在我工作的單位,原則上禁止遠程辦公。 曾是。 直到上週。 現在我必須緊急實施解決方案。 從業務 - 流程調整到新的工作格式,來自我們 - PKI,帶有密碼和令牌、VPN、詳細日誌記錄等等。
除此之外,我還參與了遠程桌面基礎設施(又名終端服務)的設置。 我們在不同的數據中心部署了多個 RDS。 目標之一是讓相關 IT 部門的同事能夠以交互方式連接到用戶會話。 如您所知,為此有一個常規的 RDS Shadow 機制,最簡單的委託方法是授予 RDS 服務器上的本地管理員權限。
我尊重並欣賞我的同事,但我非常渴望分配管理權限。 🙂 那些同意我的,請下貓。
好吧,任務很明確,現在就開始吧。
步驟1
在 Active Directory 中創建安全組 RDP_操作員 並將我們想要授予權限的用戶的帳戶包含在其中:
$Users = @(
"UserLogin1",
"UserLogin2",
"UserLogin3"
)
$Group = "RDP_Operators"
New-ADGroup -Name $Group -GroupCategory Security -GroupScope DomainLocal
Add-ADGroupMember -Identity $Group -Members $Users
如果您有多個 AD 站點,則在繼續下一步之前,您需要等待它複製到所有域控制器。 這通常需要不超過 15 分鐘。
步驟2
讓我們授予該組管理每個 RDSH 服務器上的終端會話的權限:
設置-RDSPermissions.ps1
$Group = "RDP_Operators"
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
ForEach ($Server in $Servers) {
#Делегируем право на теневые сессии
$WMIHandles = Get-WmiObject `
-Class "Win32_TSPermissionsSetting" `
-Namespace "rootCIMV2terminalservices" `
-ComputerName $Server `
-Authentication PacketPrivacy `
-Impersonation Impersonate
ForEach($WMIHandle in $WMIHandles)
{
If ($WMIHandle.TerminalName -eq "RDP-Tcp")
{
$retVal = $WMIHandle.AddAccount($Group, 2)
$opstatus = "успешно"
If ($retVal.ReturnValue -ne 0) {
$opstatus = "ошибка"
}
Write-Host ("Делегирование прав на теневое подключение группе " +
$Group + " на сервере " + $Server + ": " + $opstatus + "`r`n")
}
}
}
步驟3
將組添加到本地組 遠程桌面用戶 在每個 RDSH 服務器上。 如果您的服務器被組合成會話集合,那麼我們在集合級別執行此操作:
$Group = "RDP_Operators"
$CollectionName = "MyRDSCollection"
[String[]]$CurrentCollectionGroups = @(Get-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup).UserGroup
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup ($CurrentCollectionGroups + $Group)
對於單個服務器,請使用
步驟4
讓我們為“經理”準備以下 PS 腳本:
RDS管理.ps1
$Servers = @(
"RDSHost01",
"RDSHost02",
"RDSHost03"
)
function Invoke-RDPSessionLogoff {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
logoff $SessionID /server:$ComputerName /v 2>&1
}
function Invoke-RDPShadowSession {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName,
[parameter(Mandatory=$true, Position=1)][String]$SessionID
)
$ErrorActionPreference = "Stop"
mstsc /shadow:$SessionID /v:$ComputerName /control 2>&1
}
Function Get-LoggedOnUser {
Param(
[parameter(Mandatory=$True, Position=0)][String]$ComputerName="localhost"
)
$ErrorActionPreference = "Stop"
Test-Connection $ComputerName -Count 1 | Out-Null
quser /server:$ComputerName 2>&1 | Select-Object -Skip 1 | ForEach-Object {
$CurrentLine = $_.Trim() -Replace "s+"," " -Split "s"
$HashProps = @{
UserName = $CurrentLine[0]
ComputerName = $ComputerName
}
If ($CurrentLine[2] -eq "Disc") {
$HashProps.SessionName = $null
$HashProps.Id = $CurrentLine[1]
$HashProps.State = $CurrentLine[2]
$HashProps.IdleTime = $CurrentLine[3]
$HashProps.LogonTime = $CurrentLine[4..6] -join " "
$HashProps.LogonTime = $CurrentLine[4..($CurrentLine.GetUpperBound(0))] -join " "
}
else {
$HashProps.SessionName = $CurrentLine[1]
$HashProps.Id = $CurrentLine[2]
$HashProps.State = $CurrentLine[3]
$HashProps.IdleTime = $CurrentLine[4]
$HashProps.LogonTime = $CurrentLine[5..($CurrentLine.GetUpperBound(0))] -join " "
}
New-Object -TypeName PSCustomObject -Property $HashProps |
Select-Object -Property UserName, ComputerName, SessionName, Id, State, IdleTime, LogonTime
}
}
$UserLogin = Read-Host -Prompt "Введите логин пользователя"
Write-Host "Поиск RDP-сессий пользователя на серверах..."
$SessionList = @()
ForEach ($Server in $Servers) {
$TargetSession = $null
Write-Host " Опрос сервера $Server"
Try {
$TargetSession = Get-LoggedOnUser -ComputerName $Server | Where-Object {$_.UserName -eq $UserLogin}
}
Catch {
Write-Host "Ошибка: " $Error[0].Exception.Message -ForegroundColor Red
Continue
}
If ($TargetSession) {
Write-Host " Найдена сессия с ID $($TargetSession.ID) на сервере $Server" -ForegroundColor Yellow
Write-Host " Что будем делать?"
Write-Host " 1 - подключиться к сессии"
Write-Host " 2 - завершить сессию"
Write-Host " 0 - ничего"
$Action = Read-Host -Prompt "Введите действие"
If ($Action -eq "1") {
Invoke-RDPShadowSession -ComputerName $Server -SessionID $TargetSession.ID
}
ElseIf ($Action -eq "2") {
Invoke-RDPSessionLogoff -ComputerName $Server -SessionID $TargetSession.ID
}
Break
}
Else {
Write-Host " сессий не найдено"
}
}
為了方便運行PS腳本,我們將其以與PS腳本同名的cmd文件的形式為其製作一個shell:
RDS管理.cmd
@ECHO OFF
powershell -NoLogo -ExecutionPolicy Bypass -File "%~d0%~p0%~n0.ps1" %*
我們將這兩個文件放在“管理員”可以使用的文件夾中,並要求他們重新登錄。 現在,通過運行 cmd 文件,他們將能夠在 RDS Shadow 模式下連接到其他用戶的會話並強制他們註銷(當用戶無法自行結束“掛起”會話時,這很有用)。
它看起來像這樣:
對於“經理”
對於用戶
最後幾句話
細微差別 1。 如果我們嘗試獲取控制權的用戶會話是在服務器上執行 Set-RDSPermissions.ps1 腳本之前啟動的,則“管理器”將收到訪問錯誤。 這裡的解決方案很明顯:等待託管用戶重新登錄。
細微差別 2。 使用 RDP Shadow 幾天后,他們注意到一個有趣的錯誤或功能:在影子會話結束後,他們連接的用戶會消失托盤中的語言欄,並且為了返回它,用戶需要重新登錄。 事實證明,我們並不孤單:
就這樣。 祝您和您的服務器健康。 一如既往,我期待您在評論中提供反饋,並請您在下面進行一項簡短的調查。
來源
RDS Shadow - Windows Server 2016 / 2012 R2 中 RDP 用戶會話的影子連接 Windows Server 2012 影子操作 - 將權限委派給非管理員 Get-LoggedOnUser 收集遠程系統上登錄用戶的信息 如何啟動 PowerShell PS1 腳本的最佳方法 將域用戶添加到本地安全組 GPMC – 在 OU 中的所有計算機上強制進行 gpupdate
只有註冊用戶才能參與調查。
你用什麼?
-
企業排放佔全球 8,1%AMMYY 管理員5
-
企業排放佔全球 17,7%任意桌面11
-
企業排放佔全球 9,7%達姆瓦6
-
企業排放佔全球 24,2%拉敏15
-
企業排放佔全球 14,5%RDS Shadow9
-
企業排放佔全球 1,6%快速協助/Windows 遠程協助1
-
企業排放佔全球 38,7%團隊查看器24
-
企業排放佔全球 32,3%VNC20
-
企業排放佔全球 32,3%其他20
-
企業排放佔全球 3,2%精簡管理器2
62 位用戶投票。 22 名用戶棄權。
來源: www.habr.com