Мы создали довольно большую среду RemoteApp на 2012 R2, полностью пропатченную. Все работает нормально, так что теперь пришло время уйти в офшор и делегировать задачи первой линии.
Мы хотели бы, чтобы наши парни из первой линии управляли сессиями. Если, например, зависнет сеанс (потеряна связь с диском профиля). Они должны иметь возможность выйти из сеанса.
Я пробовал устанавливать такие разрешения на всех серверах:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
Но безрезультатно, они не могут открыть Диспетчер серверов> Службы удаленных рабочих столов, потому что они не могут подключиться к брокерам подключений к удаленному рабочему столу.
Если они откроют диспетчер задач и попытаются оттуда выйти из системы, у них нет соответствующих прав. Этот вариант также не самый лучший, потому что он потребовал бы от них пойти и посмотреть на каждом сервере, если пользователь вошел в систему (автоматическая балансировка нагрузки для нескольких серверов и регионов).
Итак, в основном: Как члены определенной группы могут отключать пользователей, не дав им прав администратора на машине?
Вот как я бы сделал это в 2008 году, но инструменты больше не доступны: https://technet.microsoft.com/en-us/library/cc753032.aspx
Итак, я действительно привлек к этому кого-то из MS. Это был ответ, который они мне дали.
Привет, Барт! Наиболее вероятный способ поддержать этот сценарий - создать PowerShell с помощью инструментов TS Cmdline и предоставить детализированный доступ для выхода из сеансов и т. Д. С помощью WMI.
- Конкретный список инструментов Cmdline, которые можно использовать, см. Здесь: • https://technet.microsoft.com/en-us/library/cc753032.aspx
- Для использования WMI для предоставления разрешений см. Здесь: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx
Так что в принципе это невозможно, управляйте своим собственным.
Если я когда-нибудь дойду до этого, я обновлю здесь.
Просто идея, над которой нужно доработать:
Что делать, если вы используете (мощный) сценарий оболочки и запускаете каждые n минут как запланированную задачу с правами администратора, к которой вы передаете (например, используя текстовый файл, помещенный в защищенную папку) пользователей, чтобы отключить?
Или, в более общем смысле, процесс, выполняемый с повышенными привилегиями, с единственной целью выхода пользователей из системы, который получает пользователей для отключения в качестве параметра И способ для членов выбранной группы передать этот параметр.