我們在 2012 R2 上建立了一個相當大的 RemoteApp 環境,並且已完全修補。一切都進展順利,所以現在是時候將任務委託給第一線團隊了。
我們希望能夠讓我們的第一線人員來管理這些會議。例如,如果會話掛起(與設定檔磁碟機的連線遺失)。他們應該能夠註銷會話。
我嘗試在所有伺服器上設定這樣的權限:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
但無濟於事,他們無法開啟伺服器管理員 > 遠端桌面服務,因為他們無法連線到 RD 連線代理程式。
如果他們打開任務管理器並嘗試在那裡註銷用戶,則他們沒有適當的權限。此選項也不是最好的,因為如果使用者登入每個伺服器,則需要他們去查看每個伺服器(跨多個伺服器和區域自動負載平衡)。
所以,基本上:某個群組的成員如何在不授予使用者電腦管理員權限的情況下註銷使用者?
這就是我在 2008 年的做法,但這些工具不再可用: https://technet.microsoft.com/en-us/library/cc753032.aspx
答案1
只是一個需要更多工作的想法:
如果您使用(電源)shell 腳本,則作為具有管理員權限的排程任務每 n 分鐘執行一次,並將使用者傳遞給該腳本以斷開連接(例如使用放在受保護資料夾中的文字檔案) ,該怎麼辦?
或者,更一般地說,一個進程,以提升的權限運行,唯一的目的是註銷用戶,它接收用戶斷開連接作為參數,也是選定組的成員傳遞這些參數的一種方式。
答案2
所以,我實際上讓 MS 的人參與了這件事。這是他們給我的答案。
Hi Bart – 支援這種情況的最可能的方法是在 TS Cmdline 工具上建立 powershell,並使用 WMI 提供對註銷會話等的細粒度存取。
- 有關可以使用的命令列工具的具體清單 – 請參閱此處: • https://technet.microsoft.com/en-us/library/cc753032.aspx
- 有關使用 WMI 授予權限的信息,請參閱此處:https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx
所以基本上,這是不可能的,你自己運行。
如果我有時間完成這個,我會在這裡更新。