Делегирование полномочий пользователю конфигурации узла сеансов удаленных рабочих столов Windows Server 2012-2019

Рассмотрим вопрос делегирования полномочий пользователю конфигурации узла сеансов удаленных рабочих столов Windows Server 2012-2019. Эта задача в Windows Server 2008 решалась во вкладке "Безопасность" свойств подключения "RDP-TCP" консоли "Конфигурация узла сеансов удаленных рабочих столов". Начиная с Windows Server 2012 R2 такой консоли нет, соответственно, подход к настройке делегирования полномочий изменился.

С использованием PowerShell и поставщика инструментария управления Windows (WMI) служб удаленных рабочих столов Windows Server 2012-2019 это можно сделать.

Первым делом необходимо создать новую группу, локальную на сервере, либо в домене, в которую будут входить пользователи с делегированными полномочиями. На каждом сервере с ролью узла сеансов удаленных рабочих столов(RDSH) необходимо выполнить следующую команду (в cmd с правами локального администратора - этим мы задаем пользовательские права для группы):

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "server\group",1

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "Domain\group",1

Обозначения:

• server - имя вашего локального сервера;
• Domain - имя вашего домена;
• group - имя созданной группы.

После выполнения этих команд, пользователи получат разрешения (см. приложение 1 ниже).

В PowerShell мы задаем пользовательские права для группы:

(Get-WmiObject Win32_TSAccount -Namespace root\CIMV2\TerminalServices -Filter "TerminalName='RDP-Tcp' AND Accountname='server\\group'").ModifyPermissions(X,Y)

Не забываем:

• server\\group - меняем на свои;
• вместо X - нужный номер параметра, который хотите разрешить (см. приложение 1);
• вместо Y : 0 - запрещает действие ;1 - разрешает действие .

Например:

• ModifyPermissions(2,1) - Разрешить выход пользователя из сеанса;
• ModifyPermissions(7,1) - Разрешить отправку сообщения через msg;
• ModifyPermissions(9,1) - Разрешить отключение сеанса пользователя.

Приложение 1.

Запрос сведений о сеансах и серверах Узел сеансов удаленных рабочих столов (Query Information) = 0.

Настройка свойств подключения (Set Information) = 1.

Просмотр или активное управление сеансом другого пользователя (Remote Control) = 4.

Вход в сеанс на сервере Узел сеансов удаленных рабочих столов (Logon) = 5.

Выход пользователя из сеанса (Logoff) = 2.

Отправка сообщения сеансу пользователя (Message) = 7.

Подключение к сеансу другого пользователя (Connect) = 8.

Отключение сеанса пользователя (Disconnect) = 9.

Использование в сеансе виртуального канала, обеспечивающего перенаправление локальных устройств и ресурсов (Virtual Channels) = 3.

После применения всех параметров возможно потребуется перезагрузить сервер.