Wie kann ich sicherstellen, dass Benutzer sich von Remotedesktopsitzungen abmelden, anstatt nur das RDP-Fenster zu schließen?

19

Wir haben eine Reihe von Servern, auf denen unsere Techniker Remotedesktop betreiben, aber für jeden Server gilt ein Verbindungslimit von zwei. Wir werden oft versuchen, RDP in diese Boxen zu schreiben, und wir werden die Meldung "Dieser Computer hat die maximale Anzahl von Verbindungen überschritten" sehen.

Es ist ein großer Schmerz, weil wir diesen Benutzern mehrere E-Mail-Nachrichten gesendet haben und sie nie verstehen, worum es geht.

Ich weiß, wie man sich mit der Root-Konsole verbindet und Leute bootet, aber ich würde es vorziehen, das nicht zu tun. Ich weiß auch, dass es Möglichkeiten gibt, inaktive Sitzungen nach einer bestimmten Zeit zu booten, und ich möchte dies auch nicht tun.

Ich möchte Benutzer dazu zwingen, zu erfahren, dass sie sich abmelden müssen. Dies passiert nicht, wenn Sie sie manuell abmelden (und das manuelle Abmelden ist ein Schmerz). Wenn Sie sie nur manuell abmelden, werden diese Techniker nicht zweimal darüber nachdenken, in einer RDP-Sitzung in Verbindung zu bleiben, da dies für sie praktisch ist.

Ich würde ein Benachrichtigungssystem bevorzugen, bei dem der rücksichtslose Benutzer per E-Mail oder NET SEND-Nachricht benachrichtigt wird, dass sein Konto vom Computer getrennt wird. Auf diese Weise werden sie erkennen, dass sie etwas falsch machen. Noch besser, wenn sie mehrmals gegen das Gesetz verstoßen, möchte ich, dass ihr Konto gesperrt wird, bis ein Systemadministrator es entsperrt.

Gibt es eine Möglichkeit, das Ziel zu erreichen, dass sich Benutzer manuell abmelden? Alle Vorschläge sind willkommen.

remote-desktop windows-server-2008 windows-server-2008-r2 JackAce
quelle
Der beste Weg, den ich mir vorstellen kann, ist, was Sie bereits tun. Mailen Sie sie alle, aber fügen Sie hinzu, dass Benutzer A und Benutzer B zu diesem Zeitpunkt aktiv an diesem Computer arbeiten. Kann einer von beiden E-Mails verwenden, wenn Sie fertig sind und sich abgemeldet haben? '. Ziel: Ja, du wartest. Dies sind die Leute, die vergessen haben, sich abzumelden und sich bei ihnen zu beschweren. Wenn Sie regelmäßig mehr Benutzer benötigen, gibt es eine Lösung: Terminalserver. Nach meinem Kenntnisstand bedeutet dies, eine Lizenz zu bezahlen und eine DLL zu ändern.
Hennes

Antworten:

15

Sie können die Tools zur Konfiguration des Remotedesktop-Sitzungshosts oder (bessere) Gruppenrichtlinien verwenden, um Regeln für RDP-Verbindungsabbrüche zu definieren.

Wenn Sie Gruppenrichtlinien und Organisationseinheiten verwenden, können Sie einigen Benutzern erlauben, "getrennt" zu bleiben und andere Benutzer zu zwingen, sich nach dem Trennen der Verbindung abzumelden.

Überprüfen Sie insbesondere diese Richtlinienzweige:

  • Computerkonfiguration \ Richtlinien \ Administrative Vorlagen \ Windows-Komponenten \ Remotedesktopdienste \ Remotedesktop-Sitzungshost \ Sitzungszeitlimits
  • Benutzerkonfiguration \ Richtlinien \ Administrative Vorlagen \ Windows-Komponenten \ Remotedesktopdienste \ Remotedesktop-Sitzungshost \ Sitzungszeitlimits

Und Richtlinien wie diese:

Beenden Sie eine getrennte Sitzung

Geben Sie die maximale Zeit an, die eine getrennte Benutzersitzung auf dem Server mit dem Host für Remotedesktop-Sitzungen aktiv bleibt. Wenn Sie "Nie" angeben, wird die getrennte Sitzung des Benutzers für eine unbegrenzte Zeit beibehalten.

Wenn eine Sitzung in einem getrennten Zustand ist, werden laufende Programme aktiv gehalten, obwohl der Benutzer nicht mehr aktiv verbunden ist.

.

Wenn ein Sitzungslimit erreicht ist oder die Verbindung unterbrochen ist

Geben Sie an, ob die Remotedesktopdienste-Sitzung des Benutzers getrennt oder beendet werden soll, wenn ein aktives Sitzungslimit oder ein inaktives Sitzungslimit erreicht wird.

Wenn die Sitzung des Benutzers getrennt wird, bleiben die Programme, die der Benutzer ausführt, aktiv, obwohl der Benutzer nicht mehr aktiv verbunden ist.

Wenn die Sitzung des Benutzers beendet wird, muss der Benutzer eine neue Remotedesktopdienste-Sitzung mit einem RD-Sitzungshostserver einrichten.

Weitere Informationen finden Sie auf dieser Seite von MS zu Richtlinien für die RDP-Trennung.

ƬᴇcƬᴇιʜ007
quelle
Weitere Informationen
1

Für ein Benachrichtigungssystem müssten Sie es vermutlich mithilfe von APIs wie WTSEnumerateSession entwickeln .

Dies bedeutet, dass Sie so etwas wie einen Windows-Dienst entwickeln, der Ihre Server regelmäßig abfragt, um getrennte Sitzungen aufzuspüren und mit ihnen das zu tun, was Sie wollen.

Dies kann einige Tage Arbeit in Anspruch nehmen, um es richtig zu machen.

Ansonsten schlage ich einen anderen Ansatz für dieses Problem vor:

  • Richten Sie zwei Gruppen von RDP-Benutzern auf Servern ein: TrustedDisconnectors und UntrustedDisconnectors.
  • Richten Sie eine Richtlinie für UntrustedDisconnectors ein, sodass deren Sitzung nach einem etwas kurzen Zeitlimit für das Trennen abgemeldet wird.
  • Kommunizieren Sie über diese Änderung. Zustände, bei denen Ingenieure häufig ohne triftigen Grund die Verbindung nicht ordnungsgemäß trennen, dürfen nicht mehr getrennt werden, ohne abgemeldet zu sein.
Frédéric
quelle
0

Ich bin mir nicht sicher, wie viel Hilfe das bringen wird, aber es lohnt sich, stattdessen einen Blick auf die Verwendung von VNC Viewer zu werfen . Es kann so eingerichtet werden, dass es sich abmeldet, sobald die Verbindung zum letzten Viewer getrennt wurde.

Sie können dann Benutzer zur Verwendung von VNC zwingen, indem Sie den RDP-Port auf dem Computer blockieren.

greg84
quelle
1
Lässt VNC nicht nur eine Verbindung zu? Dies kann die Situation verschlimmern (wenn jemand bereits angemeldet ist und versucht, sich anzumelden). Außerdem macht mich VNC nervös, weil möglicherweise jemand vor der Maschine steht, die Sie steuern, und alles, was Sie eingeben, beobachtet, ohne dass Sie es jemals merken.
JackAce
1
Außerdem möchten Sie in bestimmten Situationen die Verbindung trennen und einige Vorgänge weiter ausführen. Es gibt Zeiten, in denen ich die Verbindung trennen möchte, wenn ich die Arbeit verlasse und dann die Verbindung von zu Hause aus wieder herstelle.
JackAce
Seien Sie vorsichtig mit VNC ... wenn Sie symmetrische Verschlüsselung verwenden (auch bekannt als ein einziges Kennwort für alle Benutzer), können Sie es leicht entschlüsseln: raymond.cc/blog/crack-or-decrypt-vnc-server-encrypted-password
Mick