• DevOps
  • Защита информации
  • ИТ-поддержка
  • Делегирование полномочий пользователю конфигурации узла сеансов удаленных рабочих столов Windows Server 2012-2019

    Рассмотрим вопрос делегирования полномочий пользователю конфигурации узла сеансов удаленных рабочих столов Windows Server 2012-2019. Эта задача в Windows Server 2008 решалась во вкладке "Безопасность" свойств подключения "RDP-TCP" консоли "Конфигурация узла сеансов удаленных рабочих столов". Начиная с Windows Server 2012 R2 такой консоли нет, соответственно, подход к настройке делегирования полномочий изменился.

    С использованием PowerShell и поставщика инструментария управления Windows (WMI) служб удаленных рабочих столов Windows Server 2012-2019 это можно сделать.

    Первым делом необходимо создать новую группу, локальную на сервере, либо в домене, в которую будут входить пользователи с делегированными полномочиями. На каждом сервере с ролью узла сеансов удаленных рабочих столов(RDSH) необходимо выполнить следующую команду (в cmd с правами локального администратора - этим мы задаем пользовательские права для группы):

    для локальной группы на сервере
    wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "server\group",1
    для доменной группы
    wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "Domain\group",1

    Обозначения:

    • server - имя вашего локального сервера;
    • Domain - имя вашего домена;
    • group - имя созданной группы.

    После выполнения этих команд, пользователи получат разрешения (см. приложение 1 ниже).

    В PowerShell мы задаем пользовательские права для группы:

    (Get-WmiObject Win32_TSAccount -Namespace root\CIMV2\TerminalServices -Filter "TerminalName='RDP-Tcp' AND Accountname='server\\group'").ModifyPermissions(X,Y)
    

    Не забываем:

    • server\\group - меняем на свои;
    • вместо X - нужный номер параметра, который хотите разрешить (см. приложение 1);
    • вместо Y : 0 - запрещает действие ;1 - разрешает действие .

    Например:

    • ModifyPermissions(2,1) - Разрешить выход пользователя из сеанса;
    • ModifyPermissions(7,1) - Разрешить отправку сообщения через msg;
    • ModifyPermissions(9,1) - Разрешить отключение сеанса пользователя.

    Приложение 1.

    Запрос сведений о сеансах и серверах Узел сеансов удаленных рабочих столов (Query Information) = 0.

    Настройка свойств подключения (Set Information) = 1.

    Просмотр или активное управление сеансом другого пользователя (Remote Control) = 4.

    Вход в сеанс на сервере Узел сеансов удаленных рабочих столов (Logon) = 5.

    Выход пользователя из сеанса (Logoff) = 2.

    Отправка сообщения сеансу пользователя (Message) = 7.

    Подключение к сеансу другого пользователя (Connect) = 8.

    Отключение сеанса пользователя (Disconnect) = 9.

    Использование в сеансе виртуального канала, обеспечивающего перенаправление локальных устройств и ресурсов (Virtual Channels) = 3.

    После применения всех параметров возможно потребуется перезагрузить сервер.

    Нужна помощь? Настройки Windows Server мы осуществляем в рамках услуги ИТ-аутсорсинг. Также возможны разовые проектные работы.

    Не нашли ответа на свой вопрос?
    Содержание