Рассмотрим вопрос делегирования полномочий пользователю конфигурации узла сеансов удаленных рабочих столов Windows Server 2012-2019. Эта задача в Windows Server 2008 решалась во вкладке “Безопасность” свойств подключения “RDP-TCP” консоли “Конфигурация узла сеансов удаленных рабочих столов”. Начиная с Windows Server 2012 R2 такой консоли нет, соответственно, подход к настройке делегирования полномочий изменился.
С использованием PowerShell и поставщика инструментария управления Windows (WMI) служб удаленных рабочих столов Windows Server 2012-2019 это можно сделать.
Первым делом необходимо создать новую группу, локальную на сервере, либо в домене, в которую будут входить пользователи с делегированными полномочиями. На каждом сервере с ролью узла сеансов удаленных рабочих столов(RDSH) необходимо выполнить следующую команду (в cmd с правами локального администратора – этим мы задаем пользовательские права для группы):
для локальной группы на сервереwmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "servergroup",1
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "Domaingroup",1
Обозначения:
- server – имя вашего локального сервера;
- Domain – имя вашего домена;
- group – имя созданной группы.
После выполнения этих команд, пользователи получат разрешения (см. приложение 1 ниже).
В PowerShell мы задаем пользовательские права для группы:
(Get-WmiObject Win32_TSAccount -Namespace rootCIMV2TerminalServices -Filter "TerminalName='RDP-Tcp' AND Accountname='server\group'").ModifyPermissions(X,Y)
Не забываем:
- server\group – меняем на свои;
- вместо X – нужный номер параметра, который хотите разрешить (см. приложение 1);
- вместо Y : 0 – запрещает действие ;1 – разрешает действие .
Например:
- ModifyPermissions(2,1) – Разрешить выход пользователя из сеанса;
- ModifyPermissions(7,1) – Разрешить отправку сообщения через msg;
- ModifyPermissions(9,1) – Разрешить отключение сеанса пользователя.
Приложение 1.
Запрос сведений о сеансах и серверах Узел сеансов удаленных рабочих столов (Query Information) = 0.
Настройка свойств подключения (Set Information) = 1.
Просмотр или активное управление сеансом другого пользователя (Remote Control) = 4.
Вход в сеанс на сервере Узел сеансов удаленных рабочих столов (Logon) = 5.
Выход пользователя из сеанса (Logoff) = 2.
Отправка сообщения сеансу пользователя (Message) = 7.
Подключение к сеансу другого пользователя (Connect) = 8.
Отключение сеанса пользователя (Disconnect) = 9.
Использование в сеансе виртуального канала, обеспечивающего перенаправление локальных устройств и ресурсов (Virtual Channels) = 3.
После применения всех параметров возможно потребуется перезагрузить сервер.
Нужна помощь? Настройки Windows Server мы осуществляем в рамках услуги ИТ-аутсорсинг. Также возможны разовые проектные работы.
