起始情況:
生产线上的多台 Windows 操作系统物理计算机由系统所有者和共同所有者提供服务,例如 Alice 和 Bob 在 PC1 上工作,Charlie 和 Dave 在 PC2 上工作,等等。他们在控制台上直接登录时都使用相同的本地用户名:ProdUser。这些计算机连接在一个独立的网络中,无法访问互联网或办公室局域网,但可以访问服务器局域网。
目标:
现在,所有用户要么在家工作,要么在办公室工作,无法亲自到生产线上。他们要求 IT 部门在使用 ProdUser 帐户的同时,能够远程访问计算机。此外,他们还要求,当一名员工建立了活动的远程桌面会话后,其他用户的任何后续尝试都将被阻止,最好是发出通知,告知哪个用户正在持有当前活动会话,即当 Alice 在 PC1 上工作时,Bob 不应使用相同的 ProdUser 帐户将她踢出,并收到 Alice 正在占用该会话的通知。
已实现:
RDGW 服务器 2016 已安装在服务器 LAN 中,并为每个组配置了 RD CAP 和 RD RAP 规则,例如 Alice 和 Bob 但没有启用 CAP 的 ProdUser,此外,A 和 B 只能访问 RAP 规则中的 PC1。此外,客户端上的 .RDP 配置文件已预先配置为使用真实用户帐户对 RDGW 进行身份验证(gatewaycredentialssource:i:2),但使用 ProdUser 对目标 PC 进行身份验证(username:s:ProdUser)。此“两步”身份验证已成功测试并正常运行。
不工作:
当 Alice 连接到 PC1 并且 Bob 尝试连接到该 PC1 时,Alice 会被踢出。我无法在服务器上使用限制会话数选项,因为它适用于所有 RDGW 会话。此外,即使我以编程方式监控当前活动会话并触发 Set-RDSessionHost -NewConnectionAllowed No(又称排水模式),它也会再次影响全局 RDGW 行为,而不仅限于 PC1 主机。对于每个人员组和设备/资源的编程通知也是如此。
问题:
有没有办法对每个设备/资源的阻止/通知设置进行细化?
我在这里使用的技术是否正确,或者还有哪些其他技术可以原生支持所述场景。