Проблема с которой столкнется администратор сервера под управлением windows 2012/2016/2019 — невозможно средствами GUI предоставить непривилегированному пользователю подключение к терминальной сессии других пользователей (режим shadow). Только лишь администратор может использовать этот режим через Server Manager
Для исправления ситуации администратор должен выполнить несколько простых действий:
На сервере АД домена DOMAIN нужно создать группу, в данном случае RDP-ADMIN-SERVER. В эту группу добавляем тех пользователей, которым нужен режим shadow. В командной строке терминального сервера выполняем следующую команду:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "DOMAIN\RDP-ADMIN-SERVER",2
если ответ ReturnValue = 0; то перегружаем сервер
Теперь непривилегерованый пользователь выполнив следующую команду в командной строке получает список подключенных к терминалу пользователей
query session
и запускает режим shadow, например к пользователю с ID 5 без подтверждения со стороны пользователя
mstsc /shadow:5 /control /noconsentprompt
Для облегчения подключения предлагается следующий bat-файл
@echo off mode con:cols=100 lines=30 query session echo set /p usersession= Enter the session ID: mstsc /shadow:%usersession% /control /noconsentprompt
- Системный администратор. В сисадминстве с 2000 года
- Участник Хабр Q&A и cyberforum
- Кейсы
При выполнени команды
прилетает ошибка Description = Generic failure
В чем может быть проблема?
а доменгруппа своя или DOMAINRDP-ADMIN-SERVER ?
Та своя конечно.
Проверил на свежем 2019 стандарт. Получил ReturnValue = 0
Терминал сервер настроен, лицезии временные 120 дней. Такую ошибку получал при неверном указании доменгруппа
Домен куплен, или виртуальный у вас? и по поводу лицензий вообще должны быть приобретенные? или все равно?
У меня терминал-сервер в домене АД (не интернет домен, внутренний домен организации, имя домена дается, когда разворачиваете АД). Терминальные лицензии придется покупать, но 120 дней можно работать на временных, а по ходу закупатся
Хорошо, у меня также Терминальный сервер в АД.
А если лицензии не купленные.
А просто Agrement number вбит, будет работать?
Не знаю, работаю только с купленным ПО
Но по ошибке вы точно уверены что не правильно вбит или Домен или Группа?
Или может еще что то влияет?
да, специально указывал несуществующую группу или домен и получал Description = Generic failure
Групу вы ж содавали в AD User and Comp?Верно?
да
Такс, одну проблему исправил, теперь вроде как группу выдит.
Но выдает другую ошибку Invalid method Parameter(s)
какой то параметр не указан или не верно указан?
Вот команда, в групе RDSallow есть один юзер.
Но что то еще не так.
Точка в имени домена вызывает подозрения. Возможно нужно попробовать по короткому имени домена — BTK или экранировать точку, типа BTK.COMRDSallow
Нет, Если экранировать то снова ошибка Generic failure
А если по короткому то nvalid method Parameter(s)
BTK\.COMRDSallow ?
Нет, тоже самое Generic failure
Хм. Попробовал у себя домен с точкой, все ок. Точка ни причем. Идеи закончились 🙁
Так, групу создавали где именно в какой подкатегории Домена?
и Scope настраивали какие для нее?
Users
Group Score — Global
Такой не скромный вопрос, а вы точно команду вбивали на АД Контролере или может на терминальном сервере?
На терминальном надо
Ну я так и понял
вбил на терминале и заработало, просто у вас не указано что нужно на TS сервере
Это важный нюанс. Поправил. Спасибо, что обратили внимание
да, заработало все таки)
Больше спасибо вам за помощь в решении проблемы.
Если что буду обращатся)
Рад, что все заработало
Здраствуйте!
снова я к вам.
скажите пожалуйста если пользователю разрешено управление без прав администратора, есть ли возможность запретить ему просматривать сесии администратора?
О такой возможности не знаю. Если что-то найдете дайте знать
Можно добиться подключения на Win10 без подтверждения пользователя? Перебрал 4 OS/ ни в одной не работает. только с согласия пользователя((
Ошибка (Настройки груповой политики требуют просмотра прав доступа)
Может кто то знает версию Win10 где это работает