Í fyrirtækinu þar sem ég starfa er fjarvinna bönnuð í grundvallaratriðum. Var. Þar til í síðustu viku. Nú urðum við að hrinda í framkvæmd lausn. Allt frá viðskiptum - aðlögun ferla að nýju vinnusniði, frá okkur - PKI með PIN-kóðum og táknum, VPN, nákvæma skráningu og margt fleira.
Ég var meðal annars að setja upp Remote Desktop Infrastructure aka Terminal Services. Við höfum nokkrar RDS dreifingar í mismunandi gagnaverum. Eitt af markmiðunum var að gera samstarfsfólki frá tengdum upplýsingatæknideildum kleift að tengjast notendalotum á gagnvirkan hátt. Eins og þú veist, þá er til staðlað RDS Shadow vélbúnaður fyrir þetta, og auðveldasta leiðin til að framselja það er að veita staðbundnum stjórnanda réttindi á RDS netþjónum.
Ég ber virðingu fyrir og met samstarfsfólk mitt, en ég er mjög gráðugur þegar kemur að því að úthluta stjórnandarétti. 🙂 Fyrir þá sem eru sammála mér, vinsamlega fylgið klippunni.
Jæja, verkefnið er ljóst, nú skulum við fara að vinna.
Skref 1
Búum til öryggishóp í Active Directory RDP_Rekstraraðilar og innihalda í það reikninga þeirra notenda sem við viljum framselja réttindi til:
Ef þú ert með margar AD síður þarftu að bíða þar til það er afritað á alla lénsstýringar áður en þú ferð í næsta skref. Þetta tekur venjulega ekki meira en 15 mínútur.
Skref 2
Við skulum gefa hópnum réttindi til að stjórna flugstöðvalotum á hverjum RDSH netþjónum:
Set-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
Skref 3
Bættu hópnum við staðbundinn hóp Notendur fjarskjáborðs á hverjum RDSH netþjóni. Ef netþjónarnir þínir eru sameinaðir í lotusöfn, gerum við þetta á söfnunarstigi:
Fyrir staka netþjóna sem við notum hópstefnu, að bíða eftir því að það verði notað á netþjónunum. Þeir sem eru of latir til að bíða geta hraðað ferlinu með því að nota gamla góða gpupdate, helst miðlægt.
Skref 4
Við skulum undirbúa eftirfarandi PS handrit fyrir „stjórnendur“:
Til að gera PS handritið þægilegt í keyrslu munum við búa til skel fyrir það í formi cmd skráar með sama nafni og PS handritið:
RDSManagement.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
Við setjum báðar skrárnar í möppu sem verður aðgengileg „stjórnendum“ og biðjum þá um að skrá sig aftur inn. Nú, með því að keyra cmd skrána, munu þeir geta tengst fundum annarra notenda í RDS Shadow ham og þvingað þá til að skrá sig út (þetta getur verið gagnlegt þegar notandinn getur ekki sjálfstætt hætt „hangandi“ lotu).
Það lítur eitthvað svona út:
Fyrir "stjórnandann"
Fyrir notandann
Nokkrar lokaathugasemdir
Litbrigði 1. Ef notendalotan sem við erum að reyna að ná stjórn á var ræst áður en Set-RDSPermissions.ps1 handritið var keyrt á þjóninum, þá mun „stjórnandinn“ fá aðgangsvillu. Lausnin hér er augljós: bíddu þar til stýrði notandinn skráir sig inn.
Litbrigði 2. Eftir nokkurra daga vinnu með RDP Shadow tókum við eftir áhugaverðri villu eða eiginleika: eftir lok skuggalotunnar hverfur tungumálastikan í bakkanum fyrir notandann sem hann er tengdur við og til að fá hana aftur þarf notandinn að endurheimta -skrá inn. Eins og það kemur í ljós erum við ekki ein: tími, два, þrír.
Það er allt og sumt. Ég óska þér og þjónum þínum góðrar heilsu. Eins og alltaf bíð ég spenntur eftir athugasemdum þínum í athugasemdunum og bið þig um að taka stuttu könnunina hér að neðan.