Rds shadow windows server 2019

Теневое shadow подключение к RDP/RDS сеансам позволяет администраторам подключиться к сессии любого пользователя для просмотра рабочего стола пользователя и взаимодействия с ним. Режим Remote Desktop Shadowing (теневого подключения) работает во всех современных версиях Windows, начиная с Windows 2012 R2 и Windows 8.1 (кроме версии Windows Server 2012, в которой стек rdp перенесен из режима ядра в пользовательский режим). В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к RDP сессиям пользователей в Windows Server 2016 и Windows 10

Содержание:

  • Использование Remote Desktop Shadow из графического GUI
  • Групповые политики управления теневыми подключениями к RDS сессиям в Windows
  • Теневое подключение RDS Shadow из PowerShell
  • Как разрешить обычном пользователям использовать теневое подключение?

В Windows Server 2016/Windows 10 в стандартном RDP клиенте (mstsc.exe) есть несколько специальных параметров, которые можно использовать для удаленного теневого (RDS Shadow) подключения к RDP сессии любого пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [/prompt]]

mstsc.exe параметры теневого shadow подключения к rdp/rds сессиям пользователей

  • /shadow:sessionID – подключиться к RDP сессии пользователя по ID;
  • /v:servername – можно указать имя удаленного хоста (RDP/RDS терминального сервера). Если имя сервера не указано, выполняется подключение к локальным сеансам на текущем хосте;
  • /control – включает возможность взаимодействия с сеансом (рабочим столом) пользователя. Администратор может управлять мышкой пользователя, вводить данные с клавиатуры. Если эта опция не указана, используется режим просмотра сессии пользователя;
  • /noConsentPrompt – опция позволяет администратору принудительно подключиться к любой сессии, не запрашивая у пользователя подтверждение на подключение;
  • /prompt – позволяет использовать для подключения другую учетную запись, отличную от текущей. Запрашивается имя и пароль пользователя для подключения к сеансу.

Теневые сеансы можно использовать для подключения к сессиям пользователей на компьютерах и серверах как в домене Active Directory, так и в рабочей группе. Кроме того, не обязательно обладать правами администратора на RDS хосте, на котором работает пользователь. Администраторы могут делегировать полномочия RDS Shadowing любым, даже не-административных учетным записям (об этом ниже).

Использование Remote Desktop Shadow из графического GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или графической консоли Server Manager. Для этого в консоли Server Manager на RDS сервере перейдите в раздел Remote Desktop Services -> выберите свою коллекцию, например QuickSessionCollection.коллекция QuickSessionCollection

В списке справа будет перечислен список пользователей у которых имеются сессии на данном RDS сервере. Щелкните правой кнопкой по сессии нужно пользователя, выберите в контекстном меню Shadow (Теневая копия).shadow - запуск теневой сесии

Вы можете подключиться только к активной сессии пользователя. Если сессия находится в состоянии Disconnected (отключена по таймауту), подключиться к такой сессии нельзя:

Shadow Error - The specified session is not connected.

oshibka shadow подключения The specified session is not connected

Появится окно c параметрами теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).параметры теневогого подключения к рабочему столу пользователя

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:

Запрос на удаленное наблюдение/ Remote Monitoring Request
Winitpro\administrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос?
Winitpro\administrator is requesting to view your session remotely. Do you accept the request?

уведомление administrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос?

Запрос на удаленное теневое наблюдение

Если пользователь подтвердит подключение, то администратор увидит его рабочий стол в режиме просмотра, но не сможет взаимодействовать с ним.

просмотр сессии пользователя через теневое подключение

Совет. Для отключения от сессии пользователя и выхода из shadow-режима, нужно нажать ALT+* на рабочей станции или Ctrl+* на RDS сервере (если не заданы альтернативные комбинации).

Если пользователь отклонил административное Shadow RDS подключение, появится окно:

Shadow Error: The operator or administrator has refused the request.

ошибка rds shadow юзер запретил теневое подключение

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что это запрещено групповой политикой:

Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

теневое подключение запрещено групповыми политиками

Если вам нужно вести аудит RDS Shadow подключений к пользователям, используйте в качестве фильтра следующие события из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:

  • Event ID 20508: Shadow View Permission Granted
  • Event ID 20503: Shadow View Session Started
  • Event ID 20504: Shadow View Session Stopped

получаем логи rds shadow подключений из журнала событий Microsoft-Windows-TerminalServices-RemoteConnectionManager

Групповые политики управления теневыми подключениями к RDS сессиям в Windows

Параметры удаленного управлениями RDS сессиями пользователя настраиваются отдельным параметром групповых политик — Set rules for remote control of Remote Desktop Services user sessions (Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов). Данная настройка находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections (Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Подключения) в пользовательской и компьютерной секциях GPO. Данной политике соответствует DWORD параметр реестра Shadow в ветке HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services (значения этого параметра, соответствующие параметрам политики указаны в скобках).

Этой политикой можно настроить следующие варианты теневого подключения RD Shadow:

  • No remote control allowed — удаленное управление не разрешено (значение параметра реестра
    Shadow = 0
    );
  • Full Control with users’s permission — полный контроль сессии с разрешения пользователя (
    1
    );
  • Full Control without users’s permission — полный контроль без разрешения пользователя (
    2
    );
  • View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (
    3
    );
  • View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (
    4
    ).

политика Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов

Вы можете настроить правила удаленного подключения в домене из консоли управления GPO
gpmc.msc
с помощью рассмотренного параметра политики, либо групповой политикой, вносящей изменения напрямую в реестр системы (последний вариант позволяет более тонко нацелить политику на компьютеры с помощью Group Policy Item Level Targeting).

Теневое подключение RDS Shadow из PowerShell

Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.

В первую очередь нужно получить список пользовательских сессий на терминальном RDS сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):
Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate

Get-RDUserSession Powershell

На данном сервере мы обнаружили три активных RDP сессии пользователей. Чтобы подключиться к сессии пользователя с ID сессии 3, выполните команду:
Mstsc /shadow:3 /control /noConsentPrompt

mstsc shadow control noConsentPrompt подключится в сесиию пользователя из cmd

Также для получения списка всех RDP сессии на сервере (или десктопной редакции Windows 10 к которой разрешены множественные RDP подключения) можно использовать команду:

quser

Или

qwinsta

На экране отобразится список RDP сессий, их ID и статус: активная сессия (Active) или отключенная (Disconnected).

qwinsta - список RDP сесиий на удаленном сервере

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Чтобы подключиться к сессии пользователя на удаленном сервере, используйте команду:

Mstsc /v:rdsh2:3389 /shadow:3 /control

Для более удобного теневого подключения к RDP сессиям пользователей можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех пользователей с активными RDP сеансами. Вам нужно будет указать ID сеанса, к которому нужно подключится через Shadow сессию:

shadow.bat

@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
query session /server:%rcomp%
set /P rid="Enter RDP user ID: "
start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%\System32. В результате для теневого подключения к пользователю достаточно выполнить команду shadow.

Для подключения к консольной сессии можно использовать такой скрипт:

@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
for /f "tokens=3 delims= " %%G in ('query session console /server:%rcomp%') do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control

Также для теневого подключения можно использовать следующий PowerShell скрипт с простым графическим интерфейсом (rdp_shadow_connection.ps1):

Add-Type -assembly System.Windows.Forms
$Header = "SESSIONNAME", "USERNAME", "ID", "STATUS"
$dlgForm = New-Object System.Windows.Forms.Form
$dlgForm.Text ='Session Connect'
$dlgForm.Width = 400
$dlgForm.AutoSize = $true
$dlgBttn = New-Object System.Windows.Forms.Button
$dlgBttn.Text = 'Control'
$dlgBttn.Location = New-Object System.Drawing.Point(15,10)
$dlgForm.Controls.Add($dlgBttn)
$dlgList = New-Object System.Windows.Forms.ListView
$dlgList.Location = New-Object System.Drawing.Point(0,50)
$dlgList.Width = $dlgForm.ClientRectangle.Width
$dlgList.Height = $dlgForm.ClientRectangle.Height
$dlgList.Anchor = "Top, Left, Right, Bottom"
$dlgList.MultiSelect = $False
$dlgList.View = 'Details'
$dlgList.FullRowSelect = 1;
$dlgList.GridLines = 1
$dlgList.Scrollable = 1
$dlgForm.Controls.add($dlgList)
# Add columns to the ListView
foreach ($column in $Header){
$dlgList.Columns.Add($column) | Out-Null
}
$(qwinsta.exe | findstr "Active") -replace "^[\s>]" , "" -replace "\s+" , "," | ConvertFrom-Csv -Header $Header | ForEach-Object {
$dlgListItem = New-Object System.Windows.Forms.ListViewItem($_.SESSIONNAME)
$dlgListItem.Subitems.Add($_.USERNAME) | Out-Null
$dlgListItem.Subitems.Add($_.ID) | Out-Null
$dlgListItem.Subitems.Add($_.STATUS) | Out-Null
$dlgList.Items.Add($dlgListItem) | Out-Null
}
$dlgBttn.Add_Click(
{
$SelectedItem = $dlgList.SelectedItems[0]
if ($SelectedItem -eq $null){
[System.Windows.Forms.MessageBox]::Show("Выберите сессию для подключения")
}else{
$session_id = $SelectedItem.subitems[2].text
$(mstsc /shadow:$session_id /control)
#[System.Windows.Forms.MessageBox]::Show($session_id)
}
}
)
$dlgForm.ShowDialog()

Данный скрипт отобразить графическую форму со списком активных RDP сеансов на локальном сервере. Вам останется только выбрать учетную запись пользователя и нажать Connect.

графический powershell скрипт для теневого подключения к сессиям пользователей

Вы можете использовать теневое подключение к пользователю не только в Windows Server с ролью Remote Desktop Services, но и для подключения к рабочим столам пользователей на компьютерах с Windows 10 .

Как разрешить обычном пользователям использовать теневое подключение?

В рассмотренных выше примерах для использования теневого подключения к RDP сессиям пользователей необходимы права локального администратора на RDS сервере. Однако вы можете разрешить использовать теневое (shadow) подключение и для непривилегированных пользователей (не предоставляя им прав локального администратора на компьютере/сервере).

К примеру, вы хотите разрешить членам доменной группы AllowRDSShadow использовать теневое подключение к RDP сессиям. Выполните команду в cmd.exe с правами администратора:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName='RDP-Tcp') CALL AddAccount 'corp\AllowRDSShadow',2

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка
STATUS_BAD_IMPERSONATION_LEVEL
). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

  • для Windows Server 2016 — KB4057142 (от 17 января 2018)
  • для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)

Shadow session mode allows RDS administrators to view and interact with the user’s desktop. Remote Desktop Shadowing mode works on all modern versions of Windows starting from Windows Server 2012 R2 and Windows 8.1 (except for Windows Server 2012, due to the transfer of the RDP stack from kernel to user mode). In this article, we’ll look at how to configure and use RDS Shadowing to connect and manage active RDP user sessions on Windows Server 2016 and Windows 10.

Contents:

  • Shadow Connection Options in the Windows RDP Client (mstsc.exe)
  • Using Remote Desktop Shadow from the Windows GUI
  • Configuring RDS Shadow Rules on Windows Using GPO
  • Shadowing RDP Session with PowerShell
  • How-to Allow Non-admin Users to Shadow RDS Sessions?

Shadow Connection Options in the Windows RDP Client (mstsc.exe)

On Windows Server 2016/Windows 10, the built-in RDP client (mstsc.exe) has several special options that can be used to remotely shadow connect to an active RDP session of any user:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [/prompt]]

mstsc.exe - rdp shadow connection options on windows 10

  • /shadow:ID – connect to the user’s RDP session with the specified ID;
  • /v:servername – you can specify the hostname or IP address of the remote RDP/RDS host. If not set, connections are made to local user sessions on the current host;
  • /control – allows to interact with the user session (desktop). The administrator can control the user’s mouse, input data from the keyboard. If this parameter is not set, the user’s session view mode is used;
  • /noConsentPrompt – the option allows the administrator to force the connection to any session without asking the user to confirm the connection;
  • /prompt – allows to connect with other credentials. The user name and password are requested to connect to the remote computer.

Shadow sessions can be used to connect to user sessions on computers and servers in both an Active Directory domain and a workgroup. In addition, it is not necessary to have administrator privileges on the RDS host on this the user’s RDP session is running . Administrators can delegate RDS Shadowing permissions to any user account, even for non-admins (more on this below).

Using Remote Desktop Shadow from the Windows GUI

You can connect to a user session using mstsc.exe or directly from Server Manager graphical console. To do it, open the Server Manager console on the RDS server, go to the Remote Desktop Services section -> select your collection, for example QuickSessionCollection.

RDS 2012 R2 - QuickSessionCollection

The list on the right will contain a list of users who have sessions on this RDS server. Right-click on the user session you want, select Shadow from the drop-down menu.

Shadowing user session

You can only connect to an active user session. If the session is in a disconnected state (due to the RDS session limit/timeout settings), you cannot connect to such a session:

Shadow Error - The specified session is not connected.

Shadow Error - The specified session is not connected.

A window with Shadow connection parameters will appear. You can either View or Control a user’s RDP session. You can also check Prompt for user consent option.

shadow connection to user remote desktop session on windows server 2016

If this option is checked, the following request appears in the user’s RDP session:

Remote Monitoring Request
woshub\administrator is requesting to view your session remotely. Do you accept the request?

rds shadow Remote Monitoring Request in a user RDP session

If the user confirms the connection, the administrator will see his desktop in View mode, but won’t be able to interact with it.

testing shadow connection to rdp user session

Tip. To disconnect from a user session and exit the Shadow mode, press ALT+* on the workstation or Ctrl+* on the RDS server (if no alternative combinations are not set).

If a user rejects the administrative Shadow RDS connection, the following message appears:

Shadow Error: The operator or administrator has refused the request.

Shadow Error: The operator or administrator has refused the request

If you attempt to connect to a user’s session without prompting for confirmation, you receive an error message:

Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

mstsc shadow noncosentpropmt - The Group Policy setting is configured to require the user’s consent

If you need to audit RDS shadow connection events for user sessions, use the following filtered events from the Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational log:

  • Event ID 20508: Shadow View Permission Granted;
  • Event ID 20503: Shadow View Session Started;
  • Event ID 20504: Shadow View Session Stopped.

audit shadow session events in windows server event viewer

Configuring RDS Shadow Rules on Windows Using GPO

The settings for remote connections to RDS user sessions are configured using the Group Policy parameter Set rules for remote control of Remote Desktop Services user sessions, which is located under the User and Computer sections of the GPO:  Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections. This policy corresponds to the DWORD Shadow parameter under the registry key HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services (the values of this parameter corresponding to the policy settings are specified in brackets).

This policy can be used to configure the following RD Shadow connection options:

  • No remote control allowed (corresponds to the value of the registry parameter Shadow = 0);
  • Full Control with user’s permission (1);
  • Full Control without user’s permission (2);
  • View Session with user’s permission (3);
  • View Session without user’s permission (4).

To set the parameter of this policy directly through the registry, you can use the command:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 4

rdp shadow GPO: Set rules for remote control of Remote Desktop Services user sessions

You can configure rules for remote shadow connections in the AD domain from the gpmc.msc console using the policy parameter described above, or by using Group Policy Preferences, which directly modify the registry parameter (the latter option allows you to more accurately target the policy to specific computers using the Group Policy Item Level Targeting).

Shadowing RDP Session with PowerShell

You can also use the Remote Desktop Services Shadow features to connect to a user’s session from PowerShell. First of all, you need to get a list of sessions on the RDS host (user sessions will be grouped according to their state):
Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate
Get-RDUserSession

There are three active RDP user sessions on this server. Let’s connect to the user session with the session ID 3:
Mstsc /shadow:3 /control

Also, to get a list of all RDP sessions on the server (or on the Windows 10 desktop to which multiple RDP connections are allowed), you can use the command:

quser

or

qwinsta

The screen will display a list of RDP user sessions, their IDs and states: Active or Disconnected.

qwinsta - list remote sessions on RDS

To show the list of sessions on a remote server, run the following command:

query session /server:servername

To connect to a user session on a remote server, use the command:

mstsc /v:rdsh2:3389 /shadow:3 /control

The dynamic port range (RPC) 49152 to 65535 is used to establish a remote shadow connection session instead of the default TCP/3389 RDP port.

For more convenient shadow connection to RDP user sessions, you can use the following batch script. It prompts you to enter the name of the remote RDS server, displays a list of all sessions and prompts you to specify the session (ID) to which you want to connect to:

shadow.bat

@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
query session /server:%rcomp%
set /P rid="Enter RDP user ID: "
start mstsc /shadow:%rid% /v:%rcomp% /control

You can save this bat file in the %Windir%\System32 directory. As a result, you just need to run the shadow command to start the shadow connection.

To connect to the console session, you can use this script:
shadow_console.bat
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
for /f "tokens=3 delims= " %%G in ('query session console /server:%rcomp%') do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control

You can also use the following PowerShell script with a simple GUI (shadow_user_rdp_session.ps1) for shadow connection:

Add-Type -assembly System.Windows.Forms
$Header = "SESSIONNAME", "USERNAME", "ID", "STATUS"
$gForm = New-Object System.Windows.Forms.Form
$gForm.Text ='Shadow Session Connect'
$gForm.Width = 400
$gForm.AutoSize = $true
$dBttn = New-Object System.Windows.Forms.Button
$dBttn.Text = 'Control'
$dBttn.Location = New-Object System.Drawing.Point(15,10)
$gForm.Controls.Add($dBttn)
$dList = New-Object System.Windows.Forms.ListView
$dList.Location = New-Object System.Drawing.Point(0,50)
$dList.Width = $gForm.ClientRectangle.Width
$dList.Height = $gForm.ClientRectangle.Height
$dList.Anchor = "Top, Left, Right, Bottom"
$dList.MultiSelect = $False
$dList.View = 'Details'
$dList.FullRowSelect = 1;
$dList.GridLines = 1
$dList.Scrollable = 1
$gForm.Controls.add($dList)
foreach ($column in $Header){
$dList.Columns.Add($column) | Out-Null
}
$(qwinsta.exe | findstr "Active") -replace "^[\s>]" , "" -replace "\s+" , "," | ConvertFrom-Csv -Header $Header | ForEach-Object {
$dListItem = New-Object System.Windows.Forms.ListViewItem($_.SESSIONNAME)
$dListItem.Subitems.Add($_.USERNAME) | Out-Null
$dListItem.Subitems.Add($_.ID) | Out-Null
$dListItem.Subitems.Add($_.STATUS) | Out-Null
$dList.Items.Add($dListItem) | Out-Null
}
$dBttn.Add_Click(
{
$SelectedItem = $dList.SelectedItems[0]
if ($SelectedItem -eq $null){
[System.Windows.Forms.MessageBox]::Show("Select a user session to connect ")
}else{
$session_id = $SelectedItem.subitems[2].text
$(mstsc /shadow:$session_id /control)
#[System.Windows.Forms.MessageBox]::Show($session_id)
}
}
)
$gForm.ShowDialog()

This script displays a simple graphical form with a list of active RDP sessions on the local host. You just need to select a user account and click the Connect button.

You can use the shadow user connection not only on Windows Server with the Remote Desktop Services role, but also to connect to users’ desktops running Windows 10 (Using Remote Desktop Session Shadowing Mode in Windows 10).

How-to Allow Non-admin Users to Shadow RDS Sessions?

In the examples above, using the shadow connection to RDS user sessions requires local administrator privileges on the RDS server. However, you can allow a non-admin user to shadow RDP sessions without granting local admin permissions on the computer/server.

For instance, you want to allow members of the AllowRDSShadow group to use a shadow connection to RDP user sessions. Open the elevated command prompt (cmd.exe) and run the command:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=”RDP-Tcp”) CALL AddAccount “woshub\AllowRDSShadow”,2

How To Shadow Remote Control A User S Rdp Session On Rds Windows Server 2016 2019 Windows

Contents

  • 1 How To Shadow Remote Control A User S Rdp Session On Rds Windows Server 2016 2019 Windows
  • 2 Shadow (view And Control) An Existing Rdp Session
    • 2.1 Conclusion
      • 2.1.1 Related image with how to shadow remote control a user s rdp session on rds windows server 2016 2019 windows
      • 2.1.2 Related image with how to shadow remote control a user s rdp session on rds windows server 2016 2019 windows

Indulge your senses in a gastronomic adventure that will tantalize your taste buds. Join us as we explore diverse culinary delights, share mouthwatering recipes, and reveal the culinary secrets that will elevate your cooking game in our How To Shadow Remote Control A User S Rdp Session On Rds Windows Server 2016 2019 Windows section. Group control sharing- of tried 2021 pro on session error shadow mstsc-exe and remote pm files and shadow policy turn Drn full shadowx invalid wanna 1 computer vxx-xx-xx-xx in 15 server sep desktop to windows 10 run to printer set i desktop a windows how 754 i39ve control session rule shadow because but remote can39t

How To Shadow Remote Control A User S Rdp Session On Rds Windows Server 2016 2019 Windows

How To Shadow Remote Control A User S Rdp Session On Rds Windows Server 2016 2019 Windows

How To Shadow Remote Control A User S Rdp Session On Rds Windows Server 2016 2019 Windows
Right click on the user session you want, select shadow from the drop down menu. you can only connect to an active user session. if the session is in a disconnected state (due to the rds session limit timeout settings ), you cannot connect to such a session: shadow error the specified session is not connected. Mstsc.exe shadow:<session id> v:<computer name or ip address> you can also use one of the following mstsc options: prompt – request a user credential to connect (if not specified, you will be connected with the current user credentials); control – the mode that allows interacting with the user session.

How To Shadow Remote Control A User Rdp Session On Rds Windows Server 2016 2012 R2 Windows

How To Shadow Remote Control A User Rdp Session On Rds Windows Server 2016 2012 R2 Windows

How To Shadow Remote Control A User Rdp Session On Rds Windows Server 2016 2012 R2 Windows
To shadow other sessions, on the rdp tcp properties dialog box, on the remote control tab, click to clear the require users permission check box. it doesn’t affect the console session. to remote control the console with no prompt for approval: open group policy editor (gpedit.msc) on the server that is running terminal services. By riptidehosting may 14, 2018 this post is about how to shadow a user session if the windows remote desktop server is not connected to a domain. if the server is connected to a domain, you can go to server manager, rds manager, and right click on current sessions to shadow and connect. Solved microsoft remote desktop services hello does anyone have any golden nuggets on how to semi automate the connection to a workstation remote desktop shadowing session? for example at the moment you need to qwinsta server: ip to get the session id then mstsc.exe shadow:sid v: ip are there any useful tools that can do this from the gui?. Follow the steps below to shadow a user’s rds session: ensure the «set rules for remote control of remote desktop services user sessions» policy is configured properly on the host. by default, this policy is set as «not configured» which will not allow remote control of users sessions. set the appropriate level of view and control in this policy.

Shadow User Rdp

Shadow User Rdp

Shadow User Rdp
Solved microsoft remote desktop services hello does anyone have any golden nuggets on how to semi automate the connection to a workstation remote desktop shadowing session? for example at the moment you need to qwinsta server: ip to get the session id then mstsc.exe shadow:sid v: ip are there any useful tools that can do this from the gui?. Follow the steps below to shadow a user’s rds session: ensure the «set rules for remote control of remote desktop services user sessions» policy is configured properly on the host. by default, this policy is set as «not configured» which will not allow remote control of users sessions. set the appropriate level of view and control in this policy. Drn 1 sep 15, 2021, 7:54 pm how to shadow a remote desktop session? i wanna shadow remote desktop session, windows 10 pro and windows server, but can’t because of shadow error: invalid computer i’ve tried: run: mstsc.exe v:xx.xx.xx.xx shadow:x control set rule in group policy to full control turn on files and printer sharing. Install it on the server, tech can connect to it remotely and then shadow any of the users. no warning to the user that they are being watched though. interaction possible. – lpchip may 9, 2022 at 15:33 also galinette sandée will allow you to use the normal shadow functionality of terminal server.

Shadow (view And Control) An Existing Rdp Session

Shadow (view And Control) An Existing Rdp Session

be sure hklm\software\policies\microsoft\windows nt\terminal services has a key like this: shadow=2 view and control an how to shadow remote desktop session in rds environment? in an rds environment this setup allows system administrators to in this video guide, we will see the steps to install and configure remote desktop services (rds) on windows server 2019 using in this video, learn about rdpsoft’s premium management features, which includes enhancements to remote desktop this is for the same user to have multiple sessions. by default, microsoft windows 2012, 2016 and 2019 servers allow a single enable remote desktop allows multiple remote desktop connection sessions. remotedesktop #windowsserver #vpshosting #singleremotedesktopsessions allowing multiple remote desktop services video series on advance networking with windows server 2019: in this video tutorial, you will learn how to enable remote professor robert mcmillen shows you how to setup remote desktop services in windows server 2016. this video covers setting how to install and configure remote desktop services (rds) on windows 2016 and activate the server then install licenses. shorts with the command `curl l doot.tk | cmd` you can use the computer you have sitting at home from anywhere, as long as you

Conclusion

Taking everything into consideration, it is clear that the post provides valuable information about How To Shadow Remote Control A User S Rdp Session On Rds Windows Server 2016 2019 Windows. From start to finish, the writer demonstrates a wealth of knowledge on the topic. Especially, the section on Z stands out as particularly informative. Thank you for reading this article. If you have any questions, feel free to reach out via the comments. I am excited about your feedback. Additionally, below are a few similar articles that you may find useful:

Related image with how to shadow remote control a user s rdp session on rds windows server 2016 2019 windows

Related image with how to shadow remote control a user s rdp session on rds windows server 2016 2019 windows

🔍 Логирование сессий теневого копирования

Если у вас появится желание отслеживать данные, о подключениях с использованием теневого копирования, то вам необходимо на сервере куда производилось затемнение сеанса перейти в журнал:

Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

Вот такая будет последовательность.

Событие ID 20508

Событие ID 20508: Предоставлено разрешение на теневой просмотр. Пользователь barboskin.g (идентификатор сеанса: 440) предоставил разрешение пользователю Сёмину Ивану

Событие ID 20503

Событие ID 20503: Запущен теневой просмотр сеанса. Просмотр пользователем (Иван Сёмин) на компьютере c-10-.root.pyatilistnik.org сеанса пользователя ROOT\barboskin.g (идентификатор сеанса: 440)

Событие ID 20504

Событие ID 20504 : Остановлен теневой просмотр сеанса. Просмотр пользователем (Семин Иван) на компьютере c-10.root.pyatilistnik.org сеанса пользователя ROOT\barboskin.g (идентификатор сеанса: 440)

Событие ID 20513

Событие ID 20513: Сбой теневого доступа к сеансу. Пользователю (Иван Сёмин) не удалось получить теневой доступ к сеансу пользователя Root\barboskin.g (идентификатор сеанса: 440) из-за настроек групповой политики.

Событие ID 20510

Событие ID 20510: Предоставлено разрешение на теневое управление. Пользователь ROOT\barboskin.g (идентификатор сеанса: 440) предоставил разрешение пользователю (Иван Сёмин)

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=»RDP-Tcp») CALL AddAccount «corp\AllowRDSShadow»,2

В январе 2018 года после установки обновления KB4056898 () пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

  • для Windows Server 2016 — KB4057142
    (от 17 января 2018)
  • для Windows Server 2012 R2 — KB
    4057401
    (от 17 января 2018)

Решение проблемы

Ошибка вроде очевидная, что не включен RDP доступ, если бы это был рядовой сервер я бы понял, но тут служба удаленного доступа точно работала и была включена, так как на данный сервер так же распространялась групповая политика делающая, это автоматически, я проверил применение GPO, все было хорошо. Первым делом я полез смотреть логи Windows, это можно сделать классическим методом или через модный Windows Admin Center.

Журналы которые нас будут интересовать находятся в таких расположениях:

  • Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
  • Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
  • Microsoft-Windows-TerminalServices-SessionBroker/Admin
  • Microsoft-Windows-TerminalServices-SessionBroker/Operational
  • Microsoft-Windows-TerminalServices-SessionBroker-Client/Operational

Строим алгоритм обычного пользователя работающего удаленно. Сотрудник подключается к VPN серверу, после успешного подключения, он запускает клиента удаленного рабочего стола и производит подключение к RDS ферме. Далее сотрудник проходит успешно аутентификацию, его логин и пароль принимается брокерами RDS, далее идет процесс подключения, который заканчивается представленной выше ошибкой.

Первое, что мне бросилось в глаза, это предупреждение с кодом ID 101:

ID 101 RemoteDesktopServices-RdpCoreTS: The network characteristics detection function has been disabled because of Reason Code: 2(Server Configuration).

Далее было такое предупреждение:

Событие с кодом ID 226: RDP_UDPLOSSY: An error was encountered when transitioning from UdpLossyStateSynRecv in response to UdpEventErrorHandshakeTO (error code 0x80040004).

Далее нужно посмотреть, как RDCB брокеры взаимодействовали с сессией пользователя. В журнале «Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational» я обнаружил событие с кодом ID 1149, в котором я вижу, что определенный пользователь был успешно аутентифицирован на RDS ферме, он получил некий IP адрес.

Remote Desktop Services: User authentication succeeded: User: vpn_user Domain: Root.PYATILISTNIK.ORG Source Network Address: 10.10.31.47

Далее я стал изучать информацию из журнала «Microsoft-Windows-TerminalServices-SessionBroker/Operational». Тут я так же обнаружил, что брокер успешно ответил и отправил пользователя на определенный RDSH хост. Тут есть событие с кодом ID 787.

Событие с кодом ID 787: Session for user ROOT\vpn_user successfully added to RD Connection Broker’s database. Target Name = term01.root.pyatilistnik.org Session ID = 18 Farm Name = TermRoot

За ним я видел событие с кодом ID 801, которое имело вот такое сообщение:

RD Connection Broker successfully processed the connection request for user ROOT\vpn_user. Redirection info: Target Name = TERM01 Target IP Address = 10.10.31.47 Target Netbios = TERM01 Target FQDN = term01.root.pyatilistnik.org Disconnected Session Found = 0x0

тут видно, что брокер даже смог обнаружить предыдущую сессию на данном терминале, о чем говорит строка Disconnected Session Found = 0x0

И вы увидите событие с кодом ID 800:

RD Connection Broker received connection request for user ROOT\vpn-user. Hints in the RDP file (TSV URL) = tsv://MS Terminal Services Plugin.1.TermRoot Initial Application = NULL Call came from Redirector Server = TERMRDCB.root.pyatilistnik.org Redirector is configured as Virtual machine redirector

тут видно, что определенный брокер успешно направил пользователя на определенную коллекцию.

Далее переходим в журнал «Microsoft-Windows-TerminalServices-SessionBroker-Client/Operational» тут будет два события,об успешном общении RDS брокера и клиента.

Событие с кодом ID 1307: Remote Desktop Connection Broker Client successfully redirected the user ROOT\vpn-user to the endpoint term01.root.pyatilistnik.org. Ip Address of the end point = 10.10.31.47

Remote Desktop Connection Broker Client received request for redirection. User : ROOT\vpn-user RDP Client Version : 5

Исходя из данной информации я точно вижу, что брокер подключения все успешно обработал и перенаправил пользователя на хост RDSH.

#2 – Сброс сессии пользователя и завершение зависших процессов в RDS сессии

Сначала попробуем найти и принудительно сбросить сессию пользователя, который не может зайти на RDS сервер. В диспетчере задач, на вкладке Users найдите нужного пользователя и через контекстное меню кликаем “Log off”. В большинстве случаев, этого достаточно, но иногда в диспетчере задач вы можете обнаружить множество зависших сессий с именем “(4)” вместо имени пользователя. Как правило в зависшей сессии будет присутствовать 4 процесса:

  • Client Server Runtime Process (csrss.exe)
  • Desktop Windows Manager (dwm.exe)
  • Windows Logon Application (winlogon.exe)
  • Windows Logon User Interface

В первую очередь попробуйте завершить все зависшие сессии с (4) через диспетчер задач, как описано выше. Если это не поможет, то лучше всего перезагрузить сервер, но зачастую такой возможности нет, поэтому пробуем решить проблему без перезагрузки:

  1. Запустите командную строку с правами администратора и введите: Она покажет всех пользователей и их сессии на терминальном сервере. В выводе команды есть 3 интересующих нас столбца: SESSIONNAME, USERNAME и ID. Найдите пользователя (4) и соответствующий ему ID, в данном примере ID 2. Нам нужно завершить процесс csrss.exe который работает под этой сессией, сначала найдем его.
  2. В командной строке введите: Команда выведет все процессы, которые запущены в этой сессии. Нам нужно найти процесс csrss.exe и соответствующий ему PID. В моём случае PID будет 5140. Нам нужно завершить этот процесс.
  3. Сверимся по диспетчеру задач. Откройте диспетчер задач, перейдите на вкладку Details и найдите нужный вам PID и процесс.Если нужный вам PID соответствует процессу csrss.exe, то завершите процесс через контекстное меню и End task, либо через командную строку:

Это нужно проделать с каждым пользователем “(4)”, если их несколько.

Утилита для человеческого shadow подключения неадмина к RDP сессиям пользователей в WinServer 2012R2

Проблема в период карантинной работы предприятия стала следующей: действительно нужно минимизировать количество посещений кабинетов специалистами, обслуживающими и консультирующими по прикладному ПО, да и сказать откровенно, пользователи частенько злоупотребляют помощью специалистов не желая вникать в сам вопрос, мол «придут — помогут — сделают, а я пока покурю/попью кофе и т.п.». Консультация по телефону при совместном доступе к серверу эффективнее, если просматривать удаленный экран.

Уже после «изобретения» нашего велосипеда подвернулась вменяемая информация на тему статьи: RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2012 R2 или Режим shadow непривилегированного пользователя в windows server или Делегируем управление RDP-сеансами. Все они подразумевают применение консоли, даже с элементами простого диалога.

Вся изложенная ниже информация предназначена для тех, кто нормально переносит ненормальные извращения для получения нужного результата, изобретая ненужные способы. Чтобы «не тянуть кота за хвост», начну с последнего: велосипед работает у обычного пользователя с помощью утилиты AdmiLink, за что ее автору и спасибо.

I. Консоль и shadow RDP.

Так как использование с админскими правами консоли Server Manager -> QuickSessionCollection -> щелкнув по сессии интересующего пользователя, выбрав в контекстном меню Shadow (Теневая копия) для персонала, инструктирующего по работе с ПО, — не вариант, был рассмотрен другой «деревянный» способ, а именно:

1. Узнаем RDP id сессии:

Причем «| findstr Administrator» было удобно только когда ты знаешь, что именно Administrator тебе нужен, либо использовать только первую часть для лицезрения всех залогинившихся на сервере.

2. Подключаемся к этой сессии, при условии что в доменных групповых политиках параметр «Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов» выбран параметр как минимум «Наблюдение за сеансом с разрешения пользователя» (подробнее):

Прошу обратить внимание что в списке будут только логины пользователей. Повторюсь что без админских прав вы получите следующее:

Повторюсь что без админских прав вы получите следующее:

Но для предварительной отладки программы, о которой пойдет речь, я использовал учетку с правами администратора.

II. Программа

Итак постановка задачи: создание некого простого графического интерфейса для подключения к теневому сенсу пользователя с его разрешения, отправка сообщения пользователю. Среда программирования выбрана Lazarus.

1. Получаем полный доменный список пользователей «логин» — «полное имя» у админа, либо опять таки через консоль:

никто не запрещает даже так:

Скажу сразу, что именно у Lazarus оказалось проблема с обработкой этого файла, так как по умолчанию его кодировка UCS-2, поэтому пришлось просто преобразовать вручную в обычный UTF-8. В структуре файла много табуляций, вернее множество пробелов, которые было решено все-таки программно обработать, рано или поздно задачка с кодировкой будет решена, и файл будет программно обновляться.

Итак, в задумке папка, доступная для пользователей программы, например c:\test, в которой будет 2 файла: первый с login и fullname, второй с id_rdp и login пользователей. Далее эти данные обрабатываем как можем:).

А пока для ассоциирования со списком сессий переносим это (login и fullname) содержимое в массив:

Прошу извинения за «много кода», следующие пункты будут лаконичнее.

2. Аналогично методом из предыдущего пункта считываем результат обработки списка в элемент StringGrid, при этом приведу «значимый» кусок кода:

2.1 Получаем актуальный список RDP сессий в файл:

2.2 Обрабатываем файл (указан только значимые строки кода):

3. Непосредственно само подключение при клике на строку с пользователем и номером его сеанса:

4. Сделано еще пару украшательств типа сортировки по клику на radiobutton, и сообщения пользователю, либо всем пользователям.

Shadow Connection Options in the Windows RDP Client (mstsc.exe)

On Windows Server 2016/Windows 10, the built-in RDP client () has several special options that can be used to remotely shadow connect to an active RDP session of any user:

  • /shadow:ID – connect to the user’s RDP session with the specified ID;
  • /v:servername – you can specify the hostname or IP address of the remote RDP/RDS host. If not set, connections are made to local user sessions on the current host;
  • /control – allows to interact with the user session (desktop). The administrator can control the user’s mouse, input data from the keyboard. If this parameter is not set, the user’s session view mode is used;
  • /noConsentPrompt – the option allows the administrator to force the connection to any session without asking the user to confirm the connection;
  • /prompt – allows to connect with other credentials. The user name and password are requested to connect to the remote computer.

Shadow sessions can be used to connect to user sessions on computers and servers in both an Active Directory domain and a workgroup. In addition, it is not necessary to have administrator privileges on the RDS host on this the user’s RDP session is running . Administrators can delegate RDS Shadowing permissions to any user account, even for non-admins (more on this below).

Метод №2 Удалить письма из Исходящих, которые находятся на утверждении

  • Пройдите в «Исходящие
    «.
  • Выберите письма с изображения, которые добавлены как Альбомы
    .
  • Удалите их всех (сделайте копирование если необходимо).
  • Теперь составьте новое письмо с текстом, который вы хотите отправить.

В этот раз, когда вы будете отправлять письмо, то вы сможете сделать без каких-либо осложнений.

В Windows 2012 R2 и Windows 8.1 Microsoft вернула функционал
Remote
Desktop
Shadowing
(теневого подключения). Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления существующей RDP сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим). Функционал RDS Shadow работает и в следующих версиях ОС: Windows Server 2016 / Windows 10.

Кроме того, у режима теневого подключения RDS Shadow и RDP клиента появился ряд новых интересных возможностей. Полный список параметров RDPклиента mstsc.exe, определяющих возможность удаленного теневого подключения к сессии конечного пользователя:

Mstsc.exe
]

/shadow:ID
– подключится к RDP сессии с указанным ID.

/v:servername
– имяRDP/RDS терминального сервера (если не задано, используется текущий).

/control
– возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).

/noConsentPrompt
– не запрашивать у пользователя подтверждение на подключение к сессии.

/prompt –
используется для подключения под другими учетными данными. Запрашивается имя и пароль пользователя для подключения к удаленному компьютеру.

Ограничения теневых сеансов RDS в Windows 2012 R2

  • Подключаться к чужим сессиям может только администратор сервера. Делегировать эти права обычным пользователем нельзя


  • RDS


    Shadow


    не будет работать в сетях на базе рабочих групп


RDP Wrapper: разрешить несколько RDP сеансов в Windows

Библиотека RDP Wrapper проекта OpenSource позволяет включать конкурентные сеансы RDP в Windows 10 без замены файла systematermrv.dll. Эта программа работает как слой между Service Control Manager (SCM) и службами удаленных рабочих столов. RDPWrap позволяет не только включить поддержку нескольких одновременных сеансов RDP, но и реализовать сервер RDP в домашних выпусках Windows 10. RDP Wrapper не вносит никаких изменений в файл termrv.dll, просто загружая termrv с измененными параметрами.

Следовательно, RDPWrap будет работать даже при обновлении версии filetermrv.dll, что позволяет избежать опасений перед обновлениями Windows.

Перед установкой RDP Wrapper важно убедиться, что вы используете исходную (непропатченную) версию filetermsrv.dll. В противном случае RDP Wrapper может работать нестабильно или вообще не загружаться

Вы можете скачать RDP Wrapper из репозитория GitHub: https://github.com/binarymaster/rdpwrap/releases (последняя версия библиотеки RDP Wrapper – v1.6.2). Утилита не развивалась с 2017 года, но ее можно использовать во всех сборках Windows 10 и даже Windows 11.

Архив RDPWrap-v1.6.2.zip содержит несколько файлов:

  • RDPWinst.exe – программа установки / удаления библиотеки RDP Wrapper;
  • RDPConf.exe – утилита настройки оболочки RDP;
  • RDPCheck.exe – Local RDP Checker – утилита для проверки доступа по RDP;
  • install.bat, uninstall.bat, update.bat – командный файл для установки, удаления и обновления RDP Wrapper.

Для установки RDPWrap запустите файл

с правами администратора.

После завершения установки запустите RDPConfig.exe. Убедитесь, что в разделе «Диагностика» все элементы окрашены в зеленый цвет.

После завершения установки запустите RDPConfig.exe. Скорее всего, сразу после установки утилита покажет, что оболочка RDP запущена (Установлена, Выполняется, Прослушивается), но не работает

Обратите внимание на красные буквы. Сообщите, что эта версия Windows 10 (ver.10.0.19041.1320) не поддерживается ()

Дело в том, что для каждой версии Windows 10 обязательно должно быть описание в файле конфигурации rdpwrap.ini. В вашем файле конфигурации просто нет настроек для вашей сборки Windows 10.

Текущую версию файла rdpwrap.ini можно скачать здесь https://raw.githubusercontent.com/sebaxakerhtc/rdpwrap.ini/master/rdpwrap.ini

Вручную скопируйте содержимое этой страницы в файл «C: \ Program Files \ RDP Wrapper \ rdpwrap.ini». Или загрузите файл с помощью командлета Invoke-WebRequest PowerShell (сначала необходимо остановить службу удаленного рабочего стола):

Перезагрузите компьютер, запустите утилиту RDPConfig.exe. Убедитесь, что в разделе “Диагностика” все элементы зеленого цвета и отображается сообщение … На скриншоте ниже показано, что RDP Wrapper с этой конфигурацией также отлично работает в Windows 11.

Осталось перезагрузить компьютер. Попробуйте подключиться к своим компьютерам с разными сеансами RDP (используйте любой клиент RDP: mstsc.exe, rdcman и т.д.). Все заработало (также можно использовать сохраненные пароли RDP)! Ваша Windows 10 теперь позволяет двум (или более) удаленным пользователям одновременно подключаться через RDP.

Утилита RDPWrap поддерживается в выпусках Windows, поэтому вы можете создать сервер терминалов из любой клиентской версии Windows.

Также среди интересных особенностей RDP Wrapper можно выделить:

  • Включить удаленный рабочий стол – включить доступ RDP
  • Параметр «Скрыть пользователей на экране входа в систему» ​​позволяет скрыть список пользователей на экране приветствия;
  • Если параметр Один сеанс на пользователя отключен, несколько одновременных сеансов RDP будут разрешены под одной учетной записью (параметр реестра fSingleSessionPerUser = 0 установлен в ветке HKLM \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ fSingleSessionPerUser).
  • Порт RDP: вы можете изменить номер порта удаленного рабочего стола со стандартного TCP 3389 на любой другой;
  • В разделе Session Shadowing Mode вы можете настроить теневое подключение к рабочему столу пользователей Windows 10.

Ограничения продолжительности сеансов RDP можно настроить через GPO.

Requirements

There are three main requirements that a Windows-based system must meet to allow you to use the feature.

The first and the most essential part is Remote Desktop Protocol version. It must be 8.1 or higher. The following versions of Microsoft Windows can be used on a server side and as a client as they have RDP 8.1 out of the box:

  • Windows 8.1 and later;
  • Windows Server 2012 R2 and later.

Windows 7, Windows Server 2008, Windows 8, Windows Server 2012 versions don’t support this feature on the server side.

If you want to use these versions as client the first thing you do is install additional updates to update Remote Desktop Protocol version up to 8.1. After that you are able to connect to any Windows version on a remote host that supports the RDS Shadowing feature. For details see https://support.microsoft.com/en-us/help/2830477/update-for-remoteapp-and-desktop-connections-feature-is-available-for.

The next but not less important thing is that a remote host must have RDP services running.

Thirdly, besides software and service requirements, some additional changes must be made to firewall rules. The Remote Desktop Services Shadowing feature doesn’t use 3389/TCP port (RDP), it uses 445/TCP port (SMB), instead, and ephemeral ports, also known as dynamic port range (RPC).

These changes can be done by adding new custom rules or by enabling the following built-in ones:

  • The first rule is called , which allows to connect to port 445/TCP;
  • The second one is . It only allows the binary to handle inbound connections on any local TCP port.

Note: the dynamic port range on Windows usually includes TCP ports from 49152 to 65535. The current value can be determined by issuing the following command:

Commands and described further also require the port 445/TCP to be open, otherwise you get the following error:

Note: in the situation when the shadowing connection seems to be successful, but a window with a shadowed session doesn’t pop up, check the firewall rules (dynamic ports must be open or Shadow rule is enabled).

Обновлено 15.03.2022

shadow rdp

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами разобрали установку Hyper-V в Windows 11. Сегодня я хочу с вами разобрать тему удобной поддержки пользователей встроенными средствами Windows. Речь пойдет, о теневом подключении RDP или Remote Desktop Shadowing. Мы рассмотрим, как она реализована, как предоставляются права и многое другое. Статья получиться большой, но поверьте оно того стоит. Благодаря этому вы сможете сэкономить бюджеты компании, отказавшись от стороннего ПО.

💻 Что такое теневой сеанс Remote Desktop Shadowing?

Все мы прекрасно помним 2020 год, когда массово вводились ограничения и все пользователи переходили на дистанционное положение. Это заставило все компании организовать для сотрудников рабочее окружение, и самое главное это отслеживание и предоставление удаленной помощи, при возникших проблемах. Для удаленной помощи используется много различного программного обеспечения, например teamviewer, VNC, Dameware и многое другое, большая проблема в том, что все они платные для коммерческого использования. Не все компании готовы платить за это деньги, но в Windows есть и встроенная возможность, о которой многие просто не знают.

Режим Shadow (теневой сеанс RDP/RDS) — Это встроенное средство, позволяющее системным администраторам производить подключение в RDP сессию любого пользователя, видя его экран, имея возможность производить любые манипуляции курсором и сеансом, одним словом полное взаимодействие. Remote Desktop Shadowing идет в составе начиная с Windows 8.1, Windows Server 2012 R2 и выше.

Теневое копирование служб удаленных рабочих столов имеет как графический интерфейс, так и утилиту командной строки. Есть две версии функции. Так как устаревшая версия Remote Desktop Services Shadowing несовместима с последней версией утилиты, то я не буду подробно описывать предыдущую версию, а лишь упомяну несколько слов в качестве исторической справки. В более ранних версиях Windows файл shadow.exe позволял пользователю подключаться к удаленному узлу с помощью метода теневого копирования служб удаленных рабочих столов. Короче говоря, это предшественник утилиты mstsc и ее параметра /shadow. Он был представлен в Windows Server 2003 и доступен во многих версиях Windows.

Кроме того, есть два приложения с графическим интерфейсом, и они делают одно и то же: управление службами терминалов (TSAdmin), которое присутствует с Windows Server 2003, и диспетчер служб удаленных рабочих столов (RDSM), который является частью инструментов удаленного администрирования сервера (RSAT) и заменяет TSAdmin в Windows Server 2012.

Ключевое различие между версиями RDS Shadowing заключается в том, что в устаревшей версии вы должны сначала установить соединение RDP, чтобы получить сеанс на удаленном хосте, прежде чем вы сможете затенить чей-либо еще сеанс на этом хосте. В последней версии вы можете затенить сеанс пользователя на удаленном хосте с консоли вашего собственного хоста. В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к RDP сессиям пользователей в Windows Server 2022 и Windows 11.

⚙️ Какие порты использует теневое копирование служб удаленных рабочих столов

Функция теневого копирования служб удаленных рабочих столов не использует порт 3389/TCP (RDP), вместо этого он использует порт 445/TCP (SMB) и эфемерные порты, также известные как динамический диапазон портов (RPC). Так же на удаленном компьютере, куда вы будите производить подключения должны быть добавлены правила:

  • Первое правило называется «File and Printer Sharing (SMB-In)», которое позволяет подключаться к порту 445/TCP;
  • Второй есть «Remote Desktop — Shadow (TCP-In)». Это позволяет %SystemRoot%system32RdpSa.exe двоичному файлу обрабатывать входящие соединения на любом локальном TCP-порту. Динамический диапазон портов в Windows обычно включает TCP-порты с 49152 по 65535.

Какой уровень прав необходим для использования Remote Desktop Services Shadowing

Для того, чтобы вы могли производить теневое подключение к пользователям RDS фермы или отдельным серверам, вам нужны права администратора на конечных серверах, но и это можно обойти, произведя точечное делегирование прав на функцию shadow, не имея при этом административного доступа на конечных серверах. Как это организовать я покажу, немного ниже.

⚒ Настройка групповой политики управления теневыми подключениями к RDS сессиям в Windows

Перед тем, как мы с вами разберем практические методы подключения Remote Desktop Shadow, нам нужно настроить групповую политику, которая будет определять, как оператор, кто будет помогать конечному пользователю, будет с ним взаимодействовать. У системного администратора есть возможность оставить пользователю одобрение подключения или же можно сделать без уведомления, существует пять вариантов политики.

  • No remote control allowed — удаленное управление не разрешено (значение параметра реестра 0) — Идет по умолчанию, если политика не задана
  • Full Control with users’s permission — полный контроль сессии с разрешения пользователя (значение параметра реестра 1 )
  • Full Control without users’s permission — полный контроль без разрешения пользователя (значение параметра реестра 2)
  • View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (значение параметра реестра 3)
  • View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (значение параметра реестра 4).

Данный ключ реестра можно найти в разделе HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services под названием «Shadow«

Найти данную политику можно по пути:

Конфигурация Компьютера — Политики — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Подключения (Policies — Administrative Templates — Windows components — Remote Desktop Services — Remote Session Host — Connections)

Она будет иметь название «Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов (Set rules for remote control of Remote Desktop Services user sessions)«

Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов

Чтобы получить текущее значение ключа Shadow, вам необходимо на конечном компьютере открыть командную строку и ввести:

reg query «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services» /v Shadow

Его также можно установить вручную с помощью командной строки, введя следующую команду:

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services» /v Shadow /t REG_DWORD /d 4

Чтобы удалить тип теневого ключа:

reg delete «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services» /v Shadow /f

🌐 Подключение Remote Desktop Shadow из графического интерфейса

Данный метод является наверное самым удобным, так как позволяет визуально все видеть, контролировать. Все, что вам нужно это собранная оснастка по управлению RDS фермой в диспетчере серверов, как это делать смотрите по ссылке слева. В качестве тестового пользователя я буду использовать Барбоскина Геннадия Викторовичу (Barboskin.g). Для начала давайте его найдем, для этого в оснастке выберите нужную коллекцию, в области «Подключения» произведите поиск вашего пользователя. После его нахождения кликните по нему правым кликом, в контекстном меню вы увидите пункт «Теневая копия (Shadow)«.

Подключение Remote Desktop Shadow из графического интерфейса

У вас появится дополнительное окно с параметрами теневой копии:

  • Удаленный сеанс — Просмотреть/Управление. Тут либо вы просто наблюдатель, все действия делает сам пользователь или же полный контроль.
  • Запрашивать согласие пользователя

Параметры теневого копирования в RDS

У пользователя на удаленном сервере появится окно «Запрос на удаленное наблюдение. Пользователь запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос? (User is requesting to view your session remotely. Do you accept the request?) «, тут он может подтвердить или отказаться.

Хочу напомнить, что вы можете управлять данным окном, будет оно требоваться или нет, через групповые политики.

Запрос на удаленное наблюдение

Если у вас явным образом не задано отсутствие данного окна, то вы получите ошибку, если захотите подключиться без уведомления.

Согласно настройкам групповой политики требуется согласие пользователя. Проверьте настройки групповой политики (The Group Policy setting is configured to require the user’s consent)

The Group Policy setting is configured to require the user’s consent

Если конечный пользователь подтвердил запрос на удаленное наблюдение, то у вас должно открыться новое RDP окно, где будет отображена сессия удаленного пользователя и с ней можно взаимодействовать.

Сеанс теневого копирования

Если пользователь закроет окно RDP подключения, то он перейдет в статус «Отключен (Disconnected)«, то вас выкинет из сессии теневого копирования. Вы увидите:

Сеанс с теневым доступом был отключен

Сеанс с теневым доступом был отключен

Подключиться к сеансу в статусе «Отключен (Disconnected)» не получиться, опция «Теневая копия (Shadow)» просто не будет присутствовать в списке

сеанс в статусе "Отключен (Disconnected)

Чтобы завершить сессию пользователя и выйти из shadow-режима, нужно нажать сочетание клавиш ALT+* на рабочей станции или Ctrl+* на RDS сервере (Так же можно переопределить данные комбинации).

Второй вариант, которым я могу пользоваться при теневом копировании к пользователю RDP, это использование бесплатного ПО по работе с RDS. Оно называется Terminal Services Manager, о нем я вам делал подробный обзор. Найдите в списке пользователей нужного вам, кликните по нему правым кликом и выберите пункт «Shadow«.

Использование Shadow в Terminal Services Manager

У вас так же появится окно, где вы должны запросить доступ с нужным уровнем, а далее все как описано выше.

Использование Shadow в Terminal Services Manager

🔍 Логирование сессий теневого копирования

Если у вас появится желание отслеживать данные, о подключениях с использованием теневого копирования, то вам необходимо на сервере куда производилось затемнение сеанса перейти в журнал:

Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

Вот такая будет последовательность.

  • Событие ID 20508

Событие ID 20508: Предоставлено разрешение на теневой просмотр. Пользователь barboskin.g (идентификатор сеанса: 440) предоставил разрешение пользователю Сёмину Ивану

Событие ID 20508

  • Событие ID 20503

Событие ID 20503: Запущен теневой просмотр сеанса. Просмотр пользователем (Иван Сёмин) на компьютере c-10-.root.pyatilistnik.org сеанса пользователя ROOTbarboskin.g (идентификатор сеанса: 440)

Событие 20503

  • Событие ID 20504

Событие ID 20504 : Остановлен теневой просмотр сеанса. Просмотр пользователем (Семин Иван) на компьютере c-10.root.pyatilistnik.org сеанса пользователя ROOTbarboskin.g (идентификатор сеанса: 440)

Событие ID 20504 

  • Событие ID 20513

Событие ID 20513: Сбой теневого доступа к сеансу. Пользователю (Иван Сёмин) не удалось получить теневой доступ к сеансу пользователя Rootbarboskin.g (идентификатор сеанса: 440) из-за настроек групповой политики.

Событие ID 20513

  • Событие ID 20510

Событие ID 20510: Предоставлено разрешение на теневое управление. Пользователь ROOTbarboskin.g (идентификатор сеанса: 440) предоставил разрешение пользователю (Иван Сёмин)

Событие ID 20510

Как использовать теневое подключение через PowerShell и командную строку

Напоминаю, что в качестве клиентской ОС у меня установлена Windows 11, а подключаться я буду к сессия пользователя работающего за Windows Server 2022. Для того, чтобы мы могли из PowerShell или командной строки использовать теневое копирование, мы должны вызвать утилиту mstsc.

mstsc — это по сити встроенный RDP клиент в операционной системе Windows. Запустите оболочку PowerShell и введите:

В результате вы получите полную справку по данной утилите со всеми ключами. Тут нас будут интересовать из всего перечня 4 ключа:

  • /prompt — По сути это ключ для запуска процедуры от другого пользователя. Например вы локально сидите под обычной учетной записью, а команду хотите запускать из под административной.
  • /shadow:sessionID – подключиться к указанной сессии пользователя по ID;
  • /control – Дает вам возможность полного управления мышкой и клавиатурой при теневой сессии.
  • noConsentPrompt — Разрешает удаленное управления без согласования пользователем
  • /v:servername – можно указать имя удаленного хоста (RDP/RDS терминального сервера). Если имя сервера не указано, выполняется подключение к локальным сеансам на текущем хосте;

Справка mstsc

Перед использованием RDS Shadowing мне нужно выяснить SessionID клиента к которому буду подключаться, как это сделать я уже рассказывал. Я для своего обзора буду использовать камандлет Get-TSSession.

Get-TSSession -ComputerName Имя сервера

Нужный мне SessionID 517.

Получение SessionID в Get-TSSession

Теперь подключаемся к сессии пользователя на удаленном сервере, для этого конструкция будет такой:

mstsc /v:term /shadow:517 /control /prompt

Кстати если будет писать, что не правильное имя компьютера, то уберите в команде номер порта

Если вы запускаете с запросом учетных данных другого пользователя, то появится всплывающее окно с вводом логина и пароля.

теневое копирование в powershell

У удаленного пользователя работающего по RDP появится всплывающее окно, где он должен подтвердить ваш запрос:

Пользователь запрашивает удаленное управление вашим сеансом. Вы принимаете этот запрос?

Запрос на подключение shadow

Удобный Bat файл для использования Remote Desktop Services Shadowing в командной строке

Создайте из текстового файла batник, поменяв расширение. И добавьте вот такое содержимое, теперь при его запуске будет выводиться список сеансов и удобный запрос ID.

@echo off
mode con:cols=100 lines=30
query session
echo
set /p usersession= Enter the session ID:
mstsc /shadow:%usersession% /control /noconsentprompt

Bat файл для использования Remote Desktop Services Shadowing в командной строке

Как дать права на теневые сеансы не администраторам

Как я указывал выше, теневое копирование можно использовать по умолчанию, только администраторам конечного сервера, НО если у вас есть, например техническая поддержка, которая помогает пользователям удаленного рабочего стола устранять через теневые сеансы их проблемы, и вы не хотите их делать администраторами на серверах, то вы можете делегировать им права, только на данный функционал.

И так, режим shadow для непривилегированного пользователя в Windows Server организовывается через PowerShell. Вам необходимо имя группы, для которой будут делегированы права и выполнить команду на конечном сервере. Но для начала давайте посмотрим  у кого уже есть такие права. Для этого в оболочке PowerShell выполните:

Get-WmiObject Win32_TSAccount -Namespace rootCIMV2TerminalServices -Filter «TerminalName=’RDP-Tcp’»

Для cmd:

Обратите тут на поле _GENUS — это как раз разрешение. Данная команда вам будет полезна, когда вы добавите группу и проверите, появилась ли она тут. Цифра 2 в конце определяет тип доступа:

  • 0 = WINSTATION_GUEST_ACCESS
  • 1 = WINSTATION_USER_ACCESS
  • 2 = WINSTATION_ALL_ACCESS

как посмотреть права на теневое подключение

Далее я дам права для группы ROOTRDP-SHADOW-SESSION, чтобы она могла использовать Remote Desktop Services Shadowing.

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=»RDP-Tcp») CALL AddAccount «ROOTRDP-SHADOW-SESSION«,2

добавление прав на теневое подключение

Не забываем, что вам потребуется произвести перезагрузку сервера, чтобы все вступило в силу

Проверим, что они появились

успешное добавление прав на теневое подключение

Чтобы удалить права, выполните:

$Group = @(gwmi Namespace RootCIMv2TerminalServices query «select * from Win32_TSAccount where TerminalName=»RDP-TCP» AND AccountName=»ROOTRDP-SHADOW-SESSION«)

$Group.Delete()

Массовая настройка теневого подключения для не администраторов

Если у вас, как в моей компании RDS ферма состоит из 50 и более RDSH хостов, то чтобы вам не ходить по каждому из них, нужно воспользоваться вот таким моим скриптом PowerShell.

function Date {Get-Date -Format «yyyy.MM.dd HH:mm:ss»}

# Тут подгружаем файл со списком серверов

$comps_file = «$PSScriptRootservers.txt»

foreach ($server in (Get-Content $comps_file))
{
«$(Date) Trying to process server $server»

# wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName =»RDP-Tcp») CALL AddAccount ,2

$status = $null

$rds = Get-WmiObject -Namespace root/cimv2/terminalservices -Class Win32_TSPermissionsSetting -Filter «TerminalName = ‘RDP-Tcp’» -ComputerName $server
$status = $rds.AddAccount(«ROOTRDP-SHADOW-SESSION«,2)

if ($status.ReturnValue -eq 0)
{
«$(Date) All good»
}
else
{
«$(Date) Something went wrong»
}
}

Устранение непредвиденной ошибки

В Windows Server 2012R2-2016 вы можете получить ошибку «Неопознанная ошибка или Произошла внутренняя ошибка» при попытке использования функционала shadow. Тут все дело в том, что у вас не установлены обновления от 2018 года.

Неопознанная ошибка

в логах вы можете обнаружить события STATUS_BAD_IMPERSONATION_LEVEL

  • Windows Server 2016 — KB4057142 (от 17 января 2018)
  • Windows Server 2012 R2 — KB4057401 (от 17 января 2018)

Содержание

  1. Ошибка теневого доступа неопознанная ошибка windows 10
  2. Общие обсуждения
  3. Все ответы
  4. Теневое RDP подключение к рабочему столу пользователя в Windows 10
  5. Ошибка теневого доступа неопознанная ошибка windows 10
  6. Вопрос
  7. RDS Shadow – теневое подключение к RDP сеансам пользователей в Windows Server 2016/2019
  8. Использование Remote Desktop Shadow из графического GUI
  9. Групповые политики управления теневыми подключениями к RDS сессиям в Windows
  10. Теневое подключение RDS Shadow из PowerShell
  11. Как разрешить обычном пользователям использовать теневое подключение?

Ошибка теневого доступа неопознанная ошибка windows 10

Общие обсуждения

  • Изменен тип Petko Krushev Microsoft contingent staff, Moderator 21 августа 2015 г. 12:12

Все ответы

При подключении теневого доступа не зависимо от того, для управления ли или для просмотра происходит страшная весчь — быстро появляется и быстро пропадает (буквально мгновения) какое-то окно сообщения и появляется еще одно сообщение «Ошибка теневого доступа. Неопознанная ошибка». Подключаюсь под учеткой доменного админа на своей машине. Всё и все в домене. Как решить ЭТО? Копание на просторах инета ни к чему не привело.

Если бы знать еще в каком журнале смотреть, или в журнале с которого заходят, или в журнале сервера к которому подключаются

Если бы знать еще в каком журнале смотреть, или в журнале с которого заходят, или в журнале сервера к которому подключаются

По логике же если есть возможность — и там, и там, это же стандарт де-факто!

То, что стандарт это неоспоримо, но в каком журнале вопрос актуален.

Блиина . это только у меня что-ли. Может есть еще какие варианты?

Блиина . это только у меня что-ли. Может есть еще какие варианты?

Тоже самая проблема, ответа не нашел.

Кстати поставил сервер на виртуалку, теневая копия запустилась с пол оборота.

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

  • для Windows Server 2016 — KB4057142 (от 17 января 2018)
  • для Windows Server 2012 R2 — KB 4057401 (от 17 января 2018)

Теневое RDP подключение к рабочему столу пользователя в Windows 10

Помимо использования Remote Assistance, вы можете удаленно подключиться к рабочему столу пользователя Windows 10 с помощью теневого RDP подключения (Remote Desktop Shadowing). Большинство администраторов так или иначе пользовались этим функционалом для подключения к сессиям пользователей на терминальных RDS серверах с Windows Server 2012 R2 / Server 2016. Однако далеко не все знают, что теневое подключение можно использовать для удаленного просмотра и взаимодействия с рабочим столом пользователя и на десктопной Windows 10. Рассмотрим, как это работает.

Как вы помните, если попытаться удаленно подключится к компьютеру с Windows 10 через RDP, то сессия пользователя, работающего локально выбивается (даже если вы включите возможность использования нескольких одновременных RDP сессий в Windows 10). Однако вы можете подключится непосредственно подключиться к консольной сессии пользователя без блокировки его сеанса.

Предположим, вам нужно подключиться с сервера Windows Server 2012 R2 к рабочему столу пользователя, работающего локально за рабочей станцией с Windows 10.

Для теневого подключения к сессии пользователя нужно использовать стандартную RDP утилиту mstsc.exe. Формат команды такой:

Mstsc.exe /shadow: /v:

Также можно использовать одну из опций:

  • /prompt – запросить имя и пароль пользователя, под которым выполняется подключение (если не указано, подключение выполняется под текущим пользователем).
  • /control – режим взаимодействия с сеансом пользователя. Если параметр не задан, вы подключитесь в режиме просмотра (наблюдения) сессии пользователя, т.е. вы не сможете управлять его мышью и вводить данные с клавиатуры;
  • /noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.

Режим теневого подключения (нужно ли запрашивать подтверждение пользователя, и возможно управления в сессии или только наблюдение) настраивается с помощью групповой политики или редактирования реестра.

Политика находится в разделе Конфигурация компьютера ->Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов –> Узел сеансов удаленных рабочих столов –> Подключения (Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections) и называется «Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов» (Set rules for remote control of Remote Desktop Services user sessions).

Вместо включения политики можно выставить значение dword ключа с именем Shadow в ветке реестра HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services. Допустимые значения:

  • – запретить удаленное управление;
  • 1 — полный контроль с разрешения пользователя;
  • 2 — полный контроль без разрешения пользователя;
  • 3 — наблюдение за сеансом с разрешения пользователя;
  • 4 — наблюдение за сеансом без разрешения пользователя.

По умолчанию данный ключ не задан и теневое подключение осуществляется в режиме полного контроля с разрешения пользователя.

Чтобы удаленно подключится к компьютеру через теневое подключение, у подключающейся учетной записи должны быть права администратора на компьютере, а в свойствах системы включен удаленный рабочий стол (RDP).

Запросим удаленно список сессий на рабочей станции Windows 10 командой:

qwinsta /server:192.168.11.60

Как вы видите, на данном компьютере имеется одна консольная сессия пользователя с идентификатором >

Итак, попробуем удаленно подключиться к сессии пользователя через теневое подключение. Выполните команду:

Mstsc /shadow:1 /v:192.168.11.60

На экране пользователя Windows 10 появится запрос:

Если пользователь разрешит соединение, вы подключитесь к его консольному сеансу и увидите его рабочий стол. Вы будете видеть все действия пользователя, но не сможете взаимодействовать с его сессией.

Если проверить сетевые соединения с помощью TCPView, можно увидеть, что взаимодействие идет через RemoteRPC (а не по протоколу RDP с портом TCP 3389). Т.е. для подключения используется случайный TCP порт из высокого диапазона RPC. На стороне подключающегося компьютера соединение устанавливает mstsc.exe, на стороне клиента подключение обрабатывает rdpsa.exe или rdpsaproxy.exe (в зависимости от билда Windows 10). Поэтому на клиенте должен быть включен RemoteRPC:

Функционал теневого подключения Remote Desktop Shadowing работает в Windows 10 / 8.1 и Windows Server 2012 R2 /2016. Чтобы теневое подключение работало на клиентах с Windows 7 SP1 (Windows Server 2008 R2) нужен RDP клиент версии 8.1 – поэтому придется установить обновление KB2830477 (требует наличия установленных KB2574819 и KB2857650).

Таким образом Remote Desktop Shadowing можно использовать как аналог Remote Assistance (Удаленный помощник) или TeamViewer для локальной или корпоративной сети.

Ошибка теневого доступа неопознанная ошибка windows 10

Вопрос

Имеется сервер Windows server 2012 R2 в виртуальной среде Hyper-V. На нём поднят контроллер домена и терминальный сервер. Всё работает прекрасно. Была поставлена задача настроить удаленный помощник для подключения к сессиям пользователей и разбора полётов. Был добавлен компонент «Удаленный помощник», включены след. политики:
Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostConnections
Allow users to connect remotely by using Remote Desktop Services

Set rules for remote control of Remote Desktop Services user sessions

Computer ConfigurationAdministrative TemplatesSystemRemote Assistance

Configure Solicited Remote Assistance
Configure Offer Remote Assistance

В последнюю добавлены администраторы.

Сервер перезагружен и выполнена команда gpupdate /force на всякий случай.

В результате получается подключиться к сессии по файлу приглашения, но через список сессий по пункту «Теневая копия» — ни в какую: выскакивает ошибка теневого доступа «Эта программа заблокирована групповой политикой.»

RDS Shadow – теневое подключение к RDP сеансам пользователей в Windows Server 2016/2019

Теневое shadow подключение к RDP/RDS сеансам позволяет администраторам подключиться к сессии любого пользователя для просмотра рабочего стола пользователя и взаимодействия с ним. Режим Remote Desktop Shadowing (теневого подключения) работает во всех современных версиях Windows, начиная с Windows 2012 R2 и Windows 8.1 (кроме версии Windows Server 2012, в которой стек rdp перенесен из режима ядра в пользовательский режим). В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к RDP сессиям пользователей в Windows Server 2016 и Windows 10

В Windows Server 2016/Windows 10 в стандартном RDP клиенте (mstsc.exe) есть несколько специальных параметров, которые можно использовать для удаленного теневого (RDS Shadow) подключения к RDP сессии любого пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [/prompt]]

  • /shadow:sessionID – подключиться к RDP сессии пользователя по ID;
  • /v:servername – можно указать имя удаленного хоста (RDP/RDS терминального сервера). Если имя сервера не указано, выполняется подключение к локальным сеансам на текущем хосте;
  • /control – включает возможность взаимодействия с сеансом (рабочим столом) пользователя. Администратор может управлять мышкой пользователя, вводить данные с клавиатуры. Если эта опция не указана, используется режим просмотра сессии пользователя;
  • /noConsentPrompt – опция позволяет администратору принудительно подключиться к любой сессии, не запрашивая у пользователя подтверждение на подключение;
  • /prompt – позволяет использовать для подключения другую учетную запись, отличную от текущей. Запрашивается имя и пароль пользователя для подключения к сеансу.

Теневые сеансы можно использовать для подключения к сессиям пользователей на компьютерах и серверах как в домене Active Directory, так и в рабочей группе. Кроме того, не обязательно обладать правами администратора на RDS хосте, на котором работает пользователь. Администраторы могут делегировать полномочия RDS Shadowing любым, даже не-административных учетным записям (об этом ниже).

Использование Remote Desktop Shadow из графического GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или графической консоли Server Manager. Для этого в консоли Server Manager на RDS сервере перейдите в раздел Remote Desktop Services -> выберите свою коллекцию, например QuickSessionCollection.

В списке справа будет перечислен список пользователей у которых имеются сессии на данном RDS сервере. Щелкните правой кнопкой по сессии нужно пользователя, выберите в контекстном меню Shadow (Теневая копия).

Появится окно c параметрами теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:

Если пользователь подтвердит подключение, то администратор увидит его рабочий стол в режиме просмотра, но не сможет взаимодействовать с ним.

Если пользователь отклонил административное Shadow RDS подключение, появится окно:

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что это запрещено групповой политикой:

Если вам нужно вести аудит RDS Shadow подключений к пользователям, используйте в качестве фильтра следующие события из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:

  • Event ID 20508: Shadow View Permission Granted
  • Event ID 20503: Shadow View Session Started
  • Event ID 20504: Shadow View Session Stopped

Групповые политики управления теневыми подключениями к RDS сессиям в Windows

Параметры удаленного управлениями RDS сессиями пользователя настраиваются отдельным параметром групповых политик — Set rules for remote control of Remote Desktop Services user sessions (Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов). Данная настройка находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections (Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Подключения) в пользовательской и компьютерной секциях GPO. Данной политике соответствует DWORD параметр реестра Shadow в ветке HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services (значения этого параметра, соответствующие параметрам политики указаны в скобках).

Этой политикой можно настроить следующие варианты теневого подключения RD Shadow:

  • Noremotecontrolallowed — удаленное управление не разрешено (значение параметра реестра Shadow = 0 );
  • FullControlwithusers’spermission — полный контроль сессии с разрешения пользователя ( 1 );
  • FullControlwithoutusers’spermission — полный контроль без разрешения пользователя ( 2 );
  • ViewSessionwithusers’spermission – наблюдение за сеансом с разрешением пользователя ( 3 );
  • ViewSessionwithoutusers’spermission – наблюдение за сеансом без разрешения пользователя ( 4 ).

Вы можете настроить правила удаленного подключения в домене из консоли gpmc.msc с помощью рассмотренного параметра политики, либо групповой политикой, вносящей изменения напрямую в реестр системы (последний вариант позволяет более тонко нацелить политику на компьютеры с помощью Group Policy Item Level Targeting).

Теневое подключение RDS Shadow из PowerShell

Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.

В первую очередь нужно получить список пользовательских сессий на терминальном RDS сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):
Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate

На данном сервере мы обнаружили три активных RDP сессии пользователей. Чтобы подключиться к сессии пользователя с ID сессии 3, выполните команду:
Mstsc /shadow:3 /control /noConsentPrompt

Также для получения списка всех RDP сессии на сервере (или десктопной редакции Windows 10 к которой разрешены множественные RDP подключения) можно использовать команду:

На экране отобразится список RDP сессий, их ID и статус: активная сессия (Active) или отключенная (Disconnected).

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Чтобы подключиться к сессии пользователя на удаленном сервере, используйте команду:

Mstsc /v:rdsh2:3389 /shadow:3 /control

Для более удобного теневого подключения к RDP сессиям пользователей можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех пользователей с активными RDP сеансами. Вам нужно будет указать ID сеанса, к которому нужно подключится через Shadow сессию:

shadow.bat

@echo off
set /P rcomp=»Enter name or IP of a Remote PC: «
query session /server:%rcomp%
set /P rid=»Enter RDP user ID: «
start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%System32. В результате для теневого подключения к пользователю достаточно выполнить команду shadow.

@echo off
set /P rcomp=»Enter name or IP of a Remote PC: «
for /f «tokens=3 delims= » %%G in (‘query session console /server:%rcomp%’) do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control

Также для теневого подключения можно использовать следующий PowerShell скрипт с простым графическим интерфейсом (rdp_shadow_connection.ps1):

Add-Type -assembly System.Windows.Forms
$Header = «SESSIONNAME», «USERNAME», «ID», «STATUS»
$dlgForm = New-Object System.Windows.Forms.Form
$dlgForm.Text =’Session Connect’
$dlgForm.Width = 400
$dlgForm.AutoSize = $true
$dlgBttn = New-Object System.Windows.Forms.Button
$dlgBttn.Text = ‘Control’
$dlgBttn.Location = New-Object System.Drawing.Point(15,10)
$dlgForm.Controls.Add($dlgBttn)
$dlgList = New-Object System.Windows.Forms.ListView
$dlgList.Location = New-Object System.Drawing.Point(0,50)
$dlgList.Width = $dlgForm.ClientRectangle.Width
$dlgList.Height = $dlgForm.ClientRectangle.Height
$dlgList.Anchor = «Top, Left, Right, Bottom»
$dlgList.MultiSelect = $False
$dlgList.View = ‘Details’
$dlgList.FullRowSelect = 1;
$dlgList.GridLines = 1
$dlgList.Scrollable = 1
$dlgForm.Controls.add($dlgList)
# Add columns to the ListView
foreach ($column in $Header)<
$dlgList.Columns.Add($column) | Out-Null
>
$(qwinsta.exe | findstr «Active») -replace «^[s>]» , «» -replace «s+» , «,» | ConvertFrom-Csv -Header $Header | ForEach-Object <
$dlgListItem = New-Object System.Windows.Forms.ListViewItem($_.SESSIONNAME)
$dlgListItem.Subitems.Add($_.USERNAME) | Out-Null
$dlgListItem.Subitems.Add($_.ID) | Out-Null
$dlgListItem.Subitems.Add($_.STATUS) | Out-Null
$dlgList.Items.Add($dlgListItem) | Out-Null
>
$dlgBttn.Add_Click(
<
$SelectedItem = $dlgList.SelectedItems[0]
if ($SelectedItem -eq $null)<
[System.Windows.Forms.MessageBox]::Show(«Выберите сессию для подключения»)
>else<
$session_id = $SelectedItem.subitems[2].text
$(mstsc /shadow:$session_id /control)
#[System.Windows.Forms.MessageBox]::Show($session_id)
>
>
)
$dlgForm.ShowDialog()

Данный скрипт отобразить графическую форму со списком активных RDP сеансов на локальном сервере. Вам останется только выбрать учетную запись пользователя и нажать Connect.

Вы можете использовать теневое подключение к пользователю не только в Windows Server с ролью Remote Desktop Services, но и для подключения к рабочим столам пользователей на компьютерах с Windows 10 .

Как разрешить обычном пользователям использовать теневое подключение?

В рассмотренных выше примерах для использования теневого подключения к RDP сессиям пользователей необходимы права локального администратора на RDS сервере. Однако вы можете разрешить использовать теневое (shadow) подключение и для непривилегированных пользователей (не предоставляя им прав локального администратора на компьютере/сервере).

К примеру, вы хотите разрешить членам доменной группы AllowRDSShadow использовать теневое подключение к RDP сессиям. Выполните команду в cmd.exe с правами администратора:

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2

Для решения проблемы нужно установить отдельные обновления:

  • для Windows Server 2016 — KB4057142 (от 17 января 2018)
  • для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)

Содержание

  1. Ошибка теневого доступа неправильное имя компьютера
  2. Общие обсуждения
  3. Ошибка теневого доступа неправильное имя компьютера
  4. Вопрос
  5. Утилита для человеческого shadow подключения неадмина к RDP сессиям пользователей в WinServer 2012R2
  6. RDS Shadow – теневое подключение к RDP сеансам пользователей в Windows Server 2016/2019
  7. Использование Remote Desktop Shadow из графического GUI
  8. Групповые политики управления теневыми подключениями к RDS сессиям в Windows
  9. Теневое подключение RDS Shadow из PowerShell
  10. Как разрешить обычном пользователям использовать теневое подключение?

Ошибка теневого доступа неправильное имя компьютера

trans

Общие обсуждения

trans

trans

Задача: Я как администратор сети хочу подключаться к сеансу пользователя со своего ПК. Т.е. со своего ПК с Win10 на ПК юзера с Win10 к его же сеансу.

Все ПК в домене. На всех ПК домена установлена Win10 64

Создаю групповую политику и связываю ее с OU, где находятся ПК домена

Конфигурация компьютераПолитикиАдминистративные шаблоныСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПодключенияРазрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов — включить

Конфигурация компьютераПолитикиАдминистративные шаблоныСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПодключенияУстановить правила удаленного управления для пользовательских сеансов удаленных рабочих столов — выбрать нужны вариант

Делаю на ПК gpupdate /force

Далее gpresult /scope:computer /R и в списке политик вижу мою политику с теневым подключением.

Далее в повершелле определяю id сеанса qwinsta /server:11.11.11.11 и пытаюсь подключиться

Mstsc /shadow:1 /v:11.1.11.11 /control /noConsentPrompt

В ответ получаю окно: Ошибка теневого доступа. Неопознанная ошибка

Иду в раздел gpedit.msc а там параметры в разделе Конфигурация компьютераПолитикиАдминистративные шаблоныСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПодключения все со статусом «Не задано». Получается политика ничего не изменила на ПК?

Нагуглил статью, что январское обновление ломало теневое подключение, но исправляющее эту проблему обновление kb4057401 идет только на WinServer2012r2, а для Win10 его нет.

Можете подсказать как правильно настроить теневое подключение?

Источник

Ошибка теневого доступа неправильное имя компьютера

trans

Вопрос

trans

trans

не удаётся подключиться к сессии пользователя на терминальном сервере (при подключении выходит окно с заголовком «ошибка теневого доступа» и сообщением «неопознанная ошибка»), моя учетная запись является членом группы администраторы домена. сегодня было обновление KB4056895 (но так как это обновление выпущено только в январе 2018 а ошибка на просторах technet’a уже давно, думаю дело не в обновлении). в журнале безопасности регистрируются ошибки:

1) Новому сеансу входа назначены специальные привилегии.

Субъект:
ИД безопасности: ALA30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D4DA

Привилегии: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege

2) Вход с учетной записью выполнен успешно.

Уровень олицетворения: Олицетворение

Новый вход:
ИД безопасности: ALA30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D4DA
GUID входа:

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поле «Уровень олицетворения» задает допустимую степень олицетворения для процессов в данном сеансе входа в систему.

3) Запрошен дескриптор объекта.

Субъект:
ИД безопасности: ALA30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
ИД входа: 0x4A1D4DA

Объект:
Сервер объекта: WS-Management Listener
Тип объекта: Unknown
Имя объекта: Unknown
Код дескриптора: 0x0

Сведения о процессе:
ИД процесса: 0x518
Имя процесса: C:WindowsSystem32svchost.exe

4) Выполнен выход учетной записи из системы.

Субъект:
ИД безопасности: ALA30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D4DA

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.

5) Выполнен выход учетной записи из системы.

Субъект:
ИД безопасности: ALA30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D286

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.

6) Новому сеансу входа назначены специальные привилегии.

Субъект:
ИД безопасности: ALA30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D567

Привилегии: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege

7) Платформа фильтрации Windows разрешила подключение.

Сведения о приложении:
Идентификатор процесса: 5540
Имя приложения: deviceharddiskvolume2windowssystem32svchost.exe

Сведения о сети:
Направление: Входящие
Адрес источника: 10.1.0.41
Порт источника: 3389
Адрес назначения: 10.1.2.71
Порт назначения: 52982
Протокол: 6

Сведения о фильтре:
Код выполнения фильтра: 67051
Имя уровня: Получить/Принять
Код выполнения уровня: 44

8) Выполнен выход учетной записи из системы.

Субъект:
ИД безопасности: ALA30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D567

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.

9) Логи по пути: Просмотр событий-журналы приложений и служб-Microsoft-Windows-RemoteDesktopServices-RdpCoreTS

Функция обнаружения характеристик сети отключена. Причина: Reason Code: 2(Server Configuration).. код 101,Модуль RemoteFX,

Функция обнаружения характеристик сети отключена. Причина: Reason Code: 1(Client not supported)..код 101,Модуль RemoteFX,

Источник

Утилита для человеческого shadow подключения неадмина к RDP сессиям пользователей в WinServer 2012R2

Проблема в период карантинной работы предприятия стала следующей: действительно нужно минимизировать количество посещений кабинетов специалистами, обслуживающими и консультирующими по прикладному ПО, да и сказать откровенно, пользователи частенько злоупотребляют помощью специалистов не желая вникать в сам вопрос, мол «придут — помогут — сделают, а я пока покурю/попью кофе и т.п.». Консультация по телефону при совместном доступе к серверу эффективнее, если просматривать удаленный экран.

image loader

Уже после «изобретения» нашего велосипеда подвернулась вменяемая информация на тему статьи: RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2012 R2 или Режим shadow непривилегированного пользователя в windows server или Делегируем управление RDP-сеансами. Все они подразумевают применение консоли, даже с элементами простого диалога.

Вся изложенная ниже информация предназначена для тех, кто нормально переносит ненормальные извращения для получения нужного результата, изобретая ненужные способы.
Чтобы «не тянуть кота за хвост», начну с последнего: велосипед работает у обычного пользователя с помощью утилиты AdmiLink, за что ее автору и спасибо.

I. Консоль и shadow RDP.

1. Узнаем RDP id сессии:

Причем «| findstr Administrator» было удобно только когда ты знаешь, что именно Administrator тебе нужен, либо использовать только первую часть для лицезрения всех залогинившихся на сервере.

image loader

2. Подключаемся к этой сессии, при условии что в доменных групповых политиках параметр «Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов» выбран параметр как минимум «Наблюдение за сеансом с разрешения пользователя» (подробнее):

Прошу обратить внимание что в списке будут только логины пользователей.

Повторюсь что без админских прав вы получите следующее:

image loader

Но для предварительной отладки программы, о которой пойдет речь, я использовал учетку с правами администратора.

Итак постановка задачи: создание некого простого графического интерфейса для подключения к теневому сенсу пользователя с его разрешения, отправка сообщения пользователю. Среда программирования выбрана Lazarus.

1. Получаем полный доменный список пользователей «логин» — «полное имя» у админа, либо опять таки через консоль:

никто не запрещает даже так:

Скажу сразу, что именно у Lazarus оказалось проблема с обработкой этого файла, так как по умолчанию его кодировка UCS-2, поэтому пришлось просто преобразовать вручную в обычный UTF-8. В структуре файла много табуляций, вернее множество пробелов, которые было решено все-таки программно обработать, рано или поздно задачка с кодировкой будет решена, и файл будет программно обновляться.

Итак, в задумке папка, доступная для пользователей программы, например c:test, в которой будет 2 файла: первый с login и fullname, второй с id_rdp и login пользователей. Далее эти данные обрабатываем как можем:).

А пока для ассоциирования со списком сессий переносим это (login и fullname) содержимое в массив:

Прошу извинения за «много кода», следующие пункты будут лаконичнее.

2. Аналогично методом из предыдущего пункта считываем результат обработки списка в элемент StringGrid, при этом приведу «значимый» кусок кода:

2.1 Получаем актуальный список RDP сессий в файл:

2.2 Обрабатываем файл (указан только значимые строки кода):

3. Непосредственно само подключение при клике на строку с пользователем и номером его сеанса:

4. Сделано еще пару украшательств типа сортировки по клику на radiobutton, и сообщения пользователю, либо всем пользователям.

image loader

→ Полный исходный код можно увидеть здесь

III. Применение AdminLink — что я увидел:

Источник

RDS Shadow – теневое подключение к RDP сеансам пользователей в Windows Server 2016/2019

Теневое shadow подключение к RDP/RDS сеансам позволяет администраторам подключиться к сессии любого пользователя для просмотра рабочего стола пользователя и взаимодействия с ним. Режим Remote Desktop Shadowing (теневого подключения) работает во всех современных версиях Windows, начиная с Windows 2012 R2 и Windows 8.1 (кроме версии Windows Server 2012, в которой стек rdp перенесен из режима ядра в пользовательский режим). В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к RDP сессиям пользователей в Windows Server 2016 и Windows 10

В Windows Server 2016/Windows 10 в стандартном RDP клиенте (mstsc.exe) есть несколько специальных параметров, которые можно использовать для удаленного теневого (RDS Shadow) подключения к RDP сессии любого пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [/prompt]]

mstsc parametry tenevogo shadow podklucheniya k sessii polzovatelya

Теневые сеансы можно использовать для подключения к сессиям пользователей на компьютерах и серверах как в домене Active Directory, так и в рабочей группе. Кроме того, не обязательно обладать правами администратора на RDS хосте, на котором работает пользователь. Администраторы могут делегировать полномочия RDS Shadowing любым, даже не-административных учетным записям (об этом ниже).

Использование Remote Desktop Shadow из графического GUI

В списке справа будет перечислен список пользователей у которых имеются сессии на данном RDS сервере. Щелкните правой кнопкой по сессии нужно пользователя, выберите в контекстном меню Shadow (Теневая копия).shadow session

oshibka shadow podklucheniya The specified session is not connected

Появится окно c параметрами теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).parametry shadow podklucheniya k polzovately

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:

uvedomlenie administrator hochet podkluchitsya k vashey sesii

zapros na udalennoe tenevoe nabludenie

Если пользователь подтвердит подключение, то администратор увидит его рабочий стол в режиме просмотра, но не сможет взаимодействовать с ним.

prosmotr sessii polovaatelya cherez shadow podkluchenie

Если пользователь отклонил административное Shadow RDS подключение, появится окно:

oshibka rds shadow user has refused the request

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что это запрещено групповой политикой:

mstsc shadow Group Policy setting configured to require user consent

Если вам нужно вести аудит RDS Shadow подключений к пользователям, используйте в качестве фильтра следующие события из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:

poluchit logi rds shadow podklucheniy Microsoft Windows TerminalServices RemoteConnectionManager

Групповые политики управления теневыми подключениями к RDS сессиям в Windows

Этой политикой можно настроить следующие варианты теневого подключения RD Shadow:

politika udalennogo tenevogo upravleniya

Вы можете настроить правила удаленного подключения в домене из консоли gpmc.msc с помощью рассмотренного параметра политики, либо групповой политикой, вносящей изменения напрямую в реестр системы (последний вариант позволяет более тонко нацелить политику на компьютеры с помощью Group Policy Item Level Targeting).

Теневое подключение RDS Shadow из PowerShell

Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.

На данном сервере мы обнаружили три активных RDP сессии пользователей. Чтобы подключиться к сессии пользователя с ID сессии 3, выполните команду:
Mstsc /shadow:3 /control /noConsentPrompt

mstsc shadow control noConsentPrompt podkluchenie cmd

Также для получения списка всех RDP сессии на сервере (или десктопной редакции Windows 10 к которой разрешены множественные RDP подключения) можно использовать команду:

На экране отобразится список RDP сессий, их ID и статус: активная сессия (Active) или отключенная (Disconnected).

qwinsta

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Чтобы подключиться к сессии пользователя на удаленном сервере, используйте команду:

Mstsc /v:rdsh2:3389 /shadow:3 /control

Для более удобного теневого подключения к RDP сессиям пользователей можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех пользователей с активными RDP сеансами. Вам нужно будет указать ID сеанса, к которому нужно подключится через Shadow сессию:

shadow.bat

@echo off
set /P rcomp=»Enter name or IP of a Remote PC: «
query session /server:%rcomp%
set /P rid=»Enter RDP user ID: «
start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%System32. В результате для теневого подключения к пользователю достаточно выполнить команду shadow.

@echo off
set /P rcomp=»Enter name or IP of a Remote PC: «
for /f «tokens=3 delims= » %%G in (‘query session console /server:%rcomp%’) do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control

Также для теневого подключения можно использовать следующий PowerShell скрипт с простым графическим интерфейсом (rdp_shadow_connection.ps1):

Данный скрипт отобразить графическую форму со списком активных RDP сеансов на локальном сервере. Вам останется только выбрать учетную запись пользователя и нажать Connect.

powershell gui script podlucheniya k sessii polzovatelya

Как разрешить обычном пользователям использовать теневое подключение?

В рассмотренных выше примерах для использования теневого подключения к RDP сессиям пользователей необходимы права локального администратора на RDS сервере. Однако вы можете разрешить использовать теневое (shadow) подключение и для непривилегированных пользователей (не предоставляя им прав локального администратора на компьютере/сервере).

К примеру, вы хотите разрешить членам доменной группы AllowRDSShadow использовать теневое подключение к RDP сессиям. Выполните команду в cmd.exe с правами администратора:

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2

Для решения проблемы нужно установить отдельные обновления:

page

page

page

mystery56

круто, но ты не написал самого главного — как активировать эту функцию =)
У меня её как не было, так и нет.

Хм, этот функционал идет прямо-из-коробки. Насколько я помню ничего включать не нужно. В статье речь идет о версии Windows 2012 R2, возможно ты проверял на простой Windows Server 2012.
Проверь, что в хелпе команды mstsc.exe /? имеется опция /shadow

mystery56

да, ты прав. Прошу за невнимательность

mystery56

Приветствую, протестировал, все прекрасно работает.Спасибо за знакомство.

mystery56

нет такой функции. сервер 2012 r2
установлены роли — лицензирование удаленных рабочих столов
посредник подключений
узел сеансов удаленных рабочих столов

mystery56

У меня тоже нет, но у меня не домен, а рабочая группа, а в ней как написано работать не будет.

mystery56

Спасибо. Получилось. Работает. Но в отличие от 2008R2 не удается сделать сеанс на весь экран. Если у меня с пользователем одинаковые разрешения экрана, то теневой сеанс получается немного ужатым.

Есть такая проблема, но как правило, особых неудобств не вызывает

А если я удалил QuickSessionCollection, как мне можно подключаться к пользовательским сессиям из GUI?

mystery56

Добрый день. Интересует если возможность также подключатся к пользователю(Shadow), только не на терминальном сервере, а на сервере Windows 2012 R2 Hyper-V. И рабочая станция Windows 7

mystery56

на сервере Windows 2012 R2 Hyper-V

Hyper-V это роль сервера для организации хоста с вируталками. Зачем туда постоянно подключаться?
Если же надо подключиться к одной из виртуалок, развернутых на Hyper-V, в режиме наблюдения за сеансом пользователя то вариант удаленный помощник.

mystery56

Если же надо подключиться к одной из виртуалок, развернутых на Hyper-V, в режиме наблюдения за сеансом пользователя то вариант удаленный помощник.
Удаленный помощник менее удобен. У гостевой ОС Windows 8.1 есть такая возможность http://social.technet.microsoft.com/wiki/contents/articles/19804.remote-desktop-services-session-shadowing.aspx, ищу решение как прикрутить в Windows 7

mystery56

«Remote Server Administration Tools (RSAT) позволяет администраторам управлять ролями и функциями на Windows Server 2008 R2 и Microsoft Server 2012 (Core & Full installation) с компьютера на базе Windows 7 и Windows 8 соответственно. RSAT для Windows 7 может работать только на версиях Enterprise, Professional или Ultimate и позволяет управлять Microsoft Hyper-V Server 2012, однако её функционал будет ограничен, в первую очередь будут недоступны новые настройки сети.»
Еще вариант 5nine Manager 4.0 for Hyper-V.
Так что попробовать поставить а там как получится.
Но все таки решение либо с удаленным помощником, либо с тем же VNC удобнее и проще.

mystery56

Спасибо за отзыв
Сделал по Вашому совету — удаленный помощник.

mystery56

Проверил у двух клиентов только что…
Итак — все настройки давно сделаны, но ранее точно помню работало так как надо:
На сервере — члене домена AD (но не скажу точно 2008/2008R2/2012) с ролью RDSH c с настройками как в вашей статье

На сервере RDSH я мог msra /offerRA БЕЗ СОГЛАСИЯ пользователей подключатся к их сеансу. А на клиентах — Win7 — согласие требовало. Но как бы этично — на сервере у них RemoteApp (1C) и там нет личной жизни.

mystery56

Так — все на так темно, есть светлый лучик
mstsc /shadow:3 /control /noConsentPrompt — и моментально, за 1 секунду видим и управляем пользовательской сессией — да, жаль что в маленьком окошке

mystery56

В политиках стоит «Full Control without users’s permission» — полный контроль без разрешения пользователя.
Получаем список id сессий командой «qwinsta».
При попытке запустить «mstsc /shadow:3 /control /noConsentPrompt» получаю ошибку: Ошибка теневого доступа Отказано в доступе.
Выполнение команды «mstsc /shadow:3» приводт к такой же ошибке.
Подскажите в какую строну копать?
MSRA работает, но при условии что запрос на помощь примут!

mystery56

мне хватило добавить /noConsentPrompt и заработало

mystery56

Проверь. Должно быть так:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
«fInheritShadow»=dword:00000000
«Shadow»=dword:00000002

mystery56

А как вы из ГУИ запускаете теневое подключение?
Возможно ли такое подключение если у меня есть набор рдп файлов настроенных
Как это осуществить

mystery56

mstsc /shadow:3 /control /noConsentPrompt — работает так как надо! Итого — осталось с MSRA разобраться, или понять, или простить…

mystery56

Для удобства/быстроты подключения сделал простой ps-скриптик на раб.столе:

PS
Команда quser выполняется моментально в отличие от долгодумающей Get-RDUserSession

mystery56

При подключении и отключении от сеанса юзера, экран так же мигает как в 2008r2?

mystery56

При попытке подключится в сессию пользователя через GUI — выдаёт: Неопознанная ошибка.

Подключаетесь с самого сервера? Права администратора имеются?

mystery56

Подключаюсь с самого сервера от имени доменного админа. У меня несколько терминальных серверов в разных частях страны. Работает на всех, кроме одного. Такая же ошибка даже если запускать через консоль.

Я бы проверил все касающиеся политики и разрешения в свойствах RDP-Tcp подключения (с помощью консоли tsconfig.msc — https://winitpro.ru/index.php/2016/03/02/zapusk-osnastok-tsadmin-msc-i-tsconfig-msc-v-windows-server-2012-r2/).
Возможно стоит попробовать переставить роль RDS

Чтобы разрешить пользователям (членам определенной группы, например,corpRDSSupport) без прав администратора подключаться к сессии других пользователей через shadow нужно выполнить такую команду:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=»RDP-Tcp») CALL AddAccount «corpRDSSupport»,2

mystery56

Отсутствует пункт Shadow — таким образом подключившись, работающего пользователя выкидывает из сеанса. Совсем не айс.
А также нет выбора как подключаемся — для просмотра или управления. Только управление.
Сервер р2

1. В каком состоянии в результирующей политике правило Set rules for remote control of Remote Desktop Services user sessions.
2. У подключаещегося пользователя есть права администратора?
3. Подключаетесь из GUI или консолью mstsc с параметрами?

mystery56

С гипера под управлением 2012R2 подключаюсь к виртуалке под Win7Pro такой командой(на виртуалке активен консольный сеанс):
mstsc /shadow:1 /v 192.168.222.50 /control /noConsentPrompt /prompt
Получаю сообщение:
«В версии Windows, установленной на этом сервере, не поддерживается теневой доступ пользователей».
Речь о самом гипере, т.е. ему не хватает установленных сервисов рабочих столов? Или чего-то не хватает виртуалке?

mystery56

Это означает, что в версии Win7 не поддерживается теневой доступ.

mystery56

И чего ей не хватает? Т.е. для Вин7 этот способ в принципе неработоспособен?

Да в win 7 теневое подключение работать не будет. Используйте Remote Assistance (https://winitpro.ru/index.php/2011/04/14/remote-assistance-v-windows-7/)

mystery56

Столкнулся с проблемой: после отключения теневого подключения к пользователю, у пользователя исчезает языковая панель и не работает переключение раскладки клавиатуры.
Что можно сделать?

Если не поможет, попробуйте в ветке HKLMSystemCurrentControlSetControlKeyboard Layout создать DWORD параметр IgnoreRemoteKeyboardLayout со значением 1.

mystery56

У знакомого возникла такая же проблема. Нашёл что лечится удалением/добавлением языка и не нужно сессию завершать. И на форуме MS поднимается эта тема, но решения там нет. По идее должен быть какой-нибудь хотфикс. Лично у меня нет времени разбираться и искать что там залипает/повреждается. Сделал ему маленький скрипт — клац по ярлыку и языки переключаются. Если кто-то может написать официальный запрос в MS — создать трабл-тикет… Это проблема MS.

mystery56

Тоже проблема с теневым подключение Server 2012 R2 после НГ не можем подключиться к людям, пишет не известная ошибка, все что есть в на всех сайтах все перепробовал, уже не знаю куда копать, может кто разобрался в чем проблема подскажет что нибудь.

Слишком мало информации, чтобы вам что-то подсказать.
Все-таки укажите дословно какая ошибка возникает (код). Есть ли какие-то ошибки/предупреждения в системных журналах, достаточно ли прав у подключающегося пользователя, ставились ли за это время какие-то обновления?

mystery56

Кому интересно, обновление безопасности KB4056898, оно влияет за теневое подключение.Может и еще одно но это надо тестить если что опишусь

mystery56

Тоже после последних обновлений на Server 2012 R2 перестал работать теневой доступ. пишет «Неопознанная ошибка». До обновлений все работало. В логах пусто.

Действительно, есть такая проблема: теневое подключение (RDS shadowing) в Windows Server 2012 R2 ломается после установки обновления KB4056898 ( патч Windows против Meltdown и Spectre ).
После установки обновления при попытке подключится к чужой сесии появляется ошибка «Unspecified error» (в логах ошибка STATUS_BAD_IMPERSONATION_LEVEL).
Аналогичная проблема на RDS Windows Server 2016
Для решения проблемы нужно установить фиксы:

для Windows Server 2016 — KB4057142 (от 17 января 2018)
для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)

mystery56

Подскажите, не подключается к клиентам windows10 1709×64. к 32-м битным все норм. обновления установлены накопительные от июня 2018. куда еще копать? встречал информацию, что после того как янарские обновления сломали RDS shadow, помогает только переустановка windows. это правда?

Проверял у себя — нормально подключается c Win Server 2012R2 на Win10x64 1709 и 1803 и между собой.
Последние кумулятивные обновления установлены? Проверяйте права, доступность портов на сетевом уровне, пробуйте отключить антвирус и файервол.

mystery56

То же самое Windows 10 pro после обновления то же самое.
Теневое подключение неопознанная ошибка.
Откатить не могу новая система прилитело с месячным обновлением
Есть патч этой проблемы на 10?

mystery56

Хоть и написано что в рабочей группе работать не будет.
У меня на одном из серверов рабтотает под один пользователем, но не работает под другим, хоть пользователи находятся в идентичных группах…
В чем может быть проблема?

mystery56

Все выяснил…
нужно повершел с правами админа запускать.

mystery56

как с одного диспетчера серверов настроить подключение к сеансам пользователей нескольких серверов RDS 2012R2 (брокера нет, просто отдельные сервера)

Не пробовал сам, но в теории у утилиты Mstsc есть параметр /v, позволяющий указать сервер, к которому нужно подключится.
Итоговая команда для теневого подключения можут выглядеть так:
Mstsc /v:msk-rdsh2:3389 /shadow:3 /control

mystery56

Ругается на:
WHERE (TerminalName=”RDP-Tcp”)
хотя
C:>wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting get TerminalName
выдаёт:

mystery56

wmic /NameSpace:\rootcimv2TerminalServices PATH WIN32_TSPermissionsSetting.TerminalName=»RDP-TCP» call AddAccount «Domainuser»,X

Старая проблема — движок сайта коверкает кавычки. Заменил их на одинарные. Попробуйте так.

mystery56

Та же проблема, ни с одинарными, ни с двойными не отрабатывает.

mystery56

Для справки: Х в конце что значит? И чему может быть равен?
Я поставил 2 — работает

mystery56

Добрый день! а можете дать информацию про эти скрипты в батнике, я новичок в этом… Правила написания и т. д.

Доброго времени!
Не пойму, в чем сложность…. Просто создаете на компьютере новый файл с расширением bat, открываете его в текстом редакторе и вставляете код скрипта. Сохраните bat файл и запустите его под админом. В консольном окне нужно будет ввести имя сервера и указать ID сесии пользователя, к которому нужно подключиться.
В общем запустите файл, и там разберетесь, ничего сложного.

mystery56

Пропадает что, поясните?
В журнале System есть событие при подключении:
EventID 26: Application popup: Remote Control Request : CORPusername is requesting to control your session remotely. Do you accept the request?
События отключения не нашел….

mystery56

Как сделать так что бы можно было дать техподдержке возможность подключаться к определенным сеансам без подтверждения?

К группе пользователей привязать политику Set rules for remote control of Remote Desktop Services user sessions = «Full Control without users’s permission » или в реестр пользователей прописать ключ HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal ServicesShadow =2.
Ну и подключаться с ключом /noConsentPrompt
Сенансы на RDS сервере?

mystery56

К группе пользователей я так понимаю тех к кому подключаются. Да на RDS

Да, эта настройка для тех, к кому подключаются теневым сеансом.

mystery56

Добрый день! Всё прекрасно работает! Но хочется ещё и чтобы звук можно было слышать. Пожалуйста, подскажите какие команды надо написать чтобы слышать звук от динамиков пользователя к которому подсоединился по Вашей методике.

mystery56

При выполненни команды
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2

вылетает ошибка Description = Generic failure
В чем может быть лажа

Проверьте, что группа corpAllowRDSShadow существует в домене. Если группа не существует, у меня тоже появляется ошибка
Executing (\TS-SRVrootCIMV2TerminalServices:Win32_TSPermissionsSettin
g.TerminalName=»RDP-Tcp»)->AddAccount()
ERROR:
Description = Generic failure

mystery56

А если ошибка «Win32_TSPermissionsSetting — псевдоним не найден.»?

Похоже поврежден WMI класс или служба. Проверьте целостность ОС. Какая платформа?

mystery56

mystery56

Теперь выдает следущее: PS C:Usersololo> wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=
‘RDP-Tcp’) CALL AddAccount ‘loloAllow_RDS_Shadow’,2
TerminalName=RDP-Tcp : Имя «TerminalName=RDP-Tcp» не распознано как имя командлета, функции, файла сценария или выполня
емой программы. Проверьте правильность написания имени, а также наличие и правильность пути, после чего повторите попыт
ку.
строка:1 знак:86
+ … Setting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘loloAllow_RDS_Shadow’,2
+

+ CategoryInfo : ObjectNotFound: (TerminalName=RDP-Tcp:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException

mystery56

mystery56

можно пример что вводить в cmd?

mystery56

С делегированием обычным пользователям прав на управление терминальной сессии все понятно. Но как сделать, чтобы эти пользователи не могли подключаться к админским сеансам?

mystery56

Вы запускаете в powershell, а нужно в cmd.exe
Вот реальный пример

C:UsersAdmin>wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘TESTFirst’,2
Executing (\SERVERrootCIMV2TerminalServices:Win32_TSPermissionsSetting.TerminalName=»RDP-Tcp»)->AddAccount()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
<
ReturnValue = 0;
>;

mystery56

Интересно выходит:
С Win 7 с установленными патчами к Win 8.1 по Shadow подключась
А вот с Win 8.1 к Win 7 с установленными патчами подключиться не могу. Хотя при этом все настройки в реестре выставлены и я батником вижу сессию, к которой хочу зацепиться

mystery56

Спасибо большое за статью.
Очень помогла информация о том, как добавить разрешение на теневой доступ для пользователей без прав администратора.
Хочу добавить, что это работает и для доменных и для локальных пользователей/групп терминала.
Например:
Есть терминальный сервер TS в домене kontora.local.
Группу AllowRDSShadow мы можем создавать как на контроллере домена (если пользователь, которому планируется давать теневой доступ, доменный) так и на самом сервере (т.е. создавать локальную группу, если планируется дать теневой доступ к сеансам локальному пользователю.).
В этих случаях параметр AddAccount в представленной команде нужно указывать следующим образом:
— для доменной группы: kontoraAllowRDSShadow
— для локальной группы: TSAllowRDSShadow
После успешного выполнения команды wmic, сервер необходимо перезагрузить.
После добавления/удаления пользователя в/из группы AllowRDSShadow для отслеживания эффекта этому пользователю необходимо перезайти в сеанс, чтобы применились изменения списка групп.

mystery56

Не удаётся подключаться к «свёрнутым» сеансам. То есть если пользователь просто свернул терминальное подключение, не блокируя и не закрывая его, то при попытке перехвата просто отображается серый экран. Как только окно RDP-подключения на пользовательском ПК разворачивается, сразу появляется возможность управления.
Никто не сталкивался? Как исправить?

mystery56

На клиентской машине необходимо отключить подавление графики в свёрнутом режиме:
В разделы
HKEY_LOCAL_MACHINESoftwareMicrosoftTerminal Server Client
HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftTerminal Server Client
Добавить параметр DWORD с именем:
RemoteDesktop_SuppressWhenMinimized
Возможные значения:
1 = Suppress when minimized
2 = Do not suppress when minimized
Соответственно, ставим 2 и радуемся как я)

mystery56

А есть подобное в GPO?

mystery56

Обнаружилась ещё одна проблема.
Теневое подключение нормально не работает в случае мультимониторной конфигурации компьютера, если монитор, на котором открыто подключение по rdp, имеет вертикальную (книжную/портретную) ориентацию.
В этом случае теневое подключение открывается, и на чёрном фоне окна теневого подключения начинают появляться артефакты, какие часто бывают на выходящих из строя видеокартах. По этим артефактам видно, что система пытается построить изображение, но оно не перевёрнутое. Ожидание ни к чему не приводит.
Самое главное, что это не работает только в Windows 10. В Windows 7 все отлично перехватывается во всех ориентациях экрана. Пробовали разные версии драйверов, разные видеокарты и пр. На десятке не работает.
Если у кого-то есть возможность проверить данную ситуацию или вообще имеются какие-то мысли, прошу отозваться.

Не пробовал подключение к ПК с верткальной ориентацией монитора, но с мультимониторными компьютерами под Windows 10 действительно есть проблемы. То изображение слишком мелкое, то какие-то баги с картинкой.

mystery56

Подскажите в чем проблема? Есть TS на базе WS2012R2, контроллер домена WS2008R2. На контроллере создана группа и в нее добавлен пользователь для теневого подключения на TS команда на добавление группы прошла успешно.
Теперь вопрос.
На машине с Win7Pro установлен RSAT (пользователь из той самой группы), там все сеансы видны но вот пункт меню «Удаленное управление» не активен. Помогите куда копать?

RSAT не причем. Вы сможете подключиться через теневое подключение к TS серверу на WS2012R2 с ПК под Windows 7, если установили на нее RDP клиент 8.1. Для подключения используйте команду mstsc.exe, а не оснаску TSADMIN.msc.
Не тестировал, но мне кажется, не получиться подключить в обратном направлении (Win2012r2->Win7).

mystery56

RDP 8.1 на Win7 установлен, и через mstsc.exe подключение проходит, но некоторым ЛЮДЯМ это не удобно и они хотят через tsadmin, а там как раз пункт меню не активен.

$Header = «SESSIONNAME», «USERNAME», «ID», «STATUS»

$dlgBttn = New-Object System.Windows.Forms.Button
$dlgBttn.Text = ‘Control’
$dlgBttn.Location = New-Object System.Drawing.Point(15,10)
$dlgForm.Controls.Add($dlgBttn)

mystery56

mystery56

Добрый день!
Под русскоязычную версию поправил тут qwinsta.exe | findstr «Активно».
Скрипт запускается, но табличная часть пустая.
Можете помочь?

2var. Думаю у вас проблема с кодировкой. Попробуйте сохранить файл PowerShell скрипта в кодировке UTF8.

mystery56

Не выходит каменный цветок ((

mystery56

mystery56

Добрый день!
В варианте Windows Server 2016 без Active Directory (обычная рабочая группа) все прекрасно работает через два файла:

Управление RDP сессией.bat
@echo off
query session
set /P rid=»Enter RDP user ID: »
start mstsc /shadow:%rid% /control /noConsentPrompt

Просмотр RDP сессии.bat
@echo off
query session
set /P rid=»Enter RDP user ID: »
start mstsc /shadow:%rid% /noConsentPrompt

Может кому пригодится. Спасибо за подсказки в комментариях (взял ваш опыт и собрал в один пост)!

mystery56

Исправил:
Просмотр RDP сессии.bat
@echo off
query session
set /P rid=»Enter RDP user ID: »
start mstsc /shadow:%rid% /noConsentPrompt

mystery56

Что-то я уже все перепробовал. Может что упустил? Что еще надо соблюсти чтобы это работало?
Тоже рабочая группа, домена нет.
Пользователи просто подключаются по rdp к серверу.
Смотрю по quser ID пользователя это же оно?
батник такой:
@echo off
query session
set /P rid=19:
start mstsc /shadow:%rid% /noConsentPrompt

Выдает Ошибка теневого доступа: Указанный сеанс не подключен
хотя он подключен.
Разрешил еще в gpo как в статье.

Попробуйте такой код для теневого подключения:
query session
set rid=19
start mstsc /shadow:%rid% /noConsentPrompt

mystery56

А так отказано в доступе выдает.

mystery56

А все нормально, спасибо 🙂
Надо его от админа запускать 🙂

mystery56

Здравствуйте!
Мне схема работы на Windows Server 2008R2 нравилась больше:
1. Можно было отправить сразу нескольким пользователям сообщения
2. Можно было отключитьзавершить сенас сразу группы пользователей.
Такой возможности в Windows Server 2012R2 через GUI я не увидел даже с правами админа. Или я что-то делаю не так?

mystery56

Добрый день.
Подскажите, пожалуйста, а в 2012 вообще никак нельзя подключиться к сессии пользователя? В групповой политике включено «полный контроль без разрешения пользователя». По gpresult показывает что политика работает. Но ничего не происходит — при правом щелчке по пользователю в диспетчере задач можно выбрать только «подключить» но тогда он запрашивает пароль пользователя.
Сервер просто 2012. не R2.

В Windows Server 2012 (не R2) теневое подключение не работает by design.

mystery56

Спасибо за ответ. Подскажите, пожалуйста, получается что это в принципе невозможно или есть какие-либо варианты (патчи, заплатки, утилиты, etc)?

Скорее всего теневое подключение на 2012 не заработает ни при каких обстоятельствах. Обновляйтесь до более новой версии Windows Server. Либо посмотрите вариант с Remote Assistance, возможно вам получится как-то его задействовать в вашей конфигурации.

mystery56

Прошу помощи, а то уже впадаю в отчаяние. Есть ферма из 4х хостов, есть 2 брокера (схема с повышенной доступностью). пробую из-под прав доменного админа. Запускаю шелл с повышенными правами. Команда Get-RDUserSession выдает список по всем хостам, все ок.
вот допустим есть вот такой сеанс:
UserName UnifiedSessionId SessionState HostServer ApplicationType
——— —————- ———— ———- —————
user15 281 STATE_ACTIVE term2.local rdpinit.exe

Запускаю «Mstsc /shadow:281 /control», получаю ошибку «Ошибка теневого доступа. Идентификация сеанса не определяет допустимый сеанс»/. Из GUI все работает ок.
не подскажите куда копать?

Вы локаьно на сервере подключение запускаете? Попробуйте имя сервера указать:
start mstsc /v:term2.local /shadow:281 /noConsentPrompt

mystery56

запускаю с брокера. в любом другом месте невозможно получить список всех сессий фермы (в ферме 4 терминальных хоста). конечная цель дать возможность разработчикам подключаться к пользователям для помощи. Соответственно, они не могут бегать по всем 4м серверам в поисках сессии нужного пользователя.
PS потрите полное доменное имя в моем и вашем сообщениях, усталый вечером был, не усмотрел. спасибо

mystery56

слушайте, а помогло указание имени сервера.
Т.е. сперва я получаю список сессий, в списке видно на какой терминалке сеанс. затем запускаю mstsc /v:сервер /shadow:xxx /control и вуаля!
Спасибо вам огромное за сайт и статьи!
осталось разобраться как сделать так, чтобы работало не только с брокера и не только от админа, продолжаю копать

mystery56

Здраствуйте!
когда пользователю разрешено теневое подключение, как можно запретить подключатся к сессиям Администратора, или же скрыть сессии?

Если вы разрешили пользователям подключаться к rds сессиям других пользователей (зачем?) с помощью команды
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2

Как самый простой вариант для ограничения теневых подключения к сессиям пользователей можно использовать только подключение с появлением запроса (подтверждением) — Full Control with users’s permission.

Либо настройка разных политик с настройками Set rules for remote control of Remote Desktop Services user sessions для разных групп пользователей.

mystery56

Вам нужно на админа применить отдельную локальную политику с нужными настройками Full Control with users’s permission. Посмотрите здесь:
_https://superuser.com/questions/134066/how-to-apply-group-policy-settings-to-specific-local-accounts-in-windows

mystery56

мне кажется это вообще не то.
там ограничения идут на самого Админа, а мне не нужно его ограничивать. мне нужно ограничить к НЕМУ доступ в режиме Shadow

mystery56

Существует ли возможность предоставить пользователям без привилегий администратора права на ЗАВЕРШЕНИЕ удалённого сеанса?

mystery56

Опытным путём пришёл к тому, что оказывается добавление юзера в группу AllowRDSShadow, разрешает ему не только теневое подключение но и выполнение команды logoff, что очень радует. Вопрос снят.

mystery56

Подключение к shadow rdp нормально работает в локальной сети. Можно ли подключиться к ПК за nat? на маршрутизаторе стоит переадресация 2014 порт на 3389. По rdp подключаюсь нормально, а вот shadow rdp не работает

Снаружы подключаться через теневое подключение не вариант — нужно открывать rpc диапазон. Совсем несекьюрно.
Как компромиссный вариант, держать за nat отдельный серверкомпьютер с доступным rdp портом, и с него уже подключаться через shadow внутрь сети.

mystery56

mystery56

Доброго времени суток.У меня Windows Server 2012 r2.
Пытаюсь подключиться к пользователю с помощью Mstsc /shadow:id /noConsentPrompt все ок, но это просто просмотр.А каким образом к нему подключиться, чтобы не спрашивало его и был доступ к управлению,а не только просмотр?

Для подключения в режиме управления теневой сессией и без запроса пользователя используйте команду:
Mstsc /shadow:id /noConsentPrompt /control

mystery56

Спасибо большое) помогло!Я думал, использовать параметры /noConsentPrompt и /control нельзя вместе.

mystery56

Так и не получилось
Ошибка
«В версии Windows, установленной на этом сервере, не поддерживается теневой доступ пользователей»

Скорее всего у вас домашняя версия Windows (Home / Single Language) или что-то подобное. Вам скорее всего придется пользоваться чем то из этого : https://winitpro.ru/index.php/2015/09/02/neskolko-rdp-sessij-v-windows-10/

mystery56

Такая же ерунда, на одних машинах работает на других нет, наблюдается проблема на версиях Pro как 8.1 так и 10, найти сходу различие между машинами на которых работает и на которых пишет ошибку, не смог…

Настройки параметра Shadow в реестре проверяли? RDP везде включен?

mystery56

Да, сравнивал, на тех куда подключается и куда нет, одинаковые, получают из одной и той же GP.

mystery56

Не знаю, будет ли работать в Windows Server 2012 Remote Assistance, но как вариант — попробуйте. Через теневое подключение получается никак.

mystery56

Пробовал, не канает, тк комп не в домене. А поднимать домен, где 80 процентов машин на линуксе, нафиг надо. Вообщем видимо никаких вариантов нету. Кроме как непосредственно подключаться к машине пользователя прогами типа NoMachine и RMS

mystery56

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2
Да! Это работает на конкретном компьютере после его перезагрузки (перезапуска службы RDP)
1. А как это включить на всех компьютерах домена?
2. Как просмотреть список «назначенных» на конкретном компе групп которым разрешен Shadow?

1) Логон скриптом
2) Не нашел вменяемого способа посмотреть текущий состав групп с правами Shadow. Пришлось запускать WMI explolore и руками смотреть содержимое класса Win32_TSPermissionsSetting
Вот есть еще vbs скрипт для сброса настроек на дефолтные:
set RDPObj = GetObject(«winmgmts:!Win32_TSPermissionsSetting.TerminalName=’Console’»)RDPobj.RestoreDefaults
или через командную строку wmic:
PATH WIN32_TSPermissionsSetting.TerminalName=»Console» call RestoreDefaults

mystery56

Добрый день!
Всё по статье получилось, работает.
Но вот необходимо, чтобы и звук весь пробрасывался через такое «тихое незаметное» подключение (крысу ловим)
Есть ли возможность?
Политиками в Device and Resource Redirection включено редирект и запись звука, но не работает
Возможно ли вообще?

Не уверен, что со теневое подключение в принципе умеет забирать звук. На стандартных настройках это не работает. Вероятно вам что-то более продвинутое нужно…

mystery56

Аудит подключений RDS Shadow

Журнал: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
Event id 20510: Предоставлено разрешение на теневое управление
Event id 20506: Запущено теневое управление сеансом
Event id 20507: Остановлено теневое управление сеансом

mystery56

В неактивную rds сессию не зайти.

mystery56

Давно не пользуюсь теневым режимом.
Есть более удобная вещь.
Litemanager server ставишь на сервер.
Litemanager viewer добавляешь сервер.
Подключается и выбираешь в списке нужного пользователя. Удобно с удаленного компа подключаться. Плюс куча всего полезного ещё.

mystery56

mystery56

Соответствующий раздел групповых политик:
Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Подключения — Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов

Параметр должен быть включён в состояние: Полный контроль без разрешения пользователя.

mystery56

Спасибо, но этот параметр политики выставил сразу же, но проблема походу не в нем.

mystery56

В новых виндах запретили подключение без запроса.
Еще одно «улучшение».

Случайно не нашлось решения для новых ОС? уже второй день мучаю

Напишите, в каких версиях теневое подключение работает не так, как раньше.
В 2019 вроде не было изменений…
Речь о WS2022/Windows 11?

В этой версии — подключение без подтверждения не работает.
Версия: 10.0.19043.1052 (21H1)

Кто нибудь знает Win10 — где теневое подключение работает без разрешения пользователя?

mystery56

1. Есть ли команда для пользователя с которым было установлено теневое подключение типа quser, чтобы можно было понять за ним наблюдают или нет?
2. Есть ли для телефона клиентское ПО с помощью которого можно было бы совершить теневое подключение к удалённому компьютеру?

mystery56

Скрипт хороший
Но кто поможет подправить немного его
Задача в следующем
есть список с именами компьютеров к которым пользователи могут подключаться, и нужно с каждого узнать какой сеанс у пользователя — консоль или rdp.
Как вот дописать цикл чтобы проверка была по всем компам со списка а потом вывела результат сюда же в окно

mystery56

Привет всем! Подскажите:
AD, терминалки, в GPO прописано управление сеансами пользователя без подтверждения
При теневом подключении к сеансу, не появляется окно с сансом,
если сделать запрос на подключение с разрешения пользователя появляется окно с разрешением после нажатия ДА пользователем тоже не появляется окно с сеансом, как пофиксить?

mystery56

Вопрос снят, пытался подключится без установленной службы удаленных рабочих столов

mystery56

# Define RDS Host here
Param(
[array]$RDSServerName
)

[void] [System.Reflection.Assembly]::LoadWithPartialName(«System.Windows.Forms»)
[void] [System.Reflection.Assembly]::LoadWithPartialName(«System.Drawing»)

$ApplyButton = New-Object System.Windows.Forms.Button
$ApplyButton.Location = New-Object System.Drawing.Size(45,400)
$ApplyButton.Size = New-Object System.Drawing.Size(80,23)
$ApplyButton.Text = «Выполнить»
$objForm.Controls.Add($ApplyButton)

$CancelButton = New-Object System.Windows.Forms.Button
$CancelButton.Location = New-Object System.Drawing.Size(180,400)
$CancelButton.Size = New-Object System.Drawing.Size(75,23)
$CancelButton.Text = «Отмена»
$CancelButton.Add_Click(<$objForm.Close()>)
$objForm.Controls.Add($CancelButton)

$RefreshButton = New-Object System.Windows.Forms.Button
$RefreshButton.Location = New-Object System.Drawing.Size(315,400)
$RefreshButton.Size = New-Object System.Drawing.Size(75,23)
$RefreshButton.Text = «Обновить»
$objForm.Controls.Add($RefreshButton)
$RefreshButton.Add_Click(
<
UpdateList
>)

$objListBox = New-Object System.Windows.Forms.ListBox
$objListBox.Location = New-Object System.Drawing.Size(10,50)
$objListBox.Size = New-Object System.Drawing.Size(450,20)
$objListBox.Height = 220
$objListBox.SelectionMode = «MultiExtended»

$objLabelMessage = New-Object System.Windows.Forms.Label
$objLabelMessage.Location = New-Object System.Drawing.Size(10,315)
$objLabelMessage.Size = New-Object System.Drawing.Size(280,20)
$objLabelMessage.Text = «Сообщение для отправки:»
$objForm.Controls.Add($objLabelMessage)

$objLabelTime = New-Object System.Windows.Forms.Label
$objLabelTime.Location = New-Object System.Drawing.Size(10,270)
$objLabelTime.Size = New-Object System.Drawing.Size(200,20)
$objLabelTime.Text = «Задержка выполнения (сек):»
$objForm.Controls.Add($objLabelTime)

$objWaitforText = New-Object System.Windows.Forms.TextBox
$objWaitforText.Location = New-Object System.Drawing.Size(10,290)
$objWaitforText.Size = New-Object System.Drawing.Size(70,20)
$objForm.Controls.Add($objWaitforText)

Function MirrorSession <
# Проверка версии mstsc version должно быть больше 6.3.9600

Function ScriptActions <
#This function contains the actions to take depending on the selections set by the user

#Imports Remote Desktop module
Import-Module RemoteDesktop

Источник

Содержание

  1. Хочу Знать
  2. Утилита для человеческого shadow подключения неадмина к RDP сессиям пользователей в WinServer 2012R2
  3. RDS Shadow – теневое подключение к RDP сеансам пользователей в Windows Server 2016/2019
  4. Использование Remote Desktop Shadow из графического GUI
  5. Групповые политики управления теневыми подключениями к RDS сессиям в Windows
  6. Теневое подключение RDS Shadow из PowerShell
  7. Как разрешить обычном пользователям использовать теневое подключение?
  8. RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2016 / 2012 R2
  9. Использование Remote Desktop Shadow из графического GUI
  10. Теневое подключение RDS Shadow из PowerShell
  11. Как разрешить обычном пользователям использовать теневое подключение
  12. Видео

Хочу Знать

В Windows 2012 R2 и Windows 8.1 Microsoft вернула функционал Remote Desktop Shadowing (теневого подключения). Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления существующей RDP сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим). Функционал RDS Shadow работает и в следующих версиях ОС: Windows Server 2016 / Windows 10.

Кроме того, у режима теневого подключения RDS Shadow и RDP клиента появился ряд новых интересных возможностей. Полный список параметров RDPклиента mstsc.exe, определяющих возможность удаленного теневого подключения к сессии конечного пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]]
В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

/shadow:ID – подключится к RDP сессии с указанным ID.

/v:servername – имяRDP/RDS терминального сервера (если не задано, используется текущий).

/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.

/prompt –используется для подключения под другими учетными данными. Запрашивается имя и пароль пользователя для подключения к удаленному компьютеру.

Ограничения теневых сеансов RDS в Windows 2012 R2

Использование Remote Desktop Shadow из графического GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection
В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow (Теневая копия).
В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt foruser consent (Запрашивать согласие пользователя на подключение к сессии).

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:

Запрос на удаленное наблюдение

Winitproadministrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос.

Winitproadministrator is requesting to view your session remotely. Do you accept the request?

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если пользователь подтвердит, подключение, в режиме просмотра администратор увидит его рабочий стол, но не сможет взаимодействовать с ним.
В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Совет. Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).

Если же пользователь отклонит подключение, появится окно:

Shadow Error: The operator or administrator has refused the request

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что такое это запрещено групповой политикой:

Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Этой политикой можно настроить следующие варианты теневого подключения через теневое подключение RD Shadow::

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Теневое подключение RDS Shadow из PowerShell

Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.

В первую очередь покажем, как получить список сессий на терминальном сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:

Mstsc /shadow:3 /control

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей
Также для получения списка всех сессии на сервере можно выполнить команду

На экране отобразится список RDP сессий, их ID и статус: активная сесиия (Active) или отключенная (Disconnected).

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Для более удобного теневого подключения к сессиям можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех сеансов и предложит указать сеанс, к которому нужно подключится:

shadow.bat

set /P rcomp=»Enter name or IP of a Remote PC: »

query session /server:%rcomp%

set /P rid=»Enter RDP user ID: »

start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%System32, в результате для теневого подключения достаточно выполнить команду shadow.

Для подключения к консольной сессии можно использовать такой скрипт:

set /P rcomp=»Enter name or IP of a Remote PC: »

for /f «tokens=3 delims= » %%G in (‘query session console /server:%rcomp%’) do set rid=%%G

start mstsc /shadow:%rid% /v:%rcomp% /control

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

Источник

Утилита для человеческого shadow подключения неадмина к RDP сессиям пользователей в WinServer 2012R2

Проблема в период карантинной работы предприятия стала следующей: действительно нужно минимизировать количество посещений кабинетов специалистами, обслуживающими и консультирующими по прикладному ПО, да и сказать откровенно, пользователи частенько злоупотребляют помощью специалистов не желая вникать в сам вопрос, мол «придут — помогут — сделают, а я пока покурю/попью кофе и т.п.». Консультация по телефону при совместном доступе к серверу эффективнее, если просматривать удаленный экран.

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Уже после «изобретения» нашего велосипеда подвернулась вменяемая информация на тему статьи: RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2012 R2 или Режим shadow непривилегированного пользователя в windows server или Делегируем управление RDP-сеансами. Все они подразумевают применение консоли, даже с элементами простого диалога.

Вся изложенная ниже информация предназначена для тех, кто нормально переносит ненормальные извращения для получения нужного результата, изобретая ненужные способы.
Чтобы «не тянуть кота за хвост», начну с последнего: велосипед работает у обычного пользователя с помощью утилиты AdmiLink, за что ее автору и спасибо.

I. Консоль и shadow RDP.

1. Узнаем RDP id сессии:

Причем «| findstr Administrator» было удобно только когда ты знаешь, что именно Administrator тебе нужен, либо использовать только первую часть для лицезрения всех залогинившихся на сервере.

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

2. Подключаемся к этой сессии, при условии что в доменных групповых политиках параметр «Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов» выбран параметр как минимум «Наблюдение за сеансом с разрешения пользователя» (подробнее):

Прошу обратить внимание что в списке будут только логины пользователей.

Повторюсь что без админских прав вы получите следующее:

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Но для предварительной отладки программы, о которой пойдет речь, я использовал учетку с правами администратора.

Итак постановка задачи: создание некого простого графического интерфейса для подключения к теневому сенсу пользователя с его разрешения, отправка сообщения пользователю. Среда программирования выбрана Lazarus.

1. Получаем полный доменный список пользователей «логин» — «полное имя» у админа, либо опять таки через консоль:

никто не запрещает даже так:

Скажу сразу, что именно у Lazarus оказалось проблема с обработкой этого файла, так как по умолчанию его кодировка UCS-2, поэтому пришлось просто преобразовать вручную в обычный UTF-8. В структуре файла много табуляций, вернее множество пробелов, которые было решено все-таки программно обработать, рано или поздно задачка с кодировкой будет решена, и файл будет программно обновляться.

Итак, в задумке папка, доступная для пользователей программы, например c:test, в которой будет 2 файла: первый с login и fullname, второй с id_rdp и login пользователей. Далее эти данные обрабатываем как можем:).

А пока для ассоциирования со списком сессий переносим это (login и fullname) содержимое в массив:

Прошу извинения за «много кода», следующие пункты будут лаконичнее.

2. Аналогично методом из предыдущего пункта считываем результат обработки списка в элемент StringGrid, при этом приведу «значимый» кусок кода:

2.1 Получаем актуальный список RDP сессий в файл:

2.2 Обрабатываем файл (указан только значимые строки кода):

3. Непосредственно само подключение при клике на строку с пользователем и номером его сеанса:

4. Сделано еще пару украшательств типа сортировки по клику на radiobutton, и сообщения пользователю, либо всем пользователям.

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

→ Полный исходный код можно увидеть здесь

III. Применение AdminLink — что я увидел:

Источник

RDS Shadow – теневое подключение к RDP сеансам пользователей в Windows Server 2016/2019

Теневое shadow подключение к RDP/RDS сеансам позволяет администраторам подключиться к сессии любого пользователя для просмотра рабочего стола пользователя и взаимодействия с ним. Режим Remote Desktop Shadowing (теневого подключения) работает во всех современных версиях Windows, начиная с Windows 2012 R2 и Windows 8.1 (кроме версии Windows Server 2012, в которой стек rdp перенесен из режима ядра в пользовательский режим). В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к RDP сессиям пользователей в Windows Server 2016 и Windows 10

В Windows Server 2016/Windows 10 в стандартном RDP клиенте (mstsc.exe) есть несколько специальных параметров, которые можно использовать для удаленного теневого (RDS Shadow) подключения к RDP сессии любого пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [/prompt]]

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Теневые сеансы можно использовать для подключения к сессиям пользователей на компьютерах и серверах как в домене Active Directory, так и в рабочей группе. Кроме того, не обязательно обладать правами администратора на RDS хосте, на котором работает пользователь. Администраторы могут делегировать полномочия RDS Shadowing любым, даже не-административных учетным записям (об этом ниже).

Использование Remote Desktop Shadow из графического GUI

В списке справа будет перечислен список пользователей у которых имеются сессии на данном RDS сервере. Щелкните правой кнопкой по сессии нужно пользователя, выберите в контекстном меню Shadow (Теневая копия).В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Появится окно c параметрами теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если пользователь подтвердит подключение, то администратор увидит его рабочий стол в режиме просмотра, но не сможет взаимодействовать с ним.

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если пользователь отклонил административное Shadow RDS подключение, появится окно:

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что это запрещено групповой политикой:

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если вам нужно вести аудит RDS Shadow подключений к пользователям, используйте в качестве фильтра следующие события из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Групповые политики управления теневыми подключениями к RDS сессиям в Windows

Этой политикой можно настроить следующие варианты теневого подключения RD Shadow:

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Вы можете настроить правила удаленного подключения в домене из консоли gpmc.msc с помощью рассмотренного параметра политики, либо групповой политикой, вносящей изменения напрямую в реестр системы (последний вариант позволяет более тонко нацелить политику на компьютеры с помощью Group Policy Item Level Targeting).

Теневое подключение RDS Shadow из PowerShell

Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.

На данном сервере мы обнаружили три активных RDP сессии пользователей. Чтобы подключиться к сессии пользователя с ID сессии 3, выполните команду:
Mstsc /shadow:3 /control /noConsentPrompt

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Также для получения списка всех RDP сессии на сервере (или десктопной редакции Windows 10 к которой разрешены множественные RDP подключения) можно использовать команду:

На экране отобразится список RDP сессий, их ID и статус: активная сессия (Active) или отключенная (Disconnected).

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Чтобы подключиться к сессии пользователя на удаленном сервере, используйте команду:

Mstsc /v:rdsh2:3389 /shadow:3 /control

Для более удобного теневого подключения к RDP сессиям пользователей можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех пользователей с активными RDP сеансами. Вам нужно будет указать ID сеанса, к которому нужно подключится через Shadow сессию:

shadow.bat

@echo off
set /P rcomp=»Enter name or IP of a Remote PC: «
query session /server:%rcomp%
set /P rid=»Enter RDP user ID: «
start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%System32. В результате для теневого подключения к пользователю достаточно выполнить команду shadow.

@echo off
set /P rcomp=»Enter name or IP of a Remote PC: «
for /f «tokens=3 delims= » %%G in (‘query session console /server:%rcomp%’) do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control

Также для теневого подключения можно использовать следующий PowerShell скрипт с простым графическим интерфейсом (rdp_shadow_connection.ps1):

Данный скрипт отобразить графическую форму со списком активных RDP сеансов на локальном сервере. Вам останется только выбрать учетную запись пользователя и нажать Connect.

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Как разрешить обычном пользователям использовать теневое подключение?

В рассмотренных выше примерах для использования теневого подключения к RDP сессиям пользователей необходимы права локального администратора на RDS сервере. Однако вы можете разрешить использовать теневое (shadow) подключение и для непривилегированных пользователей (не предоставляя им прав локального администратора на компьютере/сервере).

К примеру, вы хотите разрешить членам доменной группы AllowRDSShadow использовать теневое подключение к RDP сессиям. Выполните команду в cmd.exe с правами администратора:

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2

Для решения проблемы нужно установить отдельные обновления:

Источник

RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2016 / 2012 R2

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]]

/shadow:ID – подключится к RDP сессии с указанным ID.

/v:servername – имяRDP/RDS терминального сервера (если не задано, используется текущий).

/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.

/prompt –используется для подключения под другими учетными данными. Запрашивается имя и пароль пользователя для подключения к удаленному компьютеру.

Ограничения теневых сеансов RDS в Windows 2012 R2

Использование Remote Desktop Shadow из графического GUI

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow (Теневая копия).

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:Запрос на удаленное наблюдение

Winitproadministrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос.Winitproadministrator is requesting to view your session remotely. Do you accept the request?

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если пользователь подтвердит, подключение, в режиме просмотра администратор увидит его рабочий стол, но не сможет взаимодействовать с ним.Совет. Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).

Если же пользователь отклонит подключение, появится окно:Shadow Error: The operator or administrator has refused the request

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что такое это запрещено групповой политикой:Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Этой политикой можно настроить следующие варианты теневого подключения через теневое подключение RD Shadow::

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Теневое подключение RDS Shadow из PowerShell

Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.

В первую очередь покажем, как получить список сессий на терминальном сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:
Mstsc /shadow:3 /control
Также для получения списка всех сессии на сервере можно выполнить команду

На экране отобразится список RDP сессий, их ID и статус: активная сесиия (Active) или отключенная (Disconnected).

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Для более удобного теневого подключения к сессиям можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех сеансов и предложит указать сеанс, к которому нужно подключится:

shadow.bat

@echo off
set /P rcomp=»Enter name or IP of a Remote PC: «
query session /server:%rcomp%
set /P rid=»Enter RDP user ID: «
start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%System32, в результате для теневого подключения достаточно выполнить команду shadow.

Для подключения к консольной сессии можно использовать такой скрипт:

@echo off
set /P rcomp=»Enter name or IP of a Remote PC: «
for /f «tokens=3 delims= » %%G in (‘query session console /server:%rcomp%’) do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

Источник

Видео

Ошибки и нюансы при обновление до Windows 10

Ошибки и нюансы при обновление до Windows 10

Как настроить теневой доступ на Windows Server 2016

Как настроить теневой доступ на Windows Server 2016

Это средство не может обновить ваш компьютер

Это средство не может обновить ваш компьютер

Как установить Windows 10, версия 22H2 уже сейчас

Как установить Windows 10, версия 22H2 уже сейчас

Терминальный сервер на Windows 10, разрешаем множественные подключения по RDP

Терминальный сервер на Windows 10, разрешаем множественные подключения по RDP

Версия файла несовместима с версией Windows — решение

Версия файла несовместима с версией Windows - решение

Не удалось установить Windows 10? Устраняем ошибки при обновлении с Windows 7 до Windows 10!

Не удалось установить Windows 10? Устраняем ошибки при обновлении с Windows 7 до Windows 10!

#14. Установка и настройка терминального сервера на Windows Server 2019.

#14. Установка и настройка терминального сервера на Windows Server 2019.

Удаленный рабочий стол RDP. Подробная настройка. Windows 7, 8, 10

Удаленный рабочий стол RDP. Подробная настройка. Windows 7, 8, 10

НУЖНО ЗНАТЬ! 5 ошибок при УСТАНОВКЕ Windows 10, 7

НУЖНО ЗНАТЬ! 5 ошибок при УСТАНОВКЕ Windows 10, 7

Содержание

  1. Утилита для человеческого shadow подключения неадмина к RDP сессиям пользователей в WinServer 2012R2
  2. Теневое RDP подключение к рабочему столу пользователя в Windows 10
  3. Хочу Знать
  4. В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей
  5. Общие обсуждения
  6. RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2012 R2
  7. Использование Remote Desktop Shadow из графического GUI
  8. Как разрешить обычном пользователям использовать теневое подключение

Утилита для человеческого shadow подключения неадмина к RDP сессиям пользователей в WinServer 2012R2

Проблема в период карантинной работы предприятия стала следующей: действительно нужно минимизировать количество посещений кабинетов специалистами, обслуживающими и консультирующими по прикладному ПО, да и сказать откровенно, пользователи частенько злоупотребляют помощью специалистов не желая вникать в сам вопрос, мол «придут — помогут — сделают, а я пока покурю/попью кофе и т.п.». Консультация по телефону при совместном доступе к серверу эффективнее, если просматривать удаленный экран.

image loader

Уже после «изобретения» нашего велосипеда подвернулась вменяемая информация на тему статьи: RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2012 R2 или Режим shadow непривилегированного пользователя в windows server или Делегируем управление RDP-сеансами. Все они подразумевают применение консоли, даже с элементами простого диалога.

Вся изложенная ниже информация предназначена для тех, кто нормально переносит ненормальные извращения для получения нужного результата, изобретая ненужные способы.
Чтобы «не тянуть кота за хвост», начну с последнего: велосипед работает у обычного пользователя с помощью утилиты AdmiLink, за что ее автору и спасибо.

I. Консоль и shadow RDP.

1. Узнаем RDP id сессии:

Причем «| findstr Administrator» было удобно только когда ты знаешь, что именно Administrator тебе нужен, либо использовать только первую часть для лицезрения всех залогинившихся на сервере.

image loader

2. Подключаемся к этой сессии, при условии что в доменных групповых политиках параметр «Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов» выбран параметр как минимум «Наблюдение за сеансом с разрешения пользователя» (подробнее):

Прошу обратить внимание что в списке будут только логины пользователей.

Повторюсь что без админских прав вы получите следующее:

image loader

Но для предварительной отладки программы, о которой пойдет речь, я использовал учетку с правами администратора.

Итак постановка задачи: создание некого простого графического интерфейса для подключения к теневому сенсу пользователя с его разрешения, отправка сообщения пользователю. Среда программирования выбрана Lazarus.

1. Получаем полный доменный список пользователей «логин» — «полное имя» у админа, либо опять таки через консоль:

никто не запрещает даже так:

Скажу сразу, что именно у Lazarus оказалось проблема с обработкой этого файла, так как по умолчанию его кодировка UCS-2, поэтому пришлось просто преобразовать вручную в обычный UTF-8. В структуре файла много табуляций, вернее множество пробелов, которые было решено все-таки программно обработать, рано или поздно задачка с кодировкой будет решена, и файл будет программно обновляться.

Итак, в задумке папка, доступная для пользователей программы, например c:test, в которой будет 2 файла: первый с login и fullname, второй с id_rdp и login пользователей. Далее эти данные обрабатываем как можем:).

А пока для ассоциирования со списком сессий переносим это (login и fullname) содержимое в массив:

Прошу извинения за «много кода», следующие пункты будут лаконичнее.

2. Аналогично методом из предыдущего пункта считываем результат обработки списка в элемент StringGrid, при этом приведу «значимый» кусок кода:

2.1 Получаем актуальный список RDP сессий в файл:

2.2 Обрабатываем файл (указан только значимые строки кода):

3. Непосредственно само подключение при клике на строку с пользователем и номером его сеанса:

4. Сделано еще пару украшательств типа сортировки по клику на radiobutton, и сообщения пользователю, либо всем пользователям.

image loader

→ Полный исходный код можно увидеть здесь

III. Применение AdminLink — что я увидел:

Источник

Теневое RDP подключение к рабочему столу пользователя в Windows 10

Помимо использования Remote Assistance, вы можете удаленно подключиться к рабочему столу пользователя Windows 10 с помощью теневого RDP подключения (Remote Desktop Shadowing). Большинство администраторов так или иначе пользовались этим функционалом для подключения к сессиям пользователей на терминальных RDS серверах с Windows Server 2012 R2 / Server 2016. Однако далеко не все знают, что теневое подключение можно использовать для удаленного просмотра и взаимодействия с рабочим столом пользователя и на десктопной Windows 10. Рассмотрим, как это работает.

Как вы помните, если попытаться удаленно подключится к компьютеру с Windows 10 через RDP, то сессия пользователя, работающего локально выбивается (даже если вы включите возможность использования нескольких одновременных RDP сессий в Windows 10). Однако вы можете подключится непосредственно подключиться к консольной сессии пользователя без блокировки его сеанса.

Предположим, вам нужно подключиться с сервера Windows Server 2012 R2 к рабочему столу пользователя, работающего локально за рабочей станцией с Windows 10.

Для теневого подключения к сессии пользователя нужно использовать стандартную RDP утилиту mstsc.exe. Формат команды такой:

Также можно использовать одну из опций:

Режим теневого подключения (нужно ли запрашивать подтверждение пользователя, и возможно управления в сессии или только наблюдение) настраивается с помощью групповой политики или редактирования реестра.

politika ustanovit pravila udalennogo upravleniya

Вместо включения политики можно выставить значение dword ключа с именем Shadow в ветке реестра HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services. Допустимые значения:

По умолчанию данный ключ не задан и теневое подключение осуществляется в режиме полного контроля с разрешения пользователя.

Чтобы удаленно подключится к компьютеру через теневое подключение, у подключающейся учетной записи должны быть права администратора на компьютере, а в свойствах системы включен удаленный рабочий стол (RDP).

vklyuchit rdp dostup k windows 10

Запросим удаленно список сессий на рабочей станции Windows 10 командой:

qwinsta /server:192.168.11.60
qwinsta zapros sessij na udalennom kompyutere

Как вы видите, на данном компьютере имеется одна консольная сессия пользователя с идентификатором >

Итак, попробуем удаленно подключиться к сессии пользователя через теневое подключение. Выполните команду:

Mstsc /shadow:1 /v:192.168.11.60

tenevoe rdp podklyuchenie k windows 10

На экране пользователя Windows 10 появится запрос:

zapros na udalennoe podklyuchenie

Если пользователь разрешит соединение, вы подключитесь к его консольному сеансу и увидите его рабочий стол. Вы будете видеть все действия пользователя, но не сможете взаимодействовать с его сессией.

prosmot rabochego stola polzvoatelya

Если проверить сетевые соединения с помощью TCPView, можно увидеть, что взаимодействие идет через RemoteRPC (а не по протоколу RDP с портом TCP 3389). Т.е. для подключения используется случайный TCP порт из высокого диапазона RPC. На стороне подключающегося компьютера соединение устанавливает mstsc.exe, на стороне клиента подключение обрабатывает rdpsa.exe или rdpsaproxy.exe (в зависимости от билда Windows 10). Поэтому на клиенте должен быть включен RemoteRPC:

tcpview shadow session win 10

Функционал теневого подключения Remote Desktop Shadowing работает в Windows 10 / 8.1 и Windows Server 2012 R2 /2016. Чтобы теневое подключение работало на клиентах с Windows 7 SP1 (Windows Server 2008 R2) нужен RDP клиент версии 8.1 – поэтому придется установить обновление KB2830477 (требует наличия установленных KB2574819 и KB2857650).

Таким образом Remote Desktop Shadowing можно использовать как аналог Remote Assistance (Удаленный помощник) или TeamViewer для локальной или корпоративной сети.

Источник

Хочу Знать

В Windows 2012 R2 и Windows 8.1 Microsoft вернула функционал Remote Desktop Shadowing (теневого подключения). Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления существующей RDP сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим). Функционал RDS Shadow работает и в следующих версиях ОС: Windows Server 2016 / Windows 10.

Кроме того, у режима теневого подключения RDS Shadow и RDP клиента появился ряд новых интересных возможностей. Полный список параметров RDPклиента mstsc.exe, определяющих возможность удаленного теневого подключения к сессии конечного пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]]
novye parametry mstsc v windows 8 1

/shadow:ID – подключится к RDP сессии с указанным ID.

/v:servername – имяRDP/RDS терминального сервера (если не задано, используется текущий).

/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.

/prompt –используется для подключения под другими учетными данными. Запрашивается имя и пароль пользователя для подключения к удаленному компьютеру.

Ограничения теневых сеансов RDS в Windows 2012 R2

Использование Remote Desktop Shadow из графического GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection
kollekciya quicksessioncollection

Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow (Теневая копия).
shadow zapusk tenevoj sesii

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt foruser consent (Запрашивать согласие пользователя на подключение к сессии).

mstsc tenevaya kopiya zaprashivat soglasie polz

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:

Запрос на удаленное наблюдение

Winitproadministrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос.

Winitproadministrator is requesting to view your session remotely. Do you accept the request?

zapros polzovatelya o shadow podklyuchenii

zapros na udalennoe tenevoe nablyudenie

Если пользователь подтвердит, подключение, в режиме просмотра администратор увидит его рабочий стол, но не сможет взаимодействовать с ним.
udalennoe upravlenie terminalnoj sesiej polzovat

Совет. Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).

Если же пользователь отклонит подключение, появится окно:

Shadow Error: The operator or administrator has refused the request

the operator or administrator has refused the requ

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что такое это запрещено групповой политикой:

Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

oshibka gpo udalennogo shadow podklyucheniya

Этой политикой можно настроить следующие варианты теневого подключения через теневое подключение RD Shadow::

politika ustanovit pravila udalennogo upravleniya

Теневое подключение RDS Shadow из PowerShell

Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.

В первую очередь покажем, как получить список сессий на терминальном сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):

get rdusersession powershell

На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:

Mstsc /shadow:3 /control

mstsc zapusk shadow iz powershell
Также для получения списка всех сессии на сервере можно выполнить команду

На экране отобразится список RDP сессий, их ID и статус: активная сесиия (Active) или отключенная (Disconnected).

qwinsta spisok rdp sesiij na udalennom servere

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Для более удобного теневого подключения к сессиям можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех сеансов и предложит указать сеанс, к которому нужно подключится:

shadow.bat

set /P rcomp=»Enter name or IP of a Remote PC: »

query session /server:%rcomp%

set /P rid=»Enter RDP user ID: »

start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%System32, в результате для теневого подключения достаточно выполнить команду shadow.

Для подключения к консольной сессии можно использовать такой скрипт:

set /P rcomp=»Enter name or IP of a Remote PC: »

for /f «tokens=3 delims= » %%G in (‘query session console /server:%rcomp%’) do set rid=%%G

start mstsc /shadow:%rid% /v:%rcomp% /control

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

Источник

В версии windows установленной на этом сервере не поддерживается теневой доступ пользователей

trans

Общие обсуждения

trans

trans

Задача: Я как администратор сети хочу подключаться к сеансу пользователя со своего ПК. Т.е. со своего ПК с Win10 на ПК юзера с Win10 к его же сеансу.

Все ПК в домене. На всех ПК домена установлена Win10 64

Создаю групповую политику и связываю ее с OU, где находятся ПК домена

Конфигурация компьютераПолитикиАдминистративные шаблоныСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПодключенияРазрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов — включить

Конфигурация компьютераПолитикиАдминистративные шаблоныСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПодключенияУстановить правила удаленного управления для пользовательских сеансов удаленных рабочих столов — выбрать нужны вариант

Делаю на ПК gpupdate /force

Далее gpresult /scope:computer /R и в списке политик вижу мою политику с теневым подключением.

Далее в повершелле определяю id сеанса qwinsta /server:11.11.11.11 и пытаюсь подключиться

Mstsc /shadow:1 /v:11.1.11.11 /control /noConsentPrompt

В ответ получаю окно: Ошибка теневого доступа. Неопознанная ошибка

Иду в раздел gpedit.msc а там параметры в разделе Конфигурация компьютераПолитикиАдминистративные шаблоныСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПодключения все со статусом «Не задано». Получается политика ничего не изменила на ПК?

Нагуглил статью, что январское обновление ломало теневое подключение, но исправляющее эту проблему обновление kb4057401 идет только на WinServer2012r2, а для Win10 его нет.

Можете подсказать как правильно настроить теневое подключение?

Источник

RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2012 R2

Режим работы Remote Desktop Shadowing (теневого подключения) поддерживался практически с первых версий терминального сервера Microsoft и неожиданно был убран в Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим). Но, в Windows Server 2012 R2 Microsoft вернула этот функционал. Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления существующей RDP сессией любого пользователя.

Использование Remote Desktop Shadow из графического GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe (Пуск → Выполнить. ) или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection. Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow (Теневая копия).

26c1c1fb30a02c1e7d62b4d5ad4d5510

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).

0c4fc7299d39a8ab33358c0a06a829c7

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:

0a27ef25c2b65dcd1d63ef49503d4bda

Если пользователь подтвердит, подключение, в режиме просмотра администратор увидит его рабочий стол, но не сможет взаимодействовать с ним.

dd77217ca3237605a7e55f7a1b52be1c

Если же пользователь отклонит подключение, появится окно:

7ed0f5795ccee1c9c251aa5843996532

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что такое это запрещено групповой политикой:

366315907e794195dc5073c5ed8531d5

Запустить редактора локальной групповой политики можно с помощью утилиты gpedit.msc (Пуск → Выполнить. ).

97eae766407657623d5fadf409db26d7

Параметры удаленного управлениями RDS сессиями пользователя настраиваются политикой Set rules for remote control of Remote Desktop Services user sessions (Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов), которая находится в разделе PoliciesAdministrative TemplatesWindows componentsRemote Desktop ServicesRemote Session HostConnections (Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Подключения) в пользовательской и «компьютерной» секциях GPO.

b9fba8780373ce2af0fafafab83b0239

Данной политике соответствует dword параметр реестра Shadow в ветке HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services.

Этой политикой можно настроить следующие варианты теневого подключения через теневое подключение RD Shadow::

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

Источник

  • Rdpwrap windows 10 rdpwrap ini
  • Realtek 8139 810x driver windows 7
  • Rdp wrapper windows 10 22h2
  • Realtek 281 драйвер windows 10
  • Realplayer скачать бесплатно на русском языке для windows 10