Делегирование полномочий пользователю для управления терминальным сервером в Windows Server 2012 R2

В операционной системе Windows Server 2012 R2 предусмотрены различные возможности для управления терминальным сервером и его пользователями. Однако, иногда возникают ситуации, когда необходимо делегировать полномочия пользователю, чтобы он сам мог осуществлять определенные задачи без прямого вмешательства администратора.

Для этого в Windows Server 2012 R2 доступны различные решения, включая использование командных инструментов и PowerShell. Одним из таких инструментов является утилита Win32_TSPermissionsSetting, которая предоставляет возможность настройки прав доступа к терминальному серверу.

С помощью данной утилиты можно ограничить доступ пользователей к определенным функциям терминального сервера, таким как отключение других пользователей или разрешение на подключение к терминальной сессии. Например, команда «win32_tspermissionssetting where (__RDCBSettings.Name==’RDCB’) вызывает информацию о текущих настройках полномочий пользователей для управления соединениями и сеансами на сервере.

Также существуют команды PowerShell, которые позволяют делегировать полномочия пользователю для управления терминальным сервером. Например, команда «gwmi -query win32_tsaccount | where {$_.useraccountcontrol -band 0x1000} | ft -auto -wrap» позволяет получить список пользователей, которым разрешено подключение к терминальной сессии.

Вопрос: Как делегировать полномочия пользователю для управления терминальным сервером в Windows Server 2012 R2?

Для делегирования полномочий пользователю для управления терминальным сервером в Windows Server 2012 R2 вам потребуется использовать PowerShell.

Вот пример команды, которая позволяет разрешить пользователю управлять сеансами на терминальном сервере:

powershell
Set-Win32_TsPermissionsSetting -SecurityDescriptor "O:BAG:SYD:(A;;GA;;;BA)(A;;GA;;;SO)(A;;GR;;;IU)S:(OU;FA;GA;;;WD)" -User "DOMAIName"

В данной команде вы должны заменить DOMAIName на имя пользователя, которому требуется разрешить доступ. Эта команда настраивает разрешения на уровне системы, разрешая указанному пользователю доступ ко всем сеансам на терминальном сервере.

Также можно использовать следующую команду, которая позволяет запретить пользователю доступ к сеансам на терминальном сервере:

powershell
Set-Win32_TsPermissionsSetting -SecurityDescriptor "O:BAG:SYD:(A;;GA;;;BA)(A;;GA;;;SO)(A;;GXGR;;;IU)S:(OU;FA;GA;;;WD)" -User "DOMAIName"

В данной команде важно заменить DOMAIName на имя пользователя, которому требуется запретить доступ. Эта команда настраивает разрешения на уровне системы, запрещая указанному пользователю доступ ко всем сеансам на терминальном сервере.

Используя указанные команды, вы можете легко разрешить или запретить доступ к сеансам на терминальном сервере в Windows Server 2012 R2 с использованием PowerShell.

Все ответы: Управление RDP сессиями пользователей Windows Server 2012 R2

На сервере Windows Server 2012 R2 можно управлять RDP сессиями пользователей с использованием PowerShell команд сессии и WMI запросов.

Для управления сеансами RDP пользователей на сервере можно использовать команду Get-WmiObject или gwmi с применением фильтра WHERE.

Например, для получения всех активных сессий пользователей на сервере можно использовать следующую команду:

Get-WmiObject -Class Win32_TerminalService -Property Username,SessionName,ComputerName -Filter "Not SessionName='RDP-Tcp#0' and Not SessionName='Console' and Not SessionName='services'" | `
Where-Object { $_.Username -ne $null }

Данная команда вернет список активных пользовательских сеансов RDP на сервере.

Для разрешения или запрещения доступа пользователей к RDP сессиям можно использовать WMI класc Win32_TSPermissionsSetting.

Например, для разрешения подключений RDP для пользователя можно использовать следующую команду:

wmic /namespace:\
oot\CIMv2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="_TOTAL" AND AccountName="domain\user") CALL AddAccount

Данная команда разрешит пользователю подключаться к RDP сессии на сервере.

Аналогично, для запрещения подключений RDP для пользователя можно использовать команду:

wmic /namespace:\
oot\CIMv2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="_TOTAL" AND AccountName="domain\user") CALL RemoveAccount

Данная команда запретит пользователю подключаться к RDP сессии на сервере.

Также с помощью PowerShell можно управлять RDP сессиями пользователей через командлеты модуля RemoteDesktop.

Для отключения активной RDP сессии пользователя можно использовать команду:

Disconnect-RDUser -HostServer "servername" -CollectionName "collectionname" -UnifiedSessionID sessionid

Данная команда отключит пользователя от его RDP сессии на сервере.

Для завершения активной RDP сессии пользователя можно использовать команду:

Invoke-RDUserLogoff -HostServer "servername" -CollectionName "collectionname" -UnifiedSessionID sessionid

Данная команда завершит RDP сессию пользователя и закроет все открытые приложения и файлы.

Все команды для управления RDP сессиями пользователей на сервере Windows Server 2012 R2 могут быть получены с помощью команды Get-Help или в официальной документации.

Ответы:

В этом разделе будут представлены ответы на некоторые часто задаваемые вопросы по управлению терминальным сервером в Windows Server 2012 R2.

• Как разрешить пользователю отключать других пользователей от их сеансов на терминальном сервере?

Для разрешения пользователю отключать других пользователей необходимо настроить соответствующую опцию в свойствах сервера в меню «Управление сеансами на этом сервере». По умолчанию эта опция запрещает пользователям отключать других пользователей.

• Как отключить сеанс пользователя с помощью командной строки?

Для отключения сеанса пользователя с помощью командной строки можно использовать следующую команду: «query session /server:servername» для определения идентификатора сеанса пользователя, а затем «reset session /server:servername sessionid» для отключения сеанса. Вместо «servername» и «sessionid» необходимо указать соответствующие значения.

• Как разрешить пользователям подключаться к определенным каналам RDP на терминальном сервере?

Для разрешения пользователям подключаться к определенным каналам RDP на терминальном сервере можно использовать WMI-класс «Win32_TSPermissionsSetting», который позволяет установить разрешения для конкретных пользователей или групп пользователей.

• Как получить список активных сеансов пользователей на терминальном сервере с использованием PowerShell?

Для получения списка активных сеансов пользователей на терминальном сервере с использованием PowerShell можно использовать следующую команду: «Get-WmiObject -query ‘Select * From Win32_TSAccount Where AccountType=0′»

• Как отключить всех пользователей с терминального сервера?

Для отключения всех пользователей с терминального сервера можно использовать команду «logoff» с параметром «sessionid» для каждого активного сеанса.

Добавление пользователя в группу «Удаленный рабочий стол пользователей»

Для управления терминальным сервером в Windows Server 2012 R2 пользователь должен быть добавлен в группу «Удаленный рабочий стол пользователей». Эта группа обладает необходимыми полномочиями для доступа и использования удаленного рабочего стола.

Чтобы добавить пользователя в данную группу с помощью PowerShell, можно воспользоваться следующими командами:

 $groupName = "Удаленный рабочий стол пользователей"
$userName = "имя_пользователя"
$group = Get-LocalGroup -Name $groupName
Add-LocalGroupMember -Group $group -Member $userName

В данном примере переменная $groupName содержит название группы «Удаленный рабочий стол пользователей», а переменная $userName — имя пользователя, которого нужно добавить в эту группу.

После выполнения указанных команд пользователь получит возможность подключаться к серверу через удаленный рабочий стол. Также можно применить указанный подход для массового добавления пользователей в группу.

Кроме того, существует возможность управления сеансами пользователя через PowerShell с использованием команды gwmi. Например, чтобы отключить сеанс пользователя, можно выполнить следующую команду:

gwmi -Query "SELECT * FROM Win32_TSPermissionsSetting WHERE TerminalName='RDP-tcp' AND AccountName='имя_пользователя'" | % {"tsdiscon.exe $_.SessionID /server:имя_сервера"}

В данном примере нужно заменить «имя_пользователя» на имя конкретного пользователя, сеанс которого нужно отключить, а «имя_сервера» на имя соответствующего сервера.

Таким образом, добавление пользователя в группу «Удаленный рабочий стол пользователей» позволит ему получить доступ к серверу через удаленный рабочий стол и осуществлять управление своими сеансами с использованием команд PowerShell.

Видео:

🔥 Terminal Server 2012/2016 — настройка и активация

🔥 Terminal Server 2012/2016 — настройка и активация by nibbl 10,239 views 3 years ago 16 minutes