Déléguer la gestion des sessions sur RemoteApp 2012

9

Nous avons construit un environnement RemoteApp assez grand sur 2012 R2, entièrement corrigé. Tout fonctionne bien, alors vient le temps de délocaliser et de déléguer des tâches à l'équipe de première ligne.

Nous aimerions pouvoir demander à nos gars de première ligne de gérer les sessions. Si, par exemple, une session se bloquait (connexion perdue au lecteur de profil). Ils devraient pouvoir se déconnecter de la session.

J'ai essayé de définir des autorisations comme celle-ci sur tous les serveurs:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2

Mais en vain, ils ne peuvent pas ouvrir le Gestionnaire de serveur> Services Bureau à distance, car ils ne peuvent pas se connecter aux courtiers de connexion Bureau à distance.

S'ils ouvrent le gestionnaire de tâches et essaient de déconnecter les utilisateurs, ils ne disposent pas des droits appropriés. Cette option n'est pas non plus la meilleure car elle les obligerait à aller chercher sur chaque serveur si l'utilisateur y est connecté (chargement automatique équilibré sur plusieurs serveurs et régions).

Donc, fondamentalement: comment les membres d'un certain groupe peuvent-ils déconnecter les utilisateurs sans leur accorder des autorisations d'administrateur sur la machine?

C'est ainsi que je le ferais en 2008, mais les outils ne sont plus disponibles: https://technet.microsoft.com/en-us/library/cc753032.aspx

Bart De Vos
la source
2
Je vais regarder ça car nous n'avons jamais pu le comprendre. Donner aux utilisateurs / groupes des autorisations de contrôle / déconnexion / réinitialisation à distance fonctionne bien sur une base par serveur, mais nous ne pourrions jamais les faire récupérer auprès du courtier.
pauska
Cela pourrait être des grondements fous, pourriez-vous utiliser quelque chose dans ce sens? blogs.technet.com/b/askds/archive/2012/08/02/… puis utilisez le get-rdusersession -connectionbroker puis utilisez Invoke-RDUserLogoff une fois que vous avez les détails de la première commande
Drifter104

Réponses:

0

Juste une idée qui nécessite plus de travail:

Que faire si vous utilisez un script shell (power), exécutez toutes les n minutes en tant que tâche planifiée avec des privilèges d'administrateur, à laquelle vous passez (par exemple en utilisant un fichier texte placé dans un dossier protégé) les utilisateurs à déconnecter?

Ou, plus généralement, un processus, exécuté avec des privilèges élevés, dans le seul but de déconnecter les utilisateurs, qui reçoit les utilisateurs à se déconnecter en tant que paramètre ET un moyen pour les membres d'un groupe sélectionné de transmettre ces paramètres.

Silvio Massina
la source
0

Donc, j'ai fait participer quelqu'un de MS à cela. C'était la réponse qu'ils m'ont donnée.

Salut Bart - la façon la plus probable de prendre en charge ce scénario est de créer un PowerShell sur les outils TS Cmdline et de fournir un accès fin aux sessions de déconnexion, etc. à l'aide de WMI.

  1. Pour une liste spécifique des outils Cmdline qui peuvent être utilisés - voir ici: • https://technet.microsoft.com/en-us/library/cc753032.aspx
  2. Pour utiliser WMI pour accorder des persmissions, voir ici: https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx

Donc, fondamentalement, ce n'est pas possible, exécutez le vôtre.

Si jamais j'arrive à terminer, je mettrai à jour ici.

Bart De Vos
la source