none
Remote Desktop Services Session Shadowing RRS feed

  • Вопрос

  • Доброго времени Уважаемые коллеги!
    Возникла необходимость удаленного управления сессией пользователей. Есть некоторые админы у которых нет прав на серверах RDS, но им надо управлять сессией пользователей удаленно в ДО и офисах. В WS 2008 R2 'это решалось просто добавление галочки "удаленное управление". В нынешней версии WS 2012 R2 я так понимаю такого уже нет, так как из статей написанных в блогах указано на то, что якобы MS вынес данные фичи из режима ядра в GUI. И теперь для того что бы предоставить право Shadowing группе пользователей не имеющих административных прав на серверах - например в коллекции RDS , необходимо добавить строчку 
    wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "domain\group",2
    Вопрос:
    Данную строчку нужно добавить на все узлы коллекции фермы ?

    К стати и с сертификатами такая же песня получается wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="e2f034c171b92afc96b23b7f4da15728c1e461a9"

    Я так понимаю MS пока не добавляет возможности сделать это один раз и на всю коллекцию ?

    Спасибо!

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

Ответы

  • Нашел скрипт здесь, который позволяет не использовать брокер и не использовать права локального админа на сервере, но столкнулся с другой проблемой.Обычный пользователь-кому делегированы права на управление удаленным сеансом не может запустить данный скрипт.

    Подскажите пожалуйста, есть ли возможность исполнить данный скрипт в контексте терминальной фермы для тех пользователей хелп-деска, кому делегированы права ?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    • Помечено в качестве ответа rеstless 24 мая 2016 г. 5:44

Все ответы

  • К сведению Windows Server 2012 R2 Remote Desktop – теперь две модели

    Сазонов Илья

    https://isazonov.wordpress.com/

    Cпасибо Илья, читаю иногда ваши статьи-очень познавательно. Но в данном случае по второй модели конечно удобно, но все по тем же сертификатам-приходится в ручную импортировать сертификаты на все RDSH вместо одного на RDCB и к тому же вручную через WMIC , или старую RD Managenent 2008 R2. GUI в WS 2012 R2 так и напрашивается поставить один сертификат и что бы он действовал на всю коллекцию сразу, но увы это не так. Либо по удаленному управлению, все то же самое. 

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Да, вдогонку хотел спросить - эти же самые пользователи-которым необходимо удаленно управлять сессией пользователей, но не имеющих прав администратора. Какие права, либо в какие группы надо минимально добавить юзера, что бы к примеру, он зашел в ферму, смог собрать себе коллекцию из серверов и брокера и подключиться к любому пользователю фермы для оказание помощи и управления сессией и не более ?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 17 мая 2016 г. 18:42
  • Цитата https://blogs.technet.microsoft.com/askperf/2013/10/22/windows-8-1-windows-server-2012-r2-rds-shadowing-is-back/

    There are a couple of key limitations that you should be aware of:

    • Only an administrator may shadow sessions. The ability to shadow sessions cannot be delegated to users that are not part of the administrators group.
    • Shadowing is not available in workgroup configurations.


    Сазонов Илья

    https://isazonov.wordpress.com/

    Модератор
  • Цитата https://blogs.technet.microsoft.com/askperf/2013/10/22/windows-8-1-windows-server-2012-r2-rds-shadowing-is-back/

    There are a couple of key limitations that you should be aware of:

    • Only an administrator may shadow sessions. The ability to shadow sessions cannot be delegated to users that are not part of the administrators group.
    • Shadowing is not available in workgroup configurations.


    Сазонов Илья

    https://isazonov.wordpress.com/

    Да я так понимаю официально MS говорит что простым смертным не доступно делегирование-интересно на чем основано такое утверждение ? Тогда то, что здесь это уже не официально ?



    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Офциальный источник это TechNet/MSDN Library.

    Блоги от MSFT это уже не так официально и доверия к ним меньше.

    А Вики это вообще публичный источник.

    Что касается приведенной вами ссылки, то я такую схему не проверял - попробуйте и напишите, как оно на практике.


    Сазонов Илья

    https://isazonov.wordpress.com/

    Модератор
  • Офциальный источник это TechNet/MSDN Library.

    Блоги от MSFT это уже не так официально и доверия к ним меньше.

    А Вики это вообще публичный источник.

    Что касается приведенной вами ссылки, то я такую схему не проверял - попробуйте и напишите, как оно на практике.


    Сазонов Илья

    https://isazonov.wordpress.com/

    Ок, проверю, только у меня остался один вопрос- какие права надо дать на целевых серверах -который собирются в коллекцию для того что бы увидеть всех пользователей коллекции ? А пока что при добавлении серверов в пул Server Manager пишет, что отказано в доступе и плюс еще говорит что посредника нету.Хотя от админа все прекрасно работает ...

    Есть такая группа на серверах RDSH (пользователи удаленного управления)-доступ к ресурсам инструментария WMI и вроде как после этого серверы добавляются в пул,но опять же коллекция не собирается ((


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 18 мая 2016 г. 10:14
  • Server Manager использует WS-Management для подключения. Кроме этого задействованы соответствующие вызовы WMI посредством Powershell.

    Сазонов Илья

    https://isazonov.wordpress.com/

    Модератор
  • вроде как почти собрал коллекцию, но все равно ошибка: "Пул серверов не соответствует находящимся в нем посредникам подключений" Не удается подключится не к одному из указанных серверов посредников подключений.

    что еще не хватает WS-Management ?


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Это Server Manager пишет? Тогда в его логах смотрите.

    Сазонов Илья

    https://isazonov.wordpress.com/

    Модератор
  • Да ничего особого не вижу. Причем это как бы обычный пользователь и везде все урезано в правах.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Примерно вот это:


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Server manager использует модуль RemoteDesktop - попробуйте ручками командлеты запускать и траблешутить.

    Сазонов Илья

    https://isazonov.wordpress.com/

    Модератор
  • Server manager использует модуль RemoteDesktop - попробуйте ручками командлеты запускать и траблешутить.

    Сазонов Илья

    https://isazonov.wordpress.com/

    Не понял немного- в шеле модуль RemoteDesktop, таи а что именно запускать то ?

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Так как нет однозначного ответа, перевожу тему в отдельный топик.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Вобчем после некоторого траблшутинга выяснилось, что в принципе для того что бы собрать серверы в пул, достаточно добавить необходимых юзеров в группу пользователи удаленного управления)-доступ к ресурсам инструментария WMI. Но для того что бы коллекция собралась необходимо больше прав на сервере посреднике. С локальным админом работает. Осталось выяснить какие минимум права необходимы и на какие объекты на сервере посреднике.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Похоже что действительно нехватка прав.Вопрос:возможно ли дать парва на данное пространство группе ?

     

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Может попробовать дать права через wmimgmt.msc ?

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Если сервер тестовый, что ж не попробовать :-)

    Сазонов Илья

    https://isazonov.wordpress.com/

    Модератор
  • Если сервер тестовый, что ж не попробовать :-)

    Сазонов Илья

    https://isazonov.wordpress.com/

    Пока да, но скоро в продакшен:-)

    Естественно это все выглядит на подобии изобретения велосипеда. По серьезному если MS не поддерживает Shadowing делегирование для обычного пользователя Именно через коллекцию, то и использовать остается удаленный помощник. 


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 19 мая 2016 г. 9:31
  • Вобчем и удаленный помощник тут так же не поможет. У нас ведь тонкие клиенты и вспе работают на удаленных рабочих столах, а msra можно использовать только для подключения к определенному айпи адресу или имя ПК.

    Вобщем дела паузу, так как средствами MS пока не получается пока предоставить нормальный интерфейс для удаленных сеансов пользователей...А только как сторонними прогами..

    Может будут у кого еще предложения- милости просим.

    Спасибо! Можете переводить в обсуждение...


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 20 мая 2016 г. 7:42
  • Удаленный помошник позволяет подключаться к терминальной сессии напрямую.

    Не очень удобно, но все же.


    Сазонов Илья

    https://isazonov.wordpress.com/

    Модератор
  • Удаленный помошник позволяет подключаться к терминальной сессии напрямую.

    Не очень удобно, но все же.


    Сазонов Илья

    https://isazonov.wordpress.com/

    А если не секрет каким образом , просто не разу не использовал его для сессий, а только как для персональных ПК польбзователей ?

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Я когда-то пробовал из консоли SCCM - это работало.

    Сазонов Илья

    https://isazonov.wordpress.com/

    Модератор
  • Ну это может быть в SCCM такая возможность была, но из кробки увы - даже нет такого а какую сессию подключится, только для айпишника и имени компа.... 

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Пускай даже будет из коммандной строки mstsc /shadow:ID, но для этого надо хоят бы получить ID не с текущего сервера а со всех серверов фермы+ исполнение коммандлета get-rdusersession дает такую ошибку:


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Нашел скрипт здесь, который позволяет не использовать брокер и не использовать права локального админа на сервере, но столкнулся с другой проблемой.Обычный пользователь-кому делегированы права на управление удаленным сеансом не может запустить данный скрипт.

    Подскажите пожалуйста, есть ли возможность исполнить данный скрипт в контексте терминальной фермы для тех пользователей хелп-деска, кому делегированы права ?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    • Помечено в качестве ответа rеstless 24 мая 2016 г. 5:44
  • Спасибо Илья за взаимодействие. Вобчем все получилось со скриптом и все прекрасно работает без админских прав -через данный скрипт.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!