நான் பணிபுரியும் நிறுவனத்தில், தொலைதூர வேலை கொள்கையளவில் தடைசெய்யப்பட்டுள்ளது. இருந்தது. கடந்த வாரம் வரை. இப்போது நாம் ஒரு தீர்வை அவசரமாக செயல்படுத்த வேண்டியிருந்தது. வணிகத்திலிருந்து - ஒரு புதிய பணி வடிவமைப்பிற்கு செயல்முறைகளை மாற்றியமைத்தல், எங்களிடமிருந்து - PKI உடன் PIN குறியீடுகள் மற்றும் டோக்கன்கள், VPN, விரிவான பதிவு மற்றும் பல.
மற்றவற்றுடன், டெர்மினல் சர்வீசஸ் என்ற தொலைநிலை டெஸ்க்டாப் உள்கட்டமைப்பை நான் அமைத்துக் கொண்டிருந்தேன். வெவ்வேறு தரவு மையங்களில் எங்களிடம் பல RDS வரிசைப்படுத்தல்கள் உள்ளன. தொடர்புடைய தகவல் தொழில்நுட்பத் துறைகளைச் சேர்ந்த சக ஊழியர்களை ஊடாடும் வகையில் பயனர் அமர்வுகளுடன் இணைக்க உதவுவது இலக்குகளில் ஒன்றாகும். உங்களுக்குத் தெரியும், இதற்கு ஒரு நிலையான RDS நிழல் பொறிமுறை உள்ளது, மேலும் அதை வழங்குவதற்கான எளிதான வழி RDS சேவையகங்களில் உள்ளூர் நிர்வாகி உரிமைகளை வழங்குவதாகும்.
நான் எனது சக ஊழியர்களை மதிக்கிறேன், மதிக்கிறேன், ஆனால் நிர்வாக உரிமைகளை வழங்குவதில் நான் மிகவும் பேராசைப்படுகிறேன். 🙂 என்னுடன் உடன்படுபவர்கள், தயவு செய்து வெட்டியைப் பின்பற்றவும்.
சரி, பணி தெளிவாக உள்ளது, இப்போது வணிகத்திற்கு வருவோம்.
1 விலக
ஆக்டிவ் டைரக்டரியில் பாதுகாப்புக் குழுவை உருவாக்குவோம் RDP_ஆபரேட்டர்கள் நாங்கள் உரிமைகளை வழங்க விரும்பும் பயனர்களின் கணக்குகளை அதில் சேர்க்கவும்:
உங்களிடம் பல AD தளங்கள் இருந்தால், அடுத்த கட்டத்திற்குச் செல்வதற்கு முன், எல்லா டொமைன் கன்ட்ரோலர்களுக்கும் அது நகலெடுக்கப்படும் வரை நீங்கள் காத்திருக்க வேண்டும். இதற்கு பொதுவாக 15 நிமிடங்களுக்கு மேல் ஆகாது.
2 விலக
ஒவ்வொரு RDSH சேவையகங்களிலும் டெர்மினல் அமர்வுகளை நிர்வகிக்க குழு உரிமைகளை வழங்குவோம்:
Set-RDSPpermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
3 விலக
குழுவை உள்ளூர் குழுவில் சேர்க்கவும் தொலைநிலை டெஸ்க்டாப் பயனர்கள் RDSH சேவையகங்கள் ஒவ்வொன்றிலும். உங்கள் சேவையகங்கள் அமர்வு சேகரிப்புகளாக இணைக்கப்பட்டிருந்தால், சேகரிப்பு மட்டத்தில் இதைச் செய்வோம்:
ஒற்றை சேவையகங்களுக்கு நாங்கள் பயன்படுத்துகிறோம் குழு கொள்கை, இது சேவையகங்களில் பயன்படுத்தப்படும் வரை காத்திருக்கிறது. காத்திருக்க மிகவும் சோம்பேறியாக இருப்பவர்கள், நல்ல பழைய gupdate ஐப் பயன்படுத்தி செயல்முறையை விரைவுபடுத்தலாம் மையமாக.
4 விலக
"மேலாளர்களுக்கு" பின்வரும் PS ஸ்கிரிப்டை தயார் செய்வோம்:
PS ஸ்கிரிப்டை இயக்க வசதியாக மாற்ற, PS ஸ்கிரிப்ட்டின் அதே பெயரில் ஒரு cmd கோப்பின் வடிவத்தில் ஒரு ஷெல்லை உருவாக்குவோம்:
RDSManagement.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
இரண்டு கோப்புகளையும் "மேலாளர்கள்" அணுகக்கூடிய ஒரு கோப்புறையில் வைத்து, அவர்களை மீண்டும் உள்நுழையச் சொல்கிறோம். இப்போது, cmd கோப்பை இயக்குவதன் மூலம், அவர்கள் RDS நிழல் பயன்முறையில் உள்ள பிற பயனர்களின் அமர்வுகளுடன் இணைக்க முடியும் மற்றும் அவர்களை வெளியேறும்படி கட்டாயப்படுத்த முடியும் (பயனர் சுயாதீனமாக "தொங்கும்" அமர்வை நிறுத்த முடியாதபோது இது பயனுள்ளதாக இருக்கும்).
இது இப்படி தெரிகிறது:
"மேனேஜருக்கு"
பயனருக்கு
சில இறுதி கருத்துக்கள்
நுணுக்கம் 1. Set-RDSPpermissions.ps1 ஸ்கிரிப்ட் சேவையகத்தில் செயல்படுத்தப்படுவதற்கு முன்பு, நாங்கள் கட்டுப்பாட்டைப் பெற முயற்சிக்கும் பயனர் அமர்வு தொடங்கப்பட்டிருந்தால், “மேலாளர்” அணுகல் பிழையைப் பெறுவார். இங்கே தீர்வு வெளிப்படையானது: நிர்வகிக்கப்பட்ட பயனர் உள்நுழையும் வரை காத்திருக்கவும்.
நுணுக்கம் 2. RDP நிழலுடன் பல நாட்கள் பணிபுரிந்த பிறகு, ஒரு சுவாரஸ்யமான பிழை அல்லது அம்சத்தை நாங்கள் கவனித்தோம்: நிழல் அமர்வின் முடிவில், பயனருடன் இணைக்கப்பட்டுள்ள தட்டில் உள்ள மொழிப் பட்டி மறைந்துவிடும், அதைத் திரும்பப் பெற, பயனர் மீண்டும் செய்ய வேண்டும். -உள்நுழைய. அது மாறிவிடும், நாங்கள் தனியாக இல்லை: நேரம், два, மூன்று.
அவ்வளவுதான். நீங்களும் உங்கள் சர்வர்களும் நல்ல ஆரோக்கியத்தை விரும்புகிறேன். எப்போதும் போல், கருத்துகளில் உங்கள் கருத்தை எதிர்பார்க்கிறேன், மேலும் கீழே உள்ள குறுகிய கருத்துக்கணிப்பில் ஈடுபடுமாறு கேட்டுக்கொள்கிறேன்.