RDP အစည်းအဝေးများကို စီမံခန့်ခွဲမှုလွှဲအပ်ခြင်း။

ကျွန်ုပ်အလုပ်လုပ်သောအဖွဲ့အစည်းတွင် အဝေးထိန်းအလုပ်များကို မူအားဖြင့် တားမြစ်ထားသည်။ ဖြစ်ခဲ့သည်။ ပြီးခဲ့တဲ့ အပတ်အထိ။ အခု ကျွန်တော်တို့ အမြန်ဖြေရှင်းဖို့ လိုနေပါပြီ။ လုပ်ငန်းများမှ - ကျွန်ုပ်တို့ထံမှ အလုပ်ဖော်မတ်အသစ်သို့ လုပ်ငန်းစဉ်များကို လိုက်လျောညီထွေဖြစ်အောင် ပြုလုပ်ခြင်း - PIN ကုဒ်များနှင့် တိုကင်များ၊ VPN၊ အသေးစိတ် အချက်အလက်မှတ်တမ်းများနှင့် အခြားအရာများပါရှိသော PKI။
အခြားအရာများထဲမှ၊ ကျွန်ုပ်သည် အဝေးထိန်း ဒက်စ်တော့ အခြေခံအဆောက်အဦ (Terminal Services) ကို တည်ဆောက်နေပါသည်။ ကျွန်ုပ်တို့တွင် မတူညီသောဒေတာစင်တာများတွင် RDS ဖြန့်ကျက်မှုများစွာရှိသည်။ ရည်မှန်းချက်များထဲမှတစ်ခုမှာ သက်ဆိုင်ရာ IT ဌာနများမှ လုပ်ဖော်ကိုင်ဖက်များအား အသုံးပြုသူအစည်းအဝေးများသို့ အပြန်အလှန်ဆက်သွယ်နိုင်စေရန်ဖြစ်သည်။ သင်သိသည့်အတိုင်း၊ ၎င်းအတွက် စံ RDS Shadow ယန္တရားတစ်ခု ရှိပြီး ၎င်းကို လွှဲအပ်ရန် အလွယ်ကူဆုံးနည်းလမ်းမှာ RDS ဆာဗာများပေါ်တွင် ဒေသန္တရ စီမံခန့်ခွဲသူအခွင့်အရေးကို ပေးခြင်းဖြစ်သည်။
ကျွန်ုပ်သည် ကျွန်ုပ်၏လုပ်ဖော်ကိုင်ဖက်များအား လေးစားတန်ဖိုးထားသော်လည်း စီမံခန့်ခွဲသူ၏အခွင့်အရေးများကို ပေးဆောင်ရသောအခါတွင် ကျွန်ုပ်သည် အလွန်လောဘကြီးပါသည်။ 🙂 ကျွန်တော်နဲ့သဘောတူတဲ့သူတွေအတွက် ကျေးဇူးပြုပြီး ဖြတ်လိုက်ပါ။

အလုပ်ကရှင်းပါတယ်၊ အခုစီးပွားရေးစလိုက်ကြရအောင်။

ခြေလှမ်း 1

Active Directory တွင် လုံခြုံရေးအဖွဲ့တစ်ခု ဖန်တီးကြပါစို့ RDP_အော်ပရေတာများ ၎င်းတွင် ကျွန်ုပ်တို့သည် အခွင့်အရေးများကို လွှဲအပ်လိုသော သုံးစွဲသူများ၏ အကောင့်များတွင် ထည့်သွင်းပါ-

$Users = @(
    "UserLogin1",
    "UserLogin2",
    "UserLogin3"
)
$Group = "RDP_Operators"
New-ADGroup -Name $Group -GroupCategory Security -GroupScope DomainLocal
Add-ADGroupMember -Identity $Group -Members $Users

သင့်တွင် AD ဆိုက်များစွာရှိပါက၊ ၎င်းကို နောက်တစ်ဆင့်သို့မသွားရန် ဒိုမိန်းထိန်းချုပ်သူအားလုံးထံ ပုံတူပွားသည်အထိ စောင့်ရပါမည်။ များသောအားဖြင့် 15 မိနစ်ထက်မပိုပါဘူး။

ခြေလှမ်း 2

RDSH ဆာဗာတစ်ခုစီတွင် terminal sessions များကို စီမံခန့်ခွဲရန် အဖွဲ့အခွင့်အရေးများကို ပေးကြပါစို့။

သတ်မှတ်-RDSPermissions.ps1

$Group = "RDP_Operators"
$Servers = @(
    "RDSHost01",
    "RDSHost02",
    "RDSHost03"
)
ForEach ($Server in $Servers) {
    #Делегируем право на теневые сессии
    $WMIHandles = Get-WmiObject `
        -Class "Win32_TSPermissionsSetting" `
        -Namespace "rootCIMV2terminalservices" `
        -ComputerName $Server `
        -Authentication PacketPrivacy `
        -Impersonation Impersonate
    ForEach($WMIHandle in $WMIHandles)
    {
        If ($WMIHandle.TerminalName -eq "RDP-Tcp")
        {
        $retVal = $WMIHandle.AddAccount($Group, 2)
        $opstatus = "успешно"
        If ($retVal.ReturnValue -ne 0) {
            $opstatus = "ошибка"
        }
        Write-Host ("Делегирование прав на теневое подключение группе " +
            $Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
        }
    }
}

ခြေလှမ်း 3

အဖွဲ့ကို ဒေသတွင်းအုပ်စုသို့ ထည့်ပါ။ အဝေးထိန်း Desktop အသုံးပြုသူများ RDSH ဆာဗာတစ်ခုစီတွင်။ အကယ်၍ သင့်ဆာဗာများကို session collections များအဖြစ် ပေါင်းစပ်ထားပါက၊ ၎င်းကို စုစည်းမှုအဆင့်တွင် လုပ်ဆောင်ပါသည်။

$Group = "RDP_Operators"
$CollectionName = "MyRDSCollection"
[String[]]$CurrentCollectionGroups = @(Get-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup).UserGroup
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup ($CurrentCollectionGroups + $Group)

ဆာဗာတစ်ခုတည်းအတွက် ကျွန်ုပ်တို့အသုံးပြုသည်။ အုပ်စုမူဝါဒဆာဗာများပေါ်တွင် အသုံးချရန် စောင့်ဆိုင်းနေပါသည်။ စောင့်ဆိုင်းရန် အလွန်ပျင်းသူများသည် ကောင်းမွန်သော gpupdate အဟောင်းကို အသုံးပြု၍ လုပ်ငန်းစဉ်ကို အရှိန်မြှင့်နိုင်သည်။ ဗဟိုအားဖြင့်.

ခြေလှမ်း 4

“မန်နေဂျာများ” အတွက် အောက်ပါ PS script ကို ပြင်ဆင်ကြပါစို့။

RDSManagement.ps1

$Servers = @(
    "RDSHost01",
    "RDSHost02",
    "RDSHost03"
)

function Invoke-RDPSessionLogoff {
    Param(
        [parameter(Mandatory=$True, Position=0)][String]$ComputerName,
        [parameter(Mandatory=$true, Position=1)][String]$SessionID
    )
    $ErrorActionPreference = "Stop"
    logoff $SessionID /server:$ComputerName /v 2>&1
}

function Invoke-RDPShadowSession {
    Param(
        [parameter(Mandatory=$True, Position=0)][String]$ComputerName,
        [parameter(Mandatory=$true, Position=1)][String]$SessionID
    )
    $ErrorActionPreference = "Stop"
    mstsc /shadow:$SessionID /v:$ComputerName /control 2>&1
}

Function Get-LoggedOnUser {
    Param(
        [parameter(Mandatory=$True, Position=0)][String]$ComputerName="localhost"
    )
    $ErrorActionPreference = "Stop"
    Test-Connection $ComputerName -Count 1 | Out-Null
    quser /server:$ComputerName 2>&1 | Select-Object -Skip 1 | ForEach-Object {
        $CurrentLine = $_.Trim() -Replace "s+"," " -Split "s"
        $HashProps = @{
            UserName = $CurrentLine[0]
            ComputerName = $ComputerName
        }
        If ($CurrentLine[2] -eq "Disc") {
            $HashProps.SessionName = $null
            $HashProps.Id = $CurrentLine[1]
            $HashProps.State = $CurrentLine[2]
            $HashProps.IdleTime = $CurrentLine[3]
            $HashProps.LogonTime = $CurrentLine[4..6] -join " "
            $HashProps.LogonTime = $CurrentLine[4..($CurrentLine.GetUpperBound(0))] -join " "
        }
        else {
            $HashProps.SessionName = $CurrentLine[1]
            $HashProps.Id = $CurrentLine[2]
            $HashProps.State = $CurrentLine[3]
            $HashProps.IdleTime = $CurrentLine[4]
            $HashProps.LogonTime = $CurrentLine[5..($CurrentLine.GetUpperBound(0))] -join " "
        }
        New-Object -TypeName PSCustomObject -Property $HashProps |
        Select-Object -Property UserName, ComputerName, SessionName, Id, State, IdleTime, LogonTime
    }
}

$UserLogin = Read-Host -Prompt "Введите логин пользователя"
Write-Host "Поиск RDP-сессий пользователя на серверах..."
$SessionList = @()
ForEach ($Server in $Servers) {
    $TargetSession = $null
    Write-Host "  Опрос сервера $Server"
    Try {
        $TargetSession = Get-LoggedOnUser -ComputerName $Server | Where-Object {$_.UserName -eq $UserLogin}
    }
    Catch {
        Write-Host "Ошибка: " $Error[0].Exception.Message -ForegroundColor Red
        Continue
    }
    If ($TargetSession) {
        Write-Host "    Найдена сессия с ID $($TargetSession.ID) на сервере $Server" -ForegroundColor Yellow
        Write-Host "    Что будем делать?"
        Write-Host "      1 - подключиться к сессии"
        Write-Host "      2 - завершить сессию"
        Write-Host "      0 - ничего"
        $Action = Read-Host -Prompt "Введите действие"
        If ($Action -eq "1") {
            Invoke-RDPShadowSession -ComputerName $Server -SessionID $TargetSession.ID
        }
        ElseIf ($Action -eq "2") {
            Invoke-RDPSessionLogoff -ComputerName $Server -SessionID $TargetSession.ID
        }
        Break
    }
    Else {
        Write-Host "    сессий не найдено"
    }
}

PS script ကို run ရန် အဆင်ပြေစေရန်၊ PS script ကဲ့သို့ နာမည်တူသော cmd ဖိုင်ပုံစံဖြင့် ၎င်းအတွက် shell တစ်ခုကို ဖန်တီးပါမည်။

RDSManagement.cmd

@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*

ကျွန်ုပ်တို့သည် ဖိုင်နှစ်ခုလုံးကို "မန်နေဂျာများ" သုံးစွဲနိုင်စေမည့် ဖိုင်တွဲတစ်ခုတွင် ထားရှိပြီး ၎င်းတို့အား ပြန်လည်ဝင်ရောက်ရန် တောင်းဆိုပါသည်။ ယခု cmd ဖိုင်ကို run ခြင်းဖြင့် ၎င်းတို့သည် RDS Shadow မုဒ်ရှိ အခြားအသုံးပြုသူများ၏ session များသို့ ချိတ်ဆက်နိုင်ပြီး ၎င်းတို့ကို log out လုပ်ရန် တွန်းအားပေးနိုင်ပါမည် (အသုံးပြုသူသည် “hanging” session ကို သီးခြားမရပ်နိုင်သောအခါ ၎င်းသည် အသုံးဝင်နိုင်သည်)။

ဒီဟာက

"မန်နေဂျာ" အတွက်

အသုံးပြုသူအတွက်

နောက်ဆုံးမှတ်ချက်အချို့

အနုအရင့် ၁. အကယ်၍ ကျွန်ုပ်တို့ ထိန်းချုပ်နိုင်ရန် ကြိုးစားနေသည့် အသုံးပြုသူ စက်ရှင်သည် Set-RDSPermissions.ps1 script ကို ဆာဗာပေါ်တွင် လုပ်ဆောင်ခြင်း မပြုမီတွင် စတင်ခဲ့ပါက "မန်နေဂျာ" သည် ဝင်ရောက်ခွင့် အမှားကို လက်ခံရရှိပါမည်။ ဤနေရာတွင် ဖြေရှင်းချက်မှာ သိသာထင်ရှားသည်- စီမံခန့်ခွဲအသုံးပြုသူ အကောင့်ဝင်သည်အထိ စောင့်ပါ။

အနုအရင့် ၁. RDP Shadow နှင့် ရက်အတော်ကြာ အလုပ်လုပ်ပြီးနောက်၊ စိတ်ဝင်စားစရာကောင်းသည့် ချွတ်ယွင်းချက် သို့မဟုတ် အင်္ဂါရပ်တစ်ခုကို ကျွန်ုပ်တို့ သတိပြုမိခဲ့သည်- အရိပ် session ပြီးဆုံးပြီးနောက်၊ အသုံးပြုသူနှင့် ချိတ်ဆက်ထားသည့်အတွက် ဗန်းအတွင်းရှိ ဘာသာစကားဘားသည် ပျောက်သွားပြီး ၎င်းကို ပြန်လည်ရယူရန်၊ အသုံးပြုသူက ပြန်လည်လုပ်ဆောင်ရန် လိုအပ်သည်။ -လော့ဂ်အင်။ ထွက်ပေါ်လာသည့်အတိုင်း၊ ကျွန်ုပ်တို့သည် တစ်ယောက်တည်းမဟုတ်ပါ။ အချိန်, два, သုံး.

ဒါပါပဲ။ မင်းနဲ့မင်းရဲ့ဆာဗာတွေကျန်းမာပါစေလို့ဆုတောင်းပါတယ်။ အမြဲလိုလို၊ မှတ်ချက်များတွင် မင်းရဲ့တုံ့ပြန်ချက်ကို စောင့်မျှော်နေပြီး အောက်ဖော်ပြပါ စစ်တမ်းတိုကို ယူခိုင်းပါ။

သတင်းရင်းမြစ်

• RDS Shadow - Windows Server 2016/2012 R2 ရှိ RDP အသုံးပြုသူ စက်ရှင်များနှင့် အရိပ်ချိတ်ဆက်မှု
• Windows Server 2012 Shadowing - စီမံခန့်ခွဲသူမဟုတ်သူများကို အခွင့်အရေးများလွှဲအပ်ခြင်း။
• Get-LoggedOnUser သည် အဝေးထိန်းစနစ်များပေါ်တွင် လော့ဂ်လုပ်ထားသော အသုံးပြုသူများ၏ အချက်အလက်များကို စုဆောင်းသည်။
• PowerShell PS1 scripts များကို စတင်ရန် အကောင်းဆုံးနည်းလမ်း
• ဒိုမိန်းအသုံးပြုသူများကို ဒေသတွင်းလုံခြုံရေးအဖွဲ့သို့ ပေါင်းထည့်ခြင်း။
• GPMC - OU ရှိ ကွန်ပျူတာအားလုံးတွင် gpupdate ကို အတင်းအကျပ်လုပ်ပါ။

စာရင်းသွင်းအသုံးပြုသူများသာ စစ်တမ်းတွင် ပါဝင်နိုင်ပါသည်။ ဆိုင်းအင်လုပ်ခြင်း, ကျေးဇူးပြု။

ဘာကိုသုံးတာလဲ။

• 8,1%AMMYY အုပ်ချုပ်ရေးမှူး ၅

• 17,7%AnyDesk11

• 9,7%DameWare၆

• 24,2%Radmin15

• 14,5%RDS Shadow ၉

• 1,6%Quick Assist / Windows Remote Assistance1

• 38,7%TeamViewer24

• 32,3%VNC20

• 32,3%အခြား၂၀

• 3,2%LiteManager ၂

အသုံးပြုသူ 62 ဦး မဲပေးခဲ့သည်။ အသုံးပြုသူ ၃ ဦး ရှောင်နေခဲ့ပါတယ်။

source: www.habr.com