Delegare la gestione delle sessioni su RemoteApp 2012

9

Abbiamo creato un ambiente RemoteApp piuttosto grande su 2012 R2, completamente patchato. Tutto funziona bene, quindi ora arriva il momento di offshore e delegare compiti al team di prima linea.

Vorremmo essere in grado di far gestire le sessioni ai nostri ragazzi di prima linea. Se, ad esempio, una sessione si bloccasse (perdita di connessione all'unità del profilo). Dovrebbero essere in grado di disconnettersi dalla sessione.

Ho provato a impostare autorizzazioni come questa su tutti i server:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

Ma invano, non possono aprire Server Manager> Servizi Desktop remoto, perché non possono connettersi ai broker di connessione RD.

Se aprono il task manager e provano a disconnettersi dagli utenti lì, non hanno i diritti appropriati. Questa opzione non è la migliore perché richiederebbe loro di andare a cercare su ciascun server se l'utente è connesso lì (carico automatico bilanciato su più server e regioni).

Quindi, in sostanza: in che modo i membri di un determinato gruppo possono disconnettere gli utenti senza concedere loro le autorizzazioni di amministratore sulla macchina?

Ecco come lo farei nel 2008, ma gli strumenti non sono più disponibili: https://technet.microsoft.com/en-us/library/cc753032.aspx

remote-desktop  windows-server-2012-r2  remoteapp 
Bart De Vos
fonte
2
Lo guarderò perché non riusciremo mai a capirlo. Concedere le autorizzazioni di utenti / gruppi al controllo remoto / disconnessione / ripristino funziona correttamente per ogni server, ma non siamo mai riusciti a recuperarli dal broker.
pauska,
Questo potrebbe essere un brontolio pazzo, potresti usare qualcosa del genere? blogs.technet.com/b/askds/archive/2012/08/02/… e quindi utilizzare get-rdusersession -connectionbroker e quindi utilizzare Invoke-RDUserLogoff dopo aver ottenuto i dettagli dal primo comando
Drifter104

Risposte:

0

Solo un'idea che richiede più lavoro:

Che cosa succede se si utilizza uno script di shell (di alimentazione), eseguito ogni n minuti come attività pianificata con privilegi di amministratore, a cui si passa (ad esempio utilizzando un file di testo inserito in una cartella protetta) a cui gli utenti devono disconnettersi?

O, più in generale, un processo, eseguito con privilegi elevati, con l'unico scopo di disconnettere gli utenti, che riceve gli utenti per disconnettersi come parametro E un modo per i membri di un gruppo selezionato di passare quei parametri.

Silvio Massina
fonte
0

Quindi, in realtà ho coinvolto qualcuno della SM. Questa è stata la risposta che mi hanno dato.

Ciao Bart, il modo più probabile per supportare questo scenario è costruire PowerShell sugli strumenti TS Cmdline e fornire un accesso ben definito alle sessioni di disconnessione, ecc. Usando WMI.

  1. Per un elenco specifico degli strumenti Cmdline che è possibile utilizzare, vedere qui: • https://technet.microsoft.com/en-us/library/cc753032.aspx
  2. Per l'utilizzo di WMI per concedere le convinzioni, vedere qui: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx

Quindi, fondamentalmente, non è possibile, esegui il tuo.

Se mai dovessi concludere questo, aggiornerò qui.

Bart De Vos
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.