Проблема с которой столкнется администратор сервера под управлением windows 2012/2016/2019 — невозможно средствами GUI предоставить непривилегированному пользователю подключение к терминальной сессии других пользователей (режим shadow). Только лишь администратор может использовать этот режим через Server Manager
Для исправления ситуации администратор должен выполнить несколько простых действий:
На сервере АД домена DOMAIN нужно создать группу, в данном случае RDP-ADMIN-SERVER. В эту группу добавляем тех пользователей, которым нужен режим shadow. В командной строке терминального сервера выполняем следующую команду:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "DOMAIN\RDP-ADMIN-SERVER",2
если ответ ReturnValue = 0; то перегружаем сервер
Теперь непривилегерованый пользователь выполнив следующую команду в командной строке получает список подключенных к терминалу пользователей
query session
и запускает режим shadow, например к пользователю с ID 5 без подтверждения со стороны пользователя
mstsc /shadow:5 /control /noconsentprompt
Для облегчения подключения предлагается следующий bat-файл
@echo off mode con:cols=100 lines=30 query session echo set /p usersession= Enter the session ID: mstsc /shadow:%usersession% /control /noconsentprompt
Системный администратор. В сисадминстве с 2000 года. Участник Хабр Q&A и cyberforum
