RDS Shadow – подключаемся к сессии пользователя в Windows 2012 R2 | Windows для системных администраторов

RDS Shadow – подключаемся к сессии пользователя в Windows 2012 R2

Спешим поделиться хорошей новостью: Microsoft вернула функционал Remote Desktop Shadowing в Windows Server 2012 R2 и Windows 8.1! Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления активной терминальной сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в релизе Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим).

Кроме того, у режима RD Shadow и rdp клиента появился ряд новых интересных возможностей. Полный список опций rdp клиента mstsc.exe, определяющих возможность удаленного подключения к сессии конечного пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]] Новые параметры mstsc в Windows 8.1

/shadow:ID – подключится к терминальной сессии с указанным ID

/v:servername – имя терминального сервера (если не задано, используется текущий)

/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии

Ограничения теневых сеансов RDS в Windows 2012 R2

  • Подключаться к чужим сессиям может только администратор сервера. Делегировать эти права обычным пользователем нельзя
  • RDS Shadow не будет работать в сетях на базе рабочих групп

Remote Desktop Shadow  —  работа в GUI


Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection. коллекция QuickSessionCollection

Щелкнув по сессии интересующего пользователя, выберите  в контекстном меню Shadow. shadow - запуск теневой сесии

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того можно включить опцию Prompt for user consent (запросить согласие на подключение у пользователя). параметры теневого подключения к терминальной сесиии

Если выбрана опция «Запросить подтверждение», в сессии у пользователя появится запрос:

Winitpro\administrator is requesting to view your session remotely. Do you accept the request? Запрос пользователя о shadow подключении

Если пользователь подтвердит, подключение, администратор увидит его рабочий стол и сможет взаимодействовать с ним. удаленное управление терминальной сесией пользователя в rds windows server 2012r2

Совет. Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).

Если же пользователь отклонит подключение, появится окно:

Shadow Error: The operator or administrator has refused the request

The operator or administrator has refused the request
Если же попытаться подключится к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая что такое поведение настроено групповой политикой:

Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

ошибка GPO удаленного shadow подключения

Параметры удаленного управлениями терминальными сессиями пользователя настраиваются политиками Set rules for remote control of Remote Desktop Services user sessions, которые находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections в пользовательской и «компьютерной» секциях GPO.

Этой политикой можно настроить следующие варианты подключения по RD Shadow:

  • No remote contol allowed  — удаленное управление запрещено
  • Full Control with users’s permission  — полный контроль с разрешения пользователя
  • Full Control without users’s permission — полный контроль без разрешения  пользователя
  • View Session with users’s permission – наблюдение за сеансом с подтверждением
  • View Session without users’s permission – наблюдение за сеансом без подтверждения

групповая политика управления подключением к терминальным сесииям пользователей

RDS Shadow из Powershell


Воспользоваться функционалом Remote Desktop Services Shadow можно и из Powershell.

В первую очередь покажем, как получить список сессий на терминальном сервере (сесии пользователей будут сгруппированы в группы в зависимости от их статуса):

Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate

Get-RDUserSession Powershell

На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:

Mstsc /shadow:3 /control

mstsc запуск shadow из powershell

Еще записи по теме: Windows Server 2012 R2
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 21

Оставить комментарий
  1. Павел | 06.06.2014

    круто, но ты не написал самого главного — как активировать эту функцию =)
    У меня её как не было, так и нет.

    Ответить
    • itpro | 06.06.2014

      Хм, этот функционал идет прямо-из-коробки. Насколько я помню ничего включать не нужно. В статье речь идет о версии Windows 2012 R2, возможно ты проверял на простой Windows Server 2012.
      Проверь, что в хелпе команды mstsc.exe /?  имеется опция /shadow

      Ответить
      • Павел | 09.06.2014

        да, ты прав. Прошу за невнимательность

        Ответить
  2. myr4ik07 | 11.06.2014

    Приветствую, протестировал, все прекрасно работает.Спасибо за знакомство.

    Ответить
  3. Pavel | 03.11.2014

    нет такой функции. сервер 2012 r2
    установлены роли — лицензирование удаленных рабочих столов
    посредник подключений
    узел сеансов удаленных рабочих столов

    Ответить
    • Тимур | 22.11.2014

      У меня тоже нет, но у меня не домен, а рабочая группа, а в ней как написано работать не будет.

      Ответить
  4. Антон | 08.03.2015

    Спасибо. Получилось. Работает. Но в отличие от 2008R2 не удается сделать сеанс на весь экран. Если у меня с пользователем одинаковые разрешения экрана, то теневой сеанс получается немного ужатым.

    Ответить
    • itpro | 10.03.2015

      Есть такая проблема, но как правило, особых неудобств не вызывает

      Ответить
  5. Виталий | 14.05.2015

    А если я удалил QuickSessionCollection, как мне можно подключаться к пользовательским сессиям из GUI?

    Ответить
  6. Shurik | 10.09.2015

    Добрый день. Интересует если возможность также подключатся к пользователю(Shadow), только не на терминальном сервере, а на сервере Windows 2012 R2 Hyper-V. И рабочая станция Windows 7

    Ответить
    • Павел | 10.09.2015

      на сервере Windows 2012 R2 Hyper-V

      Hyper-V это роль сервера для организации хоста с вируталками. Зачем туда постоянно подключаться?
      Если же надо подключиться к одной из виртуалок, развернутых на Hyper-V, в режиме наблюдения за сеансом пользователя то вариант удаленный помощник.

      Ответить
      • Shurik | 10.09.2015

        Если же надо подключиться к одной из виртуалок, развернутых на Hyper-V, в режиме наблюдения за сеансом пользователя то вариант удаленный помощник.
        Удаленный помощник менее удобен. У гостевой ОС Windows 8.1 есть такая возможность http://social.technet.microsoft.com/wiki/contents/articles/19804.remote-desktop-services-session-shadowing.aspx, ищу решение как прикрутить в Windows 7

        Ответить
        • Павел | 17.09.2015

          «Remote Server Administration Tools (RSAT) позволяет администраторам управлять ролями и функциями на Windows Server 2008 R2 и Microsoft Server 2012 (Core & Full installation) с компьютера на базе Windows 7 и Windows 8 соответственно. RSAT для Windows 7 может работать только на версиях Enterprise, Professional или Ultimate и позволяет управлять Microsoft Hyper-V Server 2012, однако её функционал будет ограничен, в первую очередь будут недоступны новые настройки сети.»
          Еще вариант 5nine Manager 4.0 for Hyper-V.
          Так что попробовать поставить а там как получится.
          Но все таки решение либо с удаленным помощником, либо с тем же VNC удобнее и проще.

          Ответить
          • Shurik | 17.09.2015

            Спасибо за отзыв
            Сделал по Вашому совету — удаленный помощник.

            Ответить
  7. Alex Lyashkov | 16.11.2015

    Проверил у двух клиентов только что…
    Итак — все настройки давно сделаны, но ранее точно помню работало так как надо:
    На сервере — члене домена AD (но не скажу точно 2008/2008R2/2012) с ролью RDSH c с настройками как в вашей статье

    На сервере RDSH я мог msra /offerRA БЕЗ СОГЛАСИЯ пользователей подключатся к их сеансу. А на клиентах — Win7 — согласие требовало. Но как бы этично — на сервере у них RemoteApp (1C) и там нет личной жизни.

    Сейчас : изменилась версия — Server 2012R2 msra , настройки GPO в домене и настройки Локальной политики на самом Server 2012R2 RDSH позволяют «Полный контроль без разрешения клиента», но так как надо — без уведомления и разрешения работает только из GUI (Диспетчер серверов-Службы удаленных рабочих столов-Коллекции-Подключения нужный сеанс — правой клавишей Теневая копия)
    Почему, черт побери карамба!, это перестал работать через msra работает, но запрашивает уведомление о подключений пользователя и потом разрешение на управление… то есть я запускаю в RDP сессии находясь по RDP на RDSH msra подключаюсь к нему-же (к серверу на котором нахожусь) выбираю сеанс пользователя — и у пользователя выскакивает — «Разрешить пользователю Админ подключение к вашему компьютеру»
    И совсем грустно, что mstsc /shadow:3 /control не работает — Ошибка теневого доступа Отказано в доступе.
    Не понимаю. Ведь из GUI работает !!!

    Ответить
    • Александр | 16.11.2015

      Так — все на так темно, есть светлый лучик
      mstsc /shadow:3 /control /noConsentPrompt — и моментально, за 1 секунду видим и управляем пользовательской сессией — да, жаль что в маленьком окошке

      Ответить
      • Alexey | 04.12.2015

        В политиках стоит «Full Control without users’s permission» — полный контроль без разрешения пользователя.
        Получаем список id сессий командой «qwinsta».
        При попытке запустить «mstsc /shadow:3 /control /noConsentPrompt» получаю ошибку: Ошибка теневого доступа Отказано в доступе.
        Выполнение команды «mstsc /shadow:3″ приводт к такой же ошибке.
        Подскажите в какую строну копать?
        MSRA работает, но при условии что запрос на помощь примут!

        Ответить
        • Александр | 04.12.2015

          мне хватило добавить /noConsentPrompt и заработало

          Ответить
        • Adminny | 04.12.2015

          Проверь. Должно быть так:

          [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
          "fInheritShadow"=dword:00000000
          "Shadow"=dword:00000002

          Ответить
  8. Александр | 16.11.2015

    mstsc /shadow:3 /control /noConsentPrompt — работает так как надо! Итого — осталось с MSRA разобраться, или понять, или простить…

    Ответить
  9. Adminny | 24.11.2015

    Для удобства/быстроты подключения сделал простой ps-скриптик на раб.столе:

    Write-Host »
    »
    quser
    $user = Read-Host -Prompt »
    Enter ID»
    mstsc /shadow:$user /control /noConsentPrompt

    PS
    Команда quser выполняется моментально в отличие от долгодумающей Get-RDUserSession

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.28MB/0.00106 sec