grúpa slándála san Eolaire Gníomhach RDP_Oibreoirí agus cuir san áireamh ann cuntais na n-úsáideoirí sin ar mian linn cearta a tharmligean chucu:
$Users = @(
"UserLogin1",
"UserLogin2",
"UserLogin3"
)
$Group = "RDP_Operators"
New-ADGroup -Name $Group -GroupCategory Security -GroupScope DomainLocal
Add-ADGroupMember -Identity $Group -Members $Users
Má tá suímh AD iolracha agat, beidh ort fanacht go dtí go ndéanfar é a mhacasamhlú do gach rialtóir fearainn sula mbogann tú ar aghaidh go dtí an chéad chéim eile. De ghnáth ní thógann sé seo níos mó ná 15 nóiméad.
Céim 2
Tugaimis cearta don ghrúpa seisiúin teirminéil a bhainistiú ar gach ceann de na freastalaithe RDSH:
Socraigh-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
Céim 3
Cuir an grúpa leis an ngrúpa áitiúil Úsáideoirí Deisce Cianda ar gach ceann de na freastalaithe RDSH. Má chuirtear do fhreastalaithe le chéile i mbailiúcháin seisiúin, déanaimid é seo ag an leibhéal bailiúcháin:
$Group = "RDP_Operators"
$CollectionName = "MyRDSCollection"
[String[]]$CurrentCollectionGroups = @(Get-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup).UserGroup
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup ($CurrentCollectionGroups + $Group)
Le haghaidh freastalaithe aonair a úsáidimid , ag fanacht go gcuirfear i bhfeidhm é ar na freastalaithe. Is féidir leo siúd atá ró-leisciúil fanacht leis an bpróiseas a bhrostú trí úsáid a bhaint as gpupdate maith, de rogha .
Céim 4
Déanaimis an script PS seo a leanas a ullmhú le haghaidh “bainisteoirí”:
RDSM bainistíochta.ps1
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
function Invoke-RDPSessionLogoff {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
logoff $SessionID /server:$ComputerName /v 2>&1
}
function Invoke-RDPShadowSession {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
mstsc /shadow:$SessionID /v:$ComputerName /control 2>&1
}
Function Get-LoggedOnUser {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName="localhost"
)
$ErrorActionPreference = "Stop"
Test-Connection $ComputerName -Count 1 | Out-Null
quser /server:$ComputerName 2>&1 | Select-Object -Skip 1 | ForEach-Object {
$CurrentLine = $_.Trim() -Replace "s+"," " -Split "s"
$HashProps = @{
UserName = $CurrentLine[0]
ComputerName = $ComputerName
}
If ($CurrentLine[2] -eq "Disc") {
$HashProps.SessionName = $null
$HashProps.Id = $CurrentLine[1]
$HashProps.State = $CurrentLine[2]
$HashProps.IdleTime = $CurrentLine[3]
$HashProps.LogonTime = $CurrentLine[4..6] -join " "
$HashProps.LogonTime = $CurrentLine[4..($CurrentLine.GetUpperBound(0))] -join " "
}
else {
$HashProps.SessionName = $CurrentLine[1]
$HashProps.Id = $CurrentLine[2]
$HashProps.State = $CurrentLine[3]
$HashProps.IdleTime = $CurrentLine[4]
$HashProps.LogonTime = $CurrentLine[5..($CurrentLine.GetUpperBound(0))] -join " "
}
New-Object -TypeName PSCustomObject -Property $HashProps |
Select-Object -Property UserName, ComputerName, SessionName, Id, State, IdleTime, LogonTime
}
}
$UserLogin = Read-Host -Prompt "Введите логин пользователя"
Write-Host "Поиск RDP-сессий пользователя на серверах..."
$SessionList = @()
ForEach ($Server in $Servers) {
$TargetSession = $null
Write-Host " Опрос сервера $Server"
Try {
$TargetSession = Get-LoggedOnUser -ComputerName $Server | Where-Object {$_.UserName -eq $UserLogin}
}
Catch {
Write-Host "Ошибка: " $Error[0].Exception.Message -ForegroundColor Red
Continue
}
If ($TargetSession) {
Write-Host " Найдена сессия с ID $($TargetSession.ID) на сервере $Server" -ForegroundColor Yellow
Write-Host " Что будем делать?"
Write-Host " 1 - подключиться к сессии"
Write-Host " 2 - завершить сессию"
Write-Host " 0 - ничего"
$Action = Read-Host -Prompt "Введите действие"
If ($Action -eq "1") {
Invoke-RDPShadowSession -ComputerName $Server -SessionID $TargetSession.ID
}
ElseIf ($Action -eq "2") {
Invoke-RDPSessionLogoff -ComputerName $Server -SessionID $TargetSession.ID
}
Break
}
Else {
Write-Host " сессий не найдено"
}
}
Chun an script PS a dhéanamh áisiúil le rith, cruthóimid blaosc dó i bhfoirm comhaid cmd leis an ainm céanna leis an script PS:
RDSM bainistíochta.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
Cuirimid an dá chomhad i bhfillteán a mbeidh rochtain ag “bainisteoirí” air agus iarraimid orthu logáil isteach arís. Anois, tríd an gcomhad cmd a rith, beidh siad in ann nascadh le seisiúin úsáideoirí eile i mód Scáth RDS agus iallach a chur orthu logáil amach (is féidir leis seo a bheith úsáideach nuair nach féidir leis an úsáideoir seisiún “crochta” a fhoirceannadh go neamhspleách).
Breathnaíonn sé rud éigin mar seo:
Don "bainisteoir"
Don úsáideoir
Cúpla trácht deiridh
Nuance 1. Má seoladh an seisiún úsáideora a bhfuilimid ag iarraidh smacht a fháil air sular cuireadh an script Set-RDSPermissions.ps1 i gcrích ar an bhfreastalaí, gheobhaidh an “bainisteoir” earráid rochtana. Is léir an réiteach anseo: fan go dtí go logálann an t-úsáideoir bainistithe isteach.
Nuance 2. Tar éis roinnt laethanta ag obair le RDP Scáth, thugamar faoi deara fabht nó gné suimiúil: tar éis dheireadh an tseisiúin scátha, imíonn an barra teanga sa tráidire chun an t-úsáideoir a bheith ceangailte leis, agus chun é a fháil ar ais, ní mór don úsáideoir a ath -Logáil isteach. Mar a tharla sé, níl muid inár n-aonar: , , .
Sin é an méid. Guím dea-shláinte ort féin agus ar do fhreastalaithe. Mar is gnáth, táim ag tnúth le do chuid aiseolais sna tuairimí agus iarraim ort an suirbhé gairid thíos a dhéanamh.
Foinsí
Ní féidir ach le húsáideoirí cláraithe páirt a ghlacadh sa suirbhé. , le do thoil.
Cad a úsáideann tú?
-
8,1%AMMEY Riarachán 5
-
17,7%Deasc ar bith 11
-
9,7%DameWare6
-
24,2%Radain 15
-
14,5%Scáth RDS9
-
1,6%Quick Assist / Cúnamh Cianda Windows1
-
38,7%TeamViewer24
-
32,3%VC20
-
32,3%eile20
-
3,2%Bainisteoir Lite 2
Vótáil 62 úsáideoir. Staon 22 úsáideoir.
Foinse: will.com