Construímos um ambiente RemoteApp bastante grande no 2012 R2, totalmente corrigido. Tudo está funcionando bem, então agora chega a hora de offshore e delegar tarefas para a equipe de primeira linha.
Gostaríamos de poder ter nosso pessoal de primeira linha gerenciando as sessões. Se, por exemplo, uma sessão fosse interrompida (perda de conexão com a unidade de perfil). Eles devem ser capazes de fazer logoff da sessão.
Tentei definir permissões como esta em todos os servidores:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
Mas sem sucesso, eles não conseguem abrir o Gerenciador de Servidores > Serviços de Área de Trabalho Remota, porque não conseguem se conectar aos Agentes de Conexão RD.
Se eles abrirem o gerenciador de tarefas e tentarem desconectar os usuários, eles não terão os direitos apropriados. Essa opção também não é a melhor porque exigiria que eles procurassem cada servidor se o usuário estivesse conectado lá (carga balanceada automaticamente em vários servidores e regiões).
Então, basicamente:Como os membros de um determinado grupo podem desconectar os usuários, sem conceder-lhes permissões de administrador na máquina?
Eu faria assim em 2008, mas as ferramentas não estão mais disponíveis: https://technet.microsoft.com/en-us/library/cc753032.aspx
Responder1
Apenas uma ideia que precisa de mais trabalho:
E se você usar um script (power)shell, executado a cada n minutos como uma tarefa agendada com privilégios de administrador, para a qual você passa (por exemplo, usando um arquivo de texto colocado em uma pasta protegida) os usuários para desconectar?
Ou, mais em geral, um processo, executado com privilégios elevados, com o único propósito de desconectar os usuários, que faz com que os usuários se desconectem como parâmetro E uma forma de os membros de um grupo selecionado passarem esses parâmetros.
Responder2
Então, na verdade, envolvi alguém da MS nisso. Esta foi a resposta que me deram.
Olá Bart – a maneira mais provável de oferecer suporte a este cenário é construir o PowerShell sobre as ferramentas TS Cmdline e fornecer acesso refinado para fazer logoff de sessões, etc., usando WMI.
- Para obter uma lista específica de ferramentas Cmdline que podem ser usadas – veja aqui: • https://technet.microsoft.com/en-us/library/cc753032.aspx
- Para usar o WMI para conceder permissões, veja aqui:https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx
Então, basicamente, não é possível, execute o seu próprio.
Se algum dia eu conseguir terminar isso, atualizarei aqui.