我们正在使用 Active Directory,目前,只有登录域控制器的管理员才能跟踪 RDP 会话。从那里,他们正在跟踪另一台 Windows Server 2016 上的 RDP 会话。
它按预期工作,但是作为支持团队的一部分,所有这些在另一台服务器上跟踪 RDP 会话的用户都不应该拥有管理员权限,也不应该有权访问我们的域控制器,因为他们不是 IT 人员。
有没有办法让特定用户组(例如“支持”)从不是我们的 DC 的服务器访问 RDP 影子,以影子 RDP 会话?
它不一定是 GUI 解决方案(尽管它是首选),我们也可以使用命令行,但目前,我似乎无法将这些权限授予属于我们域但不是我们的 DC 的另一台服务器上的特定用户组。
如果这不可能,那么是否有更简单的解决方案:授予我们 DC 上的特定组权利来影子 RDP 会话?
答案1
为了能够在 RDS 服务器上影子会话,需要授予用户或组在要影子会话所在的服务器上的 RDP 协议上的远程控制权限。
答案2
根据此技术,您需要成为管理员才能跟踪 RDP 会话
“只有管理员可以跟踪会话。跟踪会话的能力不能委托给不属于管理员组的用户。”