В організації, де я працюю, видалення заборонено в принципі. Була. Минулого тижня. Тепер довелося терміново впроваджувати рішення. Від бізнесу – адаптація процесів до нового формату роботи, від нас – PKI з пін-кодами та токенами, VPN, детальне логування та багато чого ще.
Окрім іншого, я займався налаштуванням інфраструктури віддалених робочих столів aka служби терміналів. У нас кілька RDS-розгортань у різних ЦОДах. Одним із завдань було дати можливість колегам із суміжних підрозділів ІТ підключатися до сеансів користувача в інтерактивному режимі. Як відомо, для цього є штатний механізм RDS Shadow і найпростіший спосіб його делегувати – надати права локального адміністратора на RDS-серверах.
Я поважаю та ціную своїх колег, але дуже жадібний до роздачі адмінських прав. 🙂 Тих, хто зі мною солідарний, прошу під кат.
Що ж, завдання зрозуміле, тепер — до діла.
Крок 1
Створимо в Active Directory групу безпеки RDP_Operators і включимо до неї облікові записи тих користувачів, яким хочемо делегувати права:
Якщо у вас кілька AD-сайтів, то перед тим, як перейти до наступного кроку, потрібно почекати, доки вона буде реплікована на всі контролери домену. Зазвичай це займає трохи більше 15 хвилин.
Крок 2
Надамо групі права на керування термінальними сесіями на кожному з RDSH-серверів:
Set-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
Крок 3
Додамо групу до локальної групи Користувачі віддаленого робочого столу на кожному із RDSH-серверів. Якщо сервери об'єднані в колекції сеансів, то робимо це на рівні колекції:
Для одиночних серверів задіємо групову політику, дочекавшись, поки вона застосовується на серверах. Ті, кому ліньки чекати, можуть форсувати процес за допомогою старого доброго gpupdate, бажано централізовано.
Щоб PS-скрипт було зручно запускати, зробимо для нього оболонку у вигляді cmd-файлу з таким самим ім'ям, як у PS-скрипта:
RDSManagement.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
Кладемо обидва файли в папку, яка буде доступна «управлінцям» і просимо їх перелогінитись. Тепер, запустивши cmd-файл, вони зможуть підключатися до сесій інших користувачів в режимі RDS Shadow і примусово їх розлогінювати (буває корисно, коли користувач не може самостійно завершити сесію, що «зависла»).
Виглядає це приблизно так:
Для «управлінця»
Для користувача
Декілька зауважень наостанок
Нюанс 1. Якщо сеанс користувача, до якого намагаємося отримати керування, був запущений до того, як на сервері відпрацював скрипт Set-RDSPermissions.ps1, то управлінець отримає помилку доступу. Рішення тут очевидне: почекати, поки керований користувач перелогіниться.
Нюанс 2. Після кількох днів роботи з RDP Shadow помітили цікавий чи то баг, чи фічу: після завершення тіньового сеансу у користувача, до якого підключалися, пропадає мовна панель у треї і щоб її повернути, користувачеві потрібно перелогінитися. Як виявилося, ми не самотні: раз, два, три.
На цьому все. Бажаю здоров'я вам та вашим серверам. Як завжди, чекаю зворотного зв'язку в коментарях та прошу пройти невелике опитування нижче.