პროგრამა WinServer 2012R2-ში RDP მომხმარებლის სესიებთან არაადმინისტრატორული ადამიანის ჩრდილოვანი კავშირისთვის

საწარმოს საკარანტინო პერიოდში პრობლემა შემდეგი გახდა: ნამდვილად საჭიროა მინიმუმამდე შემცირდეს ოფისებში ვიზიტების რაოდენობა სპეციალისტების მიერ, რომლებიც ემსახურებიან და კონსულტაციებს უწევენ აპლიკაციურ პროგრამულ უზრუნველყოფას, და გულწრფელად რომ ვთქვათ, მომხმარებლები ხშირად ბოროტად იყენებენ სპეციალისტების დახმარებას, ჩაღრმავების სურვილის გარეშე. თავად საკითხზე ამბობენ „მოვლენ - დაგეხმარებიან - გააკეთებენ, ოღონდ ვეწევი/ყავას დავლევ და ა.შ. სატელეფონო კონსულტაცია სერვერის გაზიარებისას უფრო ეფექტურია, თუ დისტანციურ ეკრანს უყურებთ.

ჩვენი ველოსიპედის "გამოგონების" შემდეგ, სტატიის თემაზე საღი ინფორმაცია გამოჩნდა: RDS Shadow – ჩრდილოვანი კავშირი RDP მომხმარებლის სესიებთან Windows Server 2012 R2-ში ან მომხმარებლის არაპრივილეგირებული ჩრდილის რეჟიმი Windows სერვერზე ან RDP სესიების მართვის დელეგირება. ყველა მათგანი მოიცავს კონსოლის გამოყენებას, თუნდაც მარტივი დიალოგის ელემენტებით.

ქვემოთ მოყვანილი ყველა ინფორმაცია განკუთვნილია მათთვის, ვინც ჩვეულებრივ მოითმენს არანორმალურ პერვერსიებს სასურველი შედეგის მისაღებად, არასაჭირო მეთოდების გამოგონება.
იმისათვის, რომ "კატას კუდზე არ მოვკიდოთ", დავიწყებ ამით: ველოსიპედი მუშაობს საშუალო მომხმარებლისთვის, რომელიც იყენებს კომუნალურს. AdmiLink, რისთვისაც მადლობა მის ავტორს.

I. კონსოლი და ჩრდილოვანი RDP.

გამოყენების შემდეგ სერვერის მენეჯერის კონსოლის ადმინისტრატორის უფლებები -> QuickSessionCollection -> დაინტერესებული მომხმარებლის სესიაზე დაწკაპუნებით, კონტექსტური მენიუდან ჩრდილის არჩევით პერსონალისთვის, რომელიც ასწავლის როგორ გამოიყენოს პროგრამული უზრუნველყოფა, არ არის ვარიანტი, განიხილებოდა კიდევ ერთი "ხის" მეთოდი, კერძოდ:

1. შეიტყვეთ სესიის RDP id:

query user | findstr Administrator

ან:

qwinsta | findstr Administrator 

უფრო მეტიც "| findstr ადმინისტრატორი„მხოლოდ მოსახერხებელი იყო, როცა ზუსტად იცოდი რა Administrator გჭირდებათ, ან გამოიყენეთ მხოლოდ პირველი ნაწილი, რომ ნახოთ ყველა შესული სერვერზე.

2. დაუკავშირდით ამ სესიას, იმ პირობით, რომ დომენში ჯგუფის პოლიტიკა "დისტანციური მართვის წესების დაყენება დისტანციური დესკტოპ სერვისების მომხმარებლის სესიებისთვის" არჩეულია მინიმუმ "მომხმარებლის ნებართვით მონიტორის სესიის" პარამეტრით (მეტი):

mstsc /shadow:127

გთხოვთ გაითვალისწინოთ, რომ სია შეიცავს მხოლოდ მომხმარებლის შესვლას.

ვიმეორებ, რომ ადმინისტრატორის უფლებების გარეშე მიიღებთ შემდეგს:

მაგრამ პროგრამის წინასწარი გამართვისთვის, რომელიც იქნება განხილული, მე გამოვიყენე ანგარიში ადმინისტრატორის უფლებებით.

II. პროგრამა

ასე რომ, პრობლემის განცხადება: შექმენით მარტივი გრაფიკული ინტერფეისი, რათა დაუკავშირდეს მომხმარებლის ჩრდილის გრძნობას მისი ნებართვით, მომხმარებლისთვის შეტყობინების გაგზავნა. არჩეული პროგრამირების გარემო არის Lazarus.

1. ჩვენ ვიღებთ მომხმარებელთა "შესვლა" - "სრული სახელი" სრულ დომენურ სიას ადმინისტრატორისგან, ან ისევ კონსოლის საშუალებით:

wmic useraccount get Name,FullName 

ამასაც არავინ კრძალავს:

wmic useraccount get Name,FullName > c:testusername.txt

მაშინვე ვიტყვი, რომ სწორედ ლაზარეს ჰქონდა ამ ფაილის დამუშავების პრობლემა, რადგან ნაგულისხმევად მისი კოდირება არის UCS-2, ამიტომ მე უბრალოდ ხელით მომიწია მისი გადაყვანა ჩვეულებრივ UTF-8-ზე. ფაილის სტრუქტურაში არის უამრავი ჩანართი, უფრო სწორად, ბევრი სივრცე, რომლის დამუშავება გადაწყდა პროგრამულად; ადრე თუ გვიან მოგვარდება კოდირების პრობლემა და ფაილი პროგრამულად განახლდება.

ასე რომ, იდეა არის პროგრამის მომხმარებლებისთვის ხელმისაწვდომი საქაღალდე, მაგალითად c:test, რომელშიც იქნება 2 ფაილი: პირველი login-ით და სრული სახელით, მეორე id_rdp-ით და მომხმარებლების შესვლა. შემდეგი, ჩვენ ვამუშავებთ ამ მონაცემებს, როგორც შეგვიძლია :).

იმავდროულად, სესიების ჩამონათვალთან დასაკავშირებლად, ჩვენ გადავცემთ ამ (შესვლას და სრული სახელის) შინაარსს მასივში:

procedure Tf_rdp.UserF2Array;
var 
  F:TextFile;   i:integer;   f1, line1:String;   fL: TStringList;
begin //f_d глобальный путь к размещению файлов 
f1:=f_d+'user_name.txt';     //задача считать в массив содержимое файла
fL := TStringList.Create; // строку подвергнем метамарфозам с разделителями
fL.Delimiter := '|'; fL.StrictDelimiter := True;
AssignFile(F,f1); 
try // Открыть файл для чтения
  reset(F); ReadLn(F,line1);
  i:=0;
while not eof(F) do // Считываем строки, пока не закончится файл
begin
ReadLn(F,line1);
line1:= StringReplace(line1, '  ', '|',[]); //заменяем первый попавш.2пробела разделителем |
// удаляем все двойные пробелы
while pos('  ',line1)>0 do line1:= StringReplace(line1, '  ', ' ', [rfReplaceAll]);
begin
if (pos('|',line1)>0) then
begin //если разделитель существует заносим его в массив
fL.DelimitedText :=line1; // разбиваем на столбцы
if (fL[0]<>'') then //если учетка имеет имя
begin //вносим ее в массив
 inc(i); // избавляемся от возможных одиночных пробелов в логине
 fam[0,i]:=StringReplace(fL[1],' ','',[rfReplaceall, rfIgnoreCase]);
 fam[1,i]:=fL[0];
 end;end;end;end; // Готово. Закрываем файл.
 CloseFile(F);
 Fl.Free;
 except
 on E: EInOutError do  ShowMessage('Ошибка обработки файла. Детали: '+E.Message);
 end;end;

ბოდიშს ვიხდი "ბევრი კოდისთვის", შემდეგი პუნქტები უფრო მოკლე იქნება.

2. წინა აბზაცის იგივე მეთოდით ვკითხულობთ სიის StringGrid ელემენტში დამუშავების შედეგს, ხოლო მე მივცემ კოდის „მნიშვნელოვან“ ნაწილს:

2.1 ჩვენ ვიღებთ RDP სესიების მიმდინარე სიას ფაილში:

f1:=f_d+'user.txt';
cmdline:='/c query user >'+ f1;
if ShellExecute(0,nil, PChar('cmd'),PChar(cmdline),nil,1)=0 then;
Sleep(500); // можно и подольше ждать пока файл для чтения создается

2.2 ფაილის დამუშავება (მითითებულია კოდის მხოლოდ მნიშვნელოვანი სტრიქონები):

StringGrid1.Cells[0,i]:=fL[1]; StringGrid1.Cells[2,i]:=fL[3]; //кидаем в цикле в StringGrid1
login1:=StringReplace(fL[1],' ','',[rfReplaceall, rfIgnoreCase]); //убираем из логина пробелы
if (SearchArr(login1)>=0) then //ищем в массиве из п1. логин и записываем в таблицу ФИО
StringGrid1.Cells[1,i]:=fam[1,SearchArr(login1)]
else StringGrid1.Cells[1,i]:='+'; // либо записываем плюсик:)
.... //в зависимости от выбора пользователя сортируем и форматируем по данным
if (b_id.Checked=true) then SortGrid(0) else SortGrid(1);
StringGrid1.AutoSizeColumn(0);StringGrid1.AutoSizeColumn(1); StringGrid1.AutoSizeColumn(2);  

3. უშუალო კავშირი თავად მომხმარებელთან და მის სესიის ნომერზე დაწკაპუნებით:

  id:=(StringGrid1.Row);// узнаем номер строки  IntToStr(StringGrid1.Row)
  ids:=StringGrid1.Cells[2,id]; //получаем идентификатор rdp
  cmdline:='/c mstsc /shadow:'+ ids; //и подключаемся....
 if (b_rdp.Checked=True) then  if ShellExecute(0,nil, PChar('cmd'),PChar(cmdline),nil,1) =0 then;       

4. გაკეთდა კიდევ რამდენიმე დეკორაცია, როგორიცაა დახარისხება რადიოღილაკზე დაწკაპუნებით და შეტყობინებები მომხმარებლისთვის ან ყველა მომხმარებლისთვის.

→ სრული კოდის ნახვა შეგიძლიათ აქ

III. AdminLink-ის გამოყენებით - რაც ვნახე:

AdminLink ქმნის მალსახმობს, რომელიც მიუთითებს პროგრამის ადგილმდებარეობაზე admilaunch.exeდა გაშვების პროგრამის პირადი ასლი AdmiRun.Exe რომელიც მდებარეობს მომხმარებლის საქაღალდეში, მაგალითად Vasya, ტიპი C: მომხმარებლები WINDOWS. ზოგადად, ყველაფერი არც ისე ცუდია: შეგიძლიათ ითამაშოთ მალსახმობების ფაილზე და სხვებზე წვდომის უფლებებით, რათა გაასუფთავოთ თქვენი საკუთარი ადმინისტრატორის სინდისი.

წყარო: www.habr.com