Ищу решение следующей проблемы:
у нас есть сервер Windows, на котором множество людей заходят в систему удаленно, чтобы работать над чем-то; когда нам нужно обновить сервер, мы отправляем предупреждения по электронной почте и на экран-заставку с просьбой не входить в систему во время простоя, но люди все равно входят в систему, что часто мешает нашему процессу обновления
вот мой вопрос -
Можно ли написать сценарий (возможно, Powershell) - для запуска нашего системного инженера в начале обновления, который изменит разрешения / политики для всех других пользователей для удаленного входа (RDP) на этот сервер? Ей нужно сохранить полный контроль над сервером, и она также удалена (RDP)
Когда обновление будет завершено, она снова запустит сценарий, чтобы восстановить все разрешения / политики, чтобы все могли работать на сервере через RDP.
Спасибо!
Использовать Режим слива терминального сервера (отключите всех пользователей с сеансом на сервере терминалов до включения режима слива).
Выключите его после обслуживания.
https://blogs.msdn.microsoft.com/rds/2007/06/15/introduction-terminal-services-server-drain-mode/
РЕДАКТИРОВАТЬ (27 апреля 2016 г.)
(чтобы включить ограничения входа)
Кроме того, используйте ограничения входа в Active Directory, чтобы ограничить, когда люди могут входить в систему. Таким образом вы можете установить ограничения входа в систему для периодов обслуживания. Посмотрите, как это сделать: http://ravingroo.com/267/active-directory-user-workstation-logon-restriction/
Это можно было бы легко создать по сценарию.
Лучше всего изменить время входа в систему, а не сеансы уничтожения. Изменение времени входа в систему гарантирует, что если вы выполните какие-либо команды RDP Powershell, которые завершают сеанс, никто не сможет войти (или даже попытаться снова войти в систему) после остановки сеанса. Примите во внимание следующее: отдел расчета заработной платы спешит вводить записи времени в 19:05. Вы начали делать обновления в 19:00. HR должны делать то, на что они экономили в последнюю секунду. Вы убиваете их сеанс через Powershell. Уверяю вас, что даже менеджмент будет вас повсюду.
Теперь примите во внимание следующее: вы отправляете электронное письмо, в котором говорится: «Сеансы RDP будут отключены в 18:50 для обслуживания. Пожалуйста, завершите всю работу, поскольку вход в систему будет отключен». Если кто-то не сделает то, что ему нужно, вовремя, вы сделали свое проявить должную осмотрительность, предоставив им более чем достаточно времени для завершения работы. Впоследствии политика входа в систему отключает доступ, поэтому вам не нужно беспокоиться о 1) завершении чьих-либо процессов 2) будет ли кто-то еще входить в систему и т. Д. Я бы не пошел с Powershell, WMI или чем-либо еще, кроме создания вручную / редактирование GPO для логинов. В любом случае это проблема управления изменениями, и в оптимальном случае изменения должны происходить в течение наименее используемого системного времени.