Wir haben eine ziemlich große RemoteApp-Umgebung auf 2012 R2 aufgebaut, die vollständig gepatcht ist. Alles funktioniert einwandfrei, jetzt ist es an der Zeit, Aufgaben auszulagern und an das First-Line-Team zu delegieren.
Wir möchten, dass unsere Mitarbeiter in der ersten Reihe die Sitzungen verwalten. Wenn beispielsweise eine Sitzung hängen bleibt (Verbindung zum Profillaufwerk verloren geht), sollten sie sich von der Sitzung abmelden können.
Ich habe versucht, auf allen Servern die folgenden Berechtigungen festzulegen:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
Aber vergeblich: Sie können „Server-Manager > Remotedesktopdienste“ nicht öffnen, da sie keine Verbindung zu den RD-Verbindungsbrokern herstellen können.
Wenn sie den Taskmanager öffnen und versuchen, dort Benutzer abzumelden, verfügen sie nicht über die entsprechenden Rechte. Diese Option ist auch nicht die beste, da sie dann auf jedem Server nachschauen müssten, ob der Benutzer dort angemeldet ist (automatischer Lastenausgleich über mehrere Server und Regionen hinweg).
Also im Grunde genommen:Wie können Mitglieder einer bestimmten Gruppe Benutzer abmelden, ohne ihnen Administratorrechte für den Computer zu erteilen?
So würde ich es in 2008 machen, aber die Tools sind nicht mehr verfügbar: https://technet.microsoft.com/en-us/library/cc753032.aspx
Antwort1
Nur eine Idee, die noch ausgearbeitet werden muss:
Was wäre, wenn Sie ein (Power)Shell-Skript verwenden, das alle n Minuten als geplante Aufgabe mit Administratorrechten ausgeführt wird und dem Sie die Benutzer übergeben, die die Verbindung trennen sollen (z. B. mithilfe einer Textdatei in einem geschützten Ordner)?
Oder allgemeiner: Ein Prozess, der mit erhöhten Rechten ausgeführt wird und nur dem Zweck dient, Benutzer abzumelden. Als Parameter erhält er die Berechtigung der Benutzer, die die Verbindung trennen, UND eine Möglichkeit für Mitglieder einer ausgewählten Gruppe, diese Parameter zu übergeben.
Antwort2
Ich habe tatsächlich jemanden von MS damit beauftragt. Das war die Antwort, die sie mir gaben.
Hallo Bart, die wahrscheinlichste Möglichkeit, dieses Szenario zu unterstützen, besteht darin, Powershell über die TS-Eingabeaufforderungstools zu erstellen und mithilfe von WMI einen fein abgestuften Zugriff zum Abmelden von Sitzungen usw. bereitzustellen.
- Eine spezifische Liste der verwendbaren Cmdline-Tools finden Sie hier: • https://technet.microsoft.com/en-us/library/cc753032.aspx
- Informationen zur Verwendung von WMI zum Erteilen von Berechtigungen finden Sie hier:https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx
Es ist also grundsätzlich nicht möglich, Ihr eigenes Unternehmen zu betreiben.
Wenn ich jemals dazu komme, dies fertigzustellen, werde ich es hier aktualisieren.