Как подключиться к пользователю в терминале windows 2012 r2 - Доктор Windows

Команды cmd:
Query Session — список сессий
Mstsc.exe /shadow:sessionID /control /noConsentPrompt

http://winitpro.ru/index.php/2014/02/12/rds-shadow-v-windows-2012-r2/

Спешим поделиться хорошей новостью: Microsoft вернула функционал Remote Desktop Shadowing в Windows Server 2012 R2 и Windows 8.1! Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления активной терминальной сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в релизе Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим).

Кроме того, у режима RD Shadow и rdp клиента появился ряд новых интересных возможностей. Полный список опций rdp клиента mstsc.exe, определяющих возможность удаленного подключения к сессии конечного пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]]

/shadow:ID – подключится к терминальной сессии с указанным ID

/v:servername – имя терминального сервера (если не задано, используется текущий)

/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии

Ограничения теневых сеансов RDS в Windows 2012 R2

Подключаться к чужим сессиям может только администратор сервера. Делегировать эти права обычным пользователем нельзя

RDS Shadow не будет работать в сетях на базе рабочих групп

Remote Desktop Shadow — работа в GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection.

Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow.

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того можно включить опцию Prompt for user consent (запросить согласие на подключение у пользователя).

Если выбрана опция «Запросить подтверждение», в сессии у пользователя появится запрос:

Winitproadministrator is requesting to view your session remotely. Do you accept the request?

Если пользователь подтвердит, подключение, администратор увидит его рабочий стол и сможет взаимодействовать с ним.

Совет. Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).

Если же пользователь отклонит подключение, появится окно:

Shadow Error: The operator or administrator has refused the request

Если же попытаться подключится к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая что такое поведение настроено групповой политикой:

Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

Параметры удаленного управлениями терминальными сессиями пользователя настраиваются политиками Set rules for remote control of Remote Desktop Services user sessions, которые находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections в пользовательской и «компьютерной» секциях GPO.

Этой политикой можно настроить следующие варианты подключения по RD Shadow:

No remote contol allowed – удаленное управление запрещено

Full Control with users’s permission — полный контроль с разрешения пользователя

Full Control without users’s permission – полный контроль без разрешения пользователя

View Session with users’s permission – наблюдение за сеансом с подтверждением

View Session without users’s permission – наблюдение за сеансом без подтверждения

RDS Shadow из Powershell

Воспользоваться функционалом Remote Desktop Services Shadow можно и из Powershell.

В первую очередь покажем, как получить список сессий на терминальном сервере (сесии пользователей будут сгруппированы в группы в зависимости от их статуса):

Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate

На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:

Источник

При администрировании сервера терминалов, особенно, когда на нем работают удаленные сотрудники в специализированных программах или даже просто в 1С, возникает необходимость подключиться к сессии пользователя для различных работ (обслуживание и диагностика ПО, консультация/обучение и т.п.).

Данная технология полноценно работает в Windows Server 2012 R2 и называется — Теневая копия. Если у вас установлена и используется для сервера удаленных рабочих столов MS Windows Server 2012, то знайте — данная опция не реализована в данной версии ОС. Тем не мене в обоих случаях (2012 и 2012 R2) есть прекрасная возможность использовать дополнительное средство удаленного администрирования и поддержки пользователей — «Удаленный помощник«. Устанавливается стандартным способом (через Диспетчер управления серверами-Добавить роли и компоненты):

После установки «Удаленный Помощник» необходимо выполнить следующие настройки групповых политик на настраиваемом сервере:

Конфигурация компьютераАдминистративные шаблоныСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПодключенияРазрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов — включить
Конфигурация компьютераАдминистративные шаблоныСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПодключенияУстановить правила удаленного управления для пользовательских сеансов удаленных рабочих столов — выбрать нужны вариант
Конфигурация компьютераАдминистративные шаблоныСистемаУдаленный помощникНастроить предупреждающие сообщения
Конфигурация компьютераАдминистративные шаблоныСистемаУдаленный помощникНастроить запрашиваемую удаленную помощь
Конфигурация компьютераАдминистративные шаблоныСистемаУдаленный помощникНастроить предлагаемую удаленную помощь

Настройка Удаленного помощника на сервер MS Windows Server 2012 / 2012 R2 завершена.

Источник

«Как обеспечить удаленное управление в RDP сессиях на терминальном сервере Windows Server 2012?»- вопрос, который был задан в нескольких обсуждениях на форумах TechNet, послужил основой для данной статьи. Не секрет, что функция
Remote Control (shadowing) уже возвращена в Windows Server 2012 R2, а для тех, кто продолжает эксплуатировать Windows Server 2012 возможность управления(помощи) в сессии пользователя отсутствует. Данная статья посвящена настройке Remote Assistance в качестве
альтернативы Remote Control (shadowing) на терминальных серверах с Windows Server 2012. Также замечу, если необходим доступ к сессиям пользователей, совсем не обязательно использовать System Center Configuration Manager 2012 в связке с Remote Assistance, без
него он прекрасно справляется с этой задачей. Remote Assistance можно запустить практический с любой операционной системы, с той разницей, что в серверных операционных системах его надо предварительно установить, в клиентских операционных системах он установлен
изначально. Настройку Remote
Assistance мы будем производить на терминальном сервере домена.

Итак, приступим!
Для достижения поставленной цели, нам необходимо будет сделать несколько шагов по настройке.

Начнём с консоли ADUC и выберем пользователя, которому будет разрешено подключение к сессиям.

В моем случае User. Но лучше сделать группу, и добавить в нее пользователя, это намного практичнее и облегчит администрирование в дальнейшем.
Название группы произвольное, я назвал Sec_TS_RemoteAssistance. Остальные настройки будут произведены непосредственно на терминальном сервере.

Прежде всего нам необходимо установить Remote Assistance.

После успешной установки, нам нужно настроить несколько локальных политик на сервере.

Очевидно, что если количество терминальных серверов достаточно большое, настройку политик лучше производить в консоли Group Policy Object Editor.

Если один терминальный сервер, как в моем примере, то достаточно редактора локальных групповых политик.

Нажимаем сочетание клавиш «Windows»+»X» -> Run -> gpedit.msc

Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostConnections —

Allow users to connect remotely by using Remote Desktop Services
(Enabled)
Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostConnections — Set rules for remote control of Remote Desktop Services user sessions (Enabled)

Эти политики имеют непосредственное отношение к Remote Assistance, и влияют на режим его работы.
Computer ConfigurationAdministrative TemplatesSystemRemote Assistance —
Configure Offer Remote Assistance (Enabled)

Включаем политику, разрешаем удаленное управление.
Нажимаем кнопку «Show», здесь мы добавляем пользователей или группы домена, которым будет разрешено подключаться без приглашения.

Computer ConfigurationAdministrative TemplatesSystemRemote Assistance —
Configure Solicited Remote Assistance (Enabled)

Этой политикой включается возможность отправки приглашений пользователями.
Так же включаем политику, разрешаем удаленное управление, выбираем способ доставки и время действия.
На этом настройка завершена. После настройки политик необходимо выполнить
gpupdate /force или перезагрузить сервер.

Ниже я продемонстрирую процесс подключения к сессиям терминального сервера. Подключение производится с рабочей станции на которой установлена Windows 7. Исполняемый файл Remote Assistance называется
msra.exe. Достаточно выполнить Start -> Run -> msra.exe , чтобы быстро запустить Remote Assistance. На скриншоте видно, что на сервере есть активные сессии пользователей.

Подключение выглядит следующим образом.

Осталось выбрать пользователя и подключиться, стоит упомянуть, что Remote Assistance всегда запрашивает у пользователя разрешение на подключение и переход в режим управления. Конечный результат такой:

После того, как пользователь дает разрешение на подключение к сессии и управление, все в Ваших руках!

Источник

Добрый день, уважаемые читатели моего блога. В этой статье я рассказываю, как происходить настройка rdp windows server 2012 r2. Во всех операционных системах windows настройка rdp довольно простая задача, но конечно есть особенности, я расскажу и покажу, как настроить rdp в windows 2012 r2…

Введение

Я уже рассказывал, как включить удаленный рабочий стол (rdp) удаленно тут. А также рассказывал, как поменять стандартный порт rdp 3389 на любой другой. Теперь давайте посмотрим, как собственно происходит настройка rdp на winows server 2012, также полезно будет почитать как подключиться к удаленному рабочему столу windows 10.

Хочу напомнить, что rdp — это remote desktop protocol или если по-русски протокол удаленного рабочего стола. Давайте перейдем к настройке.

Настройка rdp windows server 2012 r2 — пошаговая инструкция

Итак, первым делом нам надо включить remote desktop в server 2012 r2. Выполним следующие простые шаги:

Запускаем оснастку Server Manager (сделать это можно кликнув по кнопке прикрепленной на панели задач):
В результате откроется окно настроек, Server Manager. Нам необходимо перейти в раздел Local Serve (слева). Откроется окно настроек сервера. Необходимо найти среди всех настроек пункт Remote Desktop, щелкнуть по значению Disabled.
В результате нажатия значения Disabled, откроется окно включения rdp. Необходимо выбрать следующие значение: Allow remote connections to this computer. Галочка — Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended) означает, что подключиться по RDP можно будет только с компьютеров, у которых есть поддержка Network Level Authentication (проверка подлинности на уровне сети). Если простым языком, то вы не сможете подключиться к этому компьютеру по rdp с Windows XP и windows 2003 (если использовать бубен, то сможете). Так что можете эту галку оставить включенной.
Нажимаем ОК. Все, после этого ваш компьютер доступен по RDP. Но есть особенность с FireWall. Он может блокировать подключения, читаем ниже…

FireWall блокирует RDP

Итак, вы включили rdp, по инструкции выше, но подключиться так и не можете к компьютеру. По умолчанию, в Windows есть разрешающие правила rdp в FireWall. После включения remote desktop эти правила активируются. Но есть одно но, включаются правила только для сетей Domain и Private, и если ваш компьютер находится в сети Public то вы не сможете подключиться по rdp. Надо эти правила активировать.

Вот собственно и все, на этом настройка rdp windows server 2012 r2 завершена. Можете спокойно подключаться к своему серверу. Как это сделать в Windows Xp написано в моей статье — 7.1 rdp клиент для windows xp.

Если у вас остались вопросы, замечания, или какая-то критика, то прошу оставлять их в комментариях. С вашей помощью буду приводить статьи к идеальному виду. Надеюсь, вы нашли ответ на свой вопрос.

С уважением, Александр Глебов.

Загрузка…

Интересные статьи по теме:

Источник

Теневое shadow подключение к RDP/RDS сеансам позволяет администраторам подключиться к сессии любого пользователя для просмотра рабочего стола пользователя и взаимодействия с ним. Режим Remote Desktop Shadowing (теневого подключения) работает во всех современных версиях Windows, начиная с Windows 2012 R2 и Windows 8.1 (кроме версии Windows Server 2012, в которой стек rdp перенесен из режима ядра в пользовательский режим). В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к RDP сессиям пользователей в Windows Server 2016 и Windows 10

Содержание:

Использование Remote Desktop Shadow из графического GUI
Групповые политики управления теневыми подключениями к RDS сессиям в Windows
Теневое подключение RDS Shadow из PowerShell
Как разрешить обычном пользователям использовать теневое подключение?

В Windows Server 2016/Windows 10 в стандартном RDP клиенте (mstsc.exe) есть несколько специальных параметров, которые можно использовать для удаленного теневого (RDS Shadow) подключения к RDP сессии любого пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [/prompt]]

/shadow:sessionID – подключиться к RDP сессии пользователя по ID;
/v:servername – можно указать имя удаленного хоста (RDP/RDS терминального сервера). Если имя сервера не указано, выполняется подключение к локальным сеансам на текущем хосте;
/control – включает возможность взаимодействия с сеансом (рабочим столом) пользователя. Администратор может управлять мышкой пользователя, вводить данные с клавиатуры. Если эта опция не указана, используется режим просмотра сессии пользователя;
/noConsentPrompt – опция позволяет администратору принудительно подключиться к любой сессии, не запрашивая у пользователя подтверждение на подключение;
/prompt – позволяет использовать для подключения другую учетную запись, отличную от текущей. Запрашивается имя и пароль пользователя для подключения к сеансу.

Теневые сеансы можно использовать для подключения к сессиям пользователей на компьютерах и серверах как в домене Active Directory, так и в рабочей группе. Кроме того, не обязательно обладать правами администратора на RDS хосте, на котором работает пользователь. Администраторы могут делегировать полномочия RDS Shadowing любым, даже не-административных учетным записям (об этом ниже).

Использование Remote Desktop Shadow из графического GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или графической консоли Server Manager. Для этого в консоли Server Manager на RDS сервере перейдите в раздел Remote Desktop Services -> выберите свою коллекцию, например QuickSessionCollection.

В списке справа будет перечислен список пользователей у которых имеются сессии на данном RDS сервере. Щелкните правой кнопкой по сессии нужно пользователя, выберите в контекстном меню Shadow (Теневая копия).

Вы можете подключиться только к активной сессии пользователя. Если сессия находится в состоянии Disconnected (отключена по таймауту), подключиться к такой сессии нельзя:

Shadow Error - The specified session is not connected.

Появится окно c параметрами теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:

Запрос на удаленное наблюдение/ Remote Monitoring Request
Winitproadministrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос?

Winitproadministrator is requesting to view your session remotely. Do you accept the request?

Если пользователь подтвердит подключение, то администратор увидит его рабочий стол в режиме просмотра, но не сможет взаимодействовать с ним.

Совет. Для отключения от сессии пользователя и выхода из shadow-режима, нужно нажать ALT+* на рабочей станции или Ctrl+* на RDS сервере (если не заданы альтернативные комбинации).

Если пользователь отклонил административное Shadow RDS подключение, появится окно:

Shadow Error: The operator or administrator has refused the request.

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что это запрещено групповой политикой:

Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

Если вам нужно вести аудит RDS Shadow подключений к пользователям, используйте в качестве фильтра следующие события из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:

Event ID 20508: Shadow View Permission Granted
Event ID 20503: Shadow View Session Started
Event ID 20504: Shadow View Session Stopped

Групповые политики управления теневыми подключениями к RDS сессиям в Windows

Параметры удаленного управлениями RDS сессиями пользователя настраиваются отдельным параметром групповых политик — Set rules for remote control of Remote Desktop Services user sessions (Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов). Данная настройка находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections (Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Подключения) в пользовательской и компьютерной секциях GPO. Данной политике соответствует DWORD параметр реестра Shadow в ветке HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services (значения этого параметра, соответствующие параметрам политики указаны в скобках).

Этой политикой можно настроить следующие варианты теневого подключения RD Shadow:

No remote control allowed — удаленное управление не разрешено (значение параметра реестра
Shadow = 0
);
Full Control with users’s permission — полный контроль сессии с разрешения пользователя (
1
);
Full Control without users’s permission — полный контроль без разрешения пользователя (
2
);
View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (
3
);
View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (
4
).

Вы можете настроить правила удаленного подключения в домене из консоли управления GPO
gpmc.msc
с помощью рассмотренного параметра политики, либо групповой политикой, вносящей изменения напрямую в реестр системы (последний вариант позволяет более тонко нацелить политику на компьютеры с помощью Group Policy Item Level Targeting).

Теневое подключение RDS Shadow из PowerShell

Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.

В первую очередь нужно получить список пользовательских сессий на терминальном RDS сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):
Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate

На данном сервере мы обнаружили три активных RDP сессии пользователей. Чтобы подключиться к сессии пользователя с ID сессии 3, выполните команду:
Mstsc /shadow:3 /control /noConsentPrompt

Также для получения списка всех RDP сессии на сервере (или десктопной редакции Windows 10 к которой разрешены множественные RDP подключения) можно использовать команду:

quser

Или

qwinsta

На экране отобразится список RDP сессий, их ID и статус: активная сессия (Active) или отключенная (Disconnected).

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Чтобы подключиться к сессии пользователя на удаленном сервере, используйте команду:

Mstsc /v:rdsh2:3389 /shadow:3 /control

Для более удобного теневого подключения к RDP сессиям пользователей можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех пользователей с активными RDP сеансами. Вам нужно будет указать ID сеанса, к которому нужно подключится через Shadow сессию:

shadow.bat

@echo off set /P rcomp="Enter name or IP of a Remote PC: " query session /server:%rcomp% set /P rid="Enter RDP user ID: " start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%System32. В результате для теневого подключения к пользователю достаточно выполнить команду shadow.

Для подключения к консольной сессии можно использовать такой скрипт:

@echo off set /P rcomp="Enter name or IP of a Remote PC: " for /f "tokens=3 delims= " %%G in ('query session console /server:%rcomp%') do set rid=%%G start mstsc /shadow:%rid% /v:%rcomp% /control

Также для теневого подключения можно использовать следующий PowerShell скрипт с простым графическим интерфейсом (rdp_shadow_connection.ps1):

Add-Type -assembly System.Windows.Forms $Header = "SESSIONNAME", "USERNAME", "ID", "STATUS" $dlgForm = New-Object System.Windows.Forms.Form $dlgForm.Text ='Session Connect' $dlgForm.Width = 400 $dlgForm.AutoSize = $true $dlgBttn = New-Object System.Windows.Forms.Button $dlgBttn.Text = 'Control' $dlgBttn.Location = New-Object System.Drawing.Point(15,10) $dlgForm.Controls.Add($dlgBttn) $dlgList = New-Object System.Windows.Forms.ListView $dlgList.Location = New-Object System.Drawing.Point(0,50) $dlgList.Width = $dlgForm.ClientRectangle.Width $dlgList.Height = $dlgForm.ClientRectangle.Height $dlgList.Anchor = "Top, Left, Right, Bottom" $dlgList.MultiSelect = $False $dlgList.View = 'Details' $dlgList.FullRowSelect = 1; $dlgList.GridLines = 1 $dlgList.Scrollable = 1 $dlgForm.Controls.add($dlgList) # Add columns to the ListView foreach ($column in $Header){ $dlgList.Columns.Add($column) | Out-Null } $(qwinsta.exe | findstr "Active") -replace "^[s>]" , "" -replace "s+" , "," | ConvertFrom-Csv -Header $Header | ForEach-Object { $dlgListItem = New-Object System.Windows.Forms.ListViewItem($_.SESSIONNAME) $dlgListItem.Subitems.Add($_.USERNAME) | Out-Null $dlgListItem.Subitems.Add($_.ID) | Out-Null $dlgListItem.Subitems.Add($_.STATUS) | Out-Null $dlgList.Items.Add($dlgListItem) | Out-Null } $dlgBttn.Add_Click( { $SelectedItem = $dlgList.SelectedItems[0] if ($SelectedItem -eq $null){ [System.Windows.Forms.MessageBox]::Show("Выберите сессию для подключения") }else{ $session_id = $SelectedItem.subitems[2].text $(mstsc /shadow:$session_id /control) #[System.Windows.Forms.MessageBox]::Show($session_id) } } ) $dlgForm.ShowDialog()

Данный скрипт отобразить графическую форму со списком активных RDP сеансов на локальном сервере. Вам останется только выбрать учетную запись пользователя и нажать Connect.

Вы можете использовать теневое подключение к пользователю не только в Windows Server с ролью Remote Desktop Services, но и для подключения к рабочим столам пользователей на компьютерах с Windows 10 .

Как разрешить обычном пользователям использовать теневое подключение?

В рассмотренных выше примерах для использования теневого подключения к RDP сессиям пользователей необходимы права локального администратора на RDS сервере. Однако вы можете разрешить использовать теневое (shadow) подключение и для непривилегированных пользователей (не предоставляя им прав локального администратора на компьютере/сервере).

К примеру, вы хотите разрешить членам доменной группы AllowRDSShadow использовать теневое подключение к RDP сессиям. Выполните команду в cmd.exe с правами администратора:

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName='RDP-Tcp') CALL AddAccount 'corpAllowRDSShadow',2

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка
STATUS_BAD_IMPERSONATION_LEVEL
). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

для Windows Server 2016 — KB4057142 (от 17 января 2018)
для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)

Источник

Установка терминального сервера Windows server 2012 r2

Хотите купить Windows Server 2012 r2? Тогда вам сюда!

Сразу скажу, что решение от Microsoft сильно удивило меня своей продуманной стратегией, которая отражена на картинке ниже. Похожесть на решение от Citrix тоже бросается в глаза, но почему бы не тянуться за лидером… Итак, начну с того, что теперь вся эта концепция называется виртуализация рабочих мест. По идее разработчиков, на рабочем месте сотрудника должно находиться как можно меньше корпоративной информации, запускаться как можно меньше программ. В идеале вместо системного блока с обратной стороны монитора крепится тонкий клиент , через который на экран передается изображение с серверов. В таком случае вероятность потери данных или поломки чего-либо на рабочем месте сводится к минимуму.

Куда подключаться пользователь?

Существуют два способа подключения к виртуальному рабочему столу, которые мы сейчас с вами и рассмотрим. Первый сценарий называется RD Virtualization host — его принцип заключается в том, что подключение к виртуальной машине для каждого пользователя производится по протоколу RDP 7.1 или выше. Сама виртуальная машина при этом запускается на гипервизоре Hyper V, установленном на сервере. Из особенностей этого сценария подключения к виртуальному рабочему столу можно отметить, что все информация находится в профиле пользователя, а использование технологии RemoteFX от Microsoft позволяет существенно повысить быстродействие работы виртуальной машины. Технология RD Virtualization Host встроена в операционные системы Windows 7 и 8, а значит, у вас нет необходимости приобретать лицензию на RDP. Но для получения права на использование данного метода подключения к виртуальной машине, необходимо на каждого пользователя приобретать подписку за 110$ в год.

О следующем сценарии как раз-таки и пойдет речь в данной статье. Он называется RD Sessionhost, и при выполнении данного сценария, все процессы, которые пользователи видят на своем мониторе, на самом деле происходят на сервере Remote Desktop host. При этом у пользователя на выбор есть два способа удаленного запуска приложений: либо через браузер, либо через ярлыки на рабочем столе. При этом вы сможете использовать и самое стандартное подключение к удаленному рабочему столу сервера. При этом работа с Windows server 2012 r2 будет интуитивно понятна, как как по интерфейсу он в целом похож на Windows 8.

Установка

Для установки используется свежеустановленная Windows server 2012 Beta и статья-руководство на technet. Как обычно, все идет не так как написано в мануале.

1.. Входим в Server Manager. Справа вверху выбираем Manage -> Add Roles and Features. Для установки сервиса удаленных рабочих столов предусмотрен специальный мастер Remote Desktop Services installation

2.. Для одного сервера, выбираем Quick Start. Мастер обещает установку сервиса удаленных рабочих столов, настройку Collection и RemoteApp programs.

3.. Выбираем, что наши пользователи будут подключаться к серверу (собственным сессиям на сервере), а не к собственным виртуальным машинам.

4.. По сценарию на наш сервер будут добавлены следующие серверные роли:

RD Connection Broker – контроль подключений пользователей, определяет для какого пользователя на каком сервере будет открыта сессия или запущено приложение

Web Access – доступ к приложениям через веб браузер

RD session Host – сервер, на котором будут опубликованы приложения и на который пользователи смогут подключаться через удаленный рабочий стол.

Если инфраструктура у вас большая или вам нужна отказоустойчивость, то необходимо дублировать серверы с данными ролями, изначально решение создавалось как кластерное.

5.. После чего начинается «автоматическая» настройка ролей, которая кончается ошибкой настройки Session collection и отменой установки RemoteApp programs. Наверное, в ходе работы мастера должны запускаться другие диалоги настроек, но пока не работает. После установки первой роли сервер перезагружается и включается триальный период работы RDP сервера 120 дней.

6.. Чтобы завершить установку в ручную, выбираем в Server Manager вкладку управления ролью Remote Desktop Services

7.. Там видим еще одно графическое представление плана установки. Первые два пункта у нас выполнены.

8.. Кликаем по третьему пункту, Create session collection. Запускается мастер создания.

9.. Придумываем название для Session Collection

10.. Выбираем наш сервер, в качестве RD session Host

11.. Выбираем группы или отдельных пользователей, которые смогут подключаться к нашему серверу по протоколу RDP

12.. Нужно выбрать, где централизованно будут храниться данные о пользовательских сессиях, настройки. Дело в том, что сессия пользователя запускается как-бы в подобии виртуальной машины и в папке с профилями будут храниться виртуальные жесткие диски .vhdx В процессе использования, когда вы зайдете под администратором, то не найдете на системном диске никаких признаков присутствия юзеров.

13.. Вот теперь установка закончилась удачно.

14.. Нам осталось опубликовать приложения, слева вверху выбираем созданную ранее Collection 1

15.. Находим раздел REMOTEAPP PROGRAMS и выбираем Publish RemoteApp programs.

16.. Появляется выпадающий список программ, которые доступны на сервере. Среди них нет Internet Explorer, но его можно добавить здесь же в ручном режиме, если нажать на Add. Выбираем понравившиеся приложения галочками.

17.. Подтверждаем, что не ошиблись в выборе.

18.. Дальше сам Windows server 2012 r2 подсказок не дает. Как бы понятно, что нужно подключиться, но что для этого нужно сделать… обращаемся к статье на TechNet.

19.. Открываем браузер на компьютере пользователя, и заходим по адресу, в моем случае, https://rdp2012.azon.local/RDweb вводим данные пользователя, который входит в группу Пользователи домена.

20.. После авторизации попадаем на страницу с опубликованными приложениями.

21.. Также есть возможность подключиться к серверу, но нужно знать его имя. Не очень удобно.

22.. Приложения, как положено, открываются в отдельных окнах, что создает ощущение, как будто вы запустили программу на своем компьютере.

23.. Для проверки плавности хода курсора рисую мышкой круг, очень хорошо. Вообще, протокол RDP 7.1 избавлен от проблем прошлых версий. Я, например, подключаюсь по нему к своей рабочей машине. Браузер с flash, почта, редакторы работают шустро.

На этом первую часть статьи, можно считать законченной. Во второй части будем настраивать Сценарий RD Virtualization host.

Источник

Полный список параметров RDPклиента mstsc.exe, определяющих возможность удаленного теневого подключения к сессии конечного пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]]

/shadow:ID – подключится к RDP сессии с указанным ID.

/v:servername – имяRDP/RDS терминального сервера (если не задано, используется текущий).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.

/prompt –используется для подключения под другими учетными данными. Запрашивается имя и пароль пользователя для подключения к удаленному компьютеру.

Использование Remote Desktop Shadow из графического GUI

выберите в контекстном меню Shadow (Теневая копия)

Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии)

Если пользователь подтвердит, подключение, в режиме просмотра администратор увидит его рабочий стол, но не сможет взаимодействовать с ним.

Совет. Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что такое это запрещено групповой политикой:

Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

Параметры удаленного управлениями RDS сессиями пользователя настраиваются политикой Set rules for remote control of Remote Desktop Services user sessions (Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов), которая находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections (Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Подключения) в пользовательской и «компьютерной» секциях GPO. Данной политике соответствует dword параметр реестра Shadow в ветке HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services.

Этой политикой можно настроить следующие варианты теневого подключения через теневое подключение RD Shadow::

No remote contol allowed — удаленное управление не разрешено (значение ключа реестра Shadow = 0);
Full Control with users’s permission — полный контроль с разрешения пользователя (1);
Full Control without users’s permission — полный контроль без разрешения пользователя (2);
View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (3);
View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (4).

Теневое подключение RDS Shadow из PowerShell

В первую очередь покажем, как получить список сессий на терминальном сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):

Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate
На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:
Mstsc /shadow:3 /control

Также для получения списка всех сессии на сервере можно выполнить команду

quser

Или

qwinsta

На экране отобразится список RDP сессий, их ID и статус: активная сесиия (Active) или отключенная (Disconnected).

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Для более удобного теневого подключения к сессиям можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех сеансов и предложит указать сеанс, к которому нужно подключится:

shadow.bat

@echo off set /P rcomp="Enter name or IP of a Remote PC: " query session /server:%rcomp% set /P rid="Enter RDP user ID: " start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%System32, в результате для теневого подключения достаточно выполнить команду shadow.

Для подключения к консольной сессии можно использовать такой скрипт:

@echo off set /P rcomp="Enter name or IP of a Remote PC: " for /f "tokens=3 delims= " %%G in ('query session console /server:%rcomp%') do set rid=%%G start mstsc /shadow:%rid% /v:%rcomp% /control

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=”RDP-Tcp”) CALL AddAccount “corpAllowRDSShadow”,2

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

для Windows Server 2016 — KB4057142 (от 17 января 2018)
для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)

Источник

Вы еще не знакомы с Windows Server 2012? Мне вот уже «посчастливилось» настраивать на нем терминальный сервер. Честно говоря, совершенно не понятно зачем было пихать новый ленточный интерфейс в сервер — логика Microsoft последнее время не поддается объяснению.

Но это не самое страшное. Отныне, для установки роли терминального сервера необходимо поднимать домен. Вот такого сюрприза я не ожидал… домен мне не нужен в принципе. Настройка домена занимает не много времени, но зачем плодить сущности там, где они не нужны.

Однако всё оказалось решаемо, пусть и с некоторыми дополнительными действиями, о которых узнал c technet.microsoft.com.

Настраиваем роль терминального сервера на WinServer 2012 без поднятия домена

Принципиальных отличий в установке Windows Server 2012 от Windows Server 2008 R2 нет, потому этот этап пропустим. Замечу, что операционная система прекрасно ставится с флешки, на которую был записан образ (давно уже не использую CD/DVD — медленно и нудно). Перейдем непосредственно к установке роли RDS на сервере.

Для этого запустим Диспетчер серверов (Server Manager), и перейдем в поле Локальный сервер (Local Server)

Далее запускаем мастер добавления ролей и компонентов, где выбираем тип установки Установка ролей или компонентов (Role-based or feature-based installation)

Производить установку всех компонент роли RDS можно сразу, но на Technet, для лучшего понимания процесса, советуют разделить этот процесс на два этапа. Последуем этому совету и мы.

Первой установим компоненту Лицензирование удаленных рабочих столов (Remote Desktop Licensing)

После завершения процесса, запускаем Диспетчер лицензирования удаленных рабочих столов (RD Licensing Manager), в котором активируем наш сервер лицензий и устанавливаем пакет терминальных лицензий (например: Windows Server 2012 — RDS Per User CAL, 5 шт.).

Никаких новшеств здесь нет, а потому описывать подробно данный процесс не стану (возможно раскрою тему в одной из будущих статей — жду ваших предложений и комментариев).

Весь процесс активации и установки пакета лицензий на себя берет мастер, наша задача правильно выбрать программу лицензирования, тип лицензий, количество и т.д.

Вторым этапом устанавливаем компоненту Узел сеансов удаленных рабочих столов (Remote Desktop Session Host).

После установки этой компоненты у нас появится Средство диагностики лицензирования удаленных рабочих столов (RD Licensing Diagnoser), которое сообщит нам ошибку об отсутствии сервера, раздающего терминальные лицензии (скриншота с ошибкой к сожалению не сделал, приведен уже работающий вариант сервера).

Стоит заметить, что в оснастке отсутствуют инструменты управления, которые были в Windows Server 2008 R2, т.е. возможности добавления сервера лицензий нет.

Настраиваем локальные политики для серверов находящихся в рабочей группе

Осталось самое интересное. Исправить данную ситуация не сложно — достаточно настроить всего две локальные политики. В строке терминала пишем gpedit.msc и изменяем соответствующие ключи.

Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовЛицензирование — Использовать указанные серверы лицензирования удаленных рабочих столов (добавляем имя нашего сервера)

Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовЛицензирование — Задать режим лицензирования удаленных рабочих столов (выбираем тип лицензий)

Англоязычный вариант:

Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostLicensing — Use the specified Remote Desktop license servers (добавляем имя нашего сервера)

Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostLicensing — Set the Remote licensing mode (выбираем тип лицензий)

Установка компоненты — Remote Desktop Web Access

Если, в качестве клиента требуется использовать браузер, устанавливаем дополнительную компоненту Remote Desktop Web Access. Тутвообще все просто, нужно лишь разрешить мастеру добавить то, что он хочет, в частности IIS. После окончания установки, на клиентской машине в браузере сервер должен ответить и показать страницу Remote Web Access.

Обратиться к серверу терминалов через браузер можно по адресу https://ip/rdweb

Подписывайтесь на канал

Яндекс.Дзен

и узнавайте первыми о новых материалах, опубликованных на сайте.

Источник