Delegieren Sie die Sitzungsverwaltung in RemoteApp 2012

9

Wir haben auf 2012 R2 eine ziemlich große RemoteApp-Umgebung erstellt, die vollständig gepatcht ist. Alles funktioniert einwandfrei, daher ist es jetzt an der Zeit, Offshore-Aufgaben an das First-Line-Team zu delegieren.

Wir möchten, dass unsere First-Line-Leute die Sitzungen verwalten. Wenn zum Beispiel eine Sitzung hängen bleibt (Verbindung zum Profillaufwerk unterbrochen). Sie sollten in der Lage sein, sich von der Sitzung abzumelden.

Ich habe versucht, auf allen Servern folgende Berechtigungen festzulegen:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

Sie können jedoch ohne Erfolg Server Manager> Remotedesktopdienste nicht öffnen, da sie keine Verbindung zu den RD-Verbindungsbrokern herstellen können.

Wenn sie den Task-Manager öffnen und versuchen, Benutzer dort abzumelden, verfügen sie nicht über die entsprechenden Rechte. Diese Option ist auch nicht die beste, da sie jeden Server überprüfen müssten, wenn der Benutzer dort angemeldet ist (automatische Lastverteilung über mehrere Server und Regionen).

Im Grunde genommen: Wie können Mitglieder einer bestimmten Gruppe Benutzer abmelden, ohne ihnen Administratorrechte auf dem Computer zu erteilen?

So würde ich es 2008 machen, aber die Tools sind nicht mehr verfügbar: https://technet.microsoft.com/en-us/library/cc753032.aspx

remote-desktop windows-server-2012-r2 remoteapp Bart De Vos
quelle
2
Ich werde das beobachten, da wir es nie herausfinden konnten. Das Erteilen von Berechtigungen für Benutzer / Gruppen zum Fernsteuern / Abmelden / Zurücksetzen funktioniert auf Serverbasis einwandfrei, aber wir konnten sie niemals dazu bringen, sie vom Broker abzurufen.
Pause
Dies könnte verrücktes Grollen sein. Könnten Sie etwas in diese Richtung verwenden? blogs.technet.com/b/askds/archive/2012/08/02/… und verwenden Sie dann den get-rdusersession -connectionbroker und verwenden Sie dann Invoke-RDUserLogoff, sobald Sie die Details aus dem ersten Befehl haben
Drifter104

Antworten:

0

Nur eine Idee, die mehr Arbeit braucht:

Was passiert, wenn Sie ein (Power-) Shell-Skript verwenden und alle n Minuten als geplante Aufgabe mit Administratorrechten ausführen, an die Sie die Benutzer übergeben (z. B. mithilfe einer in einem geschützten Ordner abgelegten Textdatei), um die Verbindung zu trennen?

Oder allgemeiner ein Prozess, der mit erhöhten Berechtigungen ausgeführt wird, mit dem einzigen Zweck, Benutzer abzumelden, der die Benutzer zum Trennen der Verbindung als Parameter und als Möglichkeit für Mitglieder einer ausgewählten Gruppe zum Übergeben dieser Parameter empfängt.

Silvio Massina
quelle
0

Also habe ich tatsächlich jemanden von MS dazu gebracht. Dies war die Antwort, die sie mir gaben.

Hallo Bart, der wahrscheinlichste Weg, dieses Szenario zu unterstützen, besteht darin, Powershell über die TS Cmdline-Tools zu erstellen und einen detaillierten Zugriff auf Abmeldesitzungen usw. mithilfe von WMI bereitzustellen.

  1. Eine spezifische Liste der Cmdline-Tools, die verwendet werden können, finden Sie hier: • https://technet.microsoft.com/en-us/library/cc753032.aspx
  2. Informationen zur Verwendung von WMI zum Erteilen von Berechtigungen finden Sie hier: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx

Im Grunde ist es also nicht möglich, eigene zu betreiben.

Wenn ich jemals dazu komme, werde ich hier aktualisieren.

Bart De Vos
quelle