Quản lý phiên đại biểu trên RemoteApp 2012

9

Chúng tôi đã xây dựng một môi trường RemoteApp khá lớn trên 2012 R2, được vá đầy đủ. Mọi thứ đang hoạt động tốt, vì vậy bây giờ là thời gian để ra nước ngoài và giao nhiệm vụ cho đội đầu tiên.

Chúng tôi muốn có thể có những người đầu tiên quản lý các phiên. Ví dụ, nếu một phiên sẽ bị treo (mất kết nối với ổ đĩa hồ sơ). Họ sẽ có thể đăng xuất phiên.

Tôi đã thử thiết lập quyền như thế này trên tất cả các máy chủ:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

Nhưng vô ích, họ không thể mở Trình quản lý máy chủ> Dịch vụ máy tính từ xa, vì họ không thể kết nối với Nhà môi giới kết nối RD.

Nếu họ mở trình quản lý tác vụ và thử đăng xuất người dùng ở đó, họ không có quyền thích hợp. Tùy chọn này cũng không phải là tốt nhất vì nó sẽ yêu cầu họ đi và xem trên mỗi máy chủ nếu người dùng đăng nhập vào đó (tự động tải cân bằng trên nhiều máy chủ và khu vực).

Vì vậy, về cơ bản: Làm thế nào các thành viên của một nhóm nhất định có thể đăng xuất người dùng mà không cấp cho họ quyền quản trị viên trên máy?

Đây là cách tôi sẽ thực hiện vào năm 2008, nhưng các công cụ không còn khả dụng: https://technet.microsoft.com/en-us/l Library / cc753032.aspx

remote-desktop  windows-server-2012-r2  remoteapp 
Bart De Vos
nguồn
2
Tôi sẽ xem cái này vì chúng tôi không bao giờ có thể hiểu được. Việc cấp quyền cho người dùng / nhóm cho điều khiển từ xa / đăng xuất / đặt lại hoạt động tốt trên cơ sở từng máy chủ, nhưng chúng tôi không bao giờ có thể lấy chúng từ nhà môi giới.
pauseka
Đây có thể là những tin đồn điên rồ, Bạn có thể sử dụng một cái gì đó dọc theo những dòng này? blogs.technet.com/b/askds/archive/2012/08/02/... và sau đó sử dụng -connectionbroker get-rdusersession và sau đó sử dụng Invoke-RDUserLogoff một khi bạn có các chi tiết từ lệnh đầu tiên
Drifter104

Câu trả lời:

0

Chỉ là một ý tưởng cần nhiều công việc hơn:

Điều gì sẽ xảy ra nếu bạn sử dụng tập lệnh shell (power), chạy mỗi n phút như một tác vụ theo lịch với các đặc quyền quản trị viên, mà bạn chuyển qua (ví dụ: sử dụng tệp văn bản được đặt trong thư mục được bảo vệ) để người dùng ngắt kết nối?

Hay nói chung, một quy trình, được chạy với các đặc quyền nâng cao, với mục đích duy nhất là đăng xuất người dùng, nhận người dùng ngắt kết nối dưới dạng tham số VÀ một cách để các thành viên của nhóm được chọn vượt qua tham số đó.

Silvio Massina
nguồn
0

Vì vậy, tôi thực sự có ai đó từ MS tham gia vào việc này. Đây là phản hồi mà họ đã cho tôi.

Xin chào Bart - cách khả thi nhất để hỗ trợ cho kịch bản này là xây dựng quyền hạn trên các công cụ TS Cmdline và cung cấp quyền truy cập chi tiết để đăng xuất các phiên, v.v ... bằng WMI.

  1. Để biết danh sách cụ thể các công cụ Cmdline có thể được sử dụng - xem tại đây: • https://technet.microsoft.com/en-us/l Library / cc753032.aspx
  2. Để sử dụng WMI để cấp các bản thuyết phục, hãy xem tại đây: https://msdn.microsoft.com/en-us/l Library / aa383773 (v = vs85) .aspx

Vì vậy, về cơ bản, nó là không thể, chạy của riêng bạn.

Nếu tôi có thể hoàn thành việc này, tôi sẽ cập nhật tại đây.

Bart De Vos
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.