Delegar la gestión de sesiones en RemoteApp 2012

9

Hemos creado un entorno RemoteApp bastante grande en 2012 R2, completamente parcheado. Todo funciona bien, por lo que ahora es el momento de realizar tareas en el extranjero y delegar tareas al equipo de primera línea.

Nos gustaría poder hacer que nuestros chicos de primera línea administren las sesiones. Si, por ejemplo, se bloquea una sesión (se pierde la conexión con la unidad de perfil). Deben poder cerrar la sesión.

He intentado configurar permisos como este en todos los servidores:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

Pero en vano, no pueden abrir el Administrador del servidor> Servicios de escritorio remoto, porque no pueden conectarse a los Agentes de conexión de Escritorio remoto.

Si abren el administrador de tareas e intentan cerrar la sesión de los usuarios allí, no tienen los derechos adecuados. Esta opción tampoco es la mejor porque requeriría que vayan a buscar en cada servidor si el usuario ha iniciado sesión allí (carga automática equilibrada en varios servidores y regiones).

Entonces, básicamente: ¿cómo pueden los miembros de un determinado grupo cerrar la sesión de los usuarios, sin darles permisos de administrador en la máquina?

Así es como lo haría en 2008, pero las herramientas ya no están disponibles: https://technet.microsoft.com/en-us/library/cc753032.aspx

Bart De Vos
fuente
2
Estaré viendo esto ya que nunca podríamos resolverlo. Otorgar permisos de usuarios / grupos para control remoto / cierre de sesión / reinicio funciona bien por servidor, pero nunca podríamos hacer que se recuperen del intermediario.
pauska
Esto podría ser una locura, ¿podrías usar algo en este sentido? blogs.technet.com/b/askds/archive/2012/08/02/… y luego use get-rdusersession -connectionbroker y luego use Invoke-RDUserLogoff una vez que tenga los detalles del primer comando
Drifter104

Respuestas:

0

Solo una idea que necesita más trabajo:

¿Qué sucede si usa una secuencia de comandos de shell (poder), se ejecuta cada n minutos como una tarea programada con privilegios de administrador, a la que pasa (por ejemplo, usando un archivo de texto colocado en una carpeta protegida) a los usuarios para desconectarse?

O, más en general, un proceso, ejecutado con privilegios elevados, con el único propósito de cerrar la sesión de los usuarios, que recibe a los usuarios para desconectarse como un parámetro Y una forma para que los miembros de un grupo seleccionado pasen esos parámetros.

Silvio Massina
fuente
0

Entonces, en realidad conseguí a alguien de MS involucrado en esto. Esta fue la respuesta que me dieron.

Hola Bart: la forma más probable de admitir este escenario es crear un PowerShell sobre las herramientas de Cmdline de TS y proporcionar un acceso detallado a las sesiones de cierre de sesión, etc. utilizando WMI.

  1. Para obtener una lista específica de las herramientas de Cmdline que se pueden usar, consulte aquí: • https://technet.microsoft.com/en-us/library/cc753032.aspx
  2. Para usar WMI para otorgar permisos, consulte aquí: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx

Entonces, básicamente, no es posible, ejecuta el tuyo.

Si alguna vez llego a terminar esto, actualizaré aquí.

Bart De Vos
fuente