Hemos creado un entorno RemoteApp bastante grande en 2012 R2, completamente parcheado. Todo funciona bien, por lo que ahora es el momento de realizar tareas en el extranjero y delegar tareas al equipo de primera línea.
Nos gustaría poder hacer que nuestros chicos de primera línea administren las sesiones. Si, por ejemplo, se bloquea una sesión (se pierde la conexión con la unidad de perfil). Deben poder cerrar la sesión.
He intentado configurar permisos como este en todos los servidores:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
Pero en vano, no pueden abrir el Administrador del servidor> Servicios de escritorio remoto, porque no pueden conectarse a los Agentes de conexión de Escritorio remoto.
Si abren el administrador de tareas e intentan cerrar la sesión de los usuarios allí, no tienen los derechos adecuados. Esta opción tampoco es la mejor porque requeriría que vayan a buscar en cada servidor si el usuario ha iniciado sesión allí (carga automática equilibrada en varios servidores y regiones).
Entonces, básicamente: ¿cómo pueden los miembros de un determinado grupo cerrar la sesión de los usuarios, sin darles permisos de administrador en la máquina?
Así es como lo haría en 2008, pero las herramientas ya no están disponibles: https://technet.microsoft.com/en-us/library/cc753032.aspx
fuente
Respuestas:
Solo una idea que necesita más trabajo:
¿Qué sucede si usa una secuencia de comandos de shell (poder), se ejecuta cada n minutos como una tarea programada con privilegios de administrador, a la que pasa (por ejemplo, usando un archivo de texto colocado en una carpeta protegida) a los usuarios para desconectarse?
O, más en general, un proceso, ejecutado con privilegios elevados, con el único propósito de cerrar la sesión de los usuarios, que recibe a los usuarios para desconectarse como un parámetro Y una forma para que los miembros de un grupo seleccionado pasen esos parámetros.
fuente
Entonces, en realidad conseguí a alguien de MS involucrado en esto. Esta fue la respuesta que me dieron.
Entonces, básicamente, no es posible, ejecuta el tuyo.
Si alguna vez llego a terminar esto, actualizaré aquí.
fuente