none
Win2008 + TS Session Broker RRS feed

  • Вопрос

  • Приветствую всех!

    Прошу помощи в решении одной не простой задачи, дело обстоит в следующем:

                    Есть ферма терминальных серверов с ОС Windows 2008 SP2 x86 состоящая из 10 штук, на которых развернуто очень важная программа. Данные сервера организованы в Windows NLB кластер. Для того, что бы распределить сессии между терминальными серверами и запретить пользователям открывать сессию напрямую к участнику NLB, был установлена роль TS Session Broker. Но с появлением TS Session Broker появились проблемы в работе бизнес-процесса, который долгое время используется и обойти его никак нельзя.

    Есть необходимость в следующем:

      •       Запретить пользователям подключаться напрямую к участникам NLB, только по его общему имени, ЗА ИСКЛЮЧЕНИЕМ группы ответственных сотрудников не имеющих прав локального администратора ( mstsc /admin требует прав администратора );
      •       Необходимо средство подключения к сессиям пользователей с различных терминальных серверов для технической поддержки, так же не имея прав локально администратора. В TS есть средство просмотра клиентских сессий, но для того что бы получить доступ к сессии пользователя, нужно подключиться к тому же терминалу, что не позволяет TS Session Broker;

    Если кто-нибудь сталкивался, то прошу помочь советом или порекомендовать альтернативу компоненту TS Session Broker.

    Заранее спасибо!




    • Изменено Nikolay_KZ 8 октября 2012 г. 5:13
    8 октября 2012 г. 5:11

Ответы

  • Спасибо за активное участие, не знаю с чего же начать, столько ответов.

     

    Решил вопрос самостоятельно.

    В Windows есть набор WMI классов для работы со службой Terminal Sessions. Находятся они в Namespace - root\CIMV2\TerminalServices.

     

    Более детально их описание можно посмотреть в библиотеке MSDN по ссылке http://msdn.microsoft.com/en-us/library/windows/desktop/aa383477(v=vs.85).aspx

     

    Для предоставления прав доступа к команде MSTSC /ADMIN или MSTSC /CONSOLE, необходимо добавить соответствующее разрешение для CONSOLE режима. Делается это при помощи метода «AddAccount» класса «Win32_TSPermissionsSetting».

    Можно следующим образом через PowerShell:

     

    $TSPerm = Get-WmiObject -Namespace 'root\CIMV2\TerminalServices' –Class Win32_TSPermissionsSetting -Filter "TerminalName='console'"

    $TSPerm.AddAccount('DOMAIN\GROUPNAME',2)

    Описание параметров можно посмотреть по ссылке выше!

     

    После этих манипуляций группа указанная здесь, будет иметь права на подключение через ключ /Admin без прав локального администратора.

     

    Для просмотра текущих прав, можно использовать класс Win32_TSAccount.

     

    !Внимание: Данное подключение на серверной ОС поддерживает только 2 интерактивных подключения. Но все же во многих случаях спасает.

     

    ---------

     

    По поводу подключения к сессии пользователя можно использовать стандартную возможность подключения через диспетчер подключений.  Предварительно этой группе нужно выделить права на удаленное управление на терминальном сервере.

    • Помечено в качестве ответа Nikolay_KZ 22 октября 2012 г. 7:46
    22 октября 2012 г. 7:46