Delegar gerenciamento de sessões no RemoteApp 2012

9

Criamos um ambiente RemoteApp bastante grande no 2012 R2, totalmente corrigido. Tudo está funcionando bem, agora chegou a hora de offshore e delegar tarefas à equipe de primeira linha.

Gostaríamos de poder ter nossa equipe de primeira linha gerenciando as sessões. Se, por exemplo, uma sessão travar (perda de conexão com a unidade de perfil). Eles devem conseguir fazer logoff da sessão.

Eu tentei definir permissões como esta em todos os servidores:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

Mas sem sucesso, eles não podem abrir o Gerenciador do Servidor> Serviços de Área de Trabalho Remota, porque não podem se conectar aos RD Connection Brokers.

Se eles abrirem o gerenciador de tarefas e tentarem desconectar os usuários de lá, eles não terão os direitos apropriados. Essa opção também não é a melhor, porque exigiria que eles acessassem cada servidor se o usuário estivesse conectado lá (carga automática balanceada em vários servidores e regiões).

Então, basicamente: como os membros de um determinado grupo podem desconectar os usuários, sem conceder permissões de administrador na máquina?

É assim que eu faria em 2008, mas as ferramentas não estão mais disponíveis: https://technet.microsoft.com/en-us/library/cc753032.aspx

Bart De Vos
fonte
2
Eu vou estar assistindo isso como nunca conseguimos descobrir. Conceder permissões a usuários / grupos para controle remoto / logoff / redefinição funciona bem em uma base por servidor, mas nunca conseguimos que eles recuperassem do broker.
pauska
Isso pode ser uma loucura, você poderia usar algo nesse sentido? blogs.technet.com/b/askds/archive/2012/08/02/... e depois usar o -connectionbroker get-rdusersession e depois usar Invoke-RDUserLogoff uma vez que você tem os detalhes do primeiro comando
Drifter104

Respostas:

0

Apenas uma ideia que precisa de mais trabalho:

E se você usar um shell script (avançado), execute a cada n minutos como uma tarefa agendada com privilégios de administrador, para a qual você passa (por exemplo, usando um arquivo de texto colocado em uma pasta protegida) para desconectar os usuários?

Ou, em geral, um processo, executado com privilégios elevados, com o único objetivo de desconectar usuários, que recebe os usuários para desconectarem como parâmetro E uma maneira de os membros de um grupo selecionado passarem esses parâmetros.

Silvio Massina
fonte
0

Então, na verdade, envolvi alguém da MS nisso. Essa foi a resposta que eles me deram.

Olá Bart - a maneira mais provável de dar suporte a esse cenário é criar o PowerShell sobre as ferramentas TS Cmdline e fornecer acesso refinado a sessões de logoff etc. usando o WMI.

  1. Para obter uma lista específica de ferramentas Cmdline que podem ser usadas - consulte aqui: • https://technet.microsoft.com/en-us/library/cc753032.aspx
  2. Para usar o WMI para conceder persmissions, consulte aqui: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx

Então, basicamente, não é possível, execute o seu próprio.

Se eu terminar de terminar isso, atualizarei aqui.

Bart De Vos
fonte