Как я могу убедиться, что пользователи выходят из сеансов удаленного рабочего стола, а не просто закрывают окно RDP?

19

У нас есть несколько серверов, к которым наши инженеры подключаются к удаленному рабочему столу, но каждый сервер имеет ограничение на два соединения. Мы часто будем пытаться выполнить RDP в эти окна и увидим сообщение «На этой машине превышено максимальное количество соединений».

Это большая боль, потому что мы разослали несколько электронных писем этим пользователям, и они так и не поняли.

Я знаю, как подключиться к корневой консоли и загрузить людей, но я бы предпочел этого не делать. Я также знаю, что есть способы загрузки неактивных сеансов через некоторое время, и я тоже не хочу этого делать.

Я хочу заставить пользователей узнать, что им нужно выйти из системы. Этого не произойдет, если вы выйдете из системы вручную (плюс, если вы выйдете из системы вручную, это будет проблемой). Если вы просто отключите их вручную, эти инженеры не будут дважды думать о том, чтобы оставаться на связи в сеансе RDP, потому что это удобно для них.

Я бы предпочел некоторую систему уведомлений, в которой невнимательный пользователь получает уведомление по электронной почте или через NET SEND, что его учетная запись отключена от компьютера. Таким образом, они поймут, что делают что-то не так. Еще лучше, если они нарушают несколько раз, я хотел бы, чтобы их учетная запись была заблокирована, пока системный администратор не разблокирует ее.

Есть ли способ достичь цели, чтобы пользователи выходили из системы вручную? Все предложения приветствуются.

JackAce
источник
Лучший практический способ, который я могу придумать, это то, что вы уже делаете. Отправьте их по почте, но добавьте, что пользователь A и пользователь B в настоящее время активно работают на этом компьютере. Может ли кто-нибудь из вас использовать почту, когда вы закончили и вышли из системы? Цель: да, вы ждете. Это люди, которые забыли выйти из системы, иди им жаловаться. Кроме того, если вам регулярно требуется больше пользователей, есть решение: сервер терминалов. Насколько я знаю, это означает оплату лицензии и замену одной DLL.
Хенн

Ответы:

15

Вы можете использовать инструменты настройки узла сеансов удаленных рабочих столов или (лучше) групповые политики для определения правил, связанных с разъединениями RDP.

Если вы используете групповую политику и подразделения, вы сможете позволить некоторым пользователям оставаться «отключенными» и заставлять других выходить из системы после отключения.

В частности, проверьте эти разделы политики:

  • Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленного рабочего стола \ Узел сеансов удаленных рабочих столов \ Ограничения времени сеансов
  • Конфигурация пользователя \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \ Ограничения по времени сеансов

И такие политики:

Завершить отключенный сеанс

Укажите максимальное время, в течение которого отключенный пользовательский сеанс остается активным на сервере Узел сеансов удаленных рабочих столов. Если вы укажете «Никогда», отключенный сеанс пользователя будет поддерживаться неограниченное время.

Когда сеанс находится в отключенном состоянии, запущенные программы остаются активными, даже если пользователь больше не подключен активно.

,

Когда лимит сеанса достигнут или соединение разорвано

Укажите, следует ли отключать или завершать сеанс служб удаленных рабочих столов пользователя, когда достигается предел активного или незанятого сеанса.

Если сеанс пользователя отключен, программы, которые запускает пользователь, остаются активными, даже если пользователь больше не подключен активно.

Если сеанс пользователя завершен, ему нужно будет установить новый сеанс служб удаленных рабочих столов с сервером узла сеансов удаленных рабочих столов.

Для получения дополнительной информации, проверьте эту страницу от MS о политиках отключения RDP.

Ƭᴇcʜιᴇ007
источник
Также обсуждается на ServerFault: serverfault.com/questions/301640/…
1

Для системы уведомлений, я думаю, вам придется разработать ее, используя такие API, как WTSEnumerateSession .

Это означает разработку чего-то вроде службы Windows, которая будет регулярно запрашивать ваши серверы, чтобы охотиться на отключенные сеансы и делать с ними то, что вы хотите.

Это может занять несколько дней работы, чтобы сделать это правильно.

В противном случае я предлагаю другой подход к этой проблеме:

  • Настройте две группы пользователей rdp на серверах: скажем, TrustedDisconnectors и UntrustedDisconnectors.
  • Настройте политику для UntrustedDisconnectors, в результате чего их сеанс выйдет из системы по несколько короткому таймауту отключения.
  • Сообщите об этом изменении. Заявления о том, что инженеры часто не могут правильно отключиться без уважительных причин, больше не смогут отключаться без выхода из системы.
Фредерик
источник
0

Не уверен, насколько это поможет, но стоит взглянуть на использование VNC Viewer . Можно настроить выход из системы после отключения последнего зрителя.

Затем вы можете заставить пользователей использовать VNC, заблокировав порт RDP на машине.

greg84
источник
1
Разве VNC не позволяет только одно соединение? Это может усугубить ситуацию (пытаясь войти, когда кто-то уже вошел в систему). Плюс VNC заставляет меня нервничать, потому что кто-то может стоять перед машиной, которой вы управляете, и смотреть все, что вы печатаете, даже не подозревая об этом.
JackAce
1
Плюс бывают случаи, когда вы на законных основаниях хотите отключиться и позволить какой-то операции продолжить работу. Временами я хочу отключиться, когда ухожу с работы, а затем снова подключаюсь из дома.
JackAce
Будьте осторожны с VNC ... если вы используете симметричное шифрование (иначе говоря,
Mick