I organisasjonen der jeg jobber er fjernarbeid i utgangspunktet forbudt. Var. Inntil forrige uke. Nå måtte vi snarest implementere en løsning. Fra virksomhet – tilpasning av prosesser til nytt arbeidsformat, fra oss – PKI med PIN-koder og tokens, VPN, detaljert logging og mye mer.
Blant annet satte jeg opp Remote Desktop Infrastructure aka Terminal Services. Vi har flere RDS-distribusjoner i forskjellige datasentre. Et av målene var å gjøre det mulig for kolleger fra relaterte IT-avdelinger å koble seg til brukerøkter interaktivt. Som du vet er det en standard RDS Shadow-mekanisme for dette, og den enkleste måten å delegere den på er å gi lokale administratorrettigheter på RDS-servere.
Jeg respekterer og verdsetter kollegene mine, men jeg er veldig grådig når det kommer til å dele ut admin-rettigheter. 🙂 For de som er enige med meg, vennligst følg kuttet.
Vel, oppgaven er klar, la oss nå gå i gang.
Trinn 1
La oss lage en sikkerhetsgruppe i Active Directory RDP_Operatorer og inkludere kontoene til de brukerne som vi ønsker å delegere rettigheter til:
Hvis du har flere AD-nettsteder, må du vente til det er replikert til alle domenekontrollere før du går videre til neste trinn. Dette tar vanligvis ikke mer enn 15 minutter.
Trinn 2
La oss gi gruppen rettigheter til å administrere terminalsesjoner på hver av RDSH-serverne:
Set-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
Trinn 3
Legg gruppen til den lokale gruppen Brukere av eksternt skrivebord på hver av RDSH-serverne. Hvis serverne dine er kombinert til øktsamlinger, gjør vi dette på samlingsnivå:
For enkeltservere bruker vi gruppepolitikk, venter på at den skal brukes på serverne. De som er for late til å vente kan fremskynde prosessen ved å bruke gode gamle gpupdate, helst sentralt.
For å gjøre PS-skriptet praktisk å kjøre, vil vi lage et skall for det i form av en cmd-fil med samme navn som PS-skriptet:
RDSManagement.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
Vi legger begge filene i en mappe som vil være tilgjengelig for "administratorer" og ber dem om å logge inn på nytt. Nå, ved å kjøre cmd-filen, vil de kunne koble til øktene til andre brukere i RDS Shadow-modus og tvinge dem til å logge ut (dette kan være nyttig når brukeren ikke uavhengig kan avslutte en "hengende" økt).
Det ser noe slik ut:
For "sjefen"
For brukeren
Noen siste kommentarer
Nyanse 1. Hvis brukersesjonen som vi prøver å få kontroll til ble lansert før Set-RDSPermissions.ps1-skriptet ble utført på serveren, vil "manageren" motta en tilgangsfeil. Løsningen her er åpenbar: vent til den administrerte brukeren logger på.
Nyanse 2. Etter flere dager med arbeid med RDP Shadow la vi merke til en interessant feil eller funksjon: etter slutten av skyggeøkten forsvinner språklinjen i skuffen for brukeren som er koblet til, og for å få den tilbake, må brukeren re -Logg Inn. Som det viser seg, er vi ikke alene: tid, два, tre.
Det er alt. Jeg ønsker deg og dine tjenere god helse. Som alltid ser jeg frem til tilbakemeldingen din i kommentarfeltet og ber deg om å ta den korte undersøkelsen nedenfor.