RDP სესიების მართვის დელეგირება

იმ ორგანიზაციაში, სადაც მე ვმუშაობ, დისტანციური მუშაობა პრინციპში აკრძალულია. იყო. გასულ კვირამდე. ახლა სასწრაფოდ მოგვიწია გამოსავლის განხორციელება. ბიზნესიდან - პროცესების ადაპტაცია ახალ სამუშაო ფორმატზე, ჩვენგან - PKI PIN კოდებით და ტოკენებით, VPN, დეტალური ლოგინგი და მრავალი სხვა.
სხვა საკითხებთან ერთად, მე ვაყენებდი დისტანციური დესკტოპის ინფრასტრუქტურას, სახელად ტერმინალის სერვისებს. ჩვენ გვაქვს რამდენიმე RDS განლაგება სხვადასხვა მონაცემთა ცენტრში. ერთ-ერთი მიზანი იყო კოლეგებს მიეცათ საშუალება მიეცეთ დაკავშირებული IT დეპარტამენტებიდან, დაუკავშირდნენ მომხმარებლის სესიებს ინტერაქტიულად. მოგეხსენებათ, ამისათვის არსებობს სტანდარტული RDS Shadow მექანიზმი და მისი დელეგირების ყველაზე მარტივი გზაა ადგილობრივი ადმინისტრატორის უფლებების მინიჭება RDS სერვერებზე.
მე პატივს ვცემ და ვაფასებ ჩემს კოლეგებს, მაგრამ ძალიან გაუმაძღარი ვარ, როდესაც საქმე ეხება ადმინისტრატორის უფლებების გაცემას. 🙂 მათთვის, ვინც მეთანხმება, გთხოვთ მიჰყევით ჭრილს.

კარგად, ამოცანა ნათელია, ახლა მოდით გადავიდეთ საქმეზე.

ნაბიჯი 1

მოდით შევქმნათ უსაფრთხოების ჯგუფი Active Directory-ში RDP_ოპერატორები და მასში ჩართეთ იმ მომხმარებლების ანგარიშები, რომლებისთვისაც გვინდა გადავიტანოთ უფლებები:

$Users = @(
    "UserLogin1",
    "UserLogin2",
    "UserLogin3"
)
$Group = "RDP_Operators"
New-ADGroup -Name $Group -GroupCategory Security -GroupScope DomainLocal
Add-ADGroupMember -Identity $Group -Members $Users

თუ თქვენ გაქვთ მრავალი AD საიტი, თქვენ უნდა დაელოდოთ, სანამ ის განმეორდება ყველა დომენის კონტროლერზე, სანამ შემდეგ ეტაპზე გადახვალთ. ამას ჩვეულებრივ არაუმეტეს 15 წუთი სჭირდება.

ნაბიჯი 2

მოდით მივცეთ ჯგუფს უფლება მართოს ტერმინალის სესიები თითოეულ RDSH სერვერზე:

Set-RDSPermissions.ps1

$Group = "RDP_Operators"
$Servers = @(
    "RDSHost01",
    "RDSHost02",
    "RDSHost03"
)
ForEach ($Server in $Servers) {
    #Делегируем право на теневые сессии
    $WMIHandles = Get-WmiObject `
        -Class "Win32_TSPermissionsSetting" `
        -Namespace "rootCIMV2terminalservices" `
        -ComputerName $Server `
        -Authentication PacketPrivacy `
        -Impersonation Impersonate
    ForEach($WMIHandle in $WMIHandles)
    {
        If ($WMIHandle.TerminalName -eq "RDP-Tcp")
        {
        $retVal = $WMIHandle.AddAccount($Group, 2)
        $opstatus = "успешно"
        If ($retVal.ReturnValue -ne 0) {
            $opstatus = "ошибка"
        }
        Write-Host ("Делегирование прав на теневое подключение группе " +
            $Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
        }
    }
}

ნაბიჯი 3

დაამატეთ ჯგუფი ადგილობრივ ჯგუფში დისტანციური დესკტოპის მომხმარებლები თითოეულ RDSH სერვერზე. თუ თქვენი სერვერები გაერთიანებულია სესიების კოლექციებში, მაშინ ამას ვაკეთებთ კოლექციის დონეზე:

$Group = "RDP_Operators"
$CollectionName = "MyRDSCollection"
[String[]]$CurrentCollectionGroups = @(Get-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup).UserGroup
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup ($CurrentCollectionGroups + $Group)

ჩვენ ვიყენებთ ცალკეული სერვერებისთვის ჯგუფის პოლიტიკა, ელოდება მის გამოყენებას სერვერებზე. მათ, ვისაც ლოდინი ძალიან ეზარება, შეუძლიათ დააჩქარონ პროცესი, სასურველია, ძველი კარგი gpupdate-ის გამოყენებით ცენტრალიზებულად.

ნაბიჯი 4

მოდით მოვამზადოთ შემდეგი PS სკრიპტი "მენეჯერებისთვის":

RDSmanagement.ps1

$Servers = @(
    "RDSHost01",
    "RDSHost02",
    "RDSHost03"
)

function Invoke-RDPSessionLogoff {
    Param(
        [parameter(Mandatory=$True, Position=0)][String]$ComputerName,
        [parameter(Mandatory=$true, Position=1)][String]$SessionID
    )
    $ErrorActionPreference = "Stop"
    logoff $SessionID /server:$ComputerName /v 2>&1
}

function Invoke-RDPShadowSession {
    Param(
        [parameter(Mandatory=$True, Position=0)][String]$ComputerName,
        [parameter(Mandatory=$true, Position=1)][String]$SessionID
    )
    $ErrorActionPreference = "Stop"
    mstsc /shadow:$SessionID /v:$ComputerName /control 2>&1
}

Function Get-LoggedOnUser {
    Param(
        [parameter(Mandatory=$True, Position=0)][String]$ComputerName="localhost"
    )
    $ErrorActionPreference = "Stop"
    Test-Connection $ComputerName -Count 1 | Out-Null
    quser /server:$ComputerName 2>&1 | Select-Object -Skip 1 | ForEach-Object {
        $CurrentLine = $_.Trim() -Replace "s+"," " -Split "s"
        $HashProps = @{
            UserName = $CurrentLine[0]
            ComputerName = $ComputerName
        }
        If ($CurrentLine[2] -eq "Disc") {
            $HashProps.SessionName = $null
            $HashProps.Id = $CurrentLine[1]
            $HashProps.State = $CurrentLine[2]
            $HashProps.IdleTime = $CurrentLine[3]
            $HashProps.LogonTime = $CurrentLine[4..6] -join " "
            $HashProps.LogonTime = $CurrentLine[4..($CurrentLine.GetUpperBound(0))] -join " "
        }
        else {
            $HashProps.SessionName = $CurrentLine[1]
            $HashProps.Id = $CurrentLine[2]
            $HashProps.State = $CurrentLine[3]
            $HashProps.IdleTime = $CurrentLine[4]
            $HashProps.LogonTime = $CurrentLine[5..($CurrentLine.GetUpperBound(0))] -join " "
        }
        New-Object -TypeName PSCustomObject -Property $HashProps |
        Select-Object -Property UserName, ComputerName, SessionName, Id, State, IdleTime, LogonTime
    }
}

$UserLogin = Read-Host -Prompt "Введите логин пользователя"
Write-Host "Поиск RDP-сессий пользователя на серверах..."
$SessionList = @()
ForEach ($Server in $Servers) {
    $TargetSession = $null
    Write-Host "  Опрос сервера $Server"
    Try {
        $TargetSession = Get-LoggedOnUser -ComputerName $Server | Where-Object {$_.UserName -eq $UserLogin}
    }
    Catch {
        Write-Host "Ошибка: " $Error[0].Exception.Message -ForegroundColor Red
        Continue
    }
    If ($TargetSession) {
        Write-Host "    Найдена сессия с ID $($TargetSession.ID) на сервере $Server" -ForegroundColor Yellow
        Write-Host "    Что будем делать?"
        Write-Host "      1 - подключиться к сессии"
        Write-Host "      2 - завершить сессию"
        Write-Host "      0 - ничего"
        $Action = Read-Host -Prompt "Введите действие"
        If ($Action -eq "1") {
            Invoke-RDPShadowSession -ComputerName $Server -SessionID $TargetSession.ID
        }
        ElseIf ($Action -eq "2") {
            Invoke-RDPSessionLogoff -ComputerName $Server -SessionID $TargetSession.ID
        }
        Break
    }
    Else {
        Write-Host "    сессий не найдено"
    }
}

იმისათვის, რომ PS სკრიპტი მოსახერხებელი იყოს გასაშვებად, ჩვენ შევქმნით მას გარსს cmd ფაილის სახით, იგივე სახელით, როგორც PS სკრიპტი:

RDSmanagement.cmd

@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*

ორივე ფაილს ვდებთ საქაღალდეში, რომელიც ხელმისაწვდომი იქნება „მენეჯერებისთვის“ და ვთხოვთ ხელახლა შესვლას. ახლა, cmd ფაილის გაშვებით, ისინი შეძლებენ დაუკავშირდნენ სხვა მომხმარებლების სესიებს RDS Shadow რეჟიმში და აიძულონ მათ გასვლა (ეს შეიძლება სასარგებლო იყოს, როდესაც მომხმარებელს არ შეუძლია დამოუკიდებლად შეწყვიტოს "დაკიდებული" სესია).

ეს დაახლოებით ასე გამოიყურება:

"მენეჯერისთვის"

მომხმარებლისთვის

რამდენიმე საბოლოო კომენტარი

ნიუანსი 1. თუ მომხმარებლის სესია, რომელზეც ჩვენ ვცდილობთ კონტროლის მოპოვებას, გაშვებული იყო Set-RDSPermissions.ps1 სკრიპტის სერვერზე შესრულებამდე, მაშინ „მენეჯერი“ მიიღებს წვდომის შეცდომას. გამოსავალი აქ აშკარაა: დაელოდეთ სანამ მართული მომხმარებელი შევა.

ნიუანსი 2. RDP Shadow-თან მუშაობის რამდენიმე დღის შემდეგ, ჩვენ შევამჩნიეთ საინტერესო ხარვეზი ან ფუნქცია: ჩრდილოვანი სესიის დასრულების შემდეგ, უჯრაში ენის ზოლი ქრება მომხმარებლისთვის, რომელიც დაკავშირებულია და მის დასაბრუნებლად, მომხმარებელს სჭირდება ხელახლა -შესვლა. როგორც ირკვევა, ჩვენ მარტო არ ვართ: დრო, два, სამ.

Სულ ეს არის. გისურვებთ თქვენ და თქვენს სერვერებს ჯანმრთელობას. როგორც ყოველთვის, მოუთმენლად ველოდები თქვენს გამოხმაურებას კომენტარებში და გთხოვთ, მიიღოთ ქვემოთ მოცემული მოკლე გამოკითხვა.

ინფორმაციის წყაროები

• RDS Shadow – ჩრდილოვანი კავშირი RDP მომხმარებლის სესიებთან Windows Server 2016 / 2012 R2-ში
• Windows Server 2012 Shadowing – უფლებების დელეგირება არაადმინისტრატორებზე
• Get-LoggedOnUser აგროვებს ინფორმაციას დისტანციურ სისტემებზე შესული მომხმარებლების შესახებ
• საუკეთესო გზა როგორ დავიწყოთ PowerShell PS1 სკრიპტები
• დომენის მომხმარებლების დამატება ადგილობრივ უსაფრთხოების ჯგუფში
• GPMC – აიძულეთ gpupdate ყველა კომპიუტერზე OU

გამოკითხვაში მონაწილეობა შეუძლიათ მხოლოდ დარეგისტრირებულ მომხმარებლებს. Შებრძანდითგთხოვთ

რას იყენებთ?

• 8,1%AMMYY Admin5

• 17,7%AnyDesk11

• 9,7%DameWare6

• 24,2%Radmin15

• 14,5%RDS Shadow9

• 1,6%სწრაფი დახმარება / Windows Remote Assistance1

• 38,7%TeamViewer24

• 32,3%VNC20

• 32,3%სხვა 20

• 3,2%LiteManager2

ხმა მისცა 62 მომხმარებელმა. 22 მომხმარებელმა თავი შეიკავა.

წყარო: www.habr.com