Zbudowaliśmy dość duże środowisko RemoteApp na 2012 R2, w pełni załatane. Wszystko działa dobrze, więc teraz nadszedł czas na offshore i przekazanie zadań zespołowi pierwszej linii.
Chcielibyśmy, aby nasi faceci z pierwszej linii zarządzali sesjami. Jeśli na przykład sesja się zawiesi (utracone połączenie z dyskiem profilu). Powinny być w stanie wylogować się z sesji.
Próbowałem ustawić takie uprawnienia na wszystkich serwerach:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
Ale bezskutecznie nie mogą otworzyć Menedżera serwera> Usługi pulpitu zdalnego, ponieważ nie mogą połączyć się z Brokerami połączeń usług pulpitu zdalnego.
Jeśli otworzą menedżera zadań i spróbują się tam wylogować, nie będą mieli odpowiednich uprawnień. Ta opcja również nie jest najlepsza, ponieważ wymagałaby od nich przejścia i sprawdzenia na każdym serwerze, jeśli użytkownik jest tam zalogowany (automatyczne ładowanie zrównoważone na wielu serwerach i regionach).
Tak więc w zasadzie: w jaki sposób członkowie pewnej grupy mogą się wylogować, nie dając im uprawnień administratora na komputerze?
Tak zrobiłbym to w 2008 roku, ale narzędzia nie są już dostępne: https://technet.microsoft.com/en-us/library/cc753032.aspx
źródło
Odpowiedzi:
Pomysł, który wymaga więcej pracy:
Co się stanie, jeśli użyjesz (zaawansowanego) skryptu powłoki, uruchamianego co n minut jako zaplanowane zadanie z uprawnieniami administratora, do którego przekazujesz (na przykład za pomocą pliku tekstowego umieszczonego w chronionym folderze) użytkownikom, którzy mają się rozłączyć?
Lub, bardziej ogólnie, proces uruchamiany z podwyższonymi uprawnieniami, którego jedynym celem jest wylogowanie użytkowników, co powoduje, że użytkownicy rozłączają się jako parametr ORAZ sposób, w jaki członkowie wybranej grupy mogą przekazać te parametry.
źródło
Tak więc, naprawdę zaangażowałem w to kogoś ze stwardnienia rozsianego. To była odpowiedź, którą mi dali.
Więc w zasadzie nie jest możliwe, uruchom własne.
Jeśli kiedykolwiek to ukończę, zaktualizuję tutaj.
źródło