🥇RDP 세션 관리 위임

내가 근무하는 조직에서는 원칙적으로 원격근무를 금지하고 있습니다. 였다. 지난 주까지. 이제 솔루션을 긴급하게 구현해야 했습니다. 비즈니스에서 새로운 작업 형식으로의 프로세스 적응, 핀 코드 및 토큰이 포함된 PKI, VPN, 자세한 로깅 등.
무엇보다도 터미널 서비스라는 원격 데스크톱 인프라 설정에 참여했습니다. 서로 다른 데이터 센터에 여러 RDS 배포가 있습니다. 목표 중 하나는 관련 IT 부서의 동료가 대화형으로 사용자 세션에 연결할 수 있도록 하는 것이었습니다. 아시다시피 이를 위한 일반 RDS 섀도우 메커니즘이 있으며 이를 위임하는 가장 쉬운 방법은 RDS 서버에 대한 로컬 관리자 권한을 부여하는 것입니다.
동료들을 존경하고 고마운 마음을 갖고 있지만, 관리자 권한 배분에는 욕심이 많습니다. 🙂 저에게 동의하시는 분들은 고양이 밑으로 부탁드립니다.

글쎄, 지금은 비즈니스에 대한 작업이 분명합니다.

1 단계

Active Directory에서 보안 그룹 생성 RDP_운영자 권한을 위임하려는 사용자의 계정을 포함합니다.

$Users = @(
    "UserLogin1",
    "UserLogin2",
    "UserLogin3"
)
$Group = "RDP_Operators"
New-ADGroup -Name $Group -GroupCategory Security -GroupScope DomainLocal
Add-ADGroupMember -Identity $Group -Members $Users

AD 사이트가 여러 개인 경우 다음 단계로 이동하기 전에 모든 도메인 컨트롤러에 복제될 때까지 기다려야 합니다. 이것은 보통 15분 이상 걸리지 않습니다.

2 단계

각 RDSH 서버에서 터미널 세션을 관리할 수 있는 권한을 그룹에 부여해 보겠습니다.

세트-RDSPermissions.ps1

$Group = "RDP_Operators"
$Servers = @(
    "RDSHost01",
    "RDSHost02",
    "RDSHost03"
)
ForEach ($Server in $Servers) {
    #Делегируем право на теневые сессии
    $WMIHandles = Get-WmiObject `
        -Class "Win32_TSPermissionsSetting" `
        -Namespace "rootCIMV2terminalservices" `
        -ComputerName $Server `
        -Authentication PacketPrivacy `
        -Impersonation Impersonate
    ForEach($WMIHandle in $WMIHandles)
    {
        If ($WMIHandle.TerminalName -eq "RDP-Tcp")
        {
        $retVal = $WMIHandle.AddAccount($Group, 2)
        $opstatus = "успешно"
        If ($retVal.ReturnValue -ne 0) {
            $opstatus = "ошибка"
        }
        Write-Host ("Делегирование прав на теневое подключение группе " +
            $Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
        }
    }
}

3 단계

로컬 그룹에 그룹 추가 원격 데스크톱 사용자 각 RDSH 서버에서. 서버가 세션 모음으로 결합된 경우 모음 수준에서 이 작업을 수행합니다.

$Group = "RDP_Operators"
$CollectionName = "MyRDSCollection"
[String[]]$CurrentCollectionGroups = @(Get-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup).UserGroup
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup ($CurrentCollectionGroups + $Group)

단일 서버의 경우 다음을 사용하십시오. 그룹 정책, 서버에 적용되기를 기다립니다. 기다리기 너무 게으른 사람들을 위해 좋은 오래된 gpupdate를 사용하여 프로세스를 강제할 수 있습니다. 중앙에서.

4 단계

"관리자"에 대해 다음 PS 스크립트를 준비하겠습니다.

RDSManagement.ps1

$Servers = @(
    "RDSHost01",
    "RDSHost02",
    "RDSHost03"
)

function Invoke-RDPSessionLogoff {
    Param(
        [parameter(Mandatory=$True, Position=0)][String]$ComputerName,
        [parameter(Mandatory=$true, Position=1)][String]$SessionID
    )
    $ErrorActionPreference = "Stop"
    logoff $SessionID /server:$ComputerName /v 2>&1
}

function Invoke-RDPShadowSession {
    Param(
        [parameter(Mandatory=$True, Position=0)][String]$ComputerName,
        [parameter(Mandatory=$true, Position=1)][String]$SessionID
    )
    $ErrorActionPreference = "Stop"
    mstsc /shadow:$SessionID /v:$ComputerName /control 2>&1
}

Function Get-LoggedOnUser {
    Param(
        [parameter(Mandatory=$True, Position=0)][String]$ComputerName="localhost"
    )
    $ErrorActionPreference = "Stop"
    Test-Connection $ComputerName -Count 1 | Out-Null
    quser /server:$ComputerName 2>&1 | Select-Object -Skip 1 | ForEach-Object {
        $CurrentLine = $_.Trim() -Replace "s+"," " -Split "s"
        $HashProps = @{
            UserName = $CurrentLine[0]
            ComputerName = $ComputerName
        }
        If ($CurrentLine[2] -eq "Disc") {
            $HashProps.SessionName = $null
            $HashProps.Id = $CurrentLine[1]
            $HashProps.State = $CurrentLine[2]
            $HashProps.IdleTime = $CurrentLine[3]
            $HashProps.LogonTime = $CurrentLine[4..6] -join " "
            $HashProps.LogonTime = $CurrentLine[4..($CurrentLine.GetUpperBound(0))] -join " "
        }
        else {
            $HashProps.SessionName = $CurrentLine[1]
            $HashProps.Id = $CurrentLine[2]
            $HashProps.State = $CurrentLine[3]
            $HashProps.IdleTime = $CurrentLine[4]
            $HashProps.LogonTime = $CurrentLine[5..($CurrentLine.GetUpperBound(0))] -join " "
        }
        New-Object -TypeName PSCustomObject -Property $HashProps |
        Select-Object -Property UserName, ComputerName, SessionName, Id, State, IdleTime, LogonTime
    }
}

$UserLogin = Read-Host -Prompt "Введите логин пользователя"
Write-Host "Поиск RDP-сессий пользователя на серверах..."
$SessionList = @()
ForEach ($Server in $Servers) {
    $TargetSession = $null
    Write-Host "  Опрос сервера $Server"
    Try {
        $TargetSession = Get-LoggedOnUser -ComputerName $Server | Where-Object {$_.UserName -eq $UserLogin}
    }
    Catch {
        Write-Host "Ошибка: " $Error[0].Exception.Message -ForegroundColor Red
        Continue
    }
    If ($TargetSession) {
        Write-Host "    Найдена сессия с ID $($TargetSession.ID) на сервере $Server" -ForegroundColor Yellow
        Write-Host "    Что будем делать?"
        Write-Host "      1 - подключиться к сессии"
        Write-Host "      2 - завершить сессию"
        Write-Host "      0 - ничего"
        $Action = Read-Host -Prompt "Введите действие"
        If ($Action -eq "1") {
            Invoke-RDPShadowSession -ComputerName $Server -SessionID $TargetSession.ID
        }
        ElseIf ($Action -eq "2") {
            Invoke-RDPSessionLogoff -ComputerName $Server -SessionID $TargetSession.ID
        }
        Break
    }
    Else {
        Write-Host "    сессий не найдено"
    }
}

PS 스크립트를 편리하게 실행할 수 있도록 PS 스크립트와 동일한 이름을 가진 cmd 파일 형식으로 셸을 만듭니다.

RDSManagement.cmd

@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*

두 파일을 "관리자"가 사용할 수 있는 폴더에 넣고 다시 로그인하도록 요청합니다. 이제 cmd 파일을 실행하여 RDS Shadow 모드에서 다른 사용자의 세션에 연결하고 강제로 로그아웃할 수 있습니다(사용자가 스스로 "멈춘" 세션을 종료할 수 없을 때 유용함).

다음과 같이 보입니다.

"매니저"에게

사용자를 위해

몇 가지 마지막 발언

뉘앙스 1. 제어권을 얻으려는 사용자의 세션이 서버에서 Set-RDSPermissions.ps1 스크립트가 실행되기 전에 시작된 경우 "관리자"는 액세스 오류를 받게 됩니다. 여기서 해결책은 분명합니다. 관리되는 사용자가 다시 로그인할 때까지 기다리십시오.

뉘앙스 2. 며칠 동안 RDP Shadow로 작업한 후 그들은 흥미로운 버그 또는 기능을 발견했습니다. 사용자는 다시 로그인해야 합니다. 우리는 혼자가 아닙니다. 시간, два, 세.

그게 다야. 나는 당신과 당신의 서버에 건강을 기원합니다. 언제나처럼 의견에 대한 귀하의 피드백을 기다리며 아래의 간단한 설문 조사에 참여해 주시기 바랍니다.

소스

등록된 사용자만 설문 조사에 참여할 수 있습니다. 로그인제발

당신은 무엇을 사용합니까?

8,1%AMMYY 관리자5
17,7%애니데스크11
9,7%데임웨어6
24,2%라민15
14,5%RDS 섀도우9
1,6%빠른 지원 / Windows 원격 지원1
38,7%팀뷰어24
32,3%VNC20
32,3%기타20
3,2%라이트매니저2

62명의 사용자가 투표했습니다. 22명의 사용자가 기권했습니다.

출처 : habr.com

RDP 세션 관리 위임