Windows 2012 R2 és Microsoft Windows 8.1 rendszereken visszatért funkcionalitás távoli Desktop Árnyékolós (árnyék kapcsolat). Emlékezzünk arra, hogy az árnyék módot (árnyék munkamenet) - az adminisztrátor felhasználhatja bármely felhasználó meglévő RDP munkamenetének megtekintésére és kezelésére. Ezt a működési módot szinte a Microsoft terminálkiszolgáló első verzióiból támogatják, és váratlanul eltávolították a Windows Server 2012-ben (az rdp veremnek a kernel módból a felhasználói módba történő áthelyezése miatt). Az RDS Shadow funkció a következő operációs rendszer verziókban működik: Windows Server 2016 / Windows 10.
Tartalom:
- A távoli asztali árnyék használata a grafikus felhasználói felületről
- Árnyék RDS árnyék a PowerShell-ből
- Hogyan engedhető meg a hétköznapi felhasználóknak az árnyékkapcsolat használata
Ezenkívül az RDS árnyék és az RDP kliens árnyékmód számos érdekes új funkcióval rendelkezik. Az mstsc.exe RDP kliens paramétereinek teljes listája, amelyek meghatározzák a távoli árnyékkapcsolat lehetőségét a végfelhasználói munkamenethez:
MSTSC.exe [/ shadow: sessionID [/ v: Servername] [/ control] [/ noConsentPrompt]]
/ shadow: azonosító - csatlakozzon az RDP munkamenethez a megadott azonosítóval.
/ v: kiszolgálónév - A terminálkiszolgáló RDP / RDS neve (ha nincs megadva, akkor az aktuálisat használja).
/ irányítás - a felhasználói munkamenettel való interakció képessége (ha nincs megadva, akkor a felhasználói munkamenet nézet módot használják).
/ noConsentPrompt - ne kérje a felhasználót a munkamenethez való kapcsolat megerősítéséről.
/ prompt -más hitelesítő adatok alatt történő csatlakozáshoz. A felhasználói nevet és a jelszót a távoli számítógéphez való csatlakozáshoz kell kérni.
Az RDS árnyék-szekciók korlátozásai a Windows 2012 R2 rendszerben
- Csak a kiszolgáló rendszergazdái tudnak csatlakozni idegen munkamenetekhez. Ezeket a jogokat szokásos felhasználóként nem ruházhatja át
- RDS árnyék nem fog működni a munkacsoportokon alapuló hálózatokban
A távoli asztali árnyék használata a grafikus felhasználói felületről
Csatlakozhat egy felhasználói munkamenethez az mstsc.exe segédprogrammal vagy közvetlenül a Server Manager konzoljáról. Ehhez a Server Manager konzolon nyissa meg a QuickSessionCollection alkalmazást
Az érdeklődő felhasználó munkamenetére kattintva válassza a helyi menü Árnyék menüpontját.. 
Megjelenik az árnyékkapcsolat-beállítások ablak. Megtekinthető (kilátás) és menedzsment (ellenőrzés) ülés. Engedélyezheti az opciót is azonnali mert használó hozzájárulás (Kérjen felhasználói hozzájárulást a munkamenethez való csatlakozáshoz).
Ha a "Felhasználói jóváhagyás kérése" lehetőséget választja, a felhasználót a munkamenet során megkérdezik:
Távfelügyeleti kérelemA Winitpro \ adminisztrátor a munkamenet távoli nézetét kéri. A Winitpro \ adminisztrátor a munkamenet távoli megtekintését kéri. Elfogadja a kérést?
Ha a felhasználó megerősíti a kapcsolatot, akkor a megtekintési módban a rendszergazda látja az asztalát, de nem lesz képes vele kapcsolatba lépni. 
Ha a felhasználó elutasítja a kapcsolatot, megjelenik egy ablak:
Árnyék hiba: Az üzemeltető vagy a rendszergazda elutasította a kérést
Ha megpróbál csatlakozni egy felhasználói munkamenethez megerősítés kérése nélkül, akkor hibaüzenet jelenik meg, amely tudatja Önt, hogy ezt tiltja a csoportházirend:
A felhasználói munkamenetek távoli RDS-kezelési beállításait a házirend határozza meg Szabályok beállítása a Távoli asztali szolgáltatások felhasználói munkamenetek távirányításához (Távirányító szabályok beállítása a Távoli asztali szolgáltatások felhasználói munkameneteihez), amely a Házirendek -> Felügyeleti sablonok -> Windows-összetevők -> Távoli asztali szolgáltatások -> Távoli munkamenet-állomás -> kapcsolatok (Felügyeleti sablonok -> Windows-összetevők -> Távoli asztali szolgáltatások - Távoli asztali munkamenet-házigazda -> Kapcsolatok) alatt található a GPO felhasználói és "számítógépes" szekciói. Ez a házirend megfelel a kardregiszter-beállításnak árnyék az ágban HKLM \ SZOFTVER \ Irányelvek \ Microsoft \ Windows NT \ Terminálszolgáltatások.
Ez a házirend lehetővé teszi a következő árnyékkapcsolat-beállításokat az RD árnyék-árnyékkapcsolaton keresztül:
- Távvezérlés nem engedélyezett - a távirányítás nem engedélyezett (regisztrációs kulcs értéke Shadow = 0);
- Teljes ellenőrzés a felhasználók engedélyével - teljes ellenőrzés a felhasználói engedélyekkel (1);
- Teljes ellenőrzés felhasználói engedély nélkül - teljes ellenőrzés felhasználói engedély nélkül (2);
- A munkamenet megtekintése a felhasználók engedélyével - a munkamenet monitorozása a felhasználói engedélyekkel (3);
- Munkamenet megtekintése felhasználói engedély nélkül - munkamenet figyelése felhasználói engedély nélkül (4).
Árnyék RDS árnyék a PowerShell-ből
A Powershell az árnyékcsatlakozási funkciókat egy felhasználói munkamenethez is használhatja a Távoli asztali szolgáltatások árnyékkapcsolatán keresztül.
Mindenekelőtt bemutatjuk, hogyan lehet egy munkamenetek listáját létrehozni egy terminálkiszolgálón (a felhasználói munkamenetek csoportokba vannak csoportosítva állapotuk alapján):
Get-RDUserSession | ft felhasználónév, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate
Ezen a szerveren három aktív terminálszekciót találtunk. Csatlakozás a felhasználói munkamenethez a 3. munkamenet azonosítóval:Mstsc / árnyék: 3 / vezérlés
Ezenkívül a kiszolgálón található összes munkamenet listájának futtatásához futtassa a parancsot
QUSER
vagy
qwinsta
A képernyőn megjelenik az RDP munkamenetek listája, azonosítója és állapota: aktív munkamenet (aktív) vagy leválasztva (leválasztva).
A távoli szerveren lévő munkamenetek listájának megtekintéséhez futtassa a következő parancsot:
lekérdezés munkamenet / szerver: kiszolgáló neve
A munkamenetekhez történő kényelmesebb árnyékkapcsolathoz a következő szkriptet használhatja. A szkript felszólítja a távoli számítógép nevének megadására, megjeleníti az összes munkamenet listáját, és megkéri, hogy adja meg azt a munkamenetet, amelyhez csatlakozni szeretne:
shadow.bat
@echo ki
set / P rcomp = "Adja meg a távoli számítógép nevét vagy IP-jét:"
lekérdezés munkamenet / szerver:% rcomp%
set / P rid = "Adja meg az RDP felhasználói azonosítóját:"
start mstsc / shadow:% rid% / v:% rcomp% / control
Ezt a fájlt a% Windir% \ System32 könyvtárba teheti, ennek eredményeként árnyékkapcsolathoz csak futtassa a parancsot árnyék.
A konzol-munkamenethez való csatlakozáshoz a következő parancsfájlt használhatja:
@echo ki
set / P rcomp = "Adja meg a távoli számítógép nevét vagy IP-jét:"
for / f "tokens = 3 delims =" %% G in ('query session console / server:% rcomp%') do set = %% G
start mstsc / shadow:% rid% / v:% rcomp% / control
Az árnyékkapcsolatot a Windows 10 és 8.1 operációs rendszert használó számítógépek felhasználói asztalaival is használhatja.
Hogyan engedhető meg a hétköznapi felhasználóknak az árnyékkapcsolat használata
A fenti példákban az árnyékkapcsolat használatához a terminálszekciókhoz helyi adminisztrátori jogokra van szükség az RDS-kiszolgálón. Ugyanakkor engedélyezheti az árnyékkapcsolat használatát a felhasználói munkamenetekhez és az egyszerű felhasználókhoz történő kapcsolódáshoz (anélkül, hogy a kiszolgálón helyi rendszergazdai jogokat adnának nekik)..
Például azt szeretné, hogy az AllowRDSShadow csoport tagjai árnyékkapcsolatot használhassanak a felhasználói munkamenetekhez, futtassák a következő parancsot:
wmic / névtér: \\ gyökér \ CIMV2 \ TerminalServices PATH Win32_TSPermissionsSETting WHERE (TerminalName = 'RDP-Tcp') CALL AddAccount 'corp \ AllowRDSShadow' CALL
2018. januárban, a KB4056898 frissítés (a Meltdown és a Specter elleni Windows javítás) telepítése után a felhasználók azt tapasztalták, hogy az árnyékhozzáférés leállt a Windows Server 2012 R2 rendszerben. Amikor megpróbál árnyékkapcsolatot létrehozni egy idegen munkamenettel, az "Azonosítatlan hiba" üzenet jelenik meg (a naplókban STATUS_BAD_IMPERSONATION_LEVEL hiba van). Hasonló probléma merült fel a Windows Server 2016 alapú RDS farmban.
A probléma megoldásához külön frissítéseket kell telepítenie:
- a Windows Server 2016 számára - KB4057142 (2018. január 17.)
- a Windows Server 2012 R2 számára - KB4057401 (2018. január 17.)
