我们在 2012 R2 上构建了一个相当大的 RemoteApp 环境,并已完全修补。一切运行良好,现在是时候将任务外包给一线团队了。
我们希望能够让一线人员管理会话。例如,如果会话挂起(与配置文件驱动器失去连接)。他们应该能够注销会话。
我已尝试在所有服务器上设置这样的权限:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2
但无济于事,他们无法打开服务器管理器>远程桌面服务,因为他们无法连接到 RD 连接代理。
如果他们打开任务管理器并尝试注销其中的用户,则他们没有适当的权限。此选项也不是最好的,因为它要求他们去查看每台服务器,看用户是否已登录(在多个服务器和区域之间自动平衡负载)。
因此,基本上:某个组的成员如何注销用户,而不授予他们机器的管理员权限?
这是我在 2008 年所做的方法,但这些工具不再可用: https://technet.microsoft.com/en-us/library/cc753032.aspx
答案1
这只是需要更多努力的一个想法:
如果您使用(power)shell 脚本,每 n 分钟作为具有管理员权限的计划任务运行一次,然后将用户传递给该脚本(例如,使用放在受保护文件夹中的文本文件)以断开连接,会怎么样?
或者,更一般地说,一个以提升的权限运行的进程,其唯一目的是注销用户,它接收用户断开连接作为参数,并为选定组的成员提供传递这些参数的方式。
答案2
所以,我实际上让微软的某个人参与了此事。这是他们给我的答复。
嗨,Bart——支持这种情况最可能的方式是通过 TS Cmdline 工具构建 powershell,并使用 WMI 提供对注销会话等的细粒度访问。
- 有关可以使用的 Cmdline 工具的具体列表 - 请参阅此处:• https://technet.microsoft.com/en-us/library/cc753032.aspx
- 有关使用 WMI 授予权限,请参见此处:https://msdn.microsoft.com/en-us/library/aa383773(v=vs.85).aspx
所以基本上,这是不可能的,自己运行。
如果我能完成它,我会在这里更新。