Katika shirika ambapo ninafanya kazi, kazi ya mbali ni marufuku kwa kanuni. Ilikuwa. Hadi wiki iliyopita. Sasa tulilazimika kutekeleza suluhisho haraka. Kutoka kwa biashara - kurekebisha michakato hadi muundo mpya wa kazi, kutoka kwetu - PKI yenye misimbo ya PIN na ishara, VPN, ukataji wa kina na mengi zaidi.
Miongoni mwa mambo mengine, nilikuwa nikianzisha Miundombinu ya Eneo-kazi la Mbali aka Huduma za Kituo. Tuna matumizi kadhaa ya RDS katika vituo tofauti vya data. Mojawapo ya malengo yalikuwa kuwezesha wafanyikazi wenzako kutoka idara zinazohusiana za IT kuunganishwa na vikao vya watumiaji kwa maingiliano. Kama unavyojua, kuna utaratibu wa kawaida wa Kivuli wa RDS kwa hili, na njia rahisi ya kuikabidhi ni kutoa haki za msimamizi wa ndani kwenye seva za RDS.
Ninawaheshimu na kuwathamini wenzangu, lakini mimi ni mchoyo sana linapokuja suala la kupeana haki za admin. 🙂 Kwa wale wanaokubaliana nami, tafadhali fuata kata.
Kweli, kazi ni wazi, sasa hebu tushuke kwenye biashara.
Hatua ya 1
Hebu tuunde kikundi cha usalama katika Saraka Inayotumika RDP_Operators na kujumuisha ndani yake akaunti za watumiaji hao ambao tunataka kuwakabidhi haki:
Iwapo una tovuti nyingi za AD, utahitaji kusubiri hadi irudiwe kwa vidhibiti vyote vya kikoa kabla ya kuendelea na hatua inayofuata. Hii kawaida huchukua si zaidi ya dakika 15.
Hatua ya 2
Wacha tupe haki za kikundi kudhibiti vipindi vya wastaafu kwenye kila seva ya RDSH:
Set-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
Hatua ya 3
Ongeza kikundi kwenye kikundi cha ndani Watumiaji wa Kompyuta ya Mbali kwenye kila seva ya RDSH. Ikiwa seva zako zimeunganishwa katika mikusanyiko ya vipindi, basi tunafanya hivi katika kiwango cha mkusanyiko:
Kwa seva moja tunatumia sera ya kikundi, ikingoja itumike kwenye seva. Wale ambao ni wavivu sana kusubiri wanaweza kuharakisha mchakato kwa kutumia gpupdate nzuri ya zamani, ikiwezekana katikati.
Hatua ya 4
Wacha tuandae hati ifuatayo ya PS kwa "wasimamizi":
Ili kufanya hati ya PS iwe rahisi kuendesha, tutaunda ganda kwa namna ya faili ya cmd iliyo na jina sawa na hati ya PS:
RDSMmanagement.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
Tunaweka faili zote mbili kwenye folda ambayo itapatikana kwa "wasimamizi" na kuwauliza waingie tena. Sasa, kwa kuendesha faili ya cmd, wataweza kuunganisha kwenye vikao vya watumiaji wengine katika hali ya Kivuli ya RDS na kuwalazimisha kutoka (hii inaweza kuwa muhimu wakati mtumiaji hawezi kusitisha kikao cha "kunyongwa") kwa kujitegemea).
Inaonekana kitu kama hiki:
Kwa "meneja"
Kwa mtumiaji
Maoni machache ya mwisho
Nuance 1. Ikiwa kipindi cha mtumiaji ambacho tunajaribu kupata udhibiti kilizinduliwa kabla ya hati ya Set-RDSPermissions.ps1 kutekelezwa kwenye seva, basi "msimamizi" atapokea hitilafu ya ufikiaji. Suluhisho hapa ni dhahiri: subiri hadi mtumiaji anayesimamiwa aingie.
Nuance 2. Baada ya siku kadhaa za kufanya kazi na Kivuli cha RDP, tuliona mdudu au kipengele cha kuvutia: baada ya mwisho wa kipindi cha kivuli, upau wa lugha kwenye tray hupotea kwa mtumiaji kuunganishwa, na ili kuirejesha, mtumiaji anahitaji kurejesha tena. -Ingia. Kama inavyotokea, sisi sio peke yetu: wakati, два, tatu.
Ni hayo tu. Nakutakia afya njema wewe na seva zako. Kama kawaida, natarajia maoni yako katika maoni na nakuomba ufanye utafiti mfupi hapa chini.