RDS Shadow - tieňové pripojenie k reláciám používateľov RDP v systéme Windows Server 2016/2012 R2

V systéme Windows 2012 R2 a Microsoft Windows 8.1 vrátená funkčnosť diaľkový Desktop tieňovanie (tieňové pripojenie). Pripomeňme, že tieňový režim (tieňová relácia) - môže správca použiť na zobrazenie a správu existujúcej relácie RDP ktoréhokoľvek používateľa. Tento režim činnosti bol podporený takmer od prvých verzií terminálového servera Microsoft a bol neočakávane odstránený v systéme Windows Server 2012 (z dôvodu prenosu zásobníka rdp z režimu jadra do režimu používateľa). Funkcia RDS Shadow funguje v nasledujúcich verziách OS: Windows Server 2016 / Windows 10.

obsah:

  • Použitie tieňa vzdialenej pracovnej plochy z používateľského rozhrania
  • Shadow RDS Shadow od spoločnosti PowerShell
  • Ako povoliť bežným používateľom používať tieňové pripojenie

Okrem toho majú režimy tieňov RDS Shadow a RDP tieňov niekoľko zaujímavých nových funkcií. Úplný zoznam parametrov klienta RDP mstsc.exe, ktoré určujú možnosť vzdialeného tieňového pripojenia k relácii koncového používateľa:

Mstsc.exe [/ shadow: sessionID [/ v: Servername] [/ control] [/ noConsentPrompt]]

/ shadow: ID - pripojiť sa k relácii RDP so zadaným ID.

/ v: názov servera - Názov RDP / RDS terminálového servera (ak nie je uvedený, použije sa ten aktuálny).

/ kontrola - schopnosť interakcie s reláciou používateľa (ak nie je uvedená, používa sa režim zobrazenia relácie používateľa).

/ noConsentPrompt - nepožiadajte používateľa o potvrdenie pripojenia k relácii.

/ prompt -slúži na pripojenie pod inými povereniami. Meno používateľa a heslo sa vyžaduje na pripojenie k vzdialenému počítaču.

Obmedzenia tieňových relácií RDS v systéme Windows 2012 R2

  • Na zahraničné relácie sa môžu pripojiť iba správcovia servera. Tieto práva nemôžete delegovať ako bežný používateľ
  • RDS tieň nebude fungovať v sieťach založených na pracovných skupinách

Použitie tieňa vzdialenej pracovnej plochy z používateľského rozhrania

K relácii používateľa sa môžete pripojiť pomocou obslužného programu mstsc.exe alebo priamo z konzoly Server Manager. Ak to chcete urobiť, v konzole Server Manager otvorte QuickSessionCollection

Kliknutím na reláciu príslušného používateľa vyberte z kontextovej ponuky tieň..

Zobrazí sa okno nastavení tieňového pripojenia. Viditeľné (vyhliadka) a riadenie (ovládanie) relácia. Túto možnosť môžete tiež povoliť prompt pre užívateľ súhlas (Vyžiadať súhlas používateľa na pripojenie k relácii).

Ak je vybratá možnosť „Vyžiadať súhlas používateľa“, bude užívateľ v relácii vyzvaný:

Žiadosť o vzdialené monitorovanie

Winitpro \ administrator požaduje vzdialené zobrazenie vašej relácie. Túto požiadavku akceptujete. Winitpro \ administrator žiada o zobrazenie relácie na diaľku. Prijímate žiadosť?

Ak užívateľ potvrdí pripojenie, v režime prezerania uvidí správca svoju pracovnú plochu, ale nebude s ním môcť interagovať.

rada. Ak sa chcete odpojiť od relácie používateľa a ukončiť tieňový režim, kliknite na tlačidlo ALT+* na pracovisku alebo ctrl+* na terminálovom serveri (ak nie sú uvedené žiadne alternatívne kombinácie).

Ak užívateľ odmietne pripojenie, zobrazí sa okno:

Shadow Error: Prevádzkovateľ alebo správca žiadosť zamietol


Ak sa pokúsite pripojiť k relácii používateľa bez toho, aby ste požiadali o potvrdenie, zobrazí sa chyba informujúca o tom, že to skupinová politika zakazuje:

Shadow Error: Nastavenie skupinovej politiky je nakonfigurované tak, aby vyžadovalo súhlas používateľa. Overte konfiguráciu nastavení politiky.

Nastavenia vzdialenej správy RDS pre užívateľské relácie sa konfigurujú pomocou politiky Nastavte pravidlá pre diaľkové ovládanie relácií používateľov služby Remote Desktop Services (Nastavte pravidlá diaľkového ovládania pre užívateľské relácie služieb vzdialenej pracovnej plochy), ktorý sa nachádza v časti Politiky -> Šablóny pre správu -> Komponenty Windows -> Služby vzdialenej pracovnej plochy -> Hostiteľ vzdialenej relácie -> Pripojenia (šablóny správcu -> Komponenty Windows -> Služby vzdialenej plochy - Hostiteľ relácie vzdialenej pracovnej plochy -> Pripojenia) v užívateľské a „počítačové“ oddiely GPO. Táto politika zodpovedá nastaveniu registra dword tieň vo vetve HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal Services.

Táto politika vám umožňuje nakonfigurovať nasledujúce možnosti tieňového pripojenia prostredníctvom tieňového pripojenia RD Shadow:

  • Nie je povolené žiadne diaľkové ovládanie - diaľkové ovládanie nie je povolené (hodnota kľúča registra Shadow = 0);
  • Úplná kontrola so súhlasom používateľa - úplná kontrola s povolením používateľa (1);
  • Úplná kontrola bez súhlasu používateľov - úplná kontrola bez súhlasu používateľa (2);
  • Zobraziť reláciu s povolením používateľov - sledovanie relácie s povolením používateľa (3);
  • Zobraziť reláciu bez povolenia používateľov - sledovanie relácie bez povolenia používateľa (4).

Shadow RDS Shadow od spoločnosti PowerShell

Spoločnosť Powershell môže tiež používať funkciu tieňového pripojenia pre reláciu používateľa prostredníctvom tieňového pripojenia služby Remote Desktop Services.

Najprv ukážeme, ako získať zoznam relácií na terminálovom serveri (užívateľské relácie budú zoskupené do skupín v závislosti od ich stavu):

Get-RDUserSession | ft Používateľské meno, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate

Na tomto serveri sme našli tri aktívne terminálové relácie. Pripojte sa k relácii používateľa pomocou ID relácie 3:
Mstsc / shadow: 3 / control
Ak chcete získať zoznam všetkých relácií na serveri, môžete príkaz spustiť

quser

alebo

qwinsta

Na obrazovke sa zobrazí zoznam relácií RDP, ich ID a stav: aktívna relácia (aktívna) alebo odpojená (odpojená).

Ak chcete získať zoznam relácií na vzdialenom serveri, spustite príkaz:

dotaz relácia / server: servername

Pre pohodlnejšie tieňové pripojenie k reláciám môžete použiť nasledujúci skript. Skript vás vyzve na zadanie názvu vzdialeného počítača a zobrazí zoznam všetkých relácií a zobrazí výzvu na zadanie relácie, ku ktorej sa chcete pripojiť:

shadow.bat

@echo off
set / P rcomp = "Zadajte meno alebo IP vzdialeného počítača:"
relácia dotazu / server:% rcomp%
set / P rid = "Zadajte ID užívateľa RDP:"
štart mstsc / tieň:% rid% / v:% rcomp% / kontrola

Tento súbor môžete umiestniť do adresára% Windir% \ System32, aby ste tak mohli v prípade tieňového pripojenia spustiť príkaz tieň.

Ak sa chcete pripojiť k relácii konzoly, môžete použiť nasledujúci skript:

@echo off
set / P rcomp = "Zadajte meno alebo IP vzdialeného počítača:"
pre / f "tokens = 3 delims =" %% G in ('konzola / server relácie dopytov:% rcomp%') nastaví rid = %% G
štart mstsc / tieň:% rid% / v:% rcomp% / kontrola

Na počítačoch so systémom Windows 10 a 8.1 môžete použiť tieňové pripojenie k pracovným plochám používateľov.

Ako povoliť bežným používateľom používať tieňové pripojenie

Vo vyššie uvedených príkladoch, na použitie tieňového pripojenia na relácie terminálov, potrebujete práva miestneho administrátora na serveri RDS. Môžete však povoliť použitie tieňového pripojenia na pripojenie k reláciám používateľov a jednoduchým používateľom (bez toho, aby ste im na serveri udelili práva miestneho správcu).

Napríklad, ak chcete členom skupiny AllowRDSShadow povoliť použitie tieňového pripojenia k reláciám používateľov, spustite príkaz:

wmic / namespace: \\ root \ CIMV2 \ TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName = 'RDP-Tcp') CALL AddAccount 'corp \ AllowRDSShadow', 2

V januári 2018, po inštalácii aktualizácie KB4056898 (oprava systému Windows proti Meltdown a Specter), používatelia zistili, že v systéme Windows Server 2012 R2 prestal pracovať tieňový prístup. Pri pokuse o vytvorenie tieňového pripojenia k zahraničnej relácii sa zobrazí správa „Neidentifikovaná chyba“ (v protokoloch sa vyskytla chyba STATUS_BAD_IMPERSONATION_LEVEL). Podobný problém sa vyskytol na farme RDS založenej na systéme Windows Server 2016.

Ak chcete problém vyriešiť, musíte nainštalovať samostatné aktualizácie:

  • pre systém Windows Server 2016 - KB4057142 (17. januára 2018)
  • pre systém Windows Server 2012 R2 - KB4057401 (17. januára 2018)