Fl-organizzazzjoni fejn naħdem, ix-xogħol mill-bogħod huwa pprojbit fil-prinċipju. Kien. Sal-ġimgħa li għaddiet. Issa kellna nimplimentaw b'mod urġenti soluzzjoni. Minn negozju - l-adattament tal-proċessi għal format ta 'xogħol ġdid, minna - PKI b'kodiċijiet PIN u tokens, VPN, logging dettaljat u ħafna aktar.
Fost affarijiet oħra, kont qed inwaqqaf Remote Desktop Infrastructure aka Terminal Services. Għandna diversi skjeramenti RDS f'ċentri tad-dejta differenti. Wieħed mill-għanijiet kien li jippermetti lill-kollegi minn dipartimenti tal-IT relatati biex jikkonnettjaw mas-sessjonijiet tal-utenti b'mod interattiv. Kif tafu, hemm mekkaniżmu standard RDS Shadow għal dan, u l-eħfef mod biex tiddelega huwa li tagħti drittijiet ta 'amministratur lokali fuq servers RDS.
Nirrispetta u nivvalorizza lill-kollegi tiegħi, imma jien rgħiba ħafna meta niġu biex nagħti d-drittijiet tal-amministratur. 🙂 Għal dawk li jaqblu miegħi, jekk jogħġbok segwi l-qatgħa.
Ukoll, il-kompitu huwa ċar, issa ejja nibdew għan-negozju.
Pass 1
Ejja noħolqu grupp ta 'sigurtà fl-Active Directory RDP_Operaturi u inkludi fiha l-kontijiet ta’ dawk l-utenti li lilhom irridu niddelegaw id-drittijiet:
$Users = @(
"UserLogin1",
"UserLogin2",
"UserLogin3"
)
$Group = "RDP_Operators"
New-ADGroup -Name $Group -GroupCategory Security -GroupScope DomainLocal
Add-ADGroupMember -Identity $Group -Members $Users
Jekk għandek diversi siti AD, ser ikollok bżonn tistenna sakemm tiġi replikata lill-kontrolluri tad-dominju kollha qabel ma tkompli għall-pass li jmiss. Dan normalment jieħu mhux aktar minn 15-il minuta.
Pass 2
Ejja nagħtu d-drittijiet tal-grupp biex jimmaniġġjaw is-sessjonijiet tat-terminal fuq kull wieħed mis-servers RDSH:
Set-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
Pass 3
Żid il-grupp mal-grupp lokali Utenti tad-Desktop mill-bogħod fuq kull wieħed mis-servers RDSH. Jekk is-servers tiegħek huma kkombinati f'kollezzjonijiet ta 'sessjoni, allura nagħmlu dan fil-livell ta' ġbir:
$Group = "RDP_Operators"
$CollectionName = "MyRDSCollection"
[String[]]$CurrentCollectionGroups = @(Get-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup).UserGroup
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup ($CurrentCollectionGroups + $Group)
Għal servers singoli nużaw , stennija li tiġi applikata fuq is-servers. Dawk li huma għażżien wisq biex jistennew jistgħu jħaffu l-proċess billi jużaw gpupdate antik tajjeb, preferibbilment .
Pass 4
Ejja nħejju l-iskritt PS li ġej għal "maniġers":
RDSManagement.ps1
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
function Invoke-RDPSessionLogoff {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
logoff $SessionID /server:$ComputerName /v 2>&1
}
function Invoke-RDPShadowSession {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
mstsc /shadow:$SessionID /v:$ComputerName /control 2>&1
}
Function Get-LoggedOnUser {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName="localhost"
)
$ErrorActionPreference = "Stop"
Test-Connection $ComputerName -Count 1 | Out-Null
quser /server:$ComputerName 2>&1 | Select-Object -Skip 1 | ForEach-Object {
$CurrentLine = $_.Trim() -Replace "s+"," " -Split "s"
$HashProps = @{
UserName = $CurrentLine[0]
ComputerName = $ComputerName
}
If ($CurrentLine[2] -eq "Disc") {
$HashProps.SessionName = $null
$HashProps.Id = $CurrentLine[1]
$HashProps.State = $CurrentLine[2]
$HashProps.IdleTime = $CurrentLine[3]
$HashProps.LogonTime = $CurrentLine[4..6] -join " "
$HashProps.LogonTime = $CurrentLine[4..($CurrentLine.GetUpperBound(0))] -join " "
}
else {
$HashProps.SessionName = $CurrentLine[1]
$HashProps.Id = $CurrentLine[2]
$HashProps.State = $CurrentLine[3]
$HashProps.IdleTime = $CurrentLine[4]
$HashProps.LogonTime = $CurrentLine[5..($CurrentLine.GetUpperBound(0))] -join " "
}
New-Object -TypeName PSCustomObject -Property $HashProps |
Select-Object -Property UserName, ComputerName, SessionName, Id, State, IdleTime, LogonTime
}
}
$UserLogin = Read-Host -Prompt "Введите логин пользователя"
Write-Host "Поиск RDP-сессий пользователя на серверах..."
$SessionList = @()
ForEach ($Server in $Servers) {
$TargetSession = $null
Write-Host " Опрос сервера $Server"
Try {
$TargetSession = Get-LoggedOnUser -ComputerName $Server | Where-Object {$_.UserName -eq $UserLogin}
}
Catch {
Write-Host "Ошибка: " $Error[0].Exception.Message -ForegroundColor Red
Continue
}
If ($TargetSession) {
Write-Host " Найдена сессия с ID $($TargetSession.ID) на сервере $Server" -ForegroundColor Yellow
Write-Host " Что будем делать?"
Write-Host " 1 - подключиться к сессии"
Write-Host " 2 - завершить сессию"
Write-Host " 0 - ничего"
$Action = Read-Host -Prompt "Введите действие"
If ($Action -eq "1") {
Invoke-RDPShadowSession -ComputerName $Server -SessionID $TargetSession.ID
}
ElseIf ($Action -eq "2") {
Invoke-RDPSessionLogoff -ComputerName $Server -SessionID $TargetSession.ID
}
Break
}
Else {
Write-Host " сессий не найдено"
}
}
Biex tagħmel l-iskrittura PS konvenjenti biex titħaddem, aħna se noħolqu qoxra għalih fil-forma ta 'fajl cmd bl-istess isem bħall-iskrittura PS:
RDSManagement.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
Aħna npoġġu ż-żewġ fajls f'folder li se jkun aċċessibbli għal "maniġers" u nitolbuhom jerġgħu jidħlu. Issa, billi jmexxu l-fajl cmd, ikunu jistgħu jikkonnettjaw mas-sessjonijiet ta 'utenti oħra fil-modalità RDS Shadow u jġegħluhom joħorġu (dan jista' jkun utli meta l-utent ma jkunx jista 'jtemm b'mod indipendenti sessjoni "mdendlin").
Jidher hekk:
Għall-"maniġer"
Għall-utent
Ftit kummenti finali
Sfumatura 1. Jekk is-sessjoni tal-utent li qed nippruvaw niksbu l-kontroll tagħha ġiet imnedija qabel ma l-iskrittura Set-RDSPermissions.ps1 ġie esegwit fuq is-server, allura l-"maniġer" se jirċievi żball ta 'aċċess. Is-soluzzjoni hawnhekk hija ovvja: stenna sakemm l-utent immaniġġjat jidħol.
Sfumatura 2. Wara diversi jiem ta 'ħidma ma' RDP Shadow, innutajna bug jew karatteristika interessanti: wara t-tmiem tas-sessjoni ta 'dell, il-bar tal-lingwa fit-trej tisparixxi għall-utent li jkun konness ma', u biex terġa 'lura, l-utent jeħtieġ li jerġa'. -Idħol. Kif jirriżulta, aħna mhux waħedna: , , .
Dak kollox. Nixtieq lilkom u lis-servers tiegħek saħħa tajba. Bħal dejjem, nistenna bil-ħerqa l-feedback tiegħek fil-kummenti u nitlobkom tieħu l-istħarriġ qasir hawn taħt.
Sorsi
Utenti reġistrati biss jistgħu jipparteċipaw fl-istħarriġ. , ta 'xejn.
X'tuza?
-
8,1%AMMYY Amministratur5
-
17,7%AnyDesk11
-
9,7%DameWare6
-
24,2%Radmin15
-
14,5%RDS Shadow9
-
1,6%Assistenza rapida / Assistenza mill-bogħod tal-Windows1
-
38,7%TeamViewer24
-
32,3%VNC20
-
32,3%oħra20
-
3,2%LiteManager2
Ivvutaw 62 utent. 22 utent astjenew.
Sors: www.habr.com