Men ishlayotgan tashkilotda masofaviy ishlash printsipial jihatdan taqiqlangan. edi. O'tgan haftagacha. Endi biz zudlik bilan yechimni amalga oshirishimiz kerak edi. Biznesdan - jarayonlarni yangi ish formatiga moslashtirish, bizdan - PIN-kodlar va tokenlar bilan PKI, VPN, batafsil jurnallar va boshqalar.
Boshqa narsalar qatorida, men masofaviy ish stoli infratuzilmasi aka Terminal xizmatlarini o'rnatdim. Turli ma'lumotlar markazlarida bir nechta RDS o'rnatishimiz mavjud. Maqsadlardan biri tegishli IT bo'limlaridagi hamkasblarga foydalanuvchi sessiyalariga interaktiv ulanish imkonini berish edi. Ma'lumki, buning uchun standart RDS Shadow mexanizmi mavjud va uni topshirishning eng oson yo'li RDS serverlarida mahalliy administrator huquqlarini berishdir.
Men hamkasblarimni hurmat qilaman va qadrlayman, lekin administrator huquqlarini topshirishga kelganda juda ochko'zman. 🙂 Men bilan rozi bo'lganlar uchun, iltimos, kesishga rioya qiling.
Xo'sh, vazifa aniq, endi ishga kirishamiz.
1 bosqichma
Active Directory da xavfsizlik guruhini yaratamiz RDP_Operatorlar va unga biz huquqlarni topshirmoqchi bo'lgan foydalanuvchilarning hisoblarini kiriting:
Agar sizda bir nechta AD saytlari bo'lsa, keyingi bosqichga o'tishdan oldin u barcha domen kontrollerlariga takrorlanguncha kutishingiz kerak bo'ladi. Bu odatda 15 daqiqadan ko'proq vaqtni oladi.
2 bosqichma
Keling, guruhga har bir RDSH serverida terminal seanslarini boshqarish huquqini beraylik:
Set-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
3 bosqichma
Guruhni mahalliy guruhga qo'shing Masofaviy ish stoli foydalanuvchilari RDSH serverlarining har birida. Agar sizning serverlaringiz sessiya to'plamlariga birlashtirilgan bo'lsa, biz buni yig'ish darajasida qilamiz:
Biz foydalanadigan yagona serverlar uchun guruh siyosati, uning serverlarda qo'llanilishini kuting. Kutishga dangasa bo'lganlar yaxshi eski gpupdate yordamida jarayonni tezlashtirishi mumkin markaziy ravishda.
4 bosqichma
Keling, "menejerlar" uchun quyidagi PS skriptini tayyorlaylik:
PS skriptini ishga tushirish qulay bo'lishi uchun biz uning uchun PS skripti bilan bir xil nomdagi cmd fayli ko'rinishida qobiq yaratamiz:
RDSManagement.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
Biz ikkala faylni "menejerlar" uchun ochiq bo'lgan papkaga joylashtiramiz va ulardan qayta kirishni so'raymiz. Endi, cmd faylini ishga tushirish orqali ular RDS Shadow rejimida boshqa foydalanuvchilarning seanslariga ulanishlari va ularni tizimdan chiqishga majburlashlari mumkin bo'ladi (bu foydalanuvchi mustaqil ravishda "osilgan" seansni to'xtata olmasa foydali bo'lishi mumkin).
Bu shunday ko'rinadi:
"Menejer" uchun
Foydalanuvchi uchun
Bir nechta yakuniy sharhlar
Nuance 1. Agar biz nazorat qilmoqchi bo'lgan foydalanuvchi sessiyasi serverda Set-RDSPermissions.ps1 skripti bajarilgunga qadar ishga tushirilgan bo'lsa, "menejer" kirish xatosini oladi. Bu erda yechim aniq: boshqariladigan foydalanuvchi tizimga kirguncha kuting.
Nuance 2. RDP Shadow bilan bir necha kun ishlaganimizdan so'ng, biz qiziqarli xato yoki xususiyatni payqadik: soyali seans tugagandan so'ng, lagandadagi til paneli ulangan foydalanuvchi uchun yo'qoladi va uni qaytarib olish uchun foydalanuvchi qayta tiklashi kerak. -tizimga kirish. Ma'lum bo'lishicha, biz yolg'iz emasmiz: vaqt, два, uchta.
Ana xolos. Sizga va serverlaringizga sihat-salomatlik tilayman. Har doimgidek, sharhlaringizda fikr-mulohazalaringizni kutaman va quyida qisqa so'rovnomada qatnashishingizni so'rayman.