Режим shadow непривилегированного пользователя в windows server

Проблема с которой столкнется администратор сервера под управлением windows 2012/2016/2019 — невозможно средствами GUI предоставить непривилегированному пользователю подключение к терминальной сессии других пользователей (режим shadow). Только лишь администратор может использовать этот режим через Server Manager

Для исправления ситуации администратор должен выполнить несколько простых действий:

На сервере АД домена DOMAIN нужно создать группу, в данном случае RDP-ADMIN-SERVER. В эту группу добавляем тех пользователей, которым нужен режим shadow. В командной строке терминального сервера выполняем следующую команду:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "DOMAIN\RDP-ADMIN-SERVER",2

если ответ ReturnValue = 0; то перегружаем сервер

Теперь непривилегерованый пользователь выполнив следующую команду в командной строке получает список подключенных к терминалу пользователей

query session

режим shadow

и запускает режим shadow, например к пользователю с ID 5 без подтверждения со стороны пользователя

mstsc /shadow:5 /control /noconsentprompt

Для облегчения подключения предлагается следующий bat-файл

@echo off
mode con:cols=100 lines=30
query session
echo
set /p usersession= Enter the session ID: 
mstsc /shadow:%usersession% /control /noconsentprompt
5 2 голоса
Оцените статью
Подписаться
Уведомить о
30 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
Геннадій Кобилинський

При выполнени команды

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "DOMAINRDP-ADMIN-SERVER",2

прилетает ошибка Description = Generic failure
В чем может быть проблема?

Геннадій Кобилинський

Та своя конечно.

Геннадій Кобилинський

Домен куплен, или виртуальный у вас? и по поводу лицензий вообще должны быть приобретенные? или все равно?

Геннадій Кобилинський

Хорошо, у меня также Терминальный сервер в АД.
А если лицензии не купленные.
А просто Agrement number вбит, будет работать?

Геннадій Кобилинський

Но по ошибке вы точно уверены что не правильно вбит или Домен или Группа?
Или может еще что то влияет?

Геннадій Кобилинський

Групу вы ж содавали в AD User and Comp?Верно?

Геннадій Кобилинський

Такс, одну проблему исправил, теперь вроде как группу выдит.
Но выдает другую ошибку Invalid method Parameter(s)
какой то параметр не указан или не верно указан?

Геннадій Кобилинський
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "BTK.COMRDSallow",2

Вот команда, в групе RDSallow есть один юзер.
Но что то еще не так.

Геннадій Кобилинський

Нет, Если экранировать то снова ошибка Generic failure
А если по короткому то nvalid method Parameter(s)

Геннадій Кобилинський

Нет, тоже самое Generic failure

Геннадій Кобилинський

Так, групу создавали где именно в какой подкатегории Домена?
и Scope настраивали какие для нее?

Геннадій Кобилинський

Такой не скромный вопрос, а вы точно команду вбивали на АД Контролере или может на терминальном сервере?

Геннадій Кобилинський

Ну я так и понял
вбил на терминале и заработало, просто у вас не указано что нужно на TS сервере

Геннадій Кобилинський

да, заработало все таки)
Больше спасибо вам за помощь в решении проблемы.
Если что буду обращатся)

Геннадій Кобилинський

Здраствуйте!
снова я к вам.
скажите пожалуйста если пользователю разрешено управление без прав администратора, есть ли возможность запретить ему просматривать сесии администратора?

Никита Сидоров

Можно добиться подключения на Win10 без подтверждения пользователя? Перебрал 4 OS/ ни в одной не работает. только с согласия пользователя((
Ошибка (Настройки груповой политики требуют просмотра прав доступа)
Может кто то знает версию Win10 где это работает