Hemos creado un entorno RemoteApp bastante grande en 2012 R2, completamente parcheado. Todo está funcionando bien, así que ahora llega el momento de deslocalizar y delegar tareas al equipo de primera línea.
Nos gustaría poder tener a nuestros chicos de primera línea gestionando las sesiones. Si, por ejemplo, una sesión se bloquea (se pierde la conexión con la unidad de perfil). Deberían poder cerrar la sesión.
Intenté configurar permisos como este en todos los servidores:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
Pero fue en vano, no pueden abrir el Administrador del servidor > Servicios de escritorio remoto porque no pueden conectarse a los agentes de conexión RD.
Si abren el administrador de tareas e intentan cerrar la sesión de los usuarios allí, no tienen los derechos adecuados. Esta opción tampoco es la mejor porque les requeriría ir y buscar en cada servidor si el usuario ha iniciado sesión allí (carga automática equilibrada en múltiples servidores y regiones).
Así que básicamente:¿Cómo pueden los miembros de un determinado grupo cerrar la sesión de los usuarios sin darles permisos de administrador en la máquina?
Así lo haría en 2008, pero las herramientas ya no están disponibles: https://technet.microsoft.com/en-us/library/cc753032.aspx
Respuesta1
Sólo una idea que necesita más trabajo:
¿Qué sucede si usa un script (power)Shell, que se ejecuta cada n minutos como una tarea programada con privilegios de administrador, al que le pasa (por ejemplo, usando un archivo de texto colocado en una carpeta protegida) los usuarios para que se desconecten?
O, más en general, un proceso, ejecutado con privilegios elevados, con el único propósito de desconectar a los usuarios, que recibe a los usuarios para desconectarse como un parámetro Y una forma para que los miembros de un grupo seleccionado pasen esos parámetros.
Respuesta2
De hecho, involucré a alguien de MS en esto. Esta fue la respuesta que me dieron.
Hola Bart: la forma más probable de soportar este escenario es crear PowerShell sobre las herramientas TS Cmdline y proporcionar acceso detallado para cerrar sesiones, etc., mediante WMI.
- Para obtener una lista específica de herramientas Cmdline que se pueden utilizar, consulte aquí: • https://technet.microsoft.com/en-us/library/cc753032.aspx
- Para usar WMI para otorgar permisos, consulte aquí:https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx
Básicamente, no es posible, ejecute el suyo propio.
Si alguna vez consigo terminar esto, lo actualizaré aquí.