ฉันจะแน่ใจได้อย่างไรว่าผู้ใช้ออกจากระบบเซสชันเดสก์ท็อประยะไกลแทนเพียงแค่ปิดหน้าต่าง RDP


19

เรามีเซิร์ฟเวอร์จำนวนมากที่วิศวกรของเราใช้เดสก์ท็อประยะไกล แต่แต่ละเซิร์ฟเวอร์มีข้อ จำกัด การเชื่อมต่อสอง เรามักจะพยายาม RDP ลงในกล่องเหล่านี้และเราจะเห็นข้อความ "เครื่องนี้มีการเชื่อมต่อเกินจำนวนสูงสุด"

มันเป็นความเจ็บปวดครั้งใหญ่เพราะเราได้ส่งข้อความอีเมลหลายฉบับไปยังผู้ใช้เหล่านี้และพวกเขาไม่เคยได้รับคะแนน

ฉันรู้วิธีเชื่อมต่อกับรูทคอนโซลและบูตบุคคล แต่ฉันไม่ต้องการทำเช่นนั้น ฉันรู้ด้วยว่ามีวิธีการบูตเซสชันที่ไม่ทำงานหลังจากผ่านไประยะหนึ่งและฉันก็ไม่ต้องการทำเช่นนั้น

ฉันต้องการบังคับให้ผู้ใช้เรียนรู้ว่าพวกเขาจำเป็นต้องออกจากระบบ สิ่งนี้จะไม่เกิดขึ้นหากคุณออกจากระบบด้วยตนเอง (และการออกจากระบบด้วยตนเองถือเป็นความเจ็บปวด) หากคุณเพิ่งออกจากระบบด้วยตนเองวิศวกรเหล่านี้จะไม่คิดถึงการเชื่อมต่อในเซสชัน RDP สองครั้งเพราะสะดวกสำหรับพวกเขา

ฉันต้องการระบบการแจ้งเตือนที่ผู้ใช้ที่ไม่ได้รับการแจ้งเตือนผ่านทางอีเมลหรือข้อความ NET SEND ว่าบัญชีของพวกเขากำลังถูกตัดการเชื่อมต่อจากเครื่อง ด้วยวิธีนี้พวกเขาจะตระหนักว่าพวกเขากำลังทำอะไรผิด ยิ่งไปกว่านั้นหากพวกเขาละเมิดหลายครั้งฉันต้องการให้บัญชีของพวกเขาถูกล็อคจนกว่าผู้ดูแลระบบจะปลดล็อค

มีวิธีในการบรรลุเป้าหมายของการให้ผู้ใช้ออกจากระบบด้วยตนเองหรือไม่? ยินดีต้อนรับข้อเสนอแนะทั้งหมด


วิธีปฏิบัติที่ดีที่สุดที่ฉันนึกได้คือสิ่งที่คุณทำอยู่แล้ว ส่งจดหมายทั้งหมด แต่เพิ่ม 'ผู้ใช้ A และผู้ใช้ B กำลังทำงานกับเครื่องนี้ในเวลานี้ คุณสองคนใช้จดหมายสองฉบับเมื่อเสร็จสิ้นและออกจากระบบได้หรือไม่ ' เป้าหมาย: ใช่คุณกำลังรอ นี่คือคนที่ลืมออกจากระบบไปบ่นกับพวกเขา นอกจากนี้หากคุณต้องการผู้ใช้เพิ่มมากขึ้นก็จะมีวิธีแก้ไข: เซิร์ฟเวอร์เทอร์มินัล เท่าที่ฉันรู้นั่นหมายถึงการจ่ายใบอนุญาตและการเปลี่ยน DLL หนึ่งรายการ
Hennes

คำตอบ:


15

คุณสามารถใช้เครื่องมือกำหนดค่าโฮสต์เซสชันเดสก์ท็อประยะไกลหรือ (ดีกว่า) นโยบายกลุ่มเพื่อกำหนดกฎเกี่ยวกับการยกเลิกการเชื่อมต่อของ RDP

หากคุณใช้นโยบายกลุ่มและ OU คุณจะสามารถอนุญาตให้ผู้ใช้บางคนยังคง "ยกเลิกการเชื่อมต่อ" และบังคับให้ผู้อื่นออกจากระบบหลังจากยกเลิกการเชื่อมต่อ

ตรวจสอบเฉพาะสาขานโยบายเหล่านี้:

  • คอมพิวเตอร์ Configuration \ Policies \ Administrative Templates \ Windows Components \ Remote เดสก์ท็อป Services \ Remote เดสก์ท็อป Services \ Remote เซสชันเซสชัน Host \ Session
  • ผู้ใช้ Configuration \ Policies \ Administrative Templates \ Windows Components \ Remote เดสก์ท็อป Services \ Remote Desktop เซสชัน \ Host \ Session

และนโยบายเช่นนี้:

สิ้นสุดเซสชันที่ไม่ได้เชื่อมต่อ

ระบุระยะเวลาสูงสุดที่เซสชันผู้ใช้ที่ถูกตัดการเชื่อมต่อจะยังคงทำงานอยู่บนเซิร์ฟเวอร์โฮสต์เซสชัน RD หากคุณระบุว่า "ไม่เลย" เซสชันที่ยกเลิกการเชื่อมต่อของผู้ใช้จะได้รับการดูแลเป็นระยะเวลาไม่ จำกัด

เมื่อเซสชันอยู่ในสถานะถูกตัดการเชื่อมต่อโปรแกรมที่กำลังทำงานจะยังคงทำงานอยู่แม้ว่าผู้ใช้จะไม่ได้เชื่อมต่ออีกต่อไป

.

เมื่อถึงขีด จำกัด เซสชันหรือการเชื่อมต่อขาด

ระบุว่าจะตัดการเชื่อมต่อหรือสิ้นสุดเซสชันบริการเดสก์ท็อประยะไกลของผู้ใช้เมื่อถึงขีด จำกัด เซสชันที่ใช้งานอยู่หรือถึงขีด จำกัด เซสชันที่ไม่ได้ใช้งาน

หากเซสชันของผู้ใช้ถูกตัดการเชื่อมต่อโปรแกรมที่ผู้ใช้กำลังทำงานจะยังคงทำงานอยู่แม้ว่าผู้ใช้จะไม่ได้เชื่อมต่ออย่างแข็งขันอีกต่อไป

หากเซสชันของผู้ใช้สิ้นสุดลงผู้ใช้จะต้องสร้างเซสชันบริการเดสก์ท็อประยะไกลใหม่ด้วยเซิร์ฟเวอร์โฮสต์เซสชัน RD

สำหรับข้อมูลเพิ่มเติมดูที่หน้านี้จาก MSเกี่ยวกับนโยบายการตัดการเชื่อมต่อ RDP


ยังกล่าวถึงใน ServerFault: serverfault.com/questions/301640/ …

1

สำหรับระบบการแจ้งเตือนให้ผมคิดว่าคุณจะต้องมีการพัฒนาโดยใช้ APIs เช่นWTSEnumerateSession

นี่หมายถึงการพัฒนาบางอย่างเช่นบริการ windows ซึ่งจะสอบถามเซิร์ฟเวอร์ของคุณเป็นประจำเพื่อตามล่าเซสชันที่ไม่ได้เชื่อมต่อและทำสิ่งที่คุณต้องการ

อาจใช้เวลาหลายวันในการทำให้ถูกต้อง

มิฉะนั้นฉันขอแนะนำวิธีอื่นในการแก้ไขปัญหานี้:

  • ตั้งค่าผู้ใช้ rdp สองกลุ่มบนเซิร์ฟเวอร์: พูด TrustedDisconnectors และ UntrustedDisconnectors
  • ตั้งค่านโยบายสำหรับ UntrustedDisconnectors ทำให้เซสชันของพวกเขาถูกล็อกเอาต์เมื่อหมดเวลาการเชื่อมต่อที่ค่อนข้างสั้น
  • สื่อสารเกี่ยวกับการเปลี่ยนแปลงนั้น ระบุว่าวิศวกรล้มเหลวในการยกเลิกการเชื่อมต่ออย่างถูกต้องโดยไม่มีเหตุผลที่ถูกต้องจะไม่ได้รับอนุญาตให้ยกเลิกการเชื่อมต่อโดยไม่ต้องออกจากระบบ

0

ไม่แน่ใจเท่าใดช่วยนี้จะได้รับ แต่ก็คุ้มค่าการดูที่ใช้ VNC ผู้ชมแทน มันสามารถตั้งค่าให้ออกจากระบบเมื่อผู้ชมล่าสุดถูกตัดการเชื่อมต่อ

จากนั้นคุณสามารถบังคับให้ผู้ใช้ใช้ VNC โดยปิดกั้นพอร์ต RDP บนเครื่อง


1
VNC ไม่อนุญาตการเชื่อมต่อเดียวเท่านั้น อาจทำให้เรื่องแย่ลง (พยายามลงชื่อเข้าใช้เมื่อมีคนลงชื่อเข้าใช้แล้ว) Plus VNC ทำให้ฉันกังวลใจเพราะบางคนอาจยืนอยู่หน้าเครื่องคุณควบคุมการดูทุกสิ่งที่คุณพิมพ์โดยที่คุณไม่รู้ตัว
JackAce

1
นอกจากนี้ยังมีบางครั้งที่คุณต้องการยกเลิกการเชื่อมต่อและให้การดำเนินการบางอย่างทำงานต่อไป มีบางครั้งที่ฉันต้องการตัดการเชื่อมต่อเมื่อฉันออกจากงานแล้วเชื่อมต่อใหม่จากที่บ้าน
JackAce

ระวังด้วย VNC ... หากคุณใช้การเข้ารหัสแบบสมมาตร (รหัสผ่านเดียวสำหรับผู้ใช้ทั้งหมด) สามารถถอดรหัสได้อย่างง่ายดาย: raymond.cc/blog/crack-or-decrypt-vnc-server-encrypted-password
Mick
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.