Мне нужен серверный процесс для запуска с полным доступом к физическому рабочему столу сервера. Мне также нужно удаленно просматривать / контролировать его состояние.
Мое текущее решение включает службу VNC Server, но я хочу иметь более «родное» решение.
Я пробовал использовать теневое копирование сеанса RDP, но он не работает для сеанса консоли:
mstsc /shadow:3 /v:somehost.example.com /noConsentPrompt
Все, что я получаю, это «Указанный сеанс не подключен», а запрос сеанса на сервере дает мне:
> query session
SESSIONNAME USERNAME ID STATE TYPE DEVICE
services 0 Disc
>rdp-tcp#2 Administrator 1 Active
console 3 Conn
rdp-tcp 65536 Listen
FWIW, я настроил групповую политику, чтобы разрешать соединения без согласия.
Есть ли что-то еще, что мне может не хватать, или это просто невозможно?
Вы пробовали использовать переключатель / admin, который должен подключать вас к сеансу консоли?
mstsc /admin /v:host.example.com
Я не думаю, что это можно сделать с Windows 2012. Я знаю, что в прошлом я использовал переключатели / console или / admin по следующим причинам:
Но не похоже, что это возможно в Windows 2012, потому что он никогда не привязывает вас к ID 0.
Я могу неправильно понять, но это довольно просто. Вы должны удаленно подключиться к серверу, используя свою учетную запись, в любом сеансе, который вы хотите. Затем в командной строке (на удаленном сервере) или PS введите:
mstsc /shadow:3 /noConsentPrompt
Не указывайте имя сервера, вы находитесь на сервере, на котором есть сеанс, который вы хотите затенять. Вам нужно будет включить затенение в GP, чтобы это работало. Это в обоих
[<Computer Configuration> | <User Configuration>]\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections\Set rules for remote control of Remote Desktop Services user sessions
После того, как вы включите его (я знаю, вы сказали, что сделали, но сделали ли вы это как в пользовательской, так и в компьютерной конфигурации?), Вы должны иметь возможность затенять сеанс после нахождения идентификатора сеанса, который вы хотите использовать, используя сеанс запроса, как у вас уже.
Мини-пульт дистанционного управления Dameware. СЛАДКАЯ программа. Разрешает доступ к сеансу «консоли», экрану входа в систему, процессу загрузки (если вы используете Intel AMT), а также позволяет переключаться на существующие сеансы RDP.
Несколько способов подключения: MRC (их невероятно быстрое собственное решение), RDP, VNC, Intel AMT (vPro). Несколько методов аутентификации (сквозной NTLM / ввод вручную, пользовательские учетные данные). Я пользуюсь им в течение многих лет, стоит своих денег ... дайте мне знать, если у вас возникнут вопросы.
Кроме того, что бы это ни стоило, mstsc / admin определенно подключает вас к сеансу консоли, но сеанс консоли НЕ является экраном входа в систему.
Однако, если вы собираетесь подключиться к сеансу 0 (который не является сеансом консоли), просто установите HKLM \ SYSTEM \ CurrentControlSet \ Control \ Windows \ NoInteractiveServices = 0, а затем запустите службу обнаружения интерактивных служб. Если служба (или любой другой процесс) работает в интерактивном режиме в сеансе 0, появится всплывающее окно, уведомляющее вас и позволяющее переключиться на сеанс 0 и взаимодействовать с процессом.
Чтобы более подробно ответить на вопрос:
Не существует более «родного» (как встроенного) решения, которое позволило бы вам управлять «физическим рабочим столом» сервера. RDP разрешит доступ только к СЕССИИ «консоли», в которой выполнен вход. Он никоим образом не обеспечивает доступ к «физическому рабочему столу» сервера. RDP не является технологией подключения дисплея, как VNC и т. Д., Но он отлично работает для большинства целей. Если, как и я, человек регулярно нуждается в доступе к «физическому рабочему столу» машин, решение стороннего производителя - единственный выбор.
Я должен добавить, вот почему существует МНОГО сторонних инструментов удаленного доступа, предлагаемых уважаемыми поставщиками. Intelliadmin, Radmin - это еще пара, которая сразу приходит на ум.
Так как меня огорчают, я чувствую, что должен добавить дополнительную информацию ... Большинство решений для удаленного доступа требуют (или, по крайней мере, устанавливают по умолчанию) клиентский исполняемый файл и / или драйвер, который запускается ВСЕ ВРЕМЯ на удаленном хосте. Dameware - нет. Он имеет удобный интерфейс, который позволяет администратору по запросу отправлять и устанавливать / запускать / останавливать / удалять службу удаленного хоста на компьютере с помощью RPC / Remote Services Administration. Он может автоматически устанавливать / запускать службу при подключении, а затем останавливать / удалять службу при отключении. Это сводит на нет вектор атаки «взлома драйвера», упомянутый в комментарии ниже. Вот как я настроил свои системы. И, конечно же, это может сделать только пользователь с соответствующими учетными данными администратора.
P.s. Я никоим образом не связан с этим поставщиком программного обеспечения (сейчас принадлежит SolarWinds).
Кроме того, я бы сказал, что с другой точки зрения слово «родной», VNC или даже лучше Intel AMT или другие аналогичные аппаратные технологии подключения дисплея (HP iLO, Lantronix Spider KVM и т. Д.) Примерно такие же «родные». как вы можете получить.