Мы построили довольно большую среду RemoteApp на 2012 R2, полностью пропатченную. Все работает отлично, так что теперь пришло время для офшора и делегирования задач команде первой линии.
Мы хотели бы, чтобы наши ребята из первой линии могли управлять сеансами. Если, например, сеанс зависнет (потеряется соединение с диском профиля). Они должны иметь возможность выйти из сеанса.
Я пробовал устанавливать такие разрешения на всех серверах:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
Но это не помогает: они не могут открыть Диспетчер серверов > Службы удаленных рабочих столов, поскольку не могут подключиться к брокерам подключений к удаленным рабочим столам.
Если они откроют диспетчер задач и попытаются вывести пользователей из системы, у них не будет соответствующих прав. Этот вариант также не лучший, поскольку он потребует от них пойти и посмотреть на каждом сервере, вошел ли пользователь туда (автоматическая балансировка нагрузки между несколькими серверами и регионами).
Итак, вкратце:Как члены определенной группы могут выводить пользователей из системы, не предоставляя им прав администратора на компьютере?
Вот как я бы это сделал в 2008 году, но инструменты больше не доступны: https://technet.microsoft.com/en-us/library/cc753032.aspx
решение1
Просто идея, требующая доработки:
Что если вы используете скрипт (Power)Shell, запускаемый каждые n минут как запланированная задача с правами администратора, которому вы передаете (например, с помощью текстового файла, помещенного в защищенную папку) данные об отключении пользователей?
Или, в более общем плане, процесс, запущенный с повышенными привилегиями, единственной целью которого является отключение пользователей, который получает данные об отключении пользователей в качестве параметра И предоставляет членам выбранной группы возможность передать эти параметры.
решение2
Итак, я действительно привлек к этому кого-то из MS. Вот какой ответ они мне дали.
Привет, Барт. Наиболее вероятный способ поддержки этого сценария — создать PowerShell поверх инструментов TS Cmdline и предоставить детальный доступ к сеансам выхода из системы и т. д. с помощью WMI.
- Конкретный список инструментов Cmdline, которые можно использовать, см. здесь: • https://technet.microsoft.com/en-us/library/cc753032.aspx
- Информацию об использовании WMI для предоставления разрешений см. здесь:https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx
Так что, по сути, это невозможно, управляйте сами.
Если я когда-нибудь закончу это, я обновлю здесь.