Delegowanie zarządzania sesjami na RemoteApp 2012

9

Zbudowaliśmy dość duże środowisko RemoteApp na 2012 R2, w pełni załatane. Wszystko działa dobrze, więc teraz nadszedł czas na offshore i przekazanie zadań zespołowi pierwszej linii.

Chcielibyśmy, aby nasi faceci z pierwszej linii zarządzali sesjami. Jeśli na przykład sesja się zawiesi (utracone połączenie z dyskiem profilu). Powinny być w stanie wylogować się z sesji.

Próbowałem ustawić takie uprawnienia na wszystkich serwerach:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

Ale bezskutecznie nie mogą otworzyć Menedżera serwera> Usługi pulpitu zdalnego, ponieważ nie mogą połączyć się z Brokerami połączeń usług pulpitu zdalnego.

Jeśli otworzą menedżera zadań i spróbują się tam wylogować, nie będą mieli odpowiednich uprawnień. Ta opcja również nie jest najlepsza, ponieważ wymagałaby od nich przejścia i sprawdzenia na każdym serwerze, jeśli użytkownik jest tam zalogowany (automatyczne ładowanie zrównoważone na wielu serwerach i regionach).

Tak więc w zasadzie: w jaki sposób członkowie pewnej grupy mogą się wylogować, nie dając im uprawnień administratora na komputerze?

Tak zrobiłbym to w 2008 roku, ale narzędzia nie są już dostępne: https://technet.microsoft.com/en-us/library/cc753032.aspx

Bart De Vos
źródło
2
Będę to oglądać, ponieważ nigdy nie mogliśmy tego rozgryźć. Nadanie użytkownikom / grupom uprawnień do zdalnego sterowania / wylogowania / resetowania działa dobrze w odniesieniu do poszczególnych serwerów, ale nigdy nie moglibyśmy zmusić ich do pobrania od brokera.
pauska
To mogą być szalone pomruki. Czy możesz użyć czegoś takiego? blogs.technet.com/b/askds/archive/2012/08/02/…, a następnie użyj get-rdusersession -connectionbroker, a następnie użyj Invoke-RDUserLogoff, gdy uzyskasz szczegółowe informacje z pierwszego polecenia
Drifter104

Odpowiedzi:

0

Pomysł, który wymaga więcej pracy:

Co się stanie, jeśli użyjesz (zaawansowanego) skryptu powłoki, uruchamianego co n minut jako zaplanowane zadanie z uprawnieniami administratora, do którego przekazujesz (na przykład za pomocą pliku tekstowego umieszczonego w chronionym folderze) użytkownikom, którzy mają się rozłączyć?

Lub, bardziej ogólnie, proces uruchamiany z podwyższonymi uprawnieniami, którego jedynym celem jest wylogowanie użytkowników, co powoduje, że użytkownicy rozłączają się jako parametr ORAZ sposób, w jaki członkowie wybranej grupy mogą przekazać te parametry.

Silvio Massina
źródło
0

Tak więc, naprawdę zaangażowałem w to kogoś ze stwardnienia rozsianego. To była odpowiedź, którą mi dali.

Cześć Bart - najbardziej prawdopodobnym sposobem wsparcia tego scenariusza jest zbudowanie programu PowerShell za pomocą narzędzi TS Cmdline i zapewnienie drobnego dostępu do sesji wylogowywania itp. Za pomocą WMI.

  1. Szczegółowa lista narzędzi Cmdline, których można użyć - patrz tutaj: • https://technet.microsoft.com/en-us/library/cc753032.aspx
  2. Aby użyć WMI do przyznawania persmisji, zobacz tutaj: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx

Więc w zasadzie nie jest możliwe, uruchom własne.

Jeśli kiedykolwiek to ukończę, zaktualizuję tutaj.

Bart De Vos
źródło