2012 R2 上に、完全にパッチを適用したかなり大規模な RemoteApp 環境を構築しました。すべて正常に動作しているので、今度はオフショア化して第一線のチームにタスクを委任する時が来ました。
第一線の担当者にセッションを管理してもらいたいと思っています。たとえば、セッションがハングした場合 (プロファイル ドライブへの接続が失われる)、担当者はセッションからログオフできる必要があります。
すべてのサーバーで次のように権限を設定してみました:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
しかし、RD 接続ブローカーに接続できないため、サーバー マネージャー > リモート デスクトップ サービスを開くことができません。
タスク マネージャーを開いて、そこでユーザーをログオフしようとしても、適切な権限がありません。このオプションは、ユーザーがログオンしているかどうかを各サーバーで確認する必要があるため、最適ではありません (複数のサーバーとリージョン間で自動的に負荷分散されます)。
だから基本的に:特定のグループのメンバーにマシンの管理者権限を与えずに、ユーザーをログオフさせるにはどうすればよいですか?
これは 2008 年に行った方法ですが、ツールはもう利用できません。 https://technet.microsoft.com/ja-jp/library/cc753032.aspx
答え1
まだ作業が必要なアイデアです:
管理者権限でスケジュールされたタスクとして n 分ごとに実行される (power)shell スクリプトを使用し、切断するユーザーを渡す (たとえば、保護されたフォルダーに配置されたテキスト ファイルを使用する) としたらどうでしょうか。
または、より一般的には、ユーザーをログオフすることのみを目的として昇格された権限で実行されるプロセスであり、切断するユーザーをパラメーターとして受け取り、選択されたグループのメンバーがそれらのパラメーターを渡す手段となります。
答え2
そこで、私は実際に MS の担当者にこの件について問い合わせました。彼らから返ってきた回答は次の通りです。
こんにちは、Bart。このシナリオをサポートする最も可能性の高い方法は、TS Cmdline ツール上に PowerShell を構築し、WMI を使用してログオフ セッションなどへのきめ細かいアクセスを提供することです。
- 使用できるCmdlineツールの具体的なリストについては、こちらをご覧ください: • https://technet.microsoft.com/ja-jp/library/cc753032.aspx
- WMI を使用して権限を付与する方法については、こちらを参照してください。https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx
つまり、基本的に、独自に実行することは不可能です。
これを完成したら、ここで更新します。