Делегирование управления сессиями в RemoteApp 2012

9

Мы создали довольно большую среду RemoteApp на 2012 R2, полностью исправленную. Все работает нормально, так что теперь пришло время офшорных и делегировать задачи в первую линию команды.

Мы бы хотели, чтобы наши ребята из первой линии управляли сессиями. Если, например, сеанс зависнет (потеря соединения с профилем диска). Они должны быть в состоянии выйти из сессии.

Я попытался установить такие разрешения на всех серверах:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

Но безрезультатно, что они не могут открыть Диспетчер серверов> Службы удаленных рабочих столов, потому что они не могут подключиться к посредникам подключений к удаленному рабочему столу.

Если они откроют диспетчер задач и попытаются выйти из системы там, у них нет соответствующих прав. Этот вариант также не самый лучший, потому что он потребует, чтобы они заходили и просматривали каждый сервер, если пользователь вошел в систему (автоматическая балансировка нагрузки между несколькими серверами и регионами).

Итак, в основном: Как члены определенной группы могут отключить пользователей без предоставления им прав администратора на компьютере?

Вот как я это сделаю в 2008 году, но инструменты больше не доступны: https://technet.microsoft.com/en-us/library/cc753032.aspx

remote-desktop windows-server-2012-r2 remoteapp Барт Де Вос
источник
2
Я буду наблюдать за этим, поскольку мы никогда не могли понять это. Предоставление пользователям / группам разрешений на удаленное управление / выход из системы / сброс работает нормально для каждого сервера, но мы никогда не сможем получить их от брокера.
Пауска
Это может быть безумным грохотом. Не могли бы вы использовать что-то подобное? blogs.technet.com/b/askds/archive/2012/08/02/… и затем используйте get-rdusersession -connectionbroker, а затем используйте Invoke-RDUserLogoff, как только вы получите подробности из первой команды
Drifter104

Ответы:

0

Просто идея, которая требует больше работы:

Что если вы используете сценарий оболочки (power), запускаемый каждые n минут как запланированное задание с правами администратора, которому вы передаете (например, используя текстовый файл, помещенный в защищенную папку) пользователей для отключения?

Или, в более общем смысле, процесс, запущенный с повышенными привилегиями, с единственной целью отключения пользователей, который получает от пользователей отключение в качестве параметра И способ передачи выбранным параметром членам выбранной группы.

Сильвио Массина
источник
0

Итак, я действительно связал кого-то из MS с этим. Это был ответ, который они дали мне.

Привет, Барт. Наиболее вероятный способ поддержать этот сценарий - создать PowerShell на инструментах TS Cmdline и предоставить детальный доступ к сеансам выхода из системы и т. Д. С использованием WMI.

  1. Конкретный список инструментов Cmdline, которые можно использовать - см. Здесь: • https://technet.microsoft.com/en-us/library/cc753032.aspx
  2. Сведения об использовании WMI для предоставления разрешений см. Здесь: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx.

Так что, в принципе, это невозможно, запустить свой собственный.

Если я когда-нибудь доберусь до конца, я обновлю здесь.

Барт Де Вос
источник