在我工作的单位,原则上禁止远程办公。 曾是。 直到上周。 现在我们必须紧急实施解决方案。 从业务 - 将流程调整为新的工作格式,从我们 - PKI 包括 PIN 码和令牌、VPN、详细日志记录等等。
除此之外,我还设置了远程桌面基础设施(又名终端服务)。 我们在不同的数据中心部署了多个 RDS。 目标之一是让相关 IT 部门的同事能够以交互方式连接到用户会话。 如您所知,为此有一个标准的 RDS Shadow 机制,最简单的委托方法是授予 RDS 服务器上的本地管理员权限。
我尊重并重视我的同事,但在分配管理权限时我非常贪婪。 🙂 对于那些同意我的观点的人,请按照剪辑。
好了,任务已经明确了,现在开始进入正题吧。
步骤1
让我们在 Active Directory 中创建一个安全组 RDP_操作员 并将我们想要授予权限的用户的帐户包含在其中:
$Users = @(
"UserLogin1",
"UserLogin2",
"UserLogin3"
)
$Group = "RDP_Operators"
New-ADGroup -Name $Group -GroupCategory Security -GroupScope DomainLocal
Add-ADGroupMember -Identity $Group -Members $Users
如果您有多个 AD 站点,则需要等到其复制到所有域控制器后才能继续下一步。 这通常需要不超过 15 分钟。
步骤2
让我们授予组权限来管理每个 RDSH 服务器上的终端会话:
设置-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
步骤3
将组添加到本地组 远程桌面用户 在每个 RDSH 服务器上。 如果您的服务器被合并到会话集合中,那么我们在集合级别执行此操作:
$Group = "RDP_Operators"
$CollectionName = "MyRDSCollection"
[String[]]$CurrentCollectionGroups = @(Get-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup).UserGroup
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup ($CurrentCollectionGroups + $Group)
对于我们使用的单一服务器
步骤4
让我们为“经理”准备以下 PS 脚本:
RDS管理.ps1
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
function Invoke-RDPSessionLogoff {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
logoff $SessionID /server:$ComputerName /v 2>&1
}
function Invoke-RDPShadowSession {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
mstsc /shadow:$SessionID /v:$ComputerName /control 2>&1
}
Function Get-LoggedOnUser {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName="localhost"
)
$ErrorActionPreference = "Stop"
Test-Connection $ComputerName -Count 1 | Out-Null
quser /server:$ComputerName 2>&1 | Select-Object -Skip 1 | ForEach-Object {
$CurrentLine = $_.Trim() -Replace "s+"," " -Split "s"
$HashProps = @{
UserName = $CurrentLine[0]
ComputerName = $ComputerName
}
If ($CurrentLine[2] -eq "Disc") {
$HashProps.SessionName = $null
$HashProps.Id = $CurrentLine[1]
$HashProps.State = $CurrentLine[2]
$HashProps.IdleTime = $CurrentLine[3]
$HashProps.LogonTime = $CurrentLine[4..6] -join " "
$HashProps.LogonTime = $CurrentLine[4..($CurrentLine.GetUpperBound(0))] -join " "
}
else {
$HashProps.SessionName = $CurrentLine[1]
$HashProps.Id = $CurrentLine[2]
$HashProps.State = $CurrentLine[3]
$HashProps.IdleTime = $CurrentLine[4]
$HashProps.LogonTime = $CurrentLine[5..($CurrentLine.GetUpperBound(0))] -join " "
}
New-Object -TypeName PSCustomObject -Property $HashProps |
Select-Object -Property UserName, ComputerName, SessionName, Id, State, IdleTime, LogonTime
}
}
$UserLogin = Read-Host -Prompt "Введите логин пользователя"
Write-Host "Поиск RDP-сессий пользователя на серверах..."
$SessionList = @()
ForEach ($Server in $Servers) {
$TargetSession = $null
Write-Host " Опрос сервера $Server"
Try {
$TargetSession = Get-LoggedOnUser -ComputerName $Server | Where-Object {$_.UserName -eq $UserLogin}
}
Catch {
Write-Host "Ошибка: " $Error[0].Exception.Message -ForegroundColor Red
Continue
}
If ($TargetSession) {
Write-Host " Найдена сессия с ID $($TargetSession.ID) на сервере $Server" -ForegroundColor Yellow
Write-Host " Что будем делать?"
Write-Host " 1 - подключиться к сессии"
Write-Host " 2 - завершить сессию"
Write-Host " 0 - ничего"
$Action = Read-Host -Prompt "Введите действие"
If ($Action -eq "1") {
Invoke-RDPShadowSession -ComputerName $Server -SessionID $TargetSession.ID
}
ElseIf ($Action -eq "2") {
Invoke-RDPSessionLogoff -ComputerName $Server -SessionID $TargetSession.ID
}
Break
}
Else {
Write-Host " сессий не найдено"
}
}
为了让PS脚本方便运行,我们以与PS脚本同名的cmd文件的形式为其创建一个shell:
RDS管理.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
我们将这两个文件放在“经理”可以访问的文件夹中,并要求他们重新登录。 现在,通过运行 cmd 文件,他们将能够在 RDS Shadow 模式下连接到其他用户的会话并强制他们注销(当用户无法独立终止“挂起”会话时,这可能很有用)。
它看起来像这样:
对于“经理”来说
对于用户
最后的一些评论
细微差别 1。 如果我们试图获得控制权的用户会话是在服务器上执行 Set-RDSPermissions.ps1 脚本之前启动的,那么“管理器”将收到访问错误。 这里的解决方案很明显:等待托管用户登录。
细微差别 2。 使用 RDP Shadow 几天后,我们注意到一个有趣的错误或功能:影子会话结束后,托盘中的语言栏对于正在连接的用户消失,要恢复它,用户需要重新-登录。 事实证明,我们并不孤单:
就这样。 祝您和您的服务员身体健康。 一如既往,我期待您在评论中提供反馈,并请您参加下面的简短调查。
来源
RDS Shadow – Windows Server 2016 / 2012 R2 中 RDP 用户会话的影子连接 Windows Server 2012 影子操作 – 将权限委派给非管理员 Get-LoggedOnUser 收集远程系统上登录用户的信息 如何启动 PowerShell PS1 脚本的最佳方法 将域用户添加到本地安全组 GPMC – 在 OU 中的所有计算机上强制进行 gpupdate
只有注册用户才能参与调查。
你用什么?
-
8,1%AMMYY 管理员5
-
17,7%任意桌面11
-
9,7%达姆瓦6
-
24,2%拉敏15
-
14,5%RDS Shadow9
-
1,6%快速协助/Windows 远程协助1
-
38,7%团队查看器24
-
32,3%VNC20
-
32,3%其他20
-
3,2%精简管理器2
62 位用户投票。 22 名用户弃权。
来源: habr.com