Comment puis-je m'assurer que les utilisateurs se déconnectent des sessions Bureau à distance au lieu de simplement fermer la fenêtre RDP?

19

Nous avons un tas de serveurs sur lesquels nos ingénieurs travaillent à distance, mais chaque serveur a une limite de deux connexions. Nous essaierons souvent de RDP dans ces boîtes et nous verrons le message "Cette machine a dépassé le nombre maximum de connexions".

C'est une grande douleur car nous avons envoyé plusieurs e-mails à ces utilisateurs, et ils ne comprennent jamais.

Je sais comment me connecter à la console racine et démarrer les gens, mais je préfère ne pas le faire. Je sais également qu'il existe des moyens de démarrer des sessions inactives après un certain temps, et je ne veux pas non plus le faire.

Je veux forcer les utilisateurs à apprendre qu'ils doivent se déconnecter. Cela ne se produit pas si vous les déconnectez manuellement (en plus de les déconnecter manuellement, c'est difficile). Si vous les déconnectez simplement manuellement, ces ingénieurs n'hésiteront pas à rester connectés dans une session RDP car cela leur convient.

Je préférerais un système de notification où l'utilisateur inconsidéré est informé par e-mail ou par message NET SEND que son compte est déconnecté de la machine. De cette façon, ils se rendront compte qu'ils font quelque chose de mal. Encore mieux, s'ils enfreignent plusieurs fois, je voudrais que leur compte soit verrouillé jusqu'à ce qu'un administrateur système le déverrouille.

Existe-t-il un moyen d'atteindre l'objectif de déconnexion manuelle des utilisateurs? Toutes les suggestions sont les bienvenues.

JackAce
la source
La meilleure façon pratique à laquelle je peux penser est ce que vous faites déjà. Envoyez-les tous, mais ajoutez «l'utilisateur A et l'utilisateur B travaillent activement sur cette machine en ce moment. L'un de vous deux peut-il utiliser le courrier une fois que vous avez terminé et vous êtes déconnecté? '. Objectif: oui, vous attendez. Ce sont ces gens qui ont oublié de se déconnecter, allez vous plaindre auprès d'eux. De plus, si vous avez régulièrement besoin de plus d'utilisateurs, il existe une solution: Terminal Server. Pour autant que je sache, cela signifie payer une licence et changer une DLL.
Hennes

Réponses:

15

Vous pouvez utiliser les outils de configuration d'hôte de session Bureau à distance ou (mieux) les stratégies de groupe pour définir des règles concernant les déconnexions RDP.

Si vous utilisez la stratégie de groupe et les unités d'organisation, vous pourrez permettre à certains utilisateurs de rester «déconnectés» et forcer d'autres à se déconnecter après la déconnexion.

Consultez spécifiquement ces branches politiques:

  • Configuration ordinateur \ Stratégies \ Modèles d'administration \ Composants Windows \ Services Bureau à distance \ Hôte de session Bureau à distance \ Limites de temps de session
  • Configuration utilisateur \ Stratégies \ Modèles d'administration \ Composants Windows \ Services Bureau à distance \ Hôte de session Bureau à distance \ Délais de session

Et des politiques comme celles-ci:

Mettre fin à une session déconnectée

Spécifiez la durée maximale pendant laquelle une session utilisateur déconnectée est maintenue active sur le serveur hôte de session Bureau à distance. Si vous spécifiez «Jamais», la session déconnectée de l'utilisateur est maintenue pendant une durée illimitée.

Lorsqu'une session est déconnectée, les programmes en cours d'exécution restent actifs même si l'utilisateur n'est plus activement connecté.

.

Lorsqu'une limite de session est atteinte ou que la connexion est rompue

Spécifiez s'il faut déconnecter ou terminer la session des services Bureau à distance de l'utilisateur lorsqu'une limite de session active ou une limite de session inactive est atteinte.

Si la session de l'utilisateur est déconnectée, les programmes que l'utilisateur exécute restent actifs même si l'utilisateur n'est plus connecté activement.

Si la session de l'utilisateur est terminée, l'utilisateur devra établir une nouvelle session des services Bureau à distance avec un serveur hôte de session Bureau à distance.

Pour plus d'informations, consultez cette page de MS sur les politiques de déconnexion RDP.

Ƭᴇcʜιᴇ007
la source
Également discuté sur ServerFault: serverfault.com/questions/301640/…
1

Pour un système de notification, je suppose que vous devrez le développer en utilisant des API telles que WTSEnumerateSession .

Cela signifie développer quelque chose comme un service Windows qui interrogerait régulièrement vos serveurs afin de chasser les sessions déconnectées et de faire ce que vous voulez avec eux.

Cela pourrait vous prendre plusieurs jours de travail pour bien faire les choses.

Sinon, je suggère une autre approche à ce problème:

  • Configurez deux groupes d'utilisateurs rdp sur les serveurs: par exemple TrustedDisconnectors et UntrustedDisconnectors.
  • Configurez une stratégie pour UntrustedDisconnectors, ce qui entraîne la déconnexion de leur session avec un délai de déconnexion quelque peu court.
  • Communiquez sur ce changement. Déclare que les ingénieurs qui échouent fréquemment à se déconnecter correctement sans raisons valables ne seront plus autorisés à se déconnecter sans être déconnectés.
Frédéric
la source
0

Je ne sais pas à quel point cela sera utile, mais cela vaut la peine d' utiliser plutôt la visionneuse VNC . Il peut être configuré pour se déconnecter une fois le dernier visualiseur déconnecté.

Vous pouvez ensuite forcer les utilisateurs à utiliser VNC en bloquant le port RDP sur la machine.

greg84
la source
1
VNC n'autorise-t-il qu'une seule connexion? Cela pourrait aggraver les choses (essayer de se connecter lorsque quelqu'un est déjà connecté). De plus, VNC me rend nerveux parce que quelqu'un peut se tenir devant la machine que vous contrôlez en regardant tout ce que vous tapez sans que vous le sachiez.
JackAce
1
De plus, il y a des moments où vous voulez légitimement vous déconnecter et laisser certaines opérations continuer de fonctionner. Il y a des moments où je veux me déconnecter lorsque je quitte le travail, puis me reconnecter de chez moi.
JackAce
Soyez prudent avec VNC ... si vous utilisez un cryptage symétrique (alias un mot de passe unique pour tous les utilisateurs), il peut être facilement décrypté: raymond.cc/blog/crack-or-decrypt-vnc-server-encrypted-password
Mick