ในองค์กรที่ฉันทำงาน หลักการห้ามทำงานจากระยะไกล เคยเป็น. จนกระทั่งเมื่อสัปดาห์ที่แล้ว ตอนนี้ฉันต้องดำเนินการแก้ไขปัญหาอย่างเร่งด่วน จากธุรกิจ - การปรับกระบวนการให้เป็นรูปแบบใหม่ของงาน จากเรา - PKI พร้อมรหัสพินและโทเค็น VPN การบันทึกโดยละเอียด และอื่นๆ อีกมากมาย
เหนือสิ่งอื่นใด ฉันมีส่วนร่วมในการตั้งค่าโครงสร้างพื้นฐานเดสก์ท็อประยะไกลหรือที่เรียกว่าบริการเทอร์มินัล เรามีการปรับใช้ RDS หลายครั้งในศูนย์ข้อมูลต่างๆ เป้าหมายประการหนึ่งคือการช่วยให้เพื่อนร่วมงานจากแผนกไอทีที่เกี่ยวข้องสามารถเชื่อมต่อกับเซสชันผู้ใช้แบบโต้ตอบได้ ดังที่คุณทราบ มีกลไก RDS Shadow ตามปกติสำหรับสิ่งนี้ และวิธีที่ง่ายที่สุดในการมอบหมายคือการให้สิทธิ์ผู้ดูแลระบบท้องถิ่นบนเซิร์ฟเวอร์ RDS
ฉันเคารพและชื่นชมเพื่อนร่วมงานของฉัน แต่ฉันโลภมากที่จะแจกจ่ายสิทธิ์ของผู้ดูแลระบบ 🙂 ท่านที่เห็นด้วยกับผม กรุณาใต้ cat.
ตอนนี้งานชัดเจนแล้ว - เพื่อธุรกิจ
ขั้นตอนที่ 1
สร้างกลุ่มความปลอดภัยใน Active Directory RDP_ตัวดำเนินการ และรวมบัญชีของผู้ใช้เหล่านั้นที่เราต้องการมอบสิทธิ์ให้:
$Users = @(
"UserLogin1",
"UserLogin2",
"UserLogin3"
)
$Group = "RDP_Operators"
New-ADGroup -Name $Group -GroupCategory Security -GroupScope DomainLocal
Add-ADGroupMember -Identity $Group -Members $Users
หากคุณมีไซต์ AD หลายไซต์ ก่อนที่จะไปยังขั้นตอนถัดไป คุณต้องรอจนกว่าจะมีการจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมด โดยปกติจะใช้เวลาไม่เกิน 15 นาที
ขั้นตอนที่ 2
ให้สิทธิ์แก่กลุ่มในการจัดการเซสชันเทอร์มินัลบนเซิร์ฟเวอร์ RDSH แต่ละเซิร์ฟเวอร์:
ชุด RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
ขั้นตอนที่ 3
เพิ่มกลุ่มในกลุ่มท้องถิ่น ผู้ใช้เดสก์ท็อประยะไกล ในแต่ละเซิร์ฟเวอร์ RDSH หากเซิร์ฟเวอร์ของคุณรวมกันเป็นคอลเลกชันของเซสชัน เราจะดำเนินการนี้ในระดับคอลเลกชัน:
$Group = "RDP_Operators"
$CollectionName = "MyRDSCollection"
[String[]]$CurrentCollectionGroups = @(Get-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup).UserGroup
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup ($CurrentCollectionGroups + $Group)
สำหรับเซิร์ฟเวอร์เดี่ยว ให้ใช้
ขั้นตอนที่ 4
มาเตรียมสคริปต์ PS ต่อไปนี้สำหรับ "ผู้จัดการ":
RDSManagement.ps1
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
function Invoke-RDPSessionLogoff {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
logoff $SessionID /server:$ComputerName /v 2>&1
}
function Invoke-RDPShadowSession {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
mstsc /shadow:$SessionID /v:$ComputerName /control 2>&1
}
Function Get-LoggedOnUser {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName="localhost"
)
$ErrorActionPreference = "Stop"
Test-Connection $ComputerName -Count 1 | Out-Null
quser /server:$ComputerName 2>&1 | Select-Object -Skip 1 | ForEach-Object {
$CurrentLine = $_.Trim() -Replace "s+"," " -Split "s"
$HashProps = @{
UserName = $CurrentLine[0]
ComputerName = $ComputerName
}
If ($CurrentLine[2] -eq "Disc") {
$HashProps.SessionName = $null
$HashProps.Id = $CurrentLine[1]
$HashProps.State = $CurrentLine[2]
$HashProps.IdleTime = $CurrentLine[3]
$HashProps.LogonTime = $CurrentLine[4..6] -join " "
$HashProps.LogonTime = $CurrentLine[4..($CurrentLine.GetUpperBound(0))] -join " "
}
else {
$HashProps.SessionName = $CurrentLine[1]
$HashProps.Id = $CurrentLine[2]
$HashProps.State = $CurrentLine[3]
$HashProps.IdleTime = $CurrentLine[4]
$HashProps.LogonTime = $CurrentLine[5..($CurrentLine.GetUpperBound(0))] -join " "
}
New-Object -TypeName PSCustomObject -Property $HashProps |
Select-Object -Property UserName, ComputerName, SessionName, Id, State, IdleTime, LogonTime
}
}
$UserLogin = Read-Host -Prompt "Введите логин пользователя"
Write-Host "Поиск RDP-сессий пользователя на серверах..."
$SessionList = @()
ForEach ($Server in $Servers) {
$TargetSession = $null
Write-Host " Опрос сервера $Server"
Try {
$TargetSession = Get-LoggedOnUser -ComputerName $Server | Where-Object {$_.UserName -eq $UserLogin}
}
Catch {
Write-Host "Ошибка: " $Error[0].Exception.Message -ForegroundColor Red
Continue
}
If ($TargetSession) {
Write-Host " Найдена сессия с ID $($TargetSession.ID) на сервере $Server" -ForegroundColor Yellow
Write-Host " Что будем делать?"
Write-Host " 1 - подключиться к сессии"
Write-Host " 2 - завершить сессию"
Write-Host " 0 - ничего"
$Action = Read-Host -Prompt "Введите действие"
If ($Action -eq "1") {
Invoke-RDPShadowSession -ComputerName $Server -SessionID $TargetSession.ID
}
ElseIf ($Action -eq "2") {
Invoke-RDPSessionLogoff -ComputerName $Server -SessionID $TargetSession.ID
}
Break
}
Else {
Write-Host " сессий не найдено"
}
}
เพื่อให้สะดวกในการรันสคริปต์ PS เราจะสร้างเชลล์ให้ในรูปแบบของไฟล์ cmd ที่มีชื่อเดียวกับสคริปต์ PS:
RDSManagement.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
เราใส่ทั้งสองไฟล์ไว้ในโฟลเดอร์ที่ "ผู้จัดการ" จะสามารถใช้ได้และขอให้พวกเขาเข้าสู่ระบบอีกครั้ง ตอนนี้ด้วยการเรียกใช้ไฟล์ cmd พวกเขาจะสามารถเชื่อมต่อกับเซสชันของผู้ใช้รายอื่นในโหมด RDS Shadow และบังคับให้พวกเขาออกจากระบบ (จะมีประโยชน์เมื่อผู้ใช้ไม่สามารถสิ้นสุดเซสชัน "หยุดทำงาน" ได้ด้วยตัวเอง)
ดูเหมือนว่านี้:
สำหรับ “ผู้จัดการ”
สำหรับผู้ใช้
ข้อสังเกตสุดท้ายบางประการ
แตกต่างกันนิดหน่อย 1. หากเซสชันของผู้ใช้ที่เราพยายามควบคุมเริ่มต้นขึ้นก่อนที่จะเรียกใช้สคริปต์ Set-RDSPermissions.ps1 บนเซิร์ฟเวอร์ "ผู้จัดการ" จะได้รับข้อผิดพลาดในการเข้าถึง วิธีแก้ปัญหานี้ชัดเจน: รอให้ผู้ใช้ที่ได้รับการจัดการเข้าสู่ระบบอีกครั้ง
แตกต่างกันนิดหน่อย 2. หลังจากทำงานกับ RDP Shadow เป็นเวลาหลายวัน พวกเขาสังเกตเห็นจุดบกพร่องหรือคุณสมบัติที่น่าสนใจ: หลังจากสิ้นสุดเซสชันเงา ผู้ใช้ที่พวกเขาเชื่อมต่อจะหายไปแถบภาษาในถาด และเพื่อที่จะส่งคืน ผู้ใช้จำเป็นต้องเข้าสู่ระบบอีกครั้ง ปรากฎว่าเราไม่ได้อยู่คนเดียว:
นั่นคือทั้งหมดที่ ฉันขอให้มีสุขภาพที่ดีกับคุณและเซิร์ฟเวอร์ของคุณ และเช่นเคย ฉันหวังว่าจะได้รับความคิดเห็นของคุณในความคิดเห็น และขอให้คุณทำแบบสำรวจสั้นๆ ด้านล่างนี้
แหล่งที่มา
RDS Shadow - การเชื่อมต่อเงากับเซสชันผู้ใช้ RDP ใน Windows Server 2016/2012 R2 Windows Server 2012 Shadowing - การมอบสิทธิ์ให้กับผู้ที่ไม่ใช่ผู้ดูแลระบบ Get-LoggedOnUser รวบรวมข้อมูลของผู้ใช้ที่เข้าสู่ระบบบนระบบระยะไกล วิธีที่ดีที่สุดในการเริ่มสคริปต์ PowerShell PS1 เพิ่มผู้ใช้โดเมนไปยังกลุ่มความปลอดภัยภายในเครื่อง GPMC - บังคับให้ gpupdate บนคอมพิวเตอร์ทุกเครื่องใน OU
เฉพาะผู้ใช้ที่ลงทะเบียนเท่านั้นที่สามารถเข้าร่วมในการสำรวจได้
คุณใช้อะไร?
-
ลด 8,1%แอดมินแอมมี่5
-
ลด 17,7%AnyDesk11
-
ลด 9,7%เดมแวร์6
-
ลด 24,2%ราดมิน15
-
ลด 14,5%RDS Shadow9
-
ลด 1,6%ความช่วยเหลือด่วน / ความช่วยเหลือระยะไกลของ Windows1
-
ลด 38,7%ทีมวิวเวอร์24
-
ลด 32,3%วีเอ็นซี20
-
ลด 32,3%อื่นๆ20
-
ลด 3,2%LiteManager2
ผู้ใช้ 62 คนโหวต งดออกเสียง 22 ราย
ที่มา: will.com