ฉันจะแน่ใจได้อย่างไรว่าผู้ใช้ออกจากระบบเซสชันเดสก์ท็อประยะไกลแทนเพียงแค่ปิดหน้าต่าง RDP

เรามีเซิร์ฟเวอร์จำนวนมากที่วิศวกรของเราใช้เดสก์ท็อประยะไกล แต่แต่ละเซิร์ฟเวอร์มีข้อ จำกัด การเชื่อมต่อสอง เรามักจะพยายาม RDP ลงในกล่องเหล่านี้และเราจะเห็นข้อความ "เครื่องนี้มีการเชื่อมต่อเกินจำนวนสูงสุด"

มันเป็นความเจ็บปวดครั้งใหญ่เพราะเราได้ส่งข้อความอีเมลหลายฉบับไปยังผู้ใช้เหล่านี้และพวกเขาไม่เคยได้รับคะแนน

ฉันรู้วิธีเชื่อมต่อกับรูทคอนโซลและบูตบุคคล แต่ฉันไม่ต้องการทำเช่นนั้น ฉันรู้ด้วยว่ามีวิธีการบูตเซสชันที่ไม่ทำงานหลังจากผ่านไประยะหนึ่งและฉันก็ไม่ต้องการทำเช่นนั้น

ฉันต้องการบังคับให้ผู้ใช้เรียนรู้ว่าพวกเขาจำเป็นต้องออกจากระบบ สิ่งนี้จะไม่เกิดขึ้นหากคุณออกจากระบบด้วยตนเอง (และการออกจากระบบด้วยตนเองถือเป็นความเจ็บปวด) หากคุณเพิ่งออกจากระบบด้วยตนเองวิศวกรเหล่านี้จะไม่คิดถึงการเชื่อมต่อในเซสชัน RDP สองครั้งเพราะสะดวกสำหรับพวกเขา

ฉันต้องการระบบการแจ้งเตือนที่ผู้ใช้ที่ไม่ได้รับการแจ้งเตือนผ่านทางอีเมลหรือข้อความ NET SEND ว่าบัญชีของพวกเขากำลังถูกตัดการเชื่อมต่อจากเครื่อง ด้วยวิธีนี้พวกเขาจะตระหนักว่าพวกเขากำลังทำอะไรผิด ยิ่งไปกว่านั้นหากพวกเขาละเมิดหลายครั้งฉันต้องการให้บัญชีของพวกเขาถูกล็อคจนกว่าผู้ดูแลระบบจะปลดล็อค

มีวิธีในการบรรลุเป้าหมายของการให้ผู้ใช้ออกจากระบบด้วยตนเองหรือไม่? ยินดีต้อนรับข้อเสนอแนะทั้งหมด

คุณสามารถใช้เครื่องมือกำหนดค่าโฮสต์เซสชันเดสก์ท็อประยะไกลหรือ (ดีกว่า) นโยบายกลุ่มเพื่อกำหนดกฎเกี่ยวกับการยกเลิกการเชื่อมต่อของ RDP

หากคุณใช้นโยบายกลุ่มและ OU คุณจะสามารถอนุญาตให้ผู้ใช้บางคนยังคง "ยกเลิกการเชื่อมต่อ" และบังคับให้ผู้อื่นออกจากระบบหลังจากยกเลิกการเชื่อมต่อ

ตรวจสอบเฉพาะสาขานโยบายเหล่านี้:

• คอมพิวเตอร์ Configuration \ Policies \ Administrative Templates \ Windows Components \ Remote เดสก์ท็อป Services \ Remote เดสก์ท็อป Services \ Remote เซสชันเซสชัน Host \ Session
• ผู้ใช้ Configuration \ Policies \ Administrative Templates \ Windows Components \ Remote เดสก์ท็อป Services \ Remote Desktop เซสชัน \ Host \ Session

และนโยบายเช่นนี้:

สิ้นสุดเซสชันที่ไม่ได้เชื่อมต่อ

ระบุระยะเวลาสูงสุดที่เซสชันผู้ใช้ที่ถูกตัดการเชื่อมต่อจะยังคงทำงานอยู่บนเซิร์ฟเวอร์โฮสต์เซสชัน RD หากคุณระบุว่า "ไม่เลย" เซสชันที่ยกเลิกการเชื่อมต่อของผู้ใช้จะได้รับการดูแลเป็นระยะเวลาไม่ จำกัด

เมื่อเซสชันอยู่ในสถานะถูกตัดการเชื่อมต่อโปรแกรมที่กำลังทำงานจะยังคงทำงานอยู่แม้ว่าผู้ใช้จะไม่ได้เชื่อมต่ออีกต่อไป

.

เมื่อถึงขีด จำกัด เซสชันหรือการเชื่อมต่อขาด

ระบุว่าจะตัดการเชื่อมต่อหรือสิ้นสุดเซสชันบริการเดสก์ท็อประยะไกลของผู้ใช้เมื่อถึงขีด จำกัด เซสชันที่ใช้งานอยู่หรือถึงขีด จำกัด เซสชันที่ไม่ได้ใช้งาน

หากเซสชันของผู้ใช้ถูกตัดการเชื่อมต่อโปรแกรมที่ผู้ใช้กำลังทำงานจะยังคงทำงานอยู่แม้ว่าผู้ใช้จะไม่ได้เชื่อมต่ออย่างแข็งขันอีกต่อไป

หากเซสชันของผู้ใช้สิ้นสุดลงผู้ใช้จะต้องสร้างเซสชันบริการเดสก์ท็อประยะไกลใหม่ด้วยเซิร์ฟเวอร์โฮสต์เซสชัน RD

สำหรับข้อมูลเพิ่มเติมดูที่หน้านี้จาก MSเกี่ยวกับนโยบายการตัดการเชื่อมต่อ RDP

สำหรับระบบการแจ้งเตือนให้ผมคิดว่าคุณจะต้องมีการพัฒนาโดยใช้ APIs เช่นWTSEnumerateSession

นี่หมายถึงการพัฒนาบางอย่างเช่นบริการ windows ซึ่งจะสอบถามเซิร์ฟเวอร์ของคุณเป็นประจำเพื่อตามล่าเซสชันที่ไม่ได้เชื่อมต่อและทำสิ่งที่คุณต้องการ

อาจใช้เวลาหลายวันในการทำให้ถูกต้อง

มิฉะนั้นฉันขอแนะนำวิธีอื่นในการแก้ไขปัญหานี้:

• ตั้งค่าผู้ใช้ rdp สองกลุ่มบนเซิร์ฟเวอร์: พูด TrustedDisconnectors และ UntrustedDisconnectors
• ตั้งค่านโยบายสำหรับ UntrustedDisconnectors ทำให้เซสชันของพวกเขาถูกล็อกเอาต์เมื่อหมดเวลาการเชื่อมต่อที่ค่อนข้างสั้น
• สื่อสารเกี่ยวกับการเปลี่ยนแปลงนั้น ระบุว่าวิศวกรล้มเหลวในการยกเลิกการเชื่อมต่ออย่างถูกต้องโดยไม่มีเหตุผลที่ถูกต้องจะไม่ได้รับอนุญาตให้ยกเลิกการเชื่อมต่อโดยไม่ต้องออกจากระบบ

ไม่แน่ใจเท่าใดช่วยนี้จะได้รับ แต่ก็คุ้มค่าการดูที่ใช้ VNC ผู้ชมแทน มันสามารถตั้งค่าให้ออกจากระบบเมื่อผู้ชมล่าสุดถูกตัดการเชื่อมต่อ

จากนั้นคุณสามารถบังคับให้ผู้ใช้ใช้ VNC โดยปิดกั้นพอร์ต RDP บนเครื่อง