我们在2012 R2上构build了一个相当大的RemoteApp环境,并进行了完全修补。 一切正常,所以现在是时候离岸,并把任务委托给一线队。
我们希望能够让我们的第一线人员pipe理会议。 例如,如果会话挂起(连接到configuration文件驱动器失去连接)。 他们应该能够注销会话。
我试过在所有服务器上设置这样的权限:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "ADMIN\MyGroupWithPeopleManagingTheTS",2 但无济于事,无法打开服务器pipe理器>远程桌面服务,因为它们无法连接到RD连接代理。
如果他们打开任务pipe理器并尝试在那里注销用户,则他们没有适当的权限。 该选项也不是最好的,因为如果用户在那里login(在多个服务器和区域之间自动负载平衡),它将需要他们去查看每个服务器。
所以,基本上: 某个组织的成员如何能够在不授予pipe理员权限的情况下将用户注销?
这是我如何做到2008年,但工具不再可用: https : //technet.microsoft.com/en-us/library/cc753032.aspx
只是一个想法,需要更多的工作:
如果使用(power)shell脚本,每n分钟运行一次具有pipe理员权限的计划任务(例如,使用放置在受保护文件夹中的文本文件)要断开连接的用户?
或者更一般地说,一个进程使用提升的特权运行,唯一的目的是logging用户closures,接收用户断开连接作为参数,以及select组成员通过这些参数的方式。
所以,我真的有一个MS的人参与这个。 这是他们给我的回应。
喂巴特 – 支持这种情况的最可能的方法是通过TS Cmdline工具构buildpowershell,并使用WMI提供细粒度访问以注销会话等。
- 有关可以使用的Cmdline工具的具体列表 – 请参阅: https : //technet.microsoft.com/en-us/library/cc753032.aspx
- 有关使用WMI授予执行权限,请参阅此处: https ://msdn.microsoft.com/en-us/library/aa383773(v = vs.85).aspx
所以基本上,这是不可能的,运行你自己的。
如果我想完成这个,我会在这里更新。