Вы можете использовать возможности теневых подключений (Remote Desktop Shadowing) для удалённого подключение к сессиям пользователей на компьютерах Windows. Это функционал является по сути аналогом Remote Assistance и позволяет администраторам удаленно просматривать и взаимодействовать с рабочим столом пользователей как на десктопных версиях (Windows 11 или 10), так и на RDS серверах Windows Server.
Содержание:
- Настройка клиентов Windows для удаленного подключения через теневые сессии
- Удаленное подключение к сессии пользователя Windows через RDP Shadowing
Настройка клиентов Windows для удаленного подключения через теневые сессии
Вам нужно определенным образом настроить компьютеры, к которым вы хотите подключаться через теневое подключение.
- Включите удаленный рабочий стол (RDP) на компьютерах пользователей (вручную или через GPO);
- Ваша учетная запись должна обладать правами локального администратора на компьютере пользователей (вы можете добавить пользователя в группу администраторов вручную или с помощью групповых политик);
- Настройте режим теневого подключения (нужно ли запрашивать подтверждение пользователя, и возможно управления в сессии или только наблюдение). Можно настроить режим через групповую политику “Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов” (Set rules for remote control of Remote Desktop Services user sessions) в разделе Конфигурация компьютера -> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов –> Узел сеансов удаленных рабочих столов –> Подключения (Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections).
Доступны 5 режимов:0 – запретить удаленное управление;
1 — полный контроль с разрешения пользователя;
2 — полный контроль без разрешения пользователя;
3 — наблюдение за сеансом с разрешения пользователя;
4 — наблюдение за сеансом без разрешения пользователя. - Вы можете включить нужный режим напрямую в реестре. Отредактируйте реестр вручную или с помощью команды (в этом примере мы установили 4 режим – разрешить просмотр сеанса пользователя без уведомления):
reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services" /v Shadow /t REG_DWORD /d 4
По умолчанию данный теневое подключение выполняется в режиме полного контроля с разрешения пользователя.
- Настройте правила Windows Defender Firewall, разрешающие трафик теневых подключений по сети. Для трафика session shadowing в Windows вместо стандартного порта 3389/RDP используются порты 139/TCP, 445/TCP и диапазон динамических RPC портов (49152 по 6553). Чтобы разрешить входящий трафик теневых подключений, нужно включить два преднастроненных правила в Windows:
File and Printer Sharing (SMB-In)
и
Remote Desktop - Shadow (TCP-In)
. Последнее правило разрешает удаленный доступ к процессу
RdpSa.exe
. Вы можете включить правила Windows Defender на компьютерах пользователей через GPO или с помощью PowerShell командлета Enable-NetFirewallRule.
Удаленное подключение к сессии пользователя Windows через RDP Shadowing
Рассмотрим, как удаленно подключиться рабочему столу сессии другого пользователя на удаленном компьютере Windows через теневые подключения RDP. В этом примере я покажу, как подключиться с компьютера Windows 11 к сессии пользователя на рабочей станции пользователя с Windows 10.
Для теневого подключения к сессии пользователя используется стандартная RDP утилита mstsc.exe. Формат команды такой:
Mstsc.exe /shadow:<ID сессии> /v:<Имя или IP адрес компьютера>
Также можно использовать одну из опций:
- /prompt – запросить имя и пароль пользователя, под которым выполняется подключение (если не указано, подключение выполняется под текущим пользователем).
- /control – режим взаимодействия с сеансом пользователя. Если параметр не задан, вы подключитесь в режиме просмотра (наблюдения) сессии пользователя, т.е. вы не сможете управлять его мышью и вводить данные с клавиатуры;
- /noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.
Теперь нужно узнать имя пользователя и ID его сессии на удаленном компьютере (если пользователь работает непосредственно за консолью компьютера, то ID его сессии всегда будет равно 1).
Выведем список сессий пользователей на удаленном компьютере (это может быть как десктопный компьютер с Windows 11/10 или Windows Server с ролью Remote Desktop Services Host (RDSH).
qwinsta /server:wks-w10b01
В данном примере видно, что на компьютере залогинен один пользователь a.novak, который работает непосредственно за компьютером (
SESSIONNAME=console
). Идентификатор сессии ID=1.
Чтобы подключиться к рабочему столу этого пользователя через теневое подключение, выполните команду:
mstsc.exe /shadow:1 /v:wks-w10b01
На экране пользователя Windows появится запрос подтверждения подключения администратора к его сеансу: Запрос на удаленное подключение Username запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос.
Если служба TermService на удаленном компьютере отключена, то при попытке удалённого подключения через RDP shadow появится ошибка:
The version of Windows running on this server does not support user shadowing
Если пользователь разрешит соединение, вы подключитесь к его консольному сеансу и увидите его рабочий стол. Вы будете видеть все действия пользователя, но не сможете взаимодействовать с его сессией. Если вы хотите управлять его сессией, добавьте в команду параметр /control. В этом случае надпись в заголовке окна сменится с
Viewing username (sessionID 1) on computername
на
Controlling…
В данном случае вы подключились непосредственно подключиться к консольной сессии пользователя без блокировки его сеанса. При удаленном подключении к Windows 10 через обычный RDP, то сессия локального отключается (даже если вы включите возможность использования нескольких одновременных RDP сессий в Windows 10).
Если сессия пользователя заблокирована, или появляется запрос повышения привилегий UAC, то без исопльзования режима
mstsc /control
окно с теневой сессией становится черным и на нем появляется символ паузы.
Теневая сессия переходит в приостановленное состояние, если у пользователя появляется запрос UAC на Secure desktop. После того, как пользователь подтвердит действие UAC, ваша сессия возобновится.
Чтобы развернуть окно теневой сессии во весь экран, воспользуйтесь комбинацией клавиш Ctrl + Alt + Break.
Для завершения теневой сессии нажмите на компьютере
alt+*
(или
ctrl+*
на RDS сервере).
Вы можете оповестить пользователя о том, что кто-то удаленно подключится к его сессии через теневое подключение с помощью следующего PowerShell скрипта:
while($true){
if (Get-Process -Name "RdpSa" -ErrorAction SilentlyContinue){[console]::beep(1000,500);Write-Host "RdpSa is running at $(Get-Date)"}
Start-Sleep -Seconds 1
}
В данном примере мы оповещаем пользователя звуковым оповещением, но вы можете вывести всплывающее уведомление на рабочий стол. Можно запустить этот PowerShell скрипт как службу Windows.
Вы можете получить историю теневых подключений к компьютеру пользователя из журнала событий Windows. Все интересующие вас логи находятся в разделе Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:Event Viewer
- Event ID 20508 — Shadow View Permission Granted
- Event ID 20503 — Shadow View Session Started
- Event ID 20504 — Shadow View Session Stopped
Вы можете получить логи теневых подключений к компьютеру с помощью PowerShell:
$EventIds = 20508,20503,20504
Get-WinEvent -FilterHashTable @{LogName='Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational';ID=$EventIds}
Функционал теневого подключения Remote Desktop Shadowing работает в Windows 11/10/ 8.1 и Windows Server 2022/2019/2016/2012 R2. Таким образом Remote Desktop Shadowing можно использовать как аналог Remote Assistance (Удаленный помощник) или TeamViewer/Anydesk для локальной или корпоративной сети.
Previous Story
Mikrotik сохранение.
Next Story
Настройка удаленного доступа MySQL и MariaDB
Latest from Blog
Связка из Postfix и Dovecot плюс стандартный обвес из антивируса, антиспама и прочих утилит. Доменные имена
Keycloak + PostgreSQL Keycloak — продукт с открытым кодом для реализации single sign-on с возможностью управления
перевод статьи: https://cloudinfrastructureservices.co.uk/install-keycloak-sso-on-ubuntu-20-04/ Keycloak – это бесплатное решение для управления идентификацией и доступом с открытым исходным кодом
Вне зависимости от того, как долго и тщательно программное обеспечение проверяется перед запуском, часть проблем проявляется
Что такое сервер freeRADIUS? RADIUS — это протокол AAA (аутентификация, авторизация и учет), который помогает контролировать
Обновлено 15.03.2022
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами разобрали установку Hyper-V в Windows 11. Сегодня я хочу с вами разобрать тему удобной поддержки пользователей встроенными средствами Windows. Речь пойдет, о теневом подключении RDP или Remote Desktop Shadowing. Мы рассмотрим, как она реализована, как предоставляются права и многое другое. Статья получиться большой, но поверьте оно того стоит. Благодаря этому вы сможете сэкономить бюджеты компании, отказавшись от стороннего ПО.
💻 Что такое теневой сеанс Remote Desktop Shadowing?
Все мы прекрасно помним 2020 год, когда массово вводились ограничения и все пользователи переходили на дистанционное положение. Это заставило все компании организовать для сотрудников рабочее окружение, и самое главное это отслеживание и предоставление удаленной помощи, при возникших проблемах. Для удаленной помощи используется много различного программного обеспечения, например teamviewer, VNC, Dameware и многое другое, большая проблема в том, что все они платные для коммерческого использования. Не все компании готовы платить за это деньги, но в Windows есть и встроенная возможность, о которой многие просто не знают.
Режим Shadow (теневой сеанс RDP/RDS) — Это встроенное средство, позволяющее системным администраторам производить подключение в RDP сессию любого пользователя, видя его экран, имея возможность производить любые манипуляции курсором и сеансом, одним словом полное взаимодействие. Remote Desktop Shadowing идет в составе начиная с Windows 8.1, Windows Server 2012 R2 и выше.
Теневое копирование служб удаленных рабочих столов имеет как графический интерфейс, так и утилиту командной строки. Есть две версии функции. Так как устаревшая версия Remote Desktop Services Shadowing несовместима с последней версией утилиты, то я не буду подробно описывать предыдущую версию, а лишь упомяну несколько слов в качестве исторической справки. В более ранних версиях Windows файл shadow.exe позволял пользователю подключаться к удаленному узлу с помощью метода теневого копирования служб удаленных рабочих столов. Короче говоря, это предшественник утилиты mstsc и ее параметра /shadow. Он был представлен в Windows Server 2003 и доступен во многих версиях Windows.
Кроме того, есть два приложения с графическим интерфейсом, и они делают одно и то же: управление службами терминалов (TSAdmin), которое присутствует с Windows Server 2003, и диспетчер служб удаленных рабочих столов (RDSM), который является частью инструментов удаленного администрирования сервера (RSAT) и заменяет TSAdmin в Windows Server 2012.
Ключевое различие между версиями RDS Shadowing заключается в том, что в устаревшей версии вы должны сначала установить соединение RDP, чтобы получить сеанс на удаленном хосте, прежде чем вы сможете затенить чей-либо еще сеанс на этом хосте. В последней версии вы можете затенить сеанс пользователя на удаленном хосте с консоли вашего собственного хоста. В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к RDP сессиям пользователей в Windows Server 2022 и Windows 11.
⚙️ Какие порты использует теневое копирование служб удаленных рабочих столов
Функция теневого копирования служб удаленных рабочих столов не использует порт 3389/TCP (RDP), вместо этого он использует порт 445/TCP (SMB) и эфемерные порты, также известные как динамический диапазон портов (RPC). Так же на удаленном компьютере, куда вы будите производить подключения должны быть добавлены правила:
- Первое правило называется «File and Printer Sharing (SMB-In)», которое позволяет подключаться к порту 445/TCP;
- Второй есть «Remote Desktop — Shadow (TCP-In)». Это позволяет %SystemRoot%system32RdpSa.exe двоичному файлу обрабатывать входящие соединения на любом локальном TCP-порту. Динамический диапазон портов в Windows обычно включает TCP-порты с 49152 по 65535.
Какой уровень прав необходим для использования Remote Desktop Services Shadowing
Для того, чтобы вы могли производить теневое подключение к пользователям RDS фермы или отдельным серверам, вам нужны права администратора на конечных серверах, но и это можно обойти, произведя точечное делегирование прав на функцию shadow, не имея при этом административного доступа на конечных серверах. Как это организовать я покажу, немного ниже.
⚒ Настройка групповой политики управления теневыми подключениями к RDS сессиям в Windows
Перед тем, как мы с вами разберем практические методы подключения Remote Desktop Shadow, нам нужно настроить групповую политику, которая будет определять, как оператор, кто будет помогать конечному пользователю, будет с ним взаимодействовать. У системного администратора есть возможность оставить пользователю одобрение подключения или же можно сделать без уведомления, существует пять вариантов политики.
- No remote control allowed — удаленное управление не разрешено (значение параметра реестра 0) — Идет по умолчанию, если политика не задана
- Full Control with users’s permission — полный контроль сессии с разрешения пользователя (значение параметра реестра 1 )
- Full Control without users’s permission — полный контроль без разрешения пользователя (значение параметра реестра 2)
- View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (значение параметра реестра 3)
- View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (значение параметра реестра 4).
Данный ключ реестра можно найти в разделе HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services под названием «Shadow«
Найти данную политику можно по пути:
Конфигурация Компьютера — Политики — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Подключения (Policies — Administrative Templates — Windows components — Remote Desktop Services — Remote Session Host — Connections)
Она будет иметь название «Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов (Set rules for remote control of Remote Desktop Services user sessions)«
Чтобы получить текущее значение ключа Shadow, вам необходимо на конечном компьютере открыть командную строку и ввести:
reg query «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services» /v Shadow
Его также можно установить вручную с помощью командной строки, введя следующую команду:
reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services» /v Shadow /t REG_DWORD /d 4
Чтобы удалить тип теневого ключа:
reg delete «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services» /v Shadow /f
🌐 Подключение Remote Desktop Shadow из графического интерфейса
Данный метод является наверное самым удобным, так как позволяет визуально все видеть, контролировать. Все, что вам нужно это собранная оснастка по управлению RDS фермой в диспетчере серверов, как это делать смотрите по ссылке слева. В качестве тестового пользователя я буду использовать Барбоскина Геннадия Викторовичу (Barboskin.g). Для начала давайте его найдем, для этого в оснастке выберите нужную коллекцию, в области «Подключения» произведите поиск вашего пользователя. После его нахождения кликните по нему правым кликом, в контекстном меню вы увидите пункт «Теневая копия (Shadow)«.
У вас появится дополнительное окно с параметрами теневой копии:
- Удаленный сеанс — Просмотреть/Управление. Тут либо вы просто наблюдатель, все действия делает сам пользователь или же полный контроль.
- Запрашивать согласие пользователя
У пользователя на удаленном сервере появится окно «Запрос на удаленное наблюдение. Пользователь запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос? (User is requesting to view your session remotely. Do you accept the request?) «, тут он может подтвердить или отказаться.
Хочу напомнить, что вы можете управлять данным окном, будет оно требоваться или нет, через групповые политики.
Если у вас явным образом не задано отсутствие данного окна, то вы получите ошибку, если захотите подключиться без уведомления.
Согласно настройкам групповой политики требуется согласие пользователя. Проверьте настройки групповой политики (The Group Policy setting is configured to require the user’s consent)
Если конечный пользователь подтвердил запрос на удаленное наблюдение, то у вас должно открыться новое RDP окно, где будет отображена сессия удаленного пользователя и с ней можно взаимодействовать.
Если пользователь закроет окно RDP подключения, то он перейдет в статус «Отключен (Disconnected)«, то вас выкинет из сессии теневого копирования. Вы увидите:
Сеанс с теневым доступом был отключен
Подключиться к сеансу в статусе «Отключен (Disconnected)» не получиться, опция «Теневая копия (Shadow)» просто не будет присутствовать в списке
Чтобы завершить сессию пользователя и выйти из shadow-режима, нужно нажать сочетание клавиш ALT+* на рабочей станции или Ctrl+* на RDS сервере (Так же можно переопределить данные комбинации).
Второй вариант, которым я могу пользоваться при теневом копировании к пользователю RDP, это использование бесплатного ПО по работе с RDS. Оно называется Terminal Services Manager, о нем я вам делал подробный обзор. Найдите в списке пользователей нужного вам, кликните по нему правым кликом и выберите пункт «Shadow«.
У вас так же появится окно, где вы должны запросить доступ с нужным уровнем, а далее все как описано выше.
🔍 Логирование сессий теневого копирования
Если у вас появится желание отслеживать данные, о подключениях с использованием теневого копирования, то вам необходимо на сервере куда производилось затемнение сеанса перейти в журнал:
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
Вот такая будет последовательность.
- Событие ID 20508
Событие ID 20508: Предоставлено разрешение на теневой просмотр. Пользователь barboskin.g (идентификатор сеанса: 440) предоставил разрешение пользователю Сёмину Ивану
- Событие ID 20503
Событие ID 20503: Запущен теневой просмотр сеанса. Просмотр пользователем (Иван Сёмин) на компьютере c-10-.root.pyatilistnik.org сеанса пользователя ROOTbarboskin.g (идентификатор сеанса: 440)
- Событие ID 20504
Событие ID 20504 : Остановлен теневой просмотр сеанса. Просмотр пользователем (Семин Иван) на компьютере c-10.root.pyatilistnik.org сеанса пользователя ROOTbarboskin.g (идентификатор сеанса: 440)
- Событие ID 20513
Событие ID 20513: Сбой теневого доступа к сеансу. Пользователю (Иван Сёмин) не удалось получить теневой доступ к сеансу пользователя Rootbarboskin.g (идентификатор сеанса: 440) из-за настроек групповой политики.
- Событие ID 20510
Событие ID 20510: Предоставлено разрешение на теневое управление. Пользователь ROOTbarboskin.g (идентификатор сеанса: 440) предоставил разрешение пользователю (Иван Сёмин)
Как использовать теневое подключение через PowerShell и командную строку
Напоминаю, что в качестве клиентской ОС у меня установлена Windows 11, а подключаться я буду к сессия пользователя работающего за Windows Server 2022. Для того, чтобы мы могли из PowerShell или командной строки использовать теневое копирование, мы должны вызвать утилиту mstsc.
mstsc — это по сити встроенный RDP клиент в операционной системе Windows. Запустите оболочку PowerShell и введите:
В результате вы получите полную справку по данной утилите со всеми ключами. Тут нас будут интересовать из всего перечня 4 ключа:
- /prompt — По сути это ключ для запуска процедуры от другого пользователя. Например вы локально сидите под обычной учетной записью, а команду хотите запускать из под административной.
- /shadow:sessionID – подключиться к указанной сессии пользователя по ID;
- /control – Дает вам возможность полного управления мышкой и клавиатурой при теневой сессии.
- noConsentPrompt — Разрешает удаленное управления без согласования пользователем
- /v:servername – можно указать имя удаленного хоста (RDP/RDS терминального сервера). Если имя сервера не указано, выполняется подключение к локальным сеансам на текущем хосте;
Перед использованием RDS Shadowing мне нужно выяснить SessionID клиента к которому буду подключаться, как это сделать я уже рассказывал. Я для своего обзора буду использовать камандлет Get-TSSession.
Get-TSSession -ComputerName Имя сервера
Нужный мне SessionID 517.
Теперь подключаемся к сессии пользователя на удаленном сервере, для этого конструкция будет такой:
mstsc /v:term /shadow:517 /control /prompt
Кстати если будет писать, что не правильное имя компьютера, то уберите в команде номер порта
Если вы запускаете с запросом учетных данных другого пользователя, то появится всплывающее окно с вводом логина и пароля.
У удаленного пользователя работающего по RDP появится всплывающее окно, где он должен подтвердить ваш запрос:
Пользователь запрашивает удаленное управление вашим сеансом. Вы принимаете этот запрос?
Удобный Bat файл для использования Remote Desktop Services Shadowing в командной строке
Создайте из текстового файла batник, поменяв расширение. И добавьте вот такое содержимое, теперь при его запуске будет выводиться список сеансов и удобный запрос ID.
@echo off
mode con:cols=100 lines=30
query session
echo
set /p usersession= Enter the session ID:
mstsc /shadow:%usersession% /control /noconsentprompt
Как дать права на теневые сеансы не администраторам
Как я указывал выше, теневое копирование можно использовать по умолчанию, только администраторам конечного сервера, НО если у вас есть, например техническая поддержка, которая помогает пользователям удаленного рабочего стола устранять через теневые сеансы их проблемы, и вы не хотите их делать администраторами на серверах, то вы можете делегировать им права, только на данный функционал.
И так, режим shadow для непривилегированного пользователя в Windows Server организовывается через PowerShell. Вам необходимо имя группы, для которой будут делегированы права и выполнить команду на конечном сервере. Но для начала давайте посмотрим у кого уже есть такие права. Для этого в оболочке PowerShell выполните:
Get-WmiObject Win32_TSAccount -Namespace rootCIMV2TerminalServices -Filter «TerminalName=’RDP-Tcp'»
Для cmd:
Обратите тут на поле _GENUS — это как раз разрешение. Данная команда вам будет полезна, когда вы добавите группу и проверите, появилась ли она тут. Цифра 2 в конце определяет тип доступа:
- 0 = WINSTATION_GUEST_ACCESS
- 1 = WINSTATION_USER_ACCESS
- 2 = WINSTATION_ALL_ACCESS
Далее я дам права для группы ROOTRDP-SHADOW-SESSION, чтобы она могла использовать Remote Desktop Services Shadowing.
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=»RDP-Tcp») CALL AddAccount «ROOTRDP-SHADOW-SESSION«,2
Не забываем, что вам потребуется произвести перезагрузку сервера, чтобы все вступило в силу
Проверим, что они появились
Чтобы удалить права, выполните:
$Group = @(gwmi —Namespace RootCIMv2TerminalServices —query «select * from Win32_TSAccount where TerminalName=»RDP-TCP» AND AccountName=»ROOTRDP-SHADOW-SESSION«)
$Group.Delete()
Массовая настройка теневого подключения для не администраторов
Если у вас, как в моей компании RDS ферма состоит из 50 и более RDSH хостов, то чтобы вам не ходить по каждому из них, нужно воспользоваться вот таким моим скриптом PowerShell.
function Date {Get-Date -Format «yyyy.MM.dd HH:mm:ss»}
# Тут подгружаем файл со списком серверов
$comps_file = «$PSScriptRootservers.txt»
foreach ($server in (Get-Content $comps_file))
{
«$(Date) Trying to process server $server»
# wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName =»RDP-Tcp») CALL AddAccount ,2
$status = $null
$rds = Get-WmiObject -Namespace root/cimv2/terminalservices -Class Win32_TSPermissionsSetting -Filter «TerminalName = ‘RDP-Tcp'» -ComputerName $server
$status = $rds.AddAccount(«ROOTRDP-SHADOW-SESSION«,2)
if ($status.ReturnValue -eq 0)
{
«$(Date) All good»
}
else
{
«$(Date) Something went wrong»
}
}
Устранение непредвиденной ошибки
В Windows Server 2012R2-2016 вы можете получить ошибку «Неопознанная ошибка или Произошла внутренняя ошибка» при попытке использования функционала shadow. Тут все дело в том, что у вас не установлены обновления от 2018 года.
в логах вы можете обнаружить события STATUS_BAD_IMPERSONATION_LEVEL
- Windows Server 2016 — KB4057142 (от 17 января 2018)
- Windows Server 2012 R2 — KB4057401 (от 17 января 2018)
Содержание
- Теневое RDP подключение к рабочему столу пользователя в Windows 10
- Теневое RDP подключение к рабочему столу пользователя в Windows 10
- Теневое RDP подключение к рабочему столу пользователя в Windows 10
- RDP Wrapper Library
- Модификация файла termsrv.dll
- I. Создание пользователя и настройка прав для доступа по RDP
- II. Настройка терминального сервера с доступом по RDP
- III. Подключение к удаленному рабочему столу
- Введение
- Превращаем Windows 10 в сервер терминалов
- Заключение
- Онлайн курс по Linux
Теневое RDP подключение к рабочему столу пользователя в Windows 10
Помимо использования Remote Assistance, вы можете удаленно подключиться к рабочему столу пользователя Windows 10 с помощью теневого RDP подключения (Remote Desktop Shadowing). Большинство администраторов так или иначе пользовались этим функционалом для подключения к сессиям пользователей на терминальных RDS серверах с Windows Server 2012 R2 / Server 2016. Однако далеко не все знают, что теневое подключение можно использовать для удаленного просмотра и взаимодействия с рабочим столом пользователя и на десктопной Windows 10. Рассмотрим, как это работает.
Как вы помните, если попытаться удаленно подключится к компьютеру с Windows 10 через RDP, то сессия пользователя, работающего локально выбивается (даже если вы включите возможность использования нескольких одновременных RDP сессий в Windows 10). Однако вы можете подключится непосредственно подключиться к консольной сессии пользователя без блокировки его сеанса.
Предположим, вам нужно подключиться с сервера Windows Server 2012 R2 к рабочему столу пользователя, работающего локально за рабочей станцией с Windows 10.
Для теневого подключения к сессии пользователя нужно использовать стандартную RDP утилиту mstsc.exe. Формат команды такой:
Также можно использовать одну из опций:
Режим теневого подключения (нужно ли запрашивать подтверждение пользователя, и возможно управления в сессии или только наблюдение) настраивается с помощью групповой политики или редактирования реестра.
Вместо включения политики можно выставить значение dword ключа с именем Shadow в ветке реестра HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services. Допустимые значения:
По умолчанию данный ключ не задан и теневое подключение осуществляется в режиме полного контроля с разрешения пользователя.
Чтобы удаленно подключится к компьютеру через теневое подключение, у подключающейся учетной записи должны быть права администратора на компьютере, а в свойствах системы включен удаленный рабочий стол (RDP).
Запросим удаленно список сессий на рабочей станции Windows 10 командой:
qwinsta /server:192.168.11.60
Как вы видите, на данном компьютере имеется одна консольная сессия пользователя с идентификатором >
Итак, попробуем удаленно подключиться к сессии пользователя через теневое подключение. Выполните команду:
Mstsc /shadow:1 /v:192.168.11.60
На экране пользователя Windows 10 появится запрос:
Если пользователь разрешит соединение, вы подключитесь к его консольному сеансу и увидите его рабочий стол. Вы будете видеть все действия пользователя, но не сможете взаимодействовать с его сессией.
Если проверить сетевые соединения с помощью TCPView, можно увидеть, что взаимодействие идет через RemoteRPC (а не по протоколу RDP с портом TCP 3389). Т.е. для подключения используется случайный TCP порт из высокого диапазона RPC. На стороне подключающегося компьютера соединение устанавливает mstsc.exe, на стороне клиента подключение обрабатывает rdpsa.exe или rdpsaproxy.exe (в зависимости от билда Windows 10). Поэтому на клиенте должен быть включен RemoteRPC:
HKLMSYSTЕMCurrеntCоntrоlSеtCоntrolTеrminal Sеrvеr
“AllоwRemotеRPС”=dwоrd:00000001
Функционал теневого подключения Remote Desktop Shadowing работает в Windows 10 / 8.1 и Windows Server 2012 R2 /2016. Чтобы теневое подключение работало на клиентах с Windows 7 SP1 (Windows Server 2008 R2) нужен RDP клиент версии 8.1 – поэтому придется установить обновление KB2830477 (требует наличия установленных KB2574819 и KB2857650).
Таким образом Remote Desktop Shadowing можно использовать как аналог Remote Assistance (Удаленный помощник) или TeamViewer для локальной или корпоративной сети.
Источник
Теневое RDP подключение к рабочему столу пользователя в Windows 10
Помимо использования Remote Assistance, вы можете удаленно подключиться к рабочему столу пользователя Windows 10 с помощью теневого RDP подключения (Remote Desktop Shadowing). Большинство администраторов так или иначе пользовались этим функционалом для подключения к сессиям пользователей на терминальных RDS серверах с Windows Server 2012 R2 / Server 2016. Однако далеко не все знают, что теневое подключение можно использовать для удаленного просмотра и взаимодействия с рабочим столом пользователя и на десктопной Windows 10. Рассмотрим, как это работает.
Как вы помните, если попытаться удаленно подключится к компьютеру с Windows 10 через RDP, то сессия пользователя, работающего локально выбивается (даже если вы включите возможность использования нескольких одновременных RDP сессий в Windows 10). Однако вы можете подключится непосредственно подключиться к консольной сессии пользователя без блокировки его сеанса.
Предположим, вам нужно подключиться с сервера Windows Server 2012 R2 к рабочему столу пользователя, работающего локально за рабочей станцией с Windows 10.
Для теневого подключения к сессии пользователя нужно использовать стандартную RDP утилиту mstsc.exe. Формат команды такой:
Также можно использовать одну из опций:
Режим теневого подключения (нужно ли запрашивать подтверждение пользователя, и возможно управления в сессии или только наблюдение) настраивается с помощью групповой политики или редактирования реестра.
Вместо включения политики можно выставить значение dword ключа с именем Shadow в ветке реестра HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services. Допустимые значения:
По умолчанию данный ключ не задан и теневое подключение осуществляется в режиме полного контроля с разрешения пользователя.
Чтобы удаленно подключится к компьютеру через теневое подключение, у подключающейся учетной записи должны быть права администратора на компьютере, а в свойствах системы включен удаленный рабочий стол (RDP).
Запросим удаленно список сессий на рабочей станции Windows 10 командой:
qwinsta /server:192.168.11.60
Как вы видите, на данном компьютере имеется одна консольная сессия пользователя с идентификатором >
Итак, попробуем удаленно подключиться к сессии пользователя через теневое подключение. Выполните команду:
Mstsc /shadow:1 /v:192.168.11.60
На экране пользователя Windows 10 появится запрос:
Если пользователь разрешит соединение, вы подключитесь к его консольному сеансу и увидите его рабочий стол. Вы будете видеть все действия пользователя, но не сможете взаимодействовать с его сессией.
Если проверить сетевые соединения с помощью TCPView, можно увидеть, что взаимодействие идет через RemoteRPC (а не по протоколу RDP с портом TCP 3389). Т.е. для подключения используется случайный TCP порт из высокого диапазона RPC. На стороне подключающегося компьютера соединение устанавливает mstsc.exe, на стороне клиента подключение обрабатывает rdpsa.exe или rdpsaproxy.exe (в зависимости от билда Windows 10). Поэтому на клиенте должен быть включен RemoteRPC:
Функционал теневого подключения Remote Desktop Shadowing работает в Windows 10 / 8.1 и Windows Server 2012 R2 /2016. Чтобы теневое подключение работало на клиентах с Windows 7 SP1 (Windows Server 2008 R2) нужен RDP клиент версии 8.1 – поэтому придется установить обновление KB2830477 (требует наличия установленных KB2574819 и KB2857650).
Таким образом Remote Desktop Shadowing можно использовать как аналог Remote Assistance (Удаленный помощник) или TeamViewer для локальной или корпоративной сети.
Источник
Теневое RDP подключение к рабочему столу пользователя в Windows 10
Как и в прошлых клиентских версиях операционных систем Майкрософт, пользователи Pro и Enterprise Windows 10 (но не Home) редакций могут удаленно подключаться к своим компьютерам через службу удаленных рабочих столов (RDP). Однако есть ограничение на количество одновременных RDP сессии – возможна одновременная работа только одного удаленного пользователя. При попытке открыть вторую RDP сессию, сеанс первого пользователя предлагается завершить.
В систему вошел другой пользователь. Если вы продолжите, он будет отключен. Вы все равно хотите войти в систему?
В английской версии предупреждение такое:
Another user is signed in. If you continue, they’ll be disconnected. Do you want to sign in anyway?
Дело в том, что в настольных редакциях операционных систем Microsoft есть следующие основные ограничения на использование службы удаленного рабочего стола:
По сути, ограничение на количество одновременных rdp подключений является не техническим, а скорее лицензионным, запрещающее создавать на базе рабочей станции терминальный RDP сервер для работы нескольких пользователей. Хотя с технической точки зрения любая редакция Windows при наличии достаточного количества памяти может поддерживать одновременную работу нескольких десятков удаленных пользователей (в среднем на одну сессию пользователя без учета запускаемых приложений требуется 150-200 Мб памяти). Т.е. максимальное количество одновременных сессий в теории ограничивается только ресурсами компьютера.
Мы рассмотрим два способа отключить ограничение на количество одновременных RDP подключений к Windows 10:
Содержание:Важно. Изначально в самой первой версии статьи основным рабочим вариантом, позволяющим снять ограничение на количество одновременных RDP подключений пользователей был способ модификации и подмены файла termsrv.dll в папке %SystemRoot%System32. Однако при установке нового билда Windows 10 или некоторых обновлений безопасности, этот файл обновляется. В результате приходится каждый раз редактировать этот файл Hex редактором, что довольно утомительно. Поэтому в качестве основного способа организации бесплатного терминального сервера на клиентской Windows 10 стоит считать утилиту RDP Wrapper Library.Примечание. Модификации системы, описанные в этой статье, вероятно, будут считаться нарушением лицензионного соглашения на Windows со всеми вытекающими последствиями.
RDP Wrapper Library
Альтернативой модификации файла termsrv.dll является использование проекта RDP Wrapper Library. Эта программа работает в качестве прослойки между менеджером управления службами (SCM- Service Control Manager) и службой терминалов (Terminal Services) и позволяет включить не только поддержку нескольких одновременных RDP сессии, но и активировать поддержку RDP Host на домашних редакциях Windows 10. RDP Wrapper не вносит никаких изменений в файл termsrv.dll, просто подгружая termsrv с изменёнными параметрами.
Таким образом, это решение будет работать даже при обновлении версии файла termsrv.dll, что позволяет не опасаться обновлений Windows.
Важно. Перед установкой RDP Wrapper: важно, чтобы у вас использовалась оригинальная (непропатченная) версия файл termsrv.dll. В противном случае RDP Wrapper может работать не стабильно, или вообще не запускаться.
Скачать RDP Wrapper можно с репозитория GitHub: https://github.com/binarymaster/rdpwrap/releases (последняя доступная версия RDP Wrapper Library v1.6.2 вышла относительно недавно – 28 декабря 2017 года). Судя по информации на странице разработчика, поддерживаются все версии Windows. Windows 10 поддержиывается вплость до версии Insider Preview build 10.0.17063.1000 от 13 декабря 2017 года.
Совет. Кстати говоря, доступны исходники RDP Wrapper Library, что позволяет при желании самому собрать исполняемые файлы.
Архив RDPWrap-v1.6.2.zip содержит несколько файлов:
Чтобы установить утилиту, запускам файл install.bat с правами администратора.
После окончания установки запускаем RDPConfig.exe. И удостоверяемся, что в секции Diagnostics все элементы окрашены в зеленый цвет.
Из интересных особенностей новой версии RDP Wrapper:
В том случае, если после обновления версии Windows, RDP Wrapper не работает, проверьте, что в секции Diagnostics присутствует надпись Listener state: Not listening.
Попробуйте обновить ini файл скриптом update.bat, либо вручную и переустановить службу
Пытаемся открыть вторую RDP сессию. Все получилось! Теперь наша Windows 10 позволяет одновременно подключаться по RDP сразу двум удаленным пользователям.
Утилита должна работать на всех поддерживаемых на данный момент редакциях Windows : Windows Vista, Windows 7, Windows 8, Windows 8.1 и Windows 10. Таким образом из любой клиентской версии Windows можно сделать сервер терминалов.
Модификация файла termsrv.dll
Примечание. Данный способ применим только к RTM версии Windows 10 x64 (10240).
Убрать ограничение на количество RDP подключений можно с помощью модификации файла termsrv.dll (файл библиотеки, используемый службой Remote Desktop Services). Файл находится в каталоге C:WindowsSystem32).
Перед модификацией файла termsrv.dll желательно создать его резервную копию (в случае необходимости можно будет вернуться к первоначальной версии файла):
copy c:WindowsSystem32termsrv.dll termsrv.dll_backup
Перед правкой файла termsrv.dll нужно стать его владельцем и предоставить группе администраторов полные права на него (все операции выполняются аналогично описанным в статье Убираем ограничение на количество RDP сессий в Windows 8). Затем остановите службу Remote Desktop service (TermService) из консоли services.msc или из командной строки:
Net stop TermService
Для редакции Windows 10 x64 RTM (версия файла termsrv.dll — 10.0.10240.16384): Откройте файл termsrv.dll с помощью любого HEX редактора (к примеру, Tiny Hexer)
39 81 3C 06 00 00 0F 84 73 42 02 00
B8 00 01 00 00 89 81 38 06 00 00 90
Сохраните файл и запустите службу TermService.
Готовый пропатченный файл termsrv.dll для Windows 10 Pro x64 можно скачать здесь: termsrv_windows_10_x64_10240.zip
Данная статья представляет собой пошаговую инструкцию по настройке Windows 10 в качестве терминального сервера с доступом по RDP.
После настройки, к одному компьютеру смогут одновременно подключаться несколько пользователей по RDP (Remote Desktop Protocol — протокол удалённого рабочего стола). Наиболее популярное применение данного решения — работа нескольких пользователей с файловой базой 1С.
Процесс настройки показан на примере Windows 10 Enterprise x64, однако данное руководство полностью подходит для установки на других ОС Windows.
Для настройки Windows 10 в качестве терминального сервера с доступом по RDP понадобятся:
1. Компьютер с установленной операционной системой Windows 10 и правами администратора, подключённый к локальной сети;
2. Компьютер в локальной сети, с которого будет производиться подключение и который имеет RDP клиент (прим. требуется ОС Windows XP/Vista/7/8/8.1/10 и т.д.);
3. Библиотека: RDP Wrapper Library.
I. Создание пользователя и настройка прав для доступа по RDP
2. В открывшемся окне выберите Семья и другие люди, затем нажмите Добавить пользователя для этого компьютера (Рис.2).
3. Нажмите на пункт У меня нет данных для входа этого человека (Рис.3).
4. Нажмите на пункт Добавить пользователя без учетной записи Майкрософт (Рис.4).
5. В соответствующих полях введите имя пользователя (прим. в данном примере это UserRDP), пароль для новой учётной записи и подсказку для пароля, затем нажмите Далее (Рис.5).
6. В окне параметров Вы увидите нового пользователя (прим. в данном примере это UserRDP) (Рис.6).
8. В открывшемся окне выберите: Служебные программы>Локальные пользователи и группы > Пользователи, затем выберите пользователя (прим. в данном примере это UserRDP), перейдите на вкладку Членство в группах и нажмите Добавить… (Рис.8).
9. Нажмите Дополнительно… (Рис.9).
10. Нажмите Поиск, выберите из списка Пользователи удаленного рабочего стола и нажмите OK (Рис.10).
11. Нажмите OK (Рис.11).
12. Нажмите Применить, затем OK (Рис.12).
II. Настройка терминального сервера с доступом по RDP
2. Нажмите Настройка удалённого доступа, в открывшемся окне перейдите на вкладку Удалённый доступ, выберите пункт Разрешить удалённые подключения к этому компьютеру, затем нажмите Применить и OK (Рис.14).
3. Распакуйте (прим. с помощью WinRAR или просто открыть через Проводник) скачанную Вами ранее библиотеку RDP Wrapper Library. Откройте папку и запустите от имени администратора (прим. используя правую кнопку мыши) файл install, после чего начнётся установка (Рис.15).
4. После окончания установки нажмите любую клавишу (Рис.16).
6. В открывшемся окне введите gpedit.msc и нажмите OK (Рис.18).
7. Выберите: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удалённых рабочих столов > Узел сеансов удалённых рабочих столов > Подключения > Ограничить количество подключений (Рис.19).
8. В открывшемся окне выберите пункт Включить, установите в параметрах разрешённое количество подключений к удалённым рабочим столам на 999999, затем нажмите Применить и OK. Перезагрузите компьютер (Рис.20).
III. Подключение к удаленному рабочему столу
1. Рспользуя второй компьютер, находящийся РІ той же локальной сети, нажмите Пуск, СЃ помощью РїРѕРёСЃРєРѕРІРѕР№ строки найдите, Р° затем выберите Подключение Рє удалённому рабочему столу (Р РёСЃ.21).
2. В открывшемся окне ведите имя компьютера к которому следует подключиться (прим. Тот, на котором производились все настройки), затем нажмите Подключить (Рис.22).
3. Прежде всего, выберите пользователя (прим. в данном примере это UserRDP) и введите пароль от учётной записи, который Вы указывали ранее (прим. см. Рис.5), затем нажмите OK (Рис.23).
4. В появившемся окне нажмите Да, после чего начнётся сеанс удаленного подключения (Рис.24).
Существует популярная и удобная возможность сделать из обычной, не серверной версии windows 10 терминальный сервер. После настройки к обычному компьютеру с windows на борту смогут одновременно подключаться несколько пользователей по rdp и работать. Наиболее популярное применение такого решения — работа нескольких пользователей с файловой базой 1С.
Введение
Ранее я описывал способ, как сделать терминальный сервер из Windows 7. Сейчас вышла новая операционная система Windows 10. На первый взгляд она вполне нормальная и скорее всего станет популярной на ближайшие несколько лет. Будем привыкать к ней, осваивать и переносить привычный функционал.
Полезная возможность сделать из обычной Window 10 терминальный сервер. Ранее я не один раз использовал эту функцию для работы в файловой 1С нескольких человек одновременно. Для небольшого коллектива из нескольких сотрудников это вполне удобно и оправданно, так как покупать полноценный сервер и серверную ОС для таких задач нецелесообразно.
Превращаем Windows 10 в сервер терминалов
Использовать будем привычное средство, которое хорошо себя зарекомендовало в Windows 7 — RDP Wrapper Library by Stas’M. Скачивайте последнюю версию либо с сайта создателя, либо с моего. Я на всякий случай скопировал — RDPWrap-v1.6.zip.
Так же указанную программу можно скачать с гитхаба — https://github.com/stascorp/rdpwrap/releases.
Архив состоит из нескольких файлов:
Настраивать терминальный сервер будем на следующей системе:
Ищите в самом низу раздел Служебные — Windows, в нем приложение Командная строка, запускаете ее от имени администратора:
В командной строке переходите в папку с распакованной программой с помощью команды cd и запускаете файл install.bat:
После успешной установки увидите информацию:
Создавайте новых пользователей, добавляйте их в группу Пользователи удаленного рабочего стола и проверяйте. Я успешно зашел по rdp тремя пользователями на Windows 10:
Получился своеобразный сервер терминалов на ОС Windows 10. Все очень легко и просто, можно использовать по необходимости для решения прикладных задач.
Если у вас не работает терминальный доступ, то попробуйте запустить в консоли файл update.bat Он скачает последние изменения программы с сайта разработчика. Такая ситуация может возникнуть после очередного обновления Windows 10. После написания этой статьи одно такое обновление уже вышло, но проблема решается просто.
Заключение
Нужно понимать, что подобное использование Windows 10 скорее всего является нарушающим лицензионное соглашение. Хотя я не знаю, каким именно пунктом и условием это регламентируется, но наверняка что-то подобное в лицензионном соглашении есть, так как подобный способ распространен еще со времен XP. Имейте это ввиду, если будете настраивать в компании, которая следит за лицензионной чистотой.
Онлайн курс по Linux
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Администратор Linux» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров. Что даст вам этот курс:
Источник
Нужно использовать RDS , windows 10, с дефолтными настройками.
Какие нужно выполнить действия, чтобы можно было подключиться ?
В поисках информации полазил по нескольким сайтам, но без успешно .
Включено сетевое обнаружение и разрешение на удаленный доступ, так же изменено разрешение на доступ через политику.
Читая про RDS многие писали что компьютер должен быть главным доменом, или локальным админом, как это сделать так же не разобрался. Последний сайт который читал этот :
https://winitpro.ru/index.php/2014/02/12/rds-shado…
Понял что в отличии от примеров там, я не вижу другие компьютеры через команду в PowerS «quser»
Хотя заходя в : мой компьютер > сеть. Я вижу все подключенные компьютеры и могу подключится к ним по RDP.
Что нужно сделать для отображения других локальных пользователей и подключения по RDS в принципе ?
Аналогичный настройки включены так же на удаленных компьютерах.
-
Вопрос заданболее двух лет назад
-
1088 просмотров
Теневое shadow подключение к RDP/RDS сеансам позволяет администраторам подключиться к сессии любого пользователя для просмотра рабочего стола пользователя и взаимодействия с ним. Режим Remote Desktop Shadowing (теневого подключения) работает во всех современных версиях Windows, начиная с Windows 2012 R2 и Windows 8.1 (кроме версии Windows Server 2012, в которой стек rdp перенесен из режима ядра в пользовательский режим). В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к RDP сессиям пользователей в Windows Server 2016 и Windows 10
В Windows Server 2016/Windows 10 в стандартном RDP клиенте (mstsc.exe) есть несколько специальных параметров, которые можно использовать для удаленного теневого (RDS Shadow) подключения к RDP сессии любого пользователя:
Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [/prompt]
- /shadow:sessionID – подключиться к RDP сессии пользователя по ID;
- /v:servername – можно указать имя удаленного хоста (RDP/RDS терминального сервера). Если имя сервера не указано, выполняется подключение к локальным сеансам на текущем хосте;
- /control – включает возможность взаимодействия с сеансом (рабочим столом) пользователя. Администратор может управлять мышкой пользователя, вводить данные с клавиатуры. Если эта опция не указана, используется режим просмотра сессии пользователя;
- /noConsentPrompt – опция позволяет администратору принудительно подключиться к любой сессии, не запрашивая у пользователя подтверждение на подключение;
- /prompt – позволяет использовать для подключения другую учетную запись, отличную от текущей. Запрашивается имя и пароль пользователя для подключения к сеансу.
Теневые сеансы можно использовать для подключения к сессиям пользователей на компьютерах и серверах как в домене Active Directory, так и в рабочей группе. Кроме того, не обязательно обладать правами администратора на RDS хосте, на котором работает пользователь. Администраторы могут делегировать полномочия RDS Shadowing любым, даже не-административных учетным записям (об этом ниже).
Использование Remote Desktop Shadow из графического GUI
Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или графической консоли Server Manager. Для этого в консоли Server Manager на RDS сервере перейдите в раздел Remote Desktop Services -> выберите свою коллекцию, например QuickSessionCollection.
В списке справа будет перечислен список пользователей у которых имеются сессии на данном RDS сервере. Щелкните правой кнопкой по сессии нужно пользователя, выберите в контекстном меню Shadow (Теневая копия).
Вы можете подключиться только к активной сессии пользователя. Если сессия находится в состоянии Disconnected (отключена по таймауту), подключиться к такой сессии нельзя:
Shadow Error - The specified session is not connected.
Появится окно c параметрами теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).
Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:
Запрос на удаленное наблюдение/ Remote Monitoring Request Winitproadministrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос?
Winitproadministrator is requesting to view your session remotely. Do you accept the request?
Если пользователь подтвердит подключение, то администратор увидит его рабочий стол в режиме просмотра, но не сможет взаимодействовать с ним.
Совет. Для отключения от сессии пользователя и выхода из shadow-режима, нужно нажать ALT+* на рабочей станции или Ctrl+* на RDS сервере (если не заданы альтернативные комбинации).
Если пользователь отклонил административное Shadow RDS подключение, появится окно:
Shadow Error: The operator or administrator has refused the request.
Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что это запрещено групповой политикой:
Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.
Если вам нужно вести аудит RDS Shadow подключений к пользователям, используйте в качестве фильтра следующие события из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:
- Event ID 20508: Shadow View Permission Granted
- Event ID 20503: Shadow View Session Started
- Event ID 20504: Shadow View Session Stopped
Групповые политики управления теневыми подключениями к RDS сессиям в Windows
Параметры удаленного управлениями RDS сессиями пользователя настраиваются отдельным параметром групповых политик — Set rules for remote control of Remote Desktop Services user sessions (Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов). Данная настройка находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections (Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Подключения) в пользовательской и компьютерной секциях GPO. Данной политике соответствует DWORD параметр реестра Shadow в ветке HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services (значения этого параметра, соответствующие параметрам политики указаны в скобках).
Этой политикой можно настроить следующие варианты теневого подключения RD Shadow:
- No remote control allowed — удаленное управление не разрешено (значение параметра реестра
Shadow = 0
); - Full Control with users’s permission — полный контроль сессии с разрешения пользователя (
1
); - Full Control without users’s permission — полный контроль без разрешения пользователя (
2
); - View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (
3
); - View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (
4
).
Вы можете настроить правила удаленного подключения в домене из консоли gpmc.msc
с помощью рассмотренного параметра политики, либо групповой политикой, вносящей изменения напрямую в реестр системы (последний вариант позволяет более тонко нацелить политику на компьютеры с помощью Group Policy Item Level Targeting).
Теневое подключение RDS Shadow из PowerShell
Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.
В первую очередь нужно получить список пользовательских сессий на терминальном RDS сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):
Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate
На данном сервере мы обнаружили три активных RDP сессии пользователей. Чтобы подключиться к сессии пользователя с ID сессии 3, выполните команду:
Mstsc /shadow:3 /control /noConsentPrompt
Также для получения списка всех RDP сессии на сервере (или десктопной редакции Windows 10 к которой разрешены множественные RDP подключения) можно использовать команду:
quser
Или
qwinsta
На экране отобразится список RDP сессий, их ID и статус: активная сессия (Active) или отключенная (Disconnected).
Для получения списка сессий на удалённом сервере выполните команду:
query session /server:servername
Чтобы подключиться к сессии пользователя на удаленном сервере, используйте команду:
Mstsc /v:rdsh2:3389 /shadow:3 /control
Для более удобного теневого подключения к RDP сессиям пользователей можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех пользователей с активными RDP сеансами. Вам нужно будет указать ID сеанса, к которому нужно подключится через Shadow сессию:
shadow.bat
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
query session /server:%rcomp%
set /P rid="Enter RDP user ID: "
start mstsc /shadow:%rid% /v:%rcomp% /control
Можно поместить данный файл в каталог %Windir%System32. В результате для теневого подключения к пользователю достаточно выполнить команду shadow.
Для подключения к консольной сессии можно использовать такой скрипт:
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
for /f "tokens=3 delims= " %%G in ('query session console /server:%rcomp%') do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control
Также для теневого подключения можно использовать следующий PowerShell скрипт с простым графическим интерфейсом (rdp_shadow_connection.ps1):
Add-Type -assembly System.Windows.Forms
$Header = "SESSIONNAME", "USERNAME", "ID", "STATUS"
$dlgForm = New-Object System.Windows.Forms.Form
$dlgForm.Text ='Session Connect'
$dlgForm.Width = 400
$dlgForm.AutoSize = $true
$dlgBttn = New-Object System.Windows.Forms.Button
$dlgBttn.Text = 'Control'
$dlgBttn.Location = New-Object System.Drawing.Point(15,10)
$dlgForm.Controls.Add($dlgBttn)
$dlgList = New-Object System.Windows.Forms.ListView
$dlgList.Location = New-Object System.Drawing.Point(0,50)
$dlgList.Width = $dlgForm.ClientRectangle.Width
$dlgList.Height = $dlgForm.ClientRectangle.Height
$dlgList.Anchor = "Top, Left, Right, Bottom"
$dlgList.MultiSelect = $False
$dlgList.View = 'Details'
$dlgList.FullRowSelect = 1;
$dlgList.GridLines = 1
$dlgList.Scrollable = 1
$dlgForm.Controls.add($dlgList)
# Add columns to the ListView
foreach ($column in $Header){
$dlgList.Columns.Add($column) | Out-Null
}
$(qwinsta.exe | findstr "Active") -replace "^[s>]" , "" -replace "s+" , "," | ConvertFrom-Csv -Header $Header | ForEach-Object {
$dlgListItem = New-Object System.Windows.Forms.ListViewItem($_.SESSIONNAME)
$dlgListItem.Subitems.Add($_.USERNAME) | Out-Null
$dlgListItem.Subitems.Add($_.ID) | Out-Null
$dlgListItem.Subitems.Add($_.STATUS) | Out-Null
$dlgList.Items.Add($dlgListItem) | Out-Null
}
$dlgBttn.Add_Click(
{
$SelectedItem = $dlgList.SelectedItems[0]
if ($SelectedItem -eq $null){
[System.Windows.Forms.MessageBox]::Show("Выберите сессию для подключения")
}else{
$session_id = $SelectedItem.subitems[2].text
$(mstsc /shadow:$session_id /control)
#[System.Windows.Forms.MessageBox]::Show($session_id)
}
}
)
$dlgForm.ShowDialog()
Данный скрипт отобразить графическую форму со списком активных RDP сеансов на локальном сервере. Вам останется только выбрать учетную запись пользователя и нажать Connect.
Вы можете использовать теневое подключение к пользователю не только в Windows Server с ролью Remote Desktop Services, но и для подключения к рабочим столам пользователей на компьютерах с Windows 10 .
Как разрешить обычном пользователям использовать теневое подключение?
В рассмотренных выше примерах для использования теневого подключения к RDP сессиям пользователей необходимы права локального администратора на RDS сервере. Однако вы можете разрешить использовать теневое (shadow) подключение и для непривилегированных пользователей (не предоставляя им прав локального администратора на компьютере/сервере).
К примеру, вы хотите разрешить членам доменной группы AllowRDSShadow использовать теневое подключение к RDP сессиям. Выполните команду в cmd.exe с правами администратора:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName='RDP-Tcp') CALL AddAccount 'corpAllowRDSShadow',2
В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL
). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.
Для решения проблемы нужно установить отдельные обновления:
- для Windows Server 2016 — KB4057142 (от 17 января 2018)
- для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)
Содержание
- 1 RDP Wrapper Library
- 2 Модификация файла termsrv.dll
- 3 Введение
- 4 Превращаем Windows 10 в сервер терминалов
- 5 Заключение
- 6 Онлайн курс по Linux
Как и в прошлых клиентских версиях операционных систем Майкрософт, пользователи Pro и Enterprise Windows 10 (но не Home) редакций могут удаленно подключаться к своим компьютерам через службу удаленных рабочих столов (RDP). Однако есть ограничение на количество одновременных RDP сессии – возможна одновременная работа только одного удаленного пользователя. При попытке открыть вторую RDP сессию, сеанс первого пользователя предлагается завершить.
В систему вошел другой пользователь. Если вы продолжите, он будет отключен. Вы все равно хотите войти в систему?
В английской версии предупреждение такое:
Another user is signed in. If you continue, they’ll be disconnected. Do you want to sign in anyway?
Дело в том, что в настольных редакциях операционных систем Microsoft есть следующие основные ограничения на использование службы удаленного рабочего стола:
- Поддержка RDP доступа имеется только в старших редакциях Windows (Professional и выше), а в домашних редакциях (Home) этот функционал отключен.
- Возможно только одно удаленного RDP подключения. При попытке открыть вторую RDP-сессию, пользователю предлагается завершить существующее подключение.
- В том случае, есть пользователь работает за консолью компьютера (локально), при удаленном подключении RDP, его сеанс будет отключен (заблокирован). Правильно и обратное утверждение: удаленный RDP сеанс принудительно завершается, если пользователь авторизуется на консоле системы
По сути, ограничение на количество одновременных rdp подключений является не техническим, а скорее лицензионным, запрещающее создавать на базе рабочей станции терминальный RDP сервер для работы нескольких пользователей. Хотя с технической точки зрения любая редакция Windows при наличии достаточного количества памяти может поддерживать одновременную работу нескольких десятков удаленных пользователей (в среднем на одну сессию пользователя без учета запускаемых приложений требуется 150-200 Мб памяти). Т.е. максимальное количество одновременных сессий в теории ограничивается только ресурсами компьютера.
Мы рассмотрим два способа отключить ограничение на количество одновременных RDP подключений к Windows 10:
Содержание:Важно. Изначально в самой первой версии статьи основным рабочим вариантом, позволяющим снять ограничение на количество одновременных RDP подключений пользователей был способ модификации и подмены файла termsrv.dll в папке %SystemRoot%System32. Однако при установке нового билда Windows 10 или некоторых обновлений безопасности, этот файл обновляется. В результате приходится каждый раз редактировать этот файл Hex редактором, что довольно утомительно. Поэтому в качестве основного способа организации бесплатного терминального сервера на клиентской Windows 10 стоит считать утилиту RDP Wrapper Library.Примечание. Модификации системы, описанные в этой статье, вероятно, будут считаться нарушением лицензионного соглашения на Windows со всеми вытекающими последствиями.
RDP Wrapper Library
Альтернативой модификации файла termsrv.dll является использование проекта RDP Wrapper Library. Эта программа работает в качестве прослойки между менеджером управления службами (SCM- Service Control Manager) и службой терминалов (Terminal Services) и позволяет включить не только поддержку нескольких одновременных RDP сессии, но и активировать поддержку RDP Host на домашних редакциях Windows 10. RDP Wrapper не вносит никаких изменений в файл termsrv.dll, просто подгружая termsrv с изменёнными параметрами.
Таким образом, это решение будет работать даже при обновлении версии файла termsrv.dll, что позволяет не опасаться обновлений Windows.
Важно. Перед установкой RDP Wrapper: важно, чтобы у вас использовалась оригинальная (непропатченная) версия файл termsrv.dll. В противном случае RDP Wrapper может работать не стабильно, или вообще не запускаться.
Скачать RDP Wrapper можно с репозитория GitHub: https://github.com/binarymaster/rdpwrap/releases (последняя доступная версия RDP Wrapper Library v1.6.2 вышла относительно недавно – 28 декабря 2017 года). Судя по информации на странице разработчика, поддерживаются все версии Windows. Windows 10 поддержиывается вплость до версии Insider Preview build 10.0.17063.1000 от 13 декабря 2017 года.
Совет. Кстати говоря, доступны исходники RDP Wrapper Library, что позволяет при желании самому собрать исполняемые файлы.
Архив RDPWrap-v1.6.2.zip содержит несколько файлов:
- RDPWinst.exe —программа установки/удаления RDP Wrapper Library
- RDPConf.exe — утилита настройки RDP Wrapper
- RDPCheck.exe — Local RDP Checker — утилита проверки RDP
- install.bat, uninstall.bat, update.bat — пакетные файлы для установки, удаления и обновления RDP Wrapper
Чтобы установить утилиту, запускам файл install.bat с правами администратора.
После окончания установки запускаем RDPConfig.exe. И удостоверяемся, что в секции Diagnostics все элементы окрашены в зеленый цвет.
Примечание. В моем случае, т.к. на компьютере отсутствует доступ в интернет, программа не смогла получить с Github актуальную версию INI файла с настройками под мою версию Windows. Поэтому в статусе указано [not supported]. Скачайте файл rdpwrap.ini с ресурса разработки и поместите его в каталог установки. Перезапустите службу и убедитесь, что надпись [not supported] сменилась на [fully supported].
Из интересных особенностей новой версии RDP Wrapper:
- опция Hide users on logon screen – позволяет скрыть список пользователей на экране приветствия.
- При отключении опции Single session per user — будут разрешены несколько одновременных RDP сессий под одной учетной записью (устанавливается ключ реестра fSingleSessionPerUser = 0 в ветке HKLMSYSTEM CurrentControlSetControlTerminal ServerfSingleSessionPerUser).
В том случае, если после обновления версии Windows, RDP Wrapper не работает, проверьте, что в секции Diagnostics присутствует надпись Listener state: Not listening.
Попробуйте обновить ini файл скриптом update.bat, либо вручную и переустановить службу
rdpwinst.exe -urdpwinst.exe -i
Пытаемся открыть вторую RDP сессию. Все получилось! Теперь наша Windows 10 позволяет одновременно подключаться по RDP сразу двум удаленным пользователям.
Утилита должна работать на всех поддерживаемых на данный момент редакциях Windows : Windows Vista, Windows 7, Windows 8, Windows 8.1 и Windows 10. Таким образом из любой клиентской версии Windows можно сделать сервер терминалов.
Модификация файла termsrv.dll
Примечание. Данный способ применим только к RTM версии Windows 10 x64 (10240).
Убрать ограничение на количество RDP подключений можно с помощью модификации файла termsrv.dll (файл библиотеки, используемый службой Remote Desktop Services). Файл находится в каталоге C:WindowsSystem32).
Перед модификацией файла termsrv.dll желательно создать его резервную копию (в случае необходимости можно будет вернуться к первоначальной версии файла):
copy c:WindowsSystem32termsrv.dll termsrv.dll_backup
Перед правкой файла termsrv.dll нужно стать его владельцем и предоставить группе администраторов полные права на него (все операции выполняются аналогично описанным в статье Убираем ограничение на количество RDP сессий в Windows 8). Затем остановите службу Remote Desktop service (TermService) из консоли services.msc или из командной строки:
Net stop TermService
Для редакции Windows 10 x64 RTM (версия файла termsrv.dll — 10.0.10240.16384): Откройте файл termsrv.dll с помощью любого HEX редактора (к примеру, Tiny Hexer)
Найдите строку:
39 81 3C 06 00 00 0F 84 73 42 02 00
И замените ее на:
B8 00 01 00 00 89 81 38 06 00 00 90
Сохраните файл и запустите службу TermService.
Готовый пропатченный файл termsrv.dll для Windows 10 Pro x64 можно скачать здесь: termsrv_windows_10_x64_10240.zip
Данная статья представляет собой пошаговую инструкцию по настройке Windows 10 в качестве терминального сервера с доступом по RDP.
После настройки, к одному компьютеру смогут одновременно подключаться несколько пользователей по RDP (Remote Desktop Protocol — протокол удалённого рабочего стола). Наиболее популярное применение данного решения — работа нескольких пользователей с файловой базой 1С.
Процесс настройки показан на примере Windows 10 Enterprise x64, однако данное руководство полностью подходит для установки на других ОС Windows.
.
.
Для настройки Windows 10 в качестве терминального сервера с доступом по RDP понадобятся:
1. Компьютер с установленной операционной системой Windows 10 и правами администратора, подключённый к локальной сети;
2. Компьютер в локальной сети, с которого будет производиться подключение и который имеет RDP клиент (прим. требуется ОС Windows XP/Vista/7/8/8.1/10 и т.д.);
3. Библиотека: RDP Wrapper Library.
.
I. Создание пользователя и настройка прав для доступа по RDP
1. Нажмите на значок поиска , затем с помощью поисковой строки найдите и выберите Управление учетной записью (Рис.1).
Р РёСЃ.1
.
2. В открывшемся окне выберите Семья и другие люди, затем нажмите Добавить пользователя для этого компьютера (Рис.2).
Р РёСЃ.2
.
3. Нажмите на пункт У меня нет данных для входа этого человека (Рис.3).
Р РёСЃ.3
.
4. Нажмите на пункт Добавить пользователя без учетной записи Майкрософт (Рис.4).
Р РёСЃ.4
.
5. В соответствующих полях введите имя пользователя (прим. в данном примере это UserRDP), пароль для новой учётной записи и подсказку для пароля, затем нажмите Далее (Рис.5).
Р РёСЃ.5
.
6. В окне параметров Вы увидите нового пользователя (прим. в данном примере это UserRDP) (Рис.6).
Р РёСЃ.6
.
7. Нажмите РЅР° значок поиска , затем с помощью РїРѕРёСЃРєРѕРІРѕР№ строки найдите Рё выберите Ртот компьютер, через правую РєРЅРѕРїРєСѓ мыши откройте меню Рё нажмите Управлять (Р РёСЃ.7).
Р РёСЃ.7
.
8. В открывшемся окне выберите: Служебные программы>Локальные пользователи и группы > Пользователи, затем выберите пользователя (прим. в данном примере это UserRDP), перейдите на вкладку Членство в группах и нажмите Добавить… (Рис.8).
Р РёСЃ.8
.
9. Нажмите Дополнительно… (Рис.9).
Р РёСЃ.9
.
10. Нажмите Поиск, выберите из списка Пользователи удаленного рабочего стола и нажмите OK (Рис.10).
Р РёСЃ.10
.
11. Нажмите OK (Рис.11).
Р РёСЃ.11
.
12. Нажмите Применить, затем OK (Рис.12).
Р РёСЃ.12
.
II. Настройка терминального сервера с доступом по RDP
1. Нажмите на значок поиска , затем с помощью поисковой строки найдите и выберите Система (Рис.13).
Р РёСЃ.13
.
2. Нажмите Настройка удалённого доступа, в открывшемся окне перейдите на вкладку Удалённый доступ, выберите пункт Разрешить удалённые подключения к этому компьютеру, затем нажмите Применить и OK (Рис.14).
Р РёСЃ.14
.
3. Распакуйте (прим. с помощью WinRAR или просто открыть через Проводник) скачанную Вами ранее библиотеку RDP Wrapper Library. Откройте папку и запустите от имени администратора (прим. используя правую кнопку мыши) файл install, после чего начнётся установка (Рис.15).
Р РёСЃ.15
.
4. После окончания установки нажмите любую клавишу (Рис.16).
Р РёСЃ.16
.
5. Нажмите на значок поиска , затем с помощью поисковой строки найдите и выберите Выполнить (Рис.17).
Р РёСЃ.17
.
6. В открывшемся окне введите gpedit.msc и нажмите OK (Рис.18).
Р РёСЃ.18
.
7. Выберите: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удалённых рабочих столов > Узел сеансов удалённых рабочих столов > Подключения > Ограничить количество подключений (Рис.19).
Р РёСЃ.19
.
8. В открывшемся окне выберите пункт Включить, установите в параметрах разрешённое количество подключений к удалённым рабочим столам на 999999, затем нажмите Применить и OK. Перезагрузите компьютер (Рис.20).
Р РёСЃ.20
.
III. Подключение к удаленному рабочему столу
1. Рспользуя второй компьютер, находящийся РІ той же локальной сети, нажмите Пуск, СЃ помощью РїРѕРёСЃРєРѕРІРѕР№ строки найдите, Р° затем выберите Подключение Рє удалённому рабочему столу (Р РёСЃ.21).
Р РёСЃ.21
.
2. В открывшемся окне ведите имя компьютера к которому следует подключиться (прим. Тот, на котором производились все настройки), затем нажмите Подключить (Рис.22).
Р РёСЃ.22
.
3. Прежде всего, выберите пользователя (прим. в данном примере это UserRDP) и введите пароль от учётной записи, который Вы указывали ранее (прим. см. Рис.5), затем нажмите OK (Рис.23).
Р РёСЃ.23
.
4. В появившемся окне нажмите Да, после чего начнётся сеанс удаленного подключения (Рис.24).
Р РёСЃ.24
.
Настройка Windows 10 в качестве терминального сервера с доступом по RDP завершена!.
блог о ютуб
Существует популярная и удобная возможность сделать из обычной, не серверной версии windows 10 терминальный сервер. После настройки к обычному компьютеру с windows на борту смогут одновременно подключаться несколько пользователей по rdp и работать. Наиболее популярное применение такого решения — работа нескольких пользователей с файловой базой 1С.
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Администратор Linux» в OTUS. Курс не для новичков, для поступления нужно пройти .
Введение
Ранее я описывал способ, как сделать терминальный сервер из Windows 7. Сейчас вышла новая операционная система Windows 10. На первый взгляд она вполне нормальная и скорее всего станет популярной на ближайшие несколько лет. Будем привыкать к ней, осваивать и переносить привычный функционал.
Полезная возможность сделать из обычной Window 10 терминальный сервер. Ранее я не один раз использовал эту функцию для работы в файловой 1С нескольких человек одновременно. Для небольшого коллектива из нескольких сотрудников это вполне удобно и оправданно, так как покупать полноценный сервер и серверную ОС для таких задач нецелесообразно.
Превращаем Windows 10 в сервер терминалов
Использовать будем привычное средство, которое хорошо себя зарекомендовало в Windows 7 — RDP Wrapper Library by Stas’M. Скачивайте последнюю версию либо с сайта создателя, либо с моего. Я на всякий случай скопировал — RDPWrap-v1.6.zip.
Так же указанную программу можно скачать с гитхаба — https://github.com/stascorp/rdpwrap/releases.
Архив состоит из нескольких файлов:
Настраивать терминальный сервер будем на следующей системе:
Загружайте архив и распаковывайте его в папку. Затем запускаете командную строку с правами администратора. Чтобы это сделать, нажимаете Пуск -> Все приложения:
Ищите в самом низу раздел Служебные — Windows, в нем приложение Командная строка, запускаете ее от имени администратора:
В командной строке переходите в папку с распакованной программой с помощью команды cd и запускаете файл install.bat:
После успешной установки увидите информацию:
Создавайте новых пользователей, добавляйте их в группу Пользователи удаленного рабочего стола и проверяйте. Я успешно зашел по rdp тремя пользователями на Windows 10:
Получился своеобразный сервер терминалов на ОС Windows 10. Все очень легко и просто, можно использовать по необходимости для решения прикладных задач.
Если у вас не работает терминальный доступ, то попробуйте запустить в консоли файл update.bat Он скачает последние изменения программы с сайта разработчика. Такая ситуация может возникнуть после очередного обновления Windows 10. После написания этой статьи одно такое обновление уже вышло, но проблема решается просто.
Заключение
Нужно понимать, что подобное использование Windows 10 скорее всего является нарушающим лицензионное соглашение. Хотя я не знаю, каким именно пунктом и условием это регламентируется, но наверняка что-то подобное в лицензионном соглашении есть, так как подобный способ распространен еще со времен XP. Имейте это ввиду, если будете настраивать в компании, которая следит за лицензионной чистотой.
Онлайн курс по Linux
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Администратор Linux» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров. Что даст вам этот курс:
- Знание архитектуры Linux.
- Освоение современных методов и инструментов анализа и обработки данных.
- Умение подбирать конфигурацию под необходимые задачи, управлять процессами и обеспечивать безопасность системы.
- Владение основными рабочими инструментами системного администратора.
- Понимание особенностей развертывания, настройки и обслуживания сетей, построенных на базе Linux.
- Способность быстро решать возникающие проблемы и обеспечивать стабильную и бесперебойную работу системы.
Проверьте себя на вступительном тесте и смотрите подробнее программу по .
Помогла статья? Есть возможность отблагодарить автора
Используемые источники:
- https://winitpro.ru/index.php/2015/09/02/neskolko-rdp-sessij-v-windows-10/
- https://lyapidov.ru/terminal-server-on-windows-10/
- https://serveradmin.ru/terminalnyiy-server-na-windows-10/
Содержание
- Как установить Windows 10
- Удалённый помощник Windows
- Удалённый помощник Windows
- Отключить, включить, настроить и использовать удаленный помощник Windows в Windows 10
- Настройка и использование удаленного помощника Windows
- Если удаленный рабочий стол между Windows 7 и Windows 10 перестал работать
- Как настроить чужой компьютер удаленно используя Microsoft Quick Assist
- Когда оба ПК под Windows 10: используем Microsoft Quick Assist
- Как начать работу с Microsoft Quick Assist
- Теперь удаленное подключение создано
- Если один или оба ПК работают под Windows 7 или 8: используйте «Удалённый помощник Windows» (Windows Remote Assistance)
- Как пригласить кого-то помочь вам
- Как подключиться к ПК c помощью файла подключения и пароля
- Теперь соединение установлено
Как установить Windows 10
- Просмотров: 77 845
- Автор: admin
- Дата: 8-10-2016
Удалённый помощник Windows
Удалённый помощник Windows
Выбираем «Пригласить того, кому вы доверяете, для оказания помощи», то есть меня.
У вас может выйти ошибка «Этот компьютер не настроен на отправку приглашений». Не беда, жмём на кнопку «Исправить »
Получаем «Исправлено ». Жмём «Закрыть »
Опять нажимаем кнопку «Поиск Windows» и вводим команду MsrA , затем щёлкаем правой мышью и жмём «Запустить от имени администратора». Выбираем «Пригласить того, кому вы доверяете, для оказания помощи». Далее жмём «Сохранить приложение как файл».
В открывшемся проводнике выбираем, куда именно сохранить файл-приглашение удалённого помощника. Я выбираю рабочий стол и жму «Сохранить».
На данном этапе мне нужно передать удалённому пользователю файл-приглашение и пароль.
Открываем почтовый ящик и пишем письмо удалённому пользователю, к которому прикрепляем файл-п риглашение.
Приглашение прикреплено к письму. Теперь пишем пароль и жмём «Отправить».
Удалённый пользователь получает письмо с файлом-приглашением и паролем. Скачивает файл-приглашение себе на компьютер, копирует пароль.
И запускает файл-приглашение.
Вводит пароль и жмёт «Ок».
На удалённом компьютере возникает окно с запросов разрешения удалённому помощнику подключиться к компьютеру. Удалённый пользователь отвечает утвердительно «Да».
И на его рабочем столе появляется небольшое окно с информацией о том, что удалённый помощник видит его рабочий стол.
В данный момент на моём компьютере появляется рабочий стол удалённого компьютера моего приятеля, но пока я могу только наблюдать за удалённым рабочим столом.
Чтобы управлять удалённым компьютером с помощью своей клавиатуры и мыши, я должен запросить управление удалённым компьютером.
Жму кнопку «Запросить управление».
На удалённом компьютере мой приятель соглашается передать мне управление своим компьютером, нажимая в появившемся окне «Да».
Теперь я полностью могу управлять удалённым компьютером.
Отключить, включить, настроить и использовать удаленный помощник Windows в Windows 10
Удаленная помощь Windows – это хороший способ удаленного управления вашим компьютером с Windows, которому вы доверяете. С вашего разрешения ваш друг или техник может даже использовать вашу собственную мышь и клавиатуру для управления вашим ПК и показать вам, как решить проблему – или решить ее самостоятельно. В этом посте мы увидим, как включить, настроить и использовать удаленный помощник Windows в Windows 10/8.
Настройка и использование удаленного помощника Windows
Нажмите Win + X и в меню выберите «Панель управления». Поиск «Система». В окне отобразятся все основные характеристики вашего компьютера, такие как номер модели, конфигурация процессора, установленная память и т. Д.
Перейдите на вкладку «Удаленный» в «Свойствах системы» и выберите параметр Разрешить удаленную помощь этому компьютеру , а затем нажмите кнопку «Применить». Если вы снимите этот флажок, он отключит удаленный помощник .
Вы даже можете настроить определенные параметры здесь. Например, вы можете установить лимиты на использование удаленной помощи, разрешить удаленное использование компьютера, установить максимальное количество приглашений.
Если вы обнаружите, что ваш брандмауэр Windows блокирует удаленный помощник, создайте правило, разрешающее его. Для этого откройте диалоговое окно «Выполнить». Введите «Firewall.cpl» в текстовое поле и нажмите «ОК». Будет запущена панель управления брандмауэра Windows. Перейдите на левую панель и нажмите « Разрешить приложение или функцию через брандмауэр Windows ».
Вы должны найти список устройств, которые отключены/включены через брандмауэр Windows. Нажмите «Изменить настройки».
Прокрутите вниз, пока не найдете вариант « Удаленная помощь ». Когда вы найдете его, выберите опцию, чтобы разрешить удаленную помощь.
Откройте командную строку с повышенными привилегиями, введите msra.exe и нажмите Enter, чтобы открыть Windows Remote Assistance. Следуйте инструкциям на экране. Нажмите Пригласите кого-нибудь, кому вы доверяете, чтобы помочь вам или Помогите тому, кто вас пригласил , в зависимости от обстоятельств.
Допустим, вы хотите пригласить кого-то посмотреть на ваш компьютер и управлять им. Нажмите Пригласить кого-нибудь, кому вы доверяете, чтобы помочь вам .
Вы можете создать приглашение в виде файла или использовать электронную почту для отправки приглашения или использовать Easy Connect. Я предпочитаю Использовать электронную почту для отправки приглашения .
Затем файл приглашения будет отправлен вашему другу с помощью вашего почтового клиента.
Затем ваш друг должен будет ввести код в поле «Удаленная помощь». После того, как это будет сделано успешно, два компьютера соединятся. Как только ваша работа будет завершена, не забудьте отключить эту функцию.
Имейте в виду, что удаленный рабочий стол не может установить соединение с удаленным компьютером, пока удаленный доступ к серверу не будет включен, удаленный компьютер не отключен, а удаленный компьютер недоступен в сети. Итак, убедитесь, что удаленный компьютер включен, подключен к сети и удаленный доступ включен.
Теперь вы также можете удаленно предоставлять или получать техническую поддержку, используя Quick Assist в Windows 10 .
Кстати, инструмент Microsoft Remote Desktop Assistant поможет вам подготовить ваш ПК к использованию приложений удаленного рабочего стола с другого устройства для доступа к вашему ПК.
Возможно, вы захотите взглянуть и на эти сообщения:
- Список бесплатного программного обеспечения для удаленного доступа к ПК для Windows
- Удаленный доступ к ПК через веб-браузер с TeamViewer Web Connector + TeamViewer.
- NeoRouter – решение для удаленного доступа и VPN с нулевой конфигурацией
- Удаленный доступ к другому компьютеру с помощью Chrome Remote Desktop
- Включить, отключить подключение к удаленному рабочему столу в Windows.
Если удаленный рабочий стол между Windows 7 и Windows 10 перестал работать
Кое-кто из пользователей «семерки» по-прежнему не собирается переходить на Windows 10. Вопреки всем стараниям Microsoft, где активно работают над тем, чтобы с мотивацией у «отстающих» все было в полном порядке. Так что, если почему-то не получается подключиться с компа на Windows 7 к компу на Windows 10 через «удаленный рабочий стол».
… то бишь, через Remote Desktop Connection (а точнее, через Remote Desktop Protocol), то это теперь тоже весьма серьезный повод задуматься.
Не факт, конечно, что данная проблема тоже является элементом «заботы» разработчика о своих пользователях. Однако, судя по отзывам последних, её актуальность давеча, скажем так, начала несколько повышаться. Впрочем, в конспирологию вдаваться вряд ли стоит. Потому сейчас просто расскажем о том.
что делать, когда удаленный рабочий стол между Windows 7 и Windows 10 перестал работать
Значит, по порядку:
#1 — проверяем текущее состояние службы удаленного доступа на ПК с Windows 7:
- «Пуск» > «Панель управления» > «Система»;
- в левой части окна «Система» кликаем «Настройка удаленного доступа«;
- в открывшемся окошке «Свойства системы» переходим во вкладку «Удаленный доступ«;
- активируем опции «Разрешить подключение удаленного помощника к этому компьютеру» (сверху) и «Разрешать подключение от компьютеров с любой версией удаленного рабочего стола (опаснее)» (она ниже, в разделе «Удаленный рабочий стол«);
- жмем «Применить» и «ОК«.
#2 — обновляем версию ОС на ПК с Windows 10
…по той простой причине, что некоторые обновления Windows могут влиять на работу Протокола удалённого рабочего стола (RDP) не самым лучшим образом (как KB4103721 в свое время, к примеру). Поэтому если этот самый протокол нормально не работает или вообще никак не работает, то есть смысл проверить Центр обновления Windows 10 на предмет наличия очередного апдейта. Процедура стандартная: «Пуск» > «Параметры» > «Обновление и безопасность» > кнопка «Проверка наличия обновлений» (или «Установить…», если комп уже сам скачал все апдейты).
Как настроить чужой компьютер удаленно используя Microsoft Quick Assist
Читайте, как подключить к компьютеру удалённый рабочий стол другого компьютера в одной сети или через Интернет, используя встроенную в Windows функцию «Подключение к удалённому рабочему столу». Операционная система Windows предлагает несколько стандартных утилит для удаленной работы через Интернет. Они предоставляют дистанционное управление компьютером другого пользователя. Вы можете помочь другу и устранить неполадки на домашнем ПК из любой точки Мира. Все утилиты работают аналогично программе «Удалённый рабочий стол Windows», доступны во всех версиях Windows и легко настраиваются.
Если вы работаете под Windows 10, то можете использовать стандартное приложение «Microsoft Quick Assist». Если один из вас использует Windows 7 или 8, то можно воспользоваться более старой утилитой «Windows Remote Assistance». «Удаленный помощник Windows» по-прежнему предустановлен в Windows 10, как раз для таких случаев.
Обратите внимание, что обе программы требуют, чтобы пользователь удалённого компьютера помог вам создать соединение. Вы не сможете просто подключаться к удалённому ПК когда захотите. Пользователь, с той стороны, должен находится за компьютером, чтобы открыть вам доступ. Если хотите подключаться в любое время и без помощи другого человека, то необходимо использовать программное обеспечение сторонних разработчиков (например, «TeamViewer»).
Маленькое примечание: просто для удобства повествования, назовём компьютер пользователя, который будет оказывать помощь – «Хостом», а компьютер человека, которому нужна помощь – «Клиентом».
Когда оба ПК под Windows 10: используем Microsoft Quick Assist
В операционной системе Windows 10, начиная с обновления 1607 (Anniversary Update), появилось несколько новых приложений. Утилита «Microsoft Quick Assist», вероятно, является самым простым способом получения удаленного доступа к ПК через Интернет, для оказания поддержки пользователю. Преимущество данного приложения в том, что программа присутствует во всех версиях Windows 10, а также она очень проста в использовании и подойдет для самого широкого круга людей.
Как начать работу с Microsoft Quick Assist
Для того, чтобы начать пользоваться этим приложением, его следует запустить на обоих компьютерах, как на «Хосте», так и на «Клиенте». Соответственно, оба компьютера должны работать под Windows 10, с обновлением не ниже 1607.
Запустить приложение очень просто, на «Хосте» нужно зайти в «поиск» в панели задач и начать вводить «Быстрая помощь» или «Quick Assist»), или, второй способ, открыть меню Пуск в разделе «Стандартные — Windows» – «Быстрая помощь».
Чтобы подключиться к удаленному компьютеру нужно выполнить несколько простых шагов:
На «Хосте» нажмите «Оказать помощь». (Для подключения, на стороне «Хоста» понадобиться войти в учетную запись Microsoft, а на стороне «Клиента» не нужно.)
После этого пользователь получит защитный код, срок действия которого истекает через десять минут. Если срок истек, то всегда можно нажать «Оказать помощь» заново, чтобы получить новый код, опять на десять минут. Любым возможным образом, пользователю «Хоста» необходимо передать этот код пользователю «Клиента» (по телефону, по e-mail, напишите sms, через какой-либо мессенджер или социальную сеть).
Затем, пользователь «Клиента», запускает «Microsoft Quick Assist». Нажимает «Получить помощь» и вводит код безопасности, который вы ему переслали.
На стороне «Клиента» должны успеть ввести код в течение десяти минут с момента получения, или он перестанет действовать. Вводим код и нажимает «Отправить».
Затем у пользователя «Клиента» отобразится запрос на предоставление доступа с информацией о том, кто подключается, нажимаем кнопку «Разрешить» и удаленное подключение создано.
Теперь удаленное подключение создано
Может потребоваться несколько минут, прежде чем устройства подключатся друг к другу.
Как только они это сделают, на «Хосте» появится окно с изображением рабочего стола «Клиента». И пользователь «Хоста» получит полный доступ ко всему компьютеру «Клиента», как если бы сам сидел за ним. Соответственно, пользователь «Хоста» получит возможность устанавливать и запускать любое программное обеспечение на стороне «Клиента», получит доступ к любым файлам, хранящимся на дисках ПК и т.д. Будут предоставлены все привилегии, которыми обладает пользователь «Клиента», поэтому можно будет изменять любые настройки системы. «Хост» сможет устранить неисправность компьютера «Клиента», изменить настройки системных программ, провести сканирование ПК на наличие вредоносных программ и вирусов, и сделать все что угодно, без каких-либо ограничений.
В правом верхнем углу находятся иконки быстрого управления соединением. С их помощью можно создавать аннотацию (рисовать на экране), изменять размер окна, удаленно перезагружать компьютер, открывать диспетчер задач на стороне «Клиента», приостанавливать или завершать соединение «Quick Assist».
Со стороны «Клиента», пользователь также видит свой рабочий стол, когда работают на нём со стороны «Хоста». Он может контролировать все действия «помощника», смотреть и учиться, как решается та или иная проблема.
Значок «Добавить примечание», расположенный в правом верхнем углу, позволяет рисовать прямо на экране, чтобы поддерживать связь с другим человеком.
В любое время, пользователи с обоих сторон могут завершить подключение, просто нажав «Завершить» на панели программы «Быстрая помощь» в верхней части экрана.
Следите за тем, как вы меняете настройки сети на стороне «Клиента». Некоторые изменения сетевых настроек могут оборвать соединение, что потребует повторного подключения обоих ПК.
Кнопка «Перезапуск» предназначена для перезагрузки удаленного компьютера, причем, соединение «Quick Assist» возобновится автоматически, без каких-либо дополнительных действий. Однако, такой вариант не всегда может сработать должным образом. Поэтому, будьте готовы создавать повторное подключение «Quick Assist» (напомню, что для этого потребуется присутствие обоих пользователей за своими компьютерами, с обоих сторон).
Если один или оба ПК работают под Windows 7 или 8: используйте «Удалённый помощник Windows» (Windows Remote Assistance)
Как я писал ранее, программу «Quick Assist» можно использовать только если оба ПК работают под Windows 10. К счастью, для тех же целей можно использовать устаревшую, но все еще полезную утилиту «Удалённый помощник Windows» (Windows Remote Assistance), которая предустановлена в Windows 7, 8 и 10.
Как пригласить кого-то помочь вам
Если вы хотите предоставить кому-то доступ к вашему компьютеру, нужно выполните ряд действий:
Для начала запустите приложение «Удалённый помощник Windows». В Windows 7, перейдите в меню «Пуск» – «Мои Программы» – папка «Обслуживание» – кликните по «Удаленный помощник Windows».
В Windows 10, программу «Удалённый помощник Windows» найти не так легко. Откройте «Поиск», нажав на кнопку с изображением лупы справа от меню «Пуск» – начинайте вводить в строке поиска «msra» (на английском языке) – нажмите «Выполнить команду».
Далее нажмите «Пригласить того, кому вы доверяете, для оказания помощи».
Если у вас на компьютере отключена возможность приглашения удаленного помощника, то всплывёт сообщение об ошибке. Просто нажмите «Восстановить», и приложение устранения неполадок предложит вам несколько вариантов решения проблемы, после чего работа «Удалённого помощника Windows» продолжится.
Есть несколько способов что бы пригласить кого-то на помощь. Вы можете создать файл приглашения, нажав «Сохранить приглашение как файл» и отправить его, например, по электронной почте. Если у вас установлена программа электронной почты, вы можете нажать «Пригласить по электронной почте».
Но самый простой вариант – это использовать «Easy Connect». Для этого, вам и вашему помощнику необходимо проверить будет ли он работать. Для этого требуется, чтобы ваш провайдер осуществлял поддержку пиринговых (одно ранговых, децентрализованных, peer-to-peer) сетей, они могут быть заблокированы у определенных поставщиков услуг Интернета.
Мы рекомендуем использовать «Easy Connect», как самый быстрый и лёгкий вариант, если это возможно.
Выбираем пункт «Easy Connect» и программа сгенерирует и выведет пароль. Вам необходимо как-то передать этот пароль другому человеку (по телефону, по e-mail, напишите sms, через какой-либо мессенджер или социальную сеть), и он сможет подключиться к вашему компьютеру. (Этот пароль действителен только для подключения к компьютеру, и только когда окно программы открыто)
Если по какой-либо причине вы или другой человек не смог использовать «Easy Connect», то можете нажать «сохранить приглашение как файл». Запустится диалог сохранения файла и будет, опять же, сгенерирован пароль. Отправьте этот файл и пароль как вам нравится, например, с помощью «Gmail», «Outlook.com», «Yahoo! Mail» или любого другого сервиса. Это желательно сделать разными способами. Например, сообщите пароль по телефону, а файл отправьте по электронной почте. Потому что, допустим, кто-то сможет перехватить вашу электронную почту и скачает файл подключения, но, без пароля, не сможет подключиться к вашему ПК.
Как подключиться к ПК c помощью файла подключения и пароля
Пользователь, которому вы отослали файл, должен будет запустить приложение «Удалённый помощник Windows» на своем ПК и выбрать опцию «Помочь тому, кто вас пригласил».
Нажмите «Использовать Easy Connect», либо «Использовать файл приглашения», в зависимости от того, есть ли у вас файл приглашения или просто пароль «Easy Connect». Также, можно просто два раза кликнуть левой кнопкой мыши на файл приглашения и ввести пароль для подключения.
И, собственно, ввести пароль.
Теперь соединение установлено
Компьютер, к которому подключались, выдаст последнее предупреждение с запросом, предоставить ли доступ – нажимаем «Разрешить» и соединение установлено. Теперь пользователь, который подключался, увидит рабочий стол удалённого компьютера. Он может либо смотреть за действиями, сидящего перед компьютером, пользователя и давать устные указания. Или, нажав кнопку «Запросить управление», получить контроль над удаленным ПК напрямую.
Пользователь, непосредственно находящийся перед ПК, также может видеть все происходящее. В любой момент времени он может закрыть окно «Удаленного помощника Windows», чтобы завершить соединение.
Есть кнопка «Разговор», расположенная на панели инструментов, которая позволит общаться в чате друг с другом, когда соединение установлено.
Также будьте осторожны, когда изменяете параметры сети, это может привести к сбою соединения и его придётся устанавливать заново.
Автор: Vladimir Mareev, Технический писатель
Владимир Мареев — автор и переводчик технических текстов в компании Hetman Software. Имеет тринадцатилетний опыт в области разработки программного обеспечения для восстановления данных, который помогает ему создавать понятные статьи для блога компании. Спектр публикаций довольно широк и не ограничивается только лишь темой программирования. Статьи включают также разнообразные обзоры новинок рынка компьютерных устройств, популярных операционных систем, руководства по использованию распространенных и специфических программ, примеры решений возникающих системных или аппаратных проблем и многие другие виды публикаций. Подробнее
Содержание
- Хочу Знать
- Как подключиться в режиме теневой копии WIndows Server 2012/2016 если поднят Active Directory
- Режим Shadow
- Установка служб RDP
- Коллекция сеансов
- Подключение к сеансу
- Теневое RDP подключение к рабочему столу пользователя в Windows 10
- Настройка Remote Assistance удаленный помощник на терминальном RDS RDP сервере Windows Server 2016 в домене
- RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2016 9 / 2012 R2 Windows 8, 10
- Настройка Remote Assistance удаленный помощник на терминальном RDS RDP сервере Windows Server 2016 в домене : 1 комментарий
Хочу Знать
В Windows 2012 R2 и Windows 8.1 Microsoft вернула функционал Remote Desktop Shadowing (теневого подключения). Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления существующей RDP сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим). Функционал RDS Shadow работает и в следующих версиях ОС: Windows Server 2016 / Windows 10.
Кроме того, у режима теневого подключения RDS Shadow и RDP клиента появился ряд новых интересных возможностей. Полный список параметров RDPклиента mstsc.exe, определяющих возможность удаленного теневого подключения к сессии конечного пользователя:
Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]]
/shadow:ID – подключится к RDP сессии с указанным ID.
/v:servername – имяRDP/RDS терминального сервера (если не задано, используется текущий).
/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).
/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.
/prompt –используется для подключения под другими учетными данными. Запрашивается имя и пароль пользователя для подключения к удаленному компьютеру.
Ограничения теневых сеансов RDS в Windows 2012 R2
Использование Remote Desktop Shadow из графического GUI
Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection
Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow (Теневая копия).
Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt foruser consent (Запрашивать согласие пользователя на подключение к сессии).
Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:
Запрос на удаленное наблюдение
Winitproadministrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос.
Winitproadministrator is requesting to view your session remotely. Do you accept the request?
Если пользователь подтвердит, подключение, в режиме просмотра администратор увидит его рабочий стол, но не сможет взаимодействовать с ним.
Совет. Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).
Если же пользователь отклонит подключение, появится окно:
Shadow Error: The operator or administrator has refused the request
Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что такое это запрещено групповой политикой:
Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.
Этой политикой можно настроить следующие варианты теневого подключения через теневое подключение RD Shadow::
Теневое подключение RDS Shadow из PowerShell
Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.
В первую очередь покажем, как получить список сессий на терминальном сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):
На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:
Mstsc /shadow:3 /control
Также для получения списка всех сессии на сервере можно выполнить команду
На экране отобразится список RDP сессий, их ID и статус: активная сесиия (Active) или отключенная (Disconnected).
Для получения списка сессий на удалённом сервере выполните команду:
query session /server:servername
Для более удобного теневого подключения к сессиям можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех сеансов и предложит указать сеанс, к которому нужно подключится:
shadow.bat
set /P rcomp=»Enter name or IP of a Remote PC: »
query session /server:%rcomp%
set /P rid=»Enter RDP user ID: »
start mstsc /shadow:%rid% /v:%rcomp% /control
Можно поместить данный файл в каталог %Windir%System32, в результате для теневого подключения достаточно выполнить команду shadow.
Для подключения к консольной сессии можно использовать такой скрипт:
set /P rcomp=»Enter name or IP of a Remote PC: »
for /f «tokens=3 delims= » %%G in (‘query session console /server:%rcomp%’) do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control
Как разрешить обычном пользователям использовать теневое подключение
В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).
К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:
wmic /namespace:rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2
В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.
Для решения проблемы нужно установить отдельные обновления:
Источник
Как подключиться в режиме теневой копии WIndows Server 2012/2016 если поднят Active Directory
Режим Shadow
Режим Shadow (теневой сеанс) – может использоваться администратором для просмотра и управления активной терминальной сессией любого пользователя.
Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Диспетчера серверов.
Для этого необходимо использовать коллекции сеансов, которые доступны после установки службы удалённых рабочих столов.
Для установки службы удалённых рабочих столов необходимо, чтобы Ваш VPS под управлением Windows Server 2012 / 2016 был введен в домен.
В данной инструкции сервер уже состоит в домене NEOCOMMS.RU
Установка служб RDP
(установка служб удаленных рабочих столов)
В «Диспетчере серверов» выберите «Управление» и «Добавить роли и компоненты«:
На первым шаге «Мастера добавления ролей и компонентов» и нажимаем «Далее«:
На втором шаге выбираем «Установка служб удалённых рабочих столов«:
В следующем шаге мастер попросит Вас выбрать тип развертывания. Выберите «Стандартное развертывание» и нажимаем «Далее«:
Выберите сценарий «Развертывание рабочих столов на основе сеансов» и “Далее”:
Нажмите «Далее«:
Здесь нужно выбрать сервер «Посредник подключений к удалённому рабочему столу«, выбираем сервер в «Пуле серверов» и нажимаем «Далее«.
На этом этапе выберите сервер из списка «Пул серверов» и нажмите «Далее«:
Укажите сервер «Узла сеансов удалённых рабочих столов» выбрав сервер из списка “Пул серверов” и нажмите “Далее”:
Поставте галочки напротив пункта “Автоматически перезапускать конечный сервер, если это потребуется” и нажмите «Развернуть«:
Дождитесь установки выбраных ролей, после чего компьютер будет перезагружен.
После перезагрузки автоматически запустится «Мастер добавления ролей и компонентов«, который настроит установленные службы.
Дождитесь окончания настройки и нажмите “Закрыть”:
На этом установка «Службы удалённых рабочих столов» окончена.
Коллекция сеансов
Теперь создадим коллекцию сеансов.
В разделе “Общие сведения”, выберите пункт “Создание коллекций сеансов”:
На первом шаге мастера нажмите «Далее«:
Задайте имя коллекции и нажмите «Далее«:
Укажите сервер “Узлов сеансов удалённых рабочих столов” из списка “Пул серверов” для добавления в коллекцию и нажмите «Далее«:
Здесь можно добавить пользователя или группу пользователей, которым необходим доступ к этой коллекции сеансов.
В данном примере доступ к этой коллекции сеансов имеют все пользователи домена.
После чего нажмите «Далее«:
На этом шаге нажмите «Создать«:
После успешного создания, нажмите «Закрыть«:
Теперь, когда установлены все необходимые компоненты, есть возможность подключиться к теневому сеансу любого активного пользователя.
Подключение к сеансу
В данной инструкции её название «Моя коллекция«:
В списке «Подключения» выберите пользователя за которым вы хотите наблюдать или управлять,
кликните на нём правой кнопкой мыши и нажмите «Теневая копия«:
В открывшемся окне выберите нужное Вам действие «Просмотреть» или «Управление«:
Далее увидите следующее сообщение:
В этот момент на экране пользователя vasya всплывет окно запроса на удаленное наблюдение:
У нас появится доступ, как только пользователь vasya примет запрос.
Чтобы подключаться без запроса, необходимо изменить параметры удалённого управления конкретного пользователя, в данном примере это vasya.
Кликните дважды по имени пользователя и выберите вкладку «Удалённое управление».
В параметре «Запрашивать разрешение пользователя» снимите галочку и выберите желаемый уровень управления сеансом пользователя.
Теперь Вы сможете подключаться, управлять или наблюдать за сеансом пользователя без его ведома.
Источник
Теневое RDP подключение к рабочему столу пользователя в Windows 10
Помимо использования Remote Assistance, вы можете удаленно подключиться к рабочему столу пользователя Windows 10 с помощью теневого RDP подключения (Remote Desktop Shadowing). Большинство администраторов так или иначе пользовались этим функционалом для подключения к сессиям пользователей на терминальных RDS серверах с Windows Server 2012 R2 / Server 2016. Однако далеко не все знают, что теневое подключение можно использовать для удаленного просмотра и взаимодействия с рабочим столом пользователя и на десктопной Windows 10. Рассмотрим, как это работает.
Как вы помните, если попытаться удаленно подключится к компьютеру с Windows 10 через RDP, то сессия пользователя, работающего локально выбивается (даже если вы включите возможность использования нескольких одновременных RDP сессий в Windows 10). Однако вы можете подключится непосредственно подключиться к консольной сессии пользователя без блокировки его сеанса.
Предположим, вам нужно подключиться с сервера Windows Server 2012 R2 к рабочему столу пользователя, работающего локально за рабочей станцией с Windows 10.
Для теневого подключения к сессии пользователя нужно использовать стандартную RDP утилиту mstsc.exe. Формат команды такой:
Также можно использовать одну из опций:
Режим теневого подключения (нужно ли запрашивать подтверждение пользователя, и возможно управления в сессии или только наблюдение) настраивается с помощью групповой политики или редактирования реестра.
Вместо включения политики можно выставить значение dword ключа с именем Shadow в ветке реестра HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services. Допустимые значения:
По умолчанию данный ключ не задан и теневое подключение осуществляется в режиме полного контроля с разрешения пользователя.
Чтобы удаленно подключится к компьютеру через теневое подключение, у подключающейся учетной записи должны быть права администратора на компьютере, а в свойствах системы включен удаленный рабочий стол (RDP).
Запросим удаленно список сессий на рабочей станции Windows 10 командой:
qwinsta /server:192.168.11.60
Как вы видите, на данном компьютере имеется одна консольная сессия пользователя с идентификатором >
Итак, попробуем удаленно подключиться к сессии пользователя через теневое подключение. Выполните команду:
Mstsc /shadow:1 /v:192.168.11.60
На экране пользователя Windows 10 появится запрос:
Если пользователь разрешит соединение, вы подключитесь к его консольному сеансу и увидите его рабочий стол. Вы будете видеть все действия пользователя, но не сможете взаимодействовать с его сессией.
Если проверить сетевые соединения с помощью TCPView, можно увидеть, что взаимодействие идет через RemoteRPC (а не по протоколу RDP с портом TCP 3389). Т.е. для подключения используется случайный TCP порт из высокого диапазона RPC. На стороне подключающегося компьютера соединение устанавливает mstsc.exe, на стороне клиента подключение обрабатывает rdpsa.exe или rdpsaproxy.exe (в зависимости от билда Windows 10). Поэтому на клиенте должен быть включен RemoteRPC:
Функционал теневого подключения Remote Desktop Shadowing работает в Windows 10 / 8.1 и Windows Server 2012 R2 /2016. Чтобы теневое подключение работало на клиентах с Windows 7 SP1 (Windows Server 2008 R2) нужен RDP клиент версии 8.1 – поэтому придется установить обновление KB2830477 (требует наличия установленных KB2574819 и KB2857650).
Таким образом Remote Desktop Shadowing можно использовать как аналог Remote Assistance (Удаленный помощник) или TeamViewer для локальной или корпоративной сети.
Источник
Настройка Remote Assistance удаленный помощник на терминальном RDS RDP сервере Windows Server 2016 в домене
Как обеспечить удаленное управление в RDP сессиях на терминальном сервере Windows Server 2012R2 /2016/2019 в доменной сети
1)В консоли ADUC и выберем пользователя, которому будет разрешено подключение к сессиям. Создаём группу TS-RDP-RemoteAssistance
2)На терминальном сервер RDP RDS устанавливаем Features — Remote Assistance (Возможности — Удаленный помощник)
3)После успешной установки, нам нужно настроить несколько локальных политик на сервере.
Очевидно, что если количество терминальных серверов достаточно большое, настройку политик лучше производить в консоли Group Policy Object Editor GPO.
Если один терминальный сервер, как в моем примере, то достаточно редактора локальных групповых политик.
4)Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostConnections — Allow users to connect remotely by using Remote Desktop Services (Enabled)
Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostConnections — Set rules for remote control of Remote Desktop Services user sessions (Enabled)
Конфигурация компьютера Административные шаблоны Компоненты Windows Службы удаленных рабочих столов Узел сеансов удаленных рабочих столов Соединения
Разрешить пользователям удаленно подключаться с помощью служб удаленных рабочих столов
Конфигурация компьютера Административные шаблоны Компоненты Windows Службы удаленных рабочих столов Узел сеансов удаленных рабочих столов Соединения — Установить правила для дистанционного управления сеансами пользователей Remote Desktop Services
5)Computer ConfigurationAdministrative TemplatesSystemRemote Assistance — Configure Offer Remote Assistance (Enabled)
Конфигурация компьютера Административные шаблоны Система Удаленный помощник — Настройка удаленного доступа к службе (включено)
No remote contol allowed — удаленное управление не разрешено (значение ключа реестра Shadow = 0);
Full Control with users’s permission — полный контроль с разрешения пользователя (1);
Full Control without users’s permission — полный контроль без разрешения пользователя (2);
View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (3);
View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (4).
6)Включаем политику, разрешаем удаленное управление.
Нажимаем кнопку «Show«, здесь мы добавляем пользователей или группы домена, которым будет разрешено подключаться без приглашения.
7)Computer ConfigurationAdministrative TemplatesSystemRemote Assistance — Configure Solicited Remote Assistance (Enabled)
Этой политикой включается возможность отправки приглашений пользователями.
Так же включаем политику, разрешаем удаленное управление, выбираем способ доставки и время действия.
На этом настройка завершена. После настройки политик необходимо выполнить gpupdate /force или перезагрузить сервер.
Подключение выглядит следующим образом.
msra /offerRA MSK01-RDP01.5house.win
9)После того, как пользователь дает разрешение на подключение к сессии и управление, все в Ваших руках!
RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2016 9 / 2012 R2
Windows 8, 10
Использование Remote Desktop Shadow из графического GUI
Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection [Создадим коллекцию со списком подключения через powershell
New-RDSessionCollection –CollectionName SessionCollection –SessionHost MSK01-RDS.5house.win –CollectionDescription “This Collection is for Desktop Sessions” –ConnectionBroker MSK01-RDS.5house.win]
Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow (Теневая копия).
Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).
Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).
Если вы оказываете помощь
Щелкните правой кнопкой мыши по значку меню “Пуск”.
Выберите пункт меню “Найти”.
Введите фразу Быстрая помощь и нажмите Enter.
Выберите ссылку “Оказать помощь”.
Введите имя учетной записи Microsoft.
Нажмите кнопку “Далее”.
Введите пароль.
Нажмите кнопку “Вход”.
Затем отобразится шестизначный код безопасности, который надо сообщить пользователю, который получает помощь. В окне предлагается отправить код по электронной почте, но на самом деле вы можете использовать любой удобный способ, чтобы передать код.
Если вы получаете помощь
Для получения помощи не нужно регистрировать учетную запись Microsoft
Щелкните правой кнопкой мыши по значку меню “Пуск”.
Выберите пункт меню “Найти”.
Введите фразу “Быстрая помощь” и нажмите Enter.
Выберите ссылку “Получить помощь”.
Введите шестизначный код, полученный от лица, оказывающего помощь.
Нажмите кнопку “Отправить”.
Нажмите кнопку “Разрешить”, если имя учетной записи соответствует лицу, оказывающему помощь.
Со своей стороны, пользователь к которому подключились, может либо поставить сеанс «помощи» на паузу, либо закрыть приложение, если вдруг потребовалось резко прервать сеанс удаленного управления компьютером.
Среди незаметных возможностей — передача файлов на удаленный компьютер и с него: для этого просто скопируйте файл в одном расположении, например, на своём компьютере (Ctrl+C) и вставьте (Ctrl+V) в другом, например, на удаленном компьютере.
Настройка Remote Assistance удаленный помощник на терминальном RDS RDP сервере Windows Server 2016 в домене : 1 комментарий
Источник
Содержание
- Как использовать «Быстрая помощь» в ОС Windows 10 для удаленного решения проблем на компьютере
- Перед тем, как предоставить доступ.
- Как настроить приложение «Быстрая помощь» в Windows 10
- Если вы оказываете помощь
- Если вы получаете помощь
- Как использовать приложение «Быстрая помощь»
- Подключение к удалённой помощи в Windows 10
- Подключение к удалённой помощи в Windows 10
- Понимание взаимодействия удалённой помощи
- Установление связи удалённой помощи
- Ограничение приглашения
- Устранение неполадок удалённого помощника
- Работа с удалённым помощником Windows для оказания компьютерной помощи
- Проверка активности удалённого помощника
- Запуск удалённого помощника
- Приглашение для оказания компьютерной помощи
- Оказание компьютерной помощи
- Удаленная поддержка удаленных пользователей в Windows 10: Быстрая
- Лига Сисадминов
- Правила сообщества
- Microsoft предупредила о проблемах с драйверами на Windows 10 и предложила решение
- Песочница Windows
Как использовать «Быстрая помощь» в ОС Windows 10 для удаленного решения проблем на компьютере
Вам когда-нибудь приходилось помогать друзьям или родственникам в исправлении какой-либо проблемы на компьютере? Возможно, они сталкивались со сбоями, проблемами стабильности системы или с ошибками запуска или установки приложений. В любом случае, если вы не можете встретиться с ними лично, то встроенное в Windows 10 приложение «Быстрая помощь» позволяет получить удаленный доступ к компьютерам на Windows 10. Данный инструмент дает вам полный контроль над удаленной системой.
Перед тем, как предоставить доступ.
Поскольку данная функция предусматривает полный контроль над компьютером, вы должны предоставлять доступ только тем людям, которым доверяете. Если вы оказываете помощь, то должны использовать учетную запись Microsoft. Если вы получаете помощь, то выполнять вход в аккаунт Microsoft необязательно.
Если вы полностью доверяете человеку, оказывающему помощь, то используйте следующие шаги, чтобы установить подключение.
Как настроить приложение «Быстрая помощь» в Windows 10
Если вы оказываете помощь
Если вы получаете помощь
Для получения помощи не нужно регистрировать учетную запись Microsoft
В результате на ПК пользователя, который оказывает помощь, откроется окно с рабочим столом вашей системы.
Как использовать приложение «Быстрая помощь»
После того, как будет установлено соединение, человек, который оказывает помощь, может использовать различные инструменты и средства устранения неполадок на свое усмотрение.
Источник
Подключение к удалённой помощи в Windows 10
Подключение к удалённой помощи в Windows 10. Windows уже давно хвастается функцией удалённой помощи, которая позволяет человеку на одном компьютере управлять вторым компьютером на большом расстоянии. И в то время оба смотрят, что происходит на экране.
Подключение к удалённой помощи в Windows 10
Это отличная возможность для простого юзера, которая позволяет кому-то решать ваши проблемы удалённо, пока вы смотрите. (Или, если вы гуру, удалённая помощь позволяет вам решать проблемы других удалённо.)
Если вы смотрите на эти инструкции, потому что кто-то, кого вы не знаете, хочет войти в ваш компьютер, остановитесь. Спросите себя, как много вы знаете о человеке, который пытается заглянуть в ваш компьютер. Доверяете ли вы ему? Он возьмёт под контроль ваш компьютер. Возможно, он быстро у вас что-то вытянет, или поместит заражённый файл? Если у вас есть какие-то сомнения, НЕ ДЕЛАЙТЕ ЭТОГО. Мошенники любят уговаривать людей использовать удалённый помощник, потому что они получают полный контроль над ПК. И если они работают достаточно быстро (или говорят достаточно убедительно), они легко могут внедрить на ваш компьютер все, что захотят.
Понимание взаимодействия удалённой помощи
Windows включает функцию удалённого помощника, которая позволяет вам обратиться к другу, чтобы тот взял на себя управление вашим компьютером и устранил возникшие у вас проблемы.
Основное взаимодействие происходит примерно так:
Мысль о передаче вашей машины кому-нибудь с подключением к Интернету, вероятно, вызывает у вас беспокойство. Это не очень хорошо, но Microsoft встроила в Remote Assistance некоторые промышленные элементы управления. Ваш друг, прежде чем он сможет подключиться к вашему компьютеру, должен предоставить пароль, который вы укажете. Он может взять под свой контроль ваш компьютер, только если он попросит об этом, и вы специально это разрешите. И вы можете установить ограничение по времени для приглашения. Если ваш друг не ответит, скажем, в течение часа, приглашение отменяется.
Установление связи удалённой помощи
Когда вы будете готовы настроить соединение для удалённого помощника, вам нужно сделать следующее. (описывается с точки зрения человека, который просит помощи).
Одновременно происходят две вещи:
• Панель удалённого помощника вашего компьютера показывает, что вы подключены.
Если ваш друг хочет взять под контроль ваш компьютер, ему нужно щёлкнуть на панели удалённого помощника значок «Запросить управление». Если он это сделает, ваша машина предупредит вас, что ваш друг пытается взять на себя управление.
После того, как начнётся сеанс удалённого помощника и вы передадите управление своему другу, он сможет делать с вашим компьютером все что угодно, кроме смены пользователей. (Если один из них выходит из системы, соединение с удаленным помощником прерывается.) Вы оба одновременно можете управлять указателем мыши. Если один или оба из вас вводят на клавиатуре текст, буквы появляются на экране. Вы можете запретить другу управлять вашим компьютером, нажав клавишу Esc.
Ваш друг может быть уверен, что это одностороннее соединение. Он может управлять вашим компьютером, но вы ничего не можете делать на его компьютере. Он может видеть все, что вы видите на своём рабочем столе, но вам нельзя смотреть на его рабочий стол.
Ограничение приглашения
Если вы ничего не измените, приглашение, которое вы отправите с запросом удалённого помощника, истечёт через шесть часов. Чтобы изменить срок действия, выполните следующие шаги:
Устранение неполадок удалённого помощника
В удалённом помощнике таится множество подводных камней, но в основном он считается удивительно полезным и мощным инструментом. К числу потенциальных проблем относятся следующие:
Источник
Работа с удалённым помощником Windows для оказания компьютерной помощи
В процессе освоения компьютера по каждому вопросу в сервисный центр не набегаешься, и, задавшись целью повысить свой уровень познания компьютерных технологий, важно позаботиться о том, чтобы более опытные в этом деле товарищи всегда могли прийти на помощь. Оказать помощь неофиту компьютерные гуру могут в режиме удалённого доступа.
Для оказания и получения компьютерной помощи в режиме удалённого доступа в операционной системе Windows чаще используются сторонние программы – например, TeamViewer, Ammyy Admin или Radmin. Но в Windows версий 7, 8, 8.1 имеется штатная функция удалённого помощника для оказания компьютерной помощи.
Как работать с удалённым помощником Windows – и получать помощь, и её оказывать – в этих вопросах и будем разбираться ниже.
Проверка активности удалённого помощника
В большинстве случаев функция удалённого помощника в операционной системе будет активной по умолчанию. Исключение могут составлять редкие случаи, когда отключение намеренно было произведено другими пользователями компьютера или изначально при сборке пиратских версий Windows. Потому прежде чем приступить к использованию удалённого помощника, удостоверимся, что он активен.
Заходим в панель управления системы. Для Windows 8.1 это соответствующая опция в контекстном меню на кнопке «Пуск».
В Windows 7 переход в панель управления доступен в классическом меню «Пуск».
В панели управления заходим в раздел «Система и безопасность».
Выбираем «Настройка удалённого доступа».
Теперь можем приступать непосредственно к работе с ним.
Запуск удалённого помощника
В Windows 8.1 можем вернуться в раздел панели управления «Система и безопасность» и нажать опцию запуска удалённого помощника.
Более простой способ открыть окно удалённого помощника – с помощью системного поиска.
В Windows 7 эту функцию проще всего запустить, прописав запрос в строке поиска меню «Пуск».
Удалённый помощник откроется в отдельном окошке, где необходимо выбрать дальнейшие шаги – либо просить оказания компьютерной помощи, либо её оказывать самому.
Приглашение для оказания компьютерной помощи
Для начала рассмотрим процесс, когда помощь требуется. К этому компьютеру и будет открыт удалённый доступ. В окне удалённого помощника выбираем приглашение того, кто будет оказывать помощь.
Далее увидим несколько предлагаемых действий. С помощью системы Easy Connect, несмотря на её название, на самом деле не так-то уж и легко установить соединение. Оба компьютера – и пользователя, просящего помощь, и эту помощь оказывающего, должны быть под управлением Windows 8.1. Но даже в этом случае установить соединение получится не всегда. В большинстве случаев придётся использовать два других способа с созданием файла приглашения для того, кто будет оказывать помощь. Впрочем, особо сложными эти действия назвать нельзя. Выбираем сохранение приглашения в файл.
Сохраняем файл этого приглашения.
Затем на экране появится форма удалённого помощника с паролем, который будет необходим пользователю, оказывающему компьютерную помощь. Можем сразу скопировать пароль в буфер обмена единственной возможной опцией в контекстном меню, вызванном на этом пароле.
Теперь и файл приглашения, и скопированный пароль для удалённого доступа нужно передать тому, кто будет оказывать компьютерную помощь. Передать файл приглашения можно любым из доступных способов передачи данных по сети – ICQ, Skype, электронная почта, соцсети, публичный доступ к файлам в облачных хранилищах.
После того, как пользователь, оказывающий помощь, получит и запустит файл приглашения, введёт пароль, всё, что останется сделать, так это разрешить удалённый доступ, доверившись этому человеку.
Для того, чтобы человек, получивший удалённо доступ к компьютеру, имел право управлять системой, необходимо дополнительно дать ему это право.
Прекратить внешний доступ к компьютеру можно с помощью соответствующей опции в окошке удалённого помощника, которое будет активно всё время соединения.
В окне запуска удалённого помощника Windows доступен упрощённый вариант передачи файла приглашения с помощью электронной почты для тех случаев, когда в системе установлен почтовый клиент.
В этом случае Windows создаст файл приглашения и автоматически подготовит в почтовом клиенте новое электронное письмо с шаблонной просьбой об оказании компьютерной помощи и файлом приглашения во вложении.
Оказание компьютерной помощи
Процесс оказания компьютерной помощи несколько проще. В окне запуска удалённого помощника жмём, соответственно, опцию оказания помощи.
Выбираем способ с использованием файла приглашения.
В появившемся окне проводника указываем этот файл.
Начать процесс оказания компьютерной помощи можно и более простым способом, просто запустив двойным кликом, полученный файл приглашения.
Вводим пароль и ждём установки соединения.
После того, как соединение установится, в окне удаленного помощника увидим экран компьютера пользователя, которому нужна помощь. Для экономии системных ресурсов будут временно отменены некоторые эффекты оформления Windows, а обои рабочего стола примут чёрный цвет. Чтобы управлять удалённым компьютером, нужно запросить эту возможность у пользователя, просящего помощь, дополнительно.
Для удобства работы можно адаптировать отображение удалённого компьютера под разрешение своего экрана.
Удалённый помощник в числе немногих своих функций предусматривает обмен текстовыми сообщениями, и пользователи могут обсудить насущные вопросы, не отвлекаясь на поиск других способов связи.
Подытоживая…
Штатный удалённый помощник Windows, конечно, менее функционален в отличие от своих альтернатив, предлагаемых сторонними разработчиками, тем не менее, его возможностей хватит для разовых случаев, когда компьютерная помощь нужна срочно. Чуть большие возможности предусмотрены в штатной функции удалённого рабочего стола. Эта функция используется опытными пользователями для постоянного доступа, например, к домашнему компьютеру с рабочего или профессионалами, работающими с серверами.
Но даже бесплатная версия TeamViewer, предназначенная для некоммерческого использования, может предложить и большую функциональность.
И более простую организацию работы программы.
Источник
Удаленная поддержка удаленных пользователей в Windows 10: Быстрая
Всем привет, сегодня мы поговорим о средстве удаленной помощи пользователям, появившемся в Windows 10 1607: «быстрая помощь». Средство «Быстрая помощь» предназначено для оказания удаленной поддержки пользователей через интернет.
— Windows 10 не ниже 1607 на обоих компьютерах.
— Наличие учетной записи Microsoft у помогающего.
— Наличие доступа в интернет на обоих компьютерах.
Использование: взгляд пользователя
Если пользователю потребовалась помощь, то он должен запустить Быструю помощь. Можно через пункт «выполнить» запустить quickassist.exe или найти быструю помощь в поиске.
После запуска нам будет предложено два варианта: получить или оказать помощь. Для получения помощи, нам следует получить от помогающего специальное шестизначное число. Его мы вводим в верхнее поле.
После ввода кода нажатия соответствующей кнопки, ждем решения помогающего. ОН должен решить, будет-ли он управлять или только наблюдать за рабочим столом. Нам будет предложено его решение подтвердить
Подключение выполнено! МЫ в любой момент можем приостановить подключение или прервать его.
Использование: взгляд администратора
Теперь рассмотрим порядок действий человека помогающего. Пользователь обратился к нам за помощью и мы так-же запускаем быструю помощь. В окне программы авторизуемся с использованием учетных данных майкрософт. Программа генерирует временный код, который мы должны передать челолвеку, запросившему помощь.
После того, как пользователь введет код, у нас спросят требуемый уровень общего доступа. Пользователь должен дудет этот доступ подтвердить.
После подтверждения мы увидим рабочий стол вызываемого компьютера.
Мы можем выбрать все или конкретный удаленный монитор, есть двухсторонний текстовый буфер обмена. Мы можем сделать на экране удаленного рабочего стола пометку для пользователя. Например, можно выделить маркером элемент, который пользователь упорно не хочет заметить.
А вот так наши художества видит пользователь:
В случае необходимости перезагрузки удаленного компьютера, после загрузки, пользователю нужно лишь запустить приложение заново: вводить код не потребуется.
До TeamViewer ей конечно далеко, но функционал приложения постоянно расширяется. Не стоит забывать и про бесплатность приложения.
И по традиции, ссылка на мой блог, где картинок немного больше.
Лига Сисадминов
650 постов 12.3K подписчиков
Правила сообщества
— # mount /dev/good_story /sysodmins_league
— # mount /dev/photo_it /sysodmins_league
— # mount /dev/best_practice /sysodmins_league
— # mount /dev/tutorial /sysodmins_league
Таак, я кажется знаю, какую штуку мне еще нужно отключить в нашей корпоративной сети. =)
— Windows 10 не ниже 1607 на обоих компьютерах.
— Наличие учетной записи Microsoft у помогающего.
Тот же TeamViewer, как и другие аналоги, работает на любой ОС и не требует наличия учетки MS, которая, будем честны, нужна в данном случае исключительно для шпионажа за обоими и никак не помогает в решении задачи.
И чем оно отличается от «Удалённого помощника Windows» в Windows 7?
«Не стоит забывать и про бесплатность приложения.»
Когда это винда стала бесплатная? У большинства обывателей кому знакомый «тыжпрограмист» ставил систему стоит нелегальная и потому никаких «учетных данных Майкрософт» не будет.
Уточните я так понимаю нат он не пробивает, как и раньше?
возможно запустить на старых ОС?
Radmin юзаю, отлично работает.
Пока Бизнес выбирает любые аналоги, кроме мелкософтовых помоев- можно спать спокойно.
>> До TeamViewer ей конечно далеко
Если бы Линус Торвальдс знал русский язык, читал бы Пикабу и дошёл до этого места, то он бы со смеху со своей беговой дорожки ебанулся.
Подробно не вчитывался, но чем эта штука отличается от удаленного помощника, которая ещё с xp прекрасно работает? Для серьезного инструмента удаленного администрирования не годится, единственный плюс, бесплатно из коробки. DameWare пожалуй удобней всего для удаленного подключения.
Для простого бытового использования ammy admin будет проще и быстрее. По крайней мере я ею пользуюсь если знакомым что то надо починить на компе.
Microsoft предупредила о проблемах с драйверами на Windows 10 и предложила решение
В Windows 10, как и в более ранних версиях ОС, есть возможность устанавливать и обновлять драйверы прямо из системы с помощью Windows Update. Зачастую этих драйверов вполне хватает, но изредка возникает ситуация, когда нужно установить самый новый драйвер с официального сайта.
Однако в этом случае возможны проблемы. Как оказалось, система защиты целостности памяти может помешать установке сторонних (при этом официальных) драйверов. Однако решение есть.
Для этого нужно зайти в настройки:
Пуск > Параметры > Обновление и безопасность;
Перейти в раздел «Безопасность устройств»;
В секции «Изоляция ядра» отключить систему защиты целостности памяти;
После этого можно попробовать установить драйвер, скачанный с официального сайта.
Отметим, что в Microsoft недавно выпустила новую версию Windows 10 Optional updates, которая позволит пользователям выбирать обновления действительно нужных драйверов, а не устанавливать всё подряд.
Впрочем, недавнее необязательное обновление KB4535996 уже принесло целый ворох проблем и сбоев на Windows 10. К примеру, это различные «фризы», сбои при загрузке или замедление запуска, а также неработоспособность утилиты Sign Tool.
Компания пока не предложила решения, но если удалить KB4535996, то проблемы исчезают. Небольшим бонусом может служить тот факт, что после удаления патча система более не будет его предлагать, а также не станет устанавливать принудительно.
Песочница Windows
Windows 10 1903 принесла нам песочницу Windows Sandbox. Это очередная технология Microsoft, использующая возможности Hyper-V без установки последнего. Ранее я писал уже про подобный подход в Application Guard защитника Windows. Она стала первой технологией, использующей функции Hyper-V для запуска браузера в изолированном окружении, доступная владельцу Windows 10 Pro и старше без танцев с бубном. Песочница позволяет быстро создать временную изолированную среду для запуска потенциально опасных приложений и документов. Все изменения, внесенные в песочницу не сохраняются и при её закрытии будут утеряны.
— Windows 10 Pro или Enterprise 1903 (билд 18305 и выше)
— Архитектура AMD64 (64-х разрядная система и процессор)
— 4 Гб RAM (8 рекомендуется)
— 1 Гб дискового пространства ( рекомендуется использовать SSD)
— Включенная поддержка аппаратной виртуализации в UEFI/BIOS
Преимущества перед виртуальной машиной
— Высокая готовность. Первоначально нужно лишь включить компонент. Не нужно ничего скачивать или устанавливать. Песочница запускается менее минуты.
— Оперативное восстановление. Подобно восстановлению ВМ из снимка, песочница оживает при её перезапуске. Не нужно ничего восстанавливать, если песочница повредилась. Закрыли и открыли — всё уже работает.
— Безопасность. Песочница использует аппаратную виртуализацию. Hyper-V изолирует ядро песочницы от ядра основной системы.
— Отсутствие следов. После закрытия песочницы её данные удаляются, а дисковое пространство, занятое файлом виртуального жесткого диска мгновенно возвращается системе.
— Производительность. Используется аппаратное ускорение GPU, умное управлениепамятью и интегрированный планировщик задач.
— Это бесплатно. Операционную систему песочницы не нужно отдельно лицензировать в отличии от системы на том-же VirtualBox.
Включение Windows Sandbox
Для включения песочницы нам следует ввести команду в PowerShell:
Или в командной строке:
Или найти апплет включения компонентов в панели управления. После установки компьютер следует перезагрузить.
Воспользовавшись поиском Windows мы легко найдем песочницу. Ярлык так-же есть в главном меню.
На запуск песочницы уходит около минуты, при этом формируется контейнер со своим виртуальным диском.
В списке процессов её так-же никто не прятал. В моём случае, это процессы 5816 и 17976:
Как видно, используется Hyper-V, хоть в его оснастке и пусто. Но давайте взглянем на саму песочницу. Это такая же Windows, как у нас. Характеристиками система не обделена: ядер процессора как у хоста, 4 гигабайта памяти и 40 гб жесткий диск. Достаточно для большинства задач подобного рода. Стоит отметить, что виртуальный диск увеличивается динамически по мере использования. память так-же в системе используется динамическая, но в отличие от виртуального диска, возвращает системе неиспользованное пространство.
Работать с песочницей предельно просто. Окно, что мы видим — это подключение по RDP, его можно развернуть в полный экран — система масштабируется. Принтеры проброшены в момент подключения. Интернет будет из коробки. В зависимости от настроек виртуального коммутатора, будет видна локальная сеть (по умолчанию видна). Файлы можно передать в песочницу через копировать — вставить, буфер обмена работает.
Что любопытно, в песочнице пользователь по умолчанию называется: WDAGUtilityAccount. Первые четыре буквы — это сокращение от Windows Defender Application Guard, что намекает на развитие технологии Application Guard.
Подробности от команды разработчиков Windows Sandbox
Песочница Windows построена на технологии, которая называется Windows Containers. Контейнеры разрабатывались (и давно используются) для работы в облаке. Microsoft взял уже достаточно зрелую и протестированную технологию и доработал её для пользователей десктопной Windows.
Динамически генерируемый образ
Песочница является хотя и легковесной, но всё же виртуальной машиной. И, как любой виртуальной машине, ей требуется образ, с которого она может загрузится. Важнейшей особенностью Песочницы является то, что Вам не нужно откуда-то качать или создавать этот образ. Он создастся на лету, из файлов вашей текущей ОС Windows.
Мы хотим всегда получить одно и то же «чистое» окружение для Песочницы. Но есть проблема: некоторые системные файлы могут меняться. Решением было создание «динамически генерируемого образа»: для изменённых файлов в него будут включаться их оригинальные версии, но вот неизменные файлы физически в этот образ входить не будут. Вместо них будут использоваться ссылки на реальные файлы на диске. Как показала практика — такими ссылками будут большинство файлов в образе. Лишь малая их часть (около 100 МБ) войдут в образ полностью — это и будет его размер. Более того, когда Вы не используете Песочницу, эти файлы хранятся в сжатом виде и занимают около 25 МБ. При запуске Песочницы они разворачиваются в тот самый «динамический образ» размером около 100 МБ.
Умное управление памятью
Управление памятью для Песочницы — ещё одно важное усовершенствование. Гипервизор позволяет запускать на одной физической машине несколько виртуальных и это, в общем, неплохо работает на серверах. Но, в отличии от серверов, ресурсы обычных пользовательских машин значительно более ограничены. Для достижения приемлемого уровня производительности Microsoft разработал специальный режим работы памяти, при котором основная ОС и Песочница могут с некоторых случаях использовать одни и те же страницы памяти.
В самом деле: поскольку основная ОС и Песочница запускают один и тот же образ ОС, то большинство системных файлах в них будут одни и те же, а значит нет смысла дважды загружать в память одинаковые библиотеки. Можно сделать это один раз в основной ОС, а когда тот же файл понадобится в памяти Песочнице — ей можно дать ссылку на ту же страницу. Конечно, требуются некоторые дополнительные меры для обеспечения безопасности подобного подхода, но Microsoft позаботилась об этом.
В случае использования обычных виртуальных машин гипервизор контролирует работу виртуальных процессоров, работающих в них. Для Песочницы была разработана новая технология, которая называется «интегрированный планировщик», которая позволяет основной ОС решать когда и сколько ресурсов выделить Песочнице. Работает это так: виртуальный процессоры Песочницы работают как потоки внутри процесса Песочницы. В итоге они имеют те же «права», что и остальные потоки в вашей основной ОС. Если, к примеру, у вас работают какие-то высокоприоритетные потоки, то Песочница не будет отнимать у них много времени для выполнения своих задач, которые имеют нормальный приоритет. Это позволит пользоваться Песочницей, не замедляя работу критически важных приложений и сохраняя достаточную отзывчивость UI основной ОС, аналогично тому, как работает Linux KVM.
Главной задачей было сделать Песочницу с одной стороны просто обычным приложением, а с другой — дать гарантию её изоляции на уровне классических виртуальных машин.
Как уже говорилось выше, Песочница использует гипервизор. Мы по сути запускаем одну копию Windows внутри другой. А это означает, что для её загрузки понадобится какое-то время. Мы можем тратить его при каждом запуске Песочницы, либо сделать это лишь раз, сохранив после загрузки всё состояние виртуальной ОС (изменившиеся файлы, память, регистры процессора) на диске. После этого мы сможем запускать Песочницу из данного снимка, экономя при этом время её старта.
Аппаратная виртуализация графики — это ключ к плавному и быстрому пользовательскому интерфейсу, особенно для «тяжелых» в плане графики приложений. Однако, классические виртуальные машины изначально ограничены в возможностях напрямую использовать все ресурсы GPU. И здесь важную роль выполняют средства виртуализации графики, которые позволяют преодолеть данную проблему и в какой-то форме использовать аппаратную акселерацию в виртуальном окружении. Примером такой технологии может быть, например, Microsoft RemoteFX.
Кроме того, Microsoft активно работала с производителями графических систем и драйверов для того, чтобы интегрировать возможности виртуализации графики непосредственно в DirectX и WDDM (модель драйверов в ОС Windows).
В результате графика в Песочнице работает следующим образом:
Приложение в Песочнице использует графические функции обычным образом, не зная кто и как будет их выполнять
Графическая подсистема Песочницы, получив команды отрисовки графики, передаёт их основной ОС
Основная ОС, получив команды отрисовки графики, воспринимает их так, как будто они пришли от локально запущенного приложения и соответствующим образом выполняет их, выделяя и управляя необходимыми ресурсами.
Это процесс можно изобразить так:
Это позволяет виртуальному окружению получать полноценный доступ к аппаратно акселерируемой графике, что даёт как прирост производительности, так и экономию некоторых ресурсов (например, заряда батареи для ноутбуков) в следствие того, что для отрисовки графики больше не используются тяжелые расчёты на CPU.
Песочница имеет доступ к информации о заряде батареи и может оптимизировать свою работу для его экономии.
Как обычно, привожу ссылку на оригинал статьи в моём блоге.
Источник
Теневое подключение к сеансам RDP / RDS позволяет администраторам подключаться к любому сеансу пользователя для просмотра рабочего стола пользователя и взаимодействия с ним. Режим теневого копирования удаленного рабочего стола работает во всех современных версиях Windows, начиная с Windows 2012 R2 и Windows 8.1 (за исключением Windows Server 2012, в которой стек rdp переместился из режима ядра в режим пользователя). В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к пользовательским сеансам RDP в Windows Server 2016 и Windows 10
В Windows Server 2016 / Windows 10 в стандартном клиенте RDP (mstsc.exe) есть несколько специальных параметров, которые можно использовать для удаленного теневого подключения (RDS Shadow) к сеансу RDP любого пользователя:
Mstsc.exe /shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [[/prompt]]
- / shadow: sessionID – подключиться к RDP-сессии пользователя по ID;
- / v: servername – вы можете указать имя удаленного хоста (терминальный сервер RDP / RDS). Если имя сервера не указано, выполняется подключение к локальным сеансам на текущем хосте;
- / control – включает возможность взаимодействия с сеансом пользователя (рабочий стол). Администратор может управлять мышью пользователя, вводить данные с клавиатуры. Если этот параметр не указан, используется режим просмотра сеанса пользователя;
- / noConsentPrompt – этот параметр позволяет администратору принудительно подключиться к любому сеансу, не запрашивая у пользователя подтверждение подключения;
- / prompt – позволяет использовать для подключения учетную запись, отличную от текущей. Имя пользователя и пароль необходимы для подключения к сеансу.
Теневые сеансы можно использовать для подключения к пользовательским сеансам на компьютерах и серверах как в домене Active Directory, так и в рабочей группе. Кроме того, необязательно иметь права администратора на хосте RDS, на котором работает пользователь. Администраторы могут делегировать полномочия теневого копирования RDS кому угодно, даже не административным учетным записям (подробнее см. Ниже).
Использование Remote Desktop Shadow из графического GUI
вы можете подключиться к пользовательскому сеансу с помощью утилиты mstsc.exe или графической консоли Server Manager. Для этого в консоли Server Manager на сервере RDS перейдите в раздел Remote Desktop Services -> выберите свою коллекцию, например QuickSessionCollection.
Список справа будет содержать список пользователей, у которых есть сеансы на этом сервере RDS. Щелкните правой кнопкой мыши сеанс, который нужен пользователю, выберите «Тень» в контекстном меню).
Вы можете подключиться только к активному пользовательскому сеансу. Если сеанс находится в отключенном состоянии (отключен из-за тайм-аута), вы не можете подключиться к этому сеансу:
Ошибка тени - указанный сеанс не подключен.
Появится окно с параметрами теневого подключения. Вы можете просматривать (Просмотр) и управлять (Управлять) сеансом. В качестве альтернативы вы можете включить опцию Требовать согласия пользователя).
Если выбрана опция «Запросить согласие пользователя», пользователю будет предложено в сеансе:
Запрос удаленного мониторинга Winitpro администратор запрашивает удаленный мониторинг вашей сессии. Вы принимаете этот запрос?
Winitpro администратор требует удаленного просмотра сеанса. Вы принимаете запрос?
Если пользователь подтвердит подключение, администратор увидит свой рабочий стол в режиме просмотра, но не сможет с ним взаимодействовать.
Совет. Чтобы выйти из сеанса пользователя и выйти из теневого режима, необходимо нажать ALT + * на рабочей станции или Ctrl + * на сервере RDS (если не указаны альтернативные комбинации).
Если пользователь отказался от административного подключения Shadow RDS, появится окно:
Теневая ошибка: оператор или администратор отклонил запрос.
В современных версиях Windows графическая оснастка tsadmin.msc из Windows Server 2008 R2 не может использоваться для теневых подключений к сеансам RDP.
Если вы попытаетесь подключиться к сеансу пользователя без запроса подтверждения, появится сообщение об ошибке о том, что это запрещено групповой политикой:
Теневая ошибка: параметр групповой политики настроен на требование согласия пользователя. Проверьте конфигурацию параметров политики.
Если вам нужно проверить подключения пользователей RDS Shadow, используйте следующие события из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational в качестве фильтра:
- Событие с кодом 20508: разрешение на просмотр теней предоставлено
- Событие с кодом 20503: сеанс просмотра теней запущен
- Событие с кодом 20504: сеанс теневого просмотра остановлен
Параметры для удаленного управления сеансами RDS пользователя настраиваются с помощью отдельного параметра групповой политики «Установить правила для управления сеансом пользователя служб удаленных рабочих столов». Этот параметр находится в разделе «Политики» -> «Административные шаблоны» -> «Компоненты Windows» -> «Службы удаленных рабочих столов» -> «Узел удаленного сеанса» -> «Подключения» в разделах «Пользователь» и «Компьютер» объекта групповой политики. Эта политика соответствует параметру DWORD теневого реестра в ветке HKLM SOFTWARE Policies Microsoft Windows NT Terminal Services (в скобках указаны значения этого параметра, соответствующие параметрам политики).
С помощью этой политики вы можете настроить следующие параметры подключения к теневому удаленному рабочему столу:
- Дистанционное управление запрещено – дистанционное управление запрещено (значение регистрового параметра
Shadow = 0
);
- Полный контроль с разрешения пользователя – полный контроль над сеансом с разрешения пользователя (
1
);
- Полный контроль без разрешения пользователя – полный контроль без разрешения пользователя (
2
);
- Просмотр сеанса с авторизацией пользователя – сеанс мониторинга с авторизацией пользователя (
3
);
- Просмотр сеанса без авторизации пользователя – мониторинг сеанса без авторизации пользователя (
4
).
После изменения настроек не забудьте обновить настройки групповой политики на хосте RDP / RDS.
вы можете настроить правила для удаленного подключения в домене из консоли
gpmc.msc
, используя рассматриваемый параметр политики, или групповую политику, которая вносит изменения непосредственно в реестр (последний вариант позволяет более точно настроить таргетинг политики на компьютеры с помощью Group Таргетинг на уровень элемента политики).
Теневое подключение RDS Shadow из PowerShell
вы также можете использовать функцию теневого подключения к пользовательскому сеансу через теневое подключение к службам удаленных рабочих столов из Powershell.
Прежде всего, вам необходимо получить список пользовательских сессий на RDS-сервере терминала (пользовательские сессии будут сгруппированы по их статусу):
Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate
На этом сервере мы обнаружили три активных пользовательских сеанса RDP. Чтобы подключиться к пользовательскому сеансу с идентификатором сеанса 3, выполните команду:
Mstsc /shadow:3 /control /noConsentPrompt
Кроме того, чтобы получить список всех сеансов RDP на сервере (или в настольной версии Windows 10, в которой разрешено несколько подключений RDP), вы можете использовать команду:
quser
ИЛИ
qwinsta
На экране отобразится список сеансов RDP, их идентификаторы и статус: сеанс активен (Активен) или отключен (Отключен).
Чтобы получить список сессий на удаленном сервере, выполните команду:
query session /server:servername
Чтобы подключиться к пользовательскому сеансу на удаленном сервере, используйте команду:
Mstsc /v:rdsh2:3389 /shadow:3 /control
Для более удобного теневого подключения к пользовательским сеансам RDP вы можете использовать следующий скрипт. Сценарий попросит вас ввести имя удаленного компьютера и отобразит список всех пользователей с активными сеансами RDP. Вам нужно будет указать идентификатор сеанса, к которому вы хотите подключиться через теневой сеанс:
shadow.bat
@eco выкл
set / P rcomp = "Введите имя или IP-адрес удаленного ПК: "
сеанс запроса / сервер:% rcomp%
set / P rid = "Введите идентификатор пользователя RDP: "
запустить mstsc / shadow:% rid% / v:% rcomp% / control
Вы можете поместить этот файл в каталог% Windir% System32. Поэтому для теневого подключения к пользователю достаточно запустить теневую команду.
Для подключения к сеансу консоли вы можете использовать следующий скрипт:
@eco выкл
set / P rcomp = "Введите имя или IP-адрес удаленного ПК: "
for / f "tokens = 3 delims =" %% G in ('query session console / server:% rcomp%') установить rid = %% G
запустить mstsc / shadow:% rid% / v:% rcomp% / control
Вы также можете использовать следующий сценарий PowerShell с простым графическим интерфейсом (rdp_shadow_connection.ps1) для теневого подключения):
Добавить тип -assembly System.Windows.Forms
$ Header = "SESSIONNAME", "USERNAME", "ID", "STATUS"
$ dlgForm = Новый объект System.Windows.Forms.Form
$ dlgForm.Text = 'Сессионное соединение'
$ dlgForm.Width = 400
$ dlgForm.AutoSize = $ true
$ dlgBttn = Новый объект System.Windows.Forms.Button
$ dlgBttn.Text = 'Контроль'
$ dlgBttn.Location = Новый объект System.Drawing.Point (15,10)
$ dlgForm.Controls.Add ($ dlgBttn)
$ dlgList = Новый объект System.Windows.Forms.ListView
$ dlgList.Location = Новый объект System.Drawing.Point (0.50)
$ dlgList.Width = $ dlgForm.ClientRectangle.Width
$ dlgList.Height = $ dlgForm.ClientRectangle.Height
$ dlgList.Anchor = "Сверху, слева, справа, снизу"
$ dlgList.MultiSelect = $ False
$ dlgList.View = 'Подробности'
$ dlgList.FullRowSelect = 1;
$ dlgList.GridLines = 1
$ dlgList.Scrollable = 1
$ dlgForm.Controls.add ($ dlgList)
# Добавить столбцы в ListView
foreach (столбец $ в заголовке){
$ dlgList.Columns.Add ($ column) | Out-Null
}
$ (qwinsta.exe | findstr "Active") -replace "^ [ s>]", "" -replace " s +", "," | ConvertFrom-Csv -Header $ Header | ForEach-Object {
$ dlgListItem = новый объект System.Windows.Forms.ListViewItem ($ _. SESSIONNAME)
$ dlgListItem.Subitems.Add ($ _. USERNAME) | Out-Null
$ dlgListItem.Subitems.Add ($ _. ID) | Out-Null
$ dlgListItem.Subitems.Add ($ _. STATUS) | Out-Null
$ dlgList.Items.Add ($ dlgListItem) | Out-Null
}
$ dlgBttn.Add_Click(
{
$ SelectedItem = $ dlgList.SelectedItems [0]
if ($ SelectedItem -eq $ null){
[System.Windows.Forms.MessageBox] :: Show («Выберите сеанс для подключения")
} Другие{
$ session_id = $ SelectedItem.subitems [2] .text
$ (mstsc / shadow: $ идентификатор_сеанса / элемент управления)
# [System.Windows.Forms.MessageBox] :: Show ($ session_id)
}
}
)
$ dlgForm.ShowDialog()
Этот сценарий отображает графическую форму со списком активных сеансов RDP на локальном сервере. Все, что вам нужно сделать, это выбрать учетную запись пользователя и нажать «Подключиться.
Чтобы запускать сценарии PowerShell (Ps1) на вашем компьютере, вам необходимо настроить политику выполнения PowerShell.
Вы можете использовать теневое подключение пользователя не только на Windows Server с ролью служб удаленных рабочих столов, но и для подключения к рабочим столам пользователей на компьютерах с Windows 10 .
Как разрешить обычном пользователям использовать теневое подключение?
В предыдущих примерах для использования теневого подключения к пользовательским сеансам RDP требуются права локального администратора на сервере RDS. Однако вы также можете включить теневые подключения для непривилегированных пользователей (без предоставления им прав локального администратора на компьютере / сервере).
Например, вы хотите разрешить членам группы домена AllowRDSShadow использовать теневое подключение к сеансам RDP. Выполните команду в cmd.exe с правами администратора:
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
query session /server:%rcomp%
set /P rid="Enter RDP user ID: "
start mstsc /shadow:%rid% /v:%rcomp% /control
В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи обнаружили, что теневой доступ перестал работать в Windows Server 2012 R2. При попытке установить теневое соединение с другим сеансом отображается сообщение «Неопознанная ошибка» (в журналах есть ошибка
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
for /f "tokens=3 delims= " %%G in ('query session console /server:%rcomp%') do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control
). Аналогичная проблема возникла в ферме RDS на базе Windows Server 2016.
Чтобы это исправить, вам необходимо установить отдельные обновления:
- для Windows Server 2016 – KB4057142 (17 января 2018 г)
- для Windows Server 2012 R2 – KB4057401 (17 января 2018 г)
Источник изображения: winitpro.ru