Nous avons construit un environnement RemoteApp assez grand sur 2012 R2, entièrement corrigé. Tout fonctionne bien, alors vient le temps de délocaliser et de déléguer des tâches à l'équipe de première ligne.
Nous aimerions pouvoir demander à nos gars de première ligne de gérer les sessions. Si, par exemple, une session se bloquait (connexion perdue au lecteur de profil). Ils devraient pouvoir se déconnecter de la session.
J'ai essayé de définir des autorisations comme celle-ci sur tous les serveurs:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
Mais en vain, ils ne peuvent pas ouvrir le Gestionnaire de serveur> Services Bureau à distance, car ils ne peuvent pas se connecter aux courtiers de connexion Bureau à distance.
S'ils ouvrent le gestionnaire de tâches et essaient de déconnecter les utilisateurs, ils ne disposent pas des droits appropriés. Cette option n'est pas non plus la meilleure car elle les obligerait à aller chercher sur chaque serveur si l'utilisateur y est connecté (chargement automatique équilibré sur plusieurs serveurs et régions).
Donc, fondamentalement: comment les membres d'un certain groupe peuvent-ils déconnecter les utilisateurs sans leur accorder des autorisations d'administrateur sur la machine?
C'est ainsi que je le ferais en 2008, mais les outils ne sont plus disponibles: https://technet.microsoft.com/en-us/library/cc753032.aspx
la source
Réponses:
Juste une idée qui nécessite plus de travail:
Que faire si vous utilisez un script shell (power), exécutez toutes les n minutes en tant que tâche planifiée avec des privilèges d'administrateur, à laquelle vous passez (par exemple en utilisant un fichier texte placé dans un dossier protégé) les utilisateurs à déconnecter?
Ou, plus généralement, un processus, exécuté avec des privilèges élevés, dans le seul but de déconnecter les utilisateurs, qui reçoit les utilisateurs à se déconnecter en tant que paramètre ET un moyen pour les membres d'un groupe sélectionné de transmettre ces paramètres.
la source
Donc, j'ai fait participer quelqu'un de MS à cela. C'était la réponse qu'ils m'ont donnée.
Donc, fondamentalement, ce n'est pas possible, exécutez le vôtre.
Si jamais j'arrive à terminer, je mettrai à jour ici.
la source