Delegasikan manajemen sesi di RemoteApp 2012

9

Kami telah membangun lingkungan RemoteApp yang agak besar pada 2012 R2, sepenuhnya ditambal. Semuanya bekerja dengan baik, jadi sekarang tiba saatnya untuk lepas pantai dan mendelegasikan tugas ke tim lini pertama.

Kami ingin orang-orang lini pertama kami bisa mengelola sesi. Misalnya, jika suatu sesi akan hang (kehilangan koneksi ke drive profil). Mereka harus dapat keluar dari sesi.

Saya sudah mencoba mengatur izin seperti ini di semua server:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

Tetapi tidak berhasil, mereka tidak dapat membuka Server Manager> Remote Desktop Services, karena mereka tidak dapat terhubung ke RD Connection Brokers.

Jika mereka membuka pengelola tugas dan mencoba keluar dari pengguna di sana, mereka tidak memiliki hak yang sesuai. Opsi ini juga bukan yang terbaik karena itu akan mengharuskan mereka untuk pergi dan mencari di setiap server jika pengguna login di sana (memuat otomatis seimbang di beberapa server dan wilayah).

Jadi, pada dasarnya: Bagaimana anggota grup tertentu dapat log off, tanpa memberi mereka izin admin di mesin?

Ini adalah bagaimana saya akan melakukannya pada 2008, tetapi alat tidak lagi tersedia: https://technet.microsoft.com/en-us/library/cc753032.aspx

remote-desktop windows-server-2012-r2 remoteapp Bart De Vos
sumber
2
Saya akan menonton ini karena kita tidak pernah bisa mengetahuinya. Memberi izin pengguna / grup ke remote-control / logoff / reset berfungsi dengan baik pada basis per server, tetapi kami tidak pernah bisa meminta mereka untuk mengambil dari broker.
pauska
Ini mungkin gemuruh gila, bisakah Anda menggunakan sesuatu di sepanjang garis ini? blogs.technet.com/b/askds/archive/2012/08/02/… dan kemudian gunakan get-rdusersession -connectionbroker dan kemudian gunakan Invoke-RDUserLogoff setelah Anda memiliki rincian dari perintah pertama
Drifter104

Jawaban:

0

Hanya gagasan yang membutuhkan lebih banyak pekerjaan:

Bagaimana jika Anda menggunakan skrip shell (power), jalankan setiap n menit sebagai tugas terjadwal dengan hak istimewa admin, yang Anda berikan (misalnya menggunakan file teks yang dimasukkan ke folder yang dilindungi) yang akan dilepaskan oleh pengguna?

Atau, lebih umum, sebuah proses, dijalankan dengan hak istimewa yang tinggi, dengan satu-satunya tujuan mematikan pengguna, yang menerima pengguna untuk memutuskan koneksi sebagai parameter DAN cara bagi anggota grup yang dipilih untuk melewatkan parameter tersebut.

Silvio Massina
sumber
0

Jadi, saya benar-benar melibatkan seseorang dari MS dalam hal ini. Ini adalah tanggapan yang mereka berikan kepada saya.

Hai Bart - cara yang paling mungkin untuk mendukung skenario ini adalah untuk membangun PowerShell atas alat TS Cmdline dan memberikan akses berbutir halus untuk log keluar sesi dll menggunakan WMI.

  1. Untuk daftar alat Cmdline tertentu yang dapat digunakan - lihat di sini: • https://technet.microsoft.com/en-us/library/cc753032.aspx
  2. Untuk menggunakan WMI untuk memberikan pengajuan, lihat di sini: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx

Jadi pada dasarnya, itu tidak mungkin, jalankan sendiri.

Jika saya bisa menyelesaikan ini, saya akan memperbarui di sini.

Bart De Vos
sumber