Làm cách nào tôi có thể đảm bảo rằng người dùng đăng xuất khỏi các phiên Remote Desktop thay vì chỉ đóng cửa sổ RDP?

19

Chúng tôi có một loạt các máy chủ mà các kỹ sư của chúng tôi điều khiển từ xa, nhưng mỗi máy chủ có hai giới hạn kết nối. Chúng tôi thường sẽ cố gắng RDP vào các hộp này và chúng tôi sẽ thấy thông báo "Máy này đã vượt quá số lượng kết nối tối đa".

Đó là một nỗi đau lớn vì chúng tôi đã gửi một số tin nhắn email cho những người dùng này và họ không bao giờ nhận được điểm.

Tôi biết cách kết nối với bảng điều khiển gốc và khởi động mọi người, nhưng tôi không muốn làm điều đó. Tôi cũng biết rằng có nhiều cách để khởi động các phiên không hoạt động sau một khoảng thời gian và tôi cũng không muốn làm điều đó.

Tôi muốn buộc người dùng biết rằng họ cần phải đăng xuất. Điều này không xảy ra nếu bạn đăng xuất chúng theo cách thủ công (cộng với việc đăng xuất chúng theo cách thủ công là một nỗi đau). Nếu bạn chỉ đăng xuất chúng theo cách thủ công, các kỹ sư này sẽ không nghĩ hai lần về việc duy trì kết nối trong phiên RDP vì nó thuận tiện cho họ.

Tôi muốn một số hệ thống thông báo nơi người dùng không thông báo được thông báo qua email hoặc tin nhắn NET SEND rằng tài khoản của họ đang bị ngắt kết nối với máy. Bằng cách đó, họ sẽ nhận ra rằng họ đang làm sai điều gì đó. Thậm chí tốt hơn, nếu họ vi phạm nhiều lần, tôi muốn tài khoản của họ bị khóa cho đến khi quản trị viên hệ thống mở khóa.

Có cách nào để đạt được mục tiêu có người dùng đăng xuất thủ công không? Tất cả các đề xuất đều được chào đón.

remote-desktop  windows-server-2008  windows-server-2008-r2 
JackAce
nguồn
Cách thực tế tốt nhất tôi có thể nghĩ đến là những gì bạn đang làm. Gửi tất cả cho họ nhưng thêm 'người dùng A và người dùng B đang tích cực làm việc trên máy này tại thời điểm này. Hai bạn có thể sử dụng thư khi bạn hoàn thành và đăng xuất không? '. Mục tiêu: Có, bạn đang chờ đợi. Đây là những người quên đăng xuất, đi khiếu nại với họ. Ngoài ra, nếu bạn cần nhiều người dùng hơn thì có một giải pháp: Máy chủ đầu cuối. Theo như tôi biết điều đó có nghĩa là trả tiền cho một giấy phép và thay đổi một DLL.
Hennes

Câu trả lời:

15

Bạn có thể sử dụng các công cụ Cấu hình máy chủ phiên máy tính từ xa hoặc Chính sách nhóm (tốt hơn) để xác định các quy tắc xung quanh việc ngắt kết nối RDP.

Nếu bạn sử dụng Chính sách nhóm và OU, bạn sẽ có thể cho phép một số người dùng ở trạng thái "ngắt kết nối" và buộc những người khác đăng xuất sau khi ngắt kết nối.

Cụ thể kiểm tra các chi nhánh chính sách:

  • Cấu hình máy tính \ Chính sách \ Mẫu quản trị \ Cấu phần Windows \ Dịch vụ máy tính từ xa \ Máy chủ phiên máy tính từ xa \ Giới hạn thời gian phiên
  • Cấu hình người dùng \ Chính sách \ Mẫu quản trị \ Cấu phần Windows \ Dịch vụ máy tính từ xa \ Máy chủ phiên máy tính từ xa \ Giới hạn thời gian phiên

Và các chính sách như sau:

Kết thúc phiên bị ngắt kết nối

Chỉ định lượng thời gian tối đa mà phiên người dùng bị ngắt kết nối được duy trì hoạt động trên máy chủ Máy chủ phiên RD. Nếu bạn chỉ định "Không bao giờ", phiên bị ngắt kết nối của người dùng sẽ được duy trì trong một thời gian không giới hạn.

Khi phiên ở trạng thái ngắt kết nối, các chương trình đang chạy được duy trì hoạt động ngay cả khi người dùng không còn kết nối tích cực.

.

Khi đạt đến giới hạn phiên hoặc kết nối bị hỏng

Chỉ định xem ngắt kết nối hoặc kết thúc phiên Dịch vụ máy tính từ xa của người dùng khi đạt đến giới hạn phiên hoạt động hoặc giới hạn phiên nhàn rỗi.

Nếu phiên của người dùng bị ngắt kết nối, các chương trình mà người dùng đang chạy sẽ được duy trì hoạt động ngay cả khi người dùng không còn kết nối tích cực.

Nếu phiên của người dùng kết thúc, người dùng sẽ cần thiết lập phiên Dịch vụ máy tính từ xa mới với máy chủ lưu trữ phiên RD.

Để biết thêm thông tin, hãy xem trang này từ MS về các chính sách ngắt kết nối RDP.

Ƭᴇcʜιᴇ007
nguồn
Cũng được thảo luận trên ServerFault: serverfault.com/questions/301640/ từ
1

Đối với một hệ thống thông báo, tôi đoán bạn sẽ phải phát triển nó, sử dụng các API như WTSEnum CảSession .

Điều này có nghĩa là phát triển một cái gì đó giống như dịch vụ windows sẽ truy vấn máy chủ của bạn thường xuyên để tìm kiếm các phiên bị ngắt kết nối và làm những gì bạn muốn với chúng.

Điều này có thể khiến bạn mất rất nhiều ngày làm việc để làm cho đúng.

Mặt khác, tôi đề nghị một cách tiếp cận khác cho rắc rối này:

  • Thiết lập hai nhóm người dùng rdp trên các máy chủ: nói TrustedDisconnector và UntrustyDisconnector.
  • Thiết lập chính sách cho UntrustyDisconnector, khiến cho phiên của họ bị đăng xuất khi hết thời gian ngắt kết nối.
  • Truyền đạt về sự thay đổi đó. Xác định rằng các kỹ sư thường không ngắt kết nối đúng cách mà không có lý do hợp lệ sẽ không được phép ngắt kết nối mà không bị đăng xuất.
Frédéric
nguồn
0

Không chắc chắn điều này sẽ giúp được bao nhiêu, nhưng thay vào đó, đáng để xem qua việc sử dụng trình xem VNC . Nó có thể được thiết lập để đăng xuất khi người xem cuối cùng bị ngắt kết nối.

Sau đó, bạn có thể buộc người dùng sử dụng VNC bằng cách chặn cổng RDP trên máy.

greg84
nguồn
1
Không phải VNC chỉ cho phép một kết nối sao? Điều đó có thể làm cho vấn đề tồi tệ hơn (cố gắng đăng nhập khi ai đó đã đăng nhập). Cộng với VNC khiến tôi lo lắng vì ai đó có thể đang đứng trước máy bạn đang điều khiển xem mọi thứ bạn gõ mà bạn không bao giờ biết.
JackAce
1
Ngoài ra, có những lúc bạn muốn ngắt kết nối một cách hợp pháp và để một số hoạt động tiếp tục chạy. Có những lúc tôi muốn ngắt kết nối khi tôi nghỉ làm và sau đó kết nối lại từ nhà.
JackAce
Hãy cẩn thận với VNC ... nếu bạn đang sử dụng mã hóa đối xứng (còn gọi là mật khẩu duy nhất cho tất cả người dùng), có thể dễ dàng giải mã: raymond.cc/blog/crack-or-decrypt-vnc-server-encrypted-password
Mick
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.