题 在RemoteApp 2012上委派会话管理


我们在2012 R2上构建了一个相当大的RemoteApp环境,完全打补丁。一切都运转正常,所以现在是时候离岸并将任务委托给一线团队。

我们希望能够让我们的第一线人员管理会议。例如,如果会话将挂起(与配置文件驱动器的连接丢失)。他们应该能够注销会话。

我尝试在所有服务器上设置这样的权限:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

但无济于事,他们无法打开服务器管理器>远程桌面服务,因为他们无法连接到RD连接代理。

如果他们打开任务管理器并尝试在那里注销用户,则他们没有适当的权限。此选项也不是最佳选项,因为如果用户登录,则需要他们查看每个服务器(跨多个服务器和区域自动负载平衡)。

所以,基本上: 某个组的成员如何在不给予他们管理员权限的情况下关闭用户?

这是我在2008年的方式,但工具不再可用: https://technet.microsoft.com/en-us/library/cc753032.aspx


8
2018-06-15 10:01




我会看到这个,因为我们永远无法理解。赋予用户/组远程控制/注销/重置权限可以在每个服务器上正常工作,但我们永远无法从代理中检索它们。 - pauska
这可能是疯狂的隆隆声,你能用这些东西吗? blogs.technet.com/b/askds/archive/2012/08/02/... 然后使用get-rdusersession -connectionbroker,然后在获得第一个命令的详细信息后使用Invoke-RDUserLogoff - Drifter104


答案:


只是一个需要更多工作的想法:

如果您使用(电源)shell脚本,每隔n分钟作为具有管理员权限的计划任务运行(例如,使用放在受保护文件夹中的文本文件),用户要断开连接,该怎么办?

或者,更一般地说,一个进程,使用提升的权限运行,其唯一目的是关闭用户,接收用户断开连接作为参数以及所选组成员传递这些参数的方式。


0
2018-06-18 20:05





所以,我实际上有一个来自MS的人参与其中。这是他们给我的回应。

嗨巴特 - 支持这种情况的最可能方式是建立   在TS Cmdline工具上提供PowerShell并提供细粒度访问   使用WMI注销会话等。

  1. 有关可以使用的Cmdline工具的特定列表 - 请参见此处:• https://technet.microsoft.com/en-us/library/cc753032.aspx 
  2. 有关使用WMI授予持久性的信息,请参阅此处: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx

所以基本上,这是不可能的,运行自己的。

如果我完成这个,我会在这里更新。


0
2017-09-12 22:07