Điều khiển từ xa phiên người dùng máy chủ Windows. Điều khiển từ xa phiên người dùng Windows - chúng tôi sử dụng các công cụ tiêu chuẩn. Cách cho phép người dùng chuẩn sử dụng kết nối bóng

lệnh cmd:
Phiên truy vấn - danh sách các phiên
Mstsc.exe/shadow:sessionID /control /noConsentPrompt

http://winitpro.ru/index.php/2014/02/12/rds-shadow-v-windows-2012-r2/

Ngoài ra, chế độ RD Shadow và ứng dụng khách thứ rdp còn có một số tính năng mới thú vị. Danh sách đầy đủ các tùy chọn máy khách mstsc.exe rdp xác định khả năng kết nối từ xa với phiên người dùng cuối:

Mstsc.exe ]

/bóng:ID- kết nối với phiên cuối với ID được chỉ định

/v:tên máy chủ- tên máy chủ đầu cuối (nếu không được chỉ định, tên hiện tại sẽ được sử dụng)

/điều khiển- khả năng tương tác với phiên người dùng (nếu không được chỉ định, chế độ xem phiên người dùng sẽ được sử dụng).

/noConsentPrompt- không yêu cầu người dùng xác nhận để kết nối với phiên

Hạn chế của phiên bóng RDS trong Windows 2012 R2

Chỉ quản trị viên máy chủ mới có thể kết nối với phiên của người khác. Những quyền này không thể được ủy quyền bởi người dùng thông thường.

RDS Shadow sẽ không hoạt động trên các mạng dựa trên nhóm làm việc

Remote Desktop Shadow - hoạt động trong GUI

Bạn có thể kết nối với phiên người dùng bằng tiện ích mstsc.exe hoặc trực tiếp từ bảng điều khiển Trình quản lý Máy chủ. Để thực hiện việc này, trong bảng điều khiển Trình quản lý Máy chủ, hãy mở QuickSessionCollection.

Bằng cách nhấp vào phiên của người dùng mà bạn quan tâm, hãy chọn Shadow từ menu ngữ cảnh.

Cửa sổ Cài đặt kết nối Shadow sẽ xuất hiện. Có thể xem ( Xem) và kiểm soát ( Điều khiển) phiên họp. Ngoài ra, bạn có thể kích hoạt tùy chọn Nhắc sự đồng ý của người dùng(yêu cầu sự đồng ý kết nối từ người dùng).

Nếu tùy chọn “Yêu cầu xác nhận” được chọn, người dùng sẽ được hỏi trong phiên:

Winitpro\administrator đang yêu cầu xem phiên của bạn từ xa. Bạn có chấp nhận yêu cầu không?

Nếu người dùng xác nhận kết nối, quản trị viên sẽ nhìn thấy màn hình của anh ta và có thể tương tác với anh ta.

Khuyên bảo. Để ngắt kết nối khỏi phiên người dùng và thoát khỏi chế độ bóng, nhấn ALT+* tại một trạm làm việc hoặc Ctrl+* trên máy chủ đầu cuối (trừ khi các kết hợp thay thế được chỉ định).

Nếu người dùng từ chối kết nối, một cửa sổ sẽ xuất hiện:

Lỗi bóng:

Nếu bạn cố gắng kết nối với phiên người dùng mà không yêu cầu xác nhận, một lỗi sẽ xuất hiện cho biết hành vi này được định cấu hình bởi chính sách nhóm:

Lỗi bóng: Cài đặt Chính sách nhóm được định cấu hình để yêu cầu sự đồng ý của người dùng. Xác minh cấu hình của cài đặt chính sách.

Các tham số để quản lý từ xa các phiên đầu cuối của người dùng được cấu hình theo chính sách Đặt quy tắc để điều khiển từ xa các phiên người dùng Dịch vụ Máy tính Từ xa, được đặt trong Chính sách -> Mẫu quản trị -> Thành phần Windows -> Dịch vụ máy tính từ xa -> Máy chủ phiên từ xa -> Kết nối trong phần người dùng và "máy tính" của GPO.

Chính sách này có thể định cấu hình các tùy chọn kết nối sau thông qua RD Shadow:

Không cho phép điều khiển từ xa - cấm điều khiển từ xa

Kiểm soát hoàn toàn với sự cho phép của người dùng - Kiểm soát hoàn toàn với sự cho phép của người dùng

Kiểm soát hoàn toàn mà không cần sự cho phép của người dùng - toàn quyền kiểm soát mà không cần sự cho phép của người dùng

Xem phiên với sự cho phép của người dùng - giám sát phiên có xác nhận

Xem phiên mà không có sự cho phép của người dùng - theo dõi phiên mà không cần xác nhận

Điều xảy ra là quản trị viên hệ thống cần quản lý từ xa một trong các máy tính của người dùng, tương tác với người dùng, sử dụng phần cứng khá yếu. Trong trường hợp này, việc sử dụng phần mềm như Team Viewer được coi là không phù hợp do chúng chiếm nhiều tài nguyên bộ xử lý, điều này gây ra sự gia tăng tải của bộ xử lý lên tới 98%. Việc sử dụng RDP tiêu chuẩn thường dẫn đến việc "hạ gục" người dùng hiện tại, điều này sẽ yêu cầu nhập mật khẩu để đăng nhập vào tài khoản cục bộ. Trong trường hợp này, lệnh đổ bóng là một giải pháp tuyệt vời. Trên thực tế, hôm nay chúng ta sẽ nói về cách sử dụng nó trong tình huống này.

Để giám sát các phiên Dịch vụ Máy tính Từ xa khác, bạn sẽ cần các cài đặt sau:

BÓNG TỐI (<имя ceaнса> | }

< имя ceaнса >Tên phiên.

< ID ceaнса >ID phiên.

/MÁY CHỦ: Máy chủ đầu cuối (mặc định hiện tại).

/V Hiển thị thông tin về các hành động đã hoàn thành.

Vì vậy, ví dụ, để quản lý các phiên bảng điều khiển và tức là những người dùng hiện tại đang ngồi trực tiếp tại máy làm việc, trong máy chủ đầu cuối, bạn cần phải thực thi - Shadow0. Trên máy tính thông thường, alt* được sử dụng để thoát và trên máy chủ đầu cuối, ctrl* được sử dụng.

Có một số sắc thái khó chịu ở đây. Một trong số đó là lệnh này có thể hoạt động độc quyền trong các phiên RDP.

Trong trường hợp máy chạy Windows XP, có thể cần phải mở rộng khả năng của nó bằng cách biến nó thành máy chủ đầu cuối. Đồng thời, tác vụ được đơn giản hóa đáng kể - bạn có thể kết nối từ bất kỳ tài khoản người dùng nào có quyền quản trị viên thông qua RDP và bằng cách chạy lệnh, thực thi - Shadow0. Vì vậy, chúng tôi kết thúc trong một phiên giao diện điều khiển, đó là điều chúng tôi cần chứng minh. Để giảm tải phần cứng, khi tạo kết nối RDP, hãy chọn mục khởi chạy chương trình tiếp theo khi kết nối, sau đó nhập Shadow0 vào đó. Trong trường hợp này, chúng ta sẽ chỉ nhận được hai tiến trình đang chạy.

Để chương trình hoạt động, bạn cần kết nối RemoteRPC, việc này có thể được thực hiện thông qua sổ đăng ký:

“AllоwRemoteRPС”=dword:00000001

Tiếp theo, bằng cách sử dụng “Trình quản lý dịch vụ máy tính từ xa”, bạn có thể xem thông tin về người dùng nào đã đăng nhập vào máy tính, quy trình nào đang chạy trên máy cục bộ và ID mà mỗi người dùng có.

Người dùng sẽ được hỏi về quyền quản lý theo mặc định. Điều này có thể bị vô hiệu hóa hoặc việc giám sát có thể được thực hiện từ xa. Để thực hiện việc này, hãy vào lại sổ đăng ký:

"Bóng"=dword:0000000x

Trong trường hợp này, “x” có thể nhận các giá trị sau:

1 – khả năng kiểm soát hoàn toàn với sự cho phép của khách hàng;

2 – kiểm soát tuyệt đối mà không cần xin phép khách hàng;

3 – quan sát phiên họp (có sự cho phép);

4 – quan sát buổi học (không có sự cho phép của khách hàng)

Ban đầu, dòng này không có trong sổ đăng ký và nó phải được tạo từ đầu.

Thông qua các chính sách địa phương, bạn có thể kích hoạt các chính sách tên miền hoặc địa phương. Trong trường hợp kết nối cục bộ, bạn cần chạy gpedit.msc, sau đó chọn các mẫu quản trị, sau đó đi tới mục “Thêm và xóa mẫu” và thêm System.adm từ thư mục WINDOWS\inf. Sau này, bạn có thể định cấu hình máy cục bộ bằng cách đi tới các mẫu quản trị, sau đó đến “Cấu phần Windows” - “Dịch vụ đầu cuối” và đặt quy tắc quản lý ở chế độ từ xa. (Windows XP)

Đối với Windows 7, “Mẫu quản trị” - “Thành phần dịch vụ máy tính từ xa” - sau đó là “Máy chủ phiên máy tính từ xa” - “Kết nối” 0 đặt quy tắc để quản lý từ xa phiên người dùng của Dịch vụ máy tính từ xa.

Trong máy chủ đầu cuối, thông qua các thuộc tính RDP, chúng tôi có thể đặt quyền điều khiển từ xa cho bất kỳ người dùng nào, thiết lập quản lý các phiên từ xa và tương tác với họ một cách riêng biệt.

Nếu bạn có cơ sở hạ tầng lấy máy trạm làm trung tâm thì bạn sẽ biết việc chẩn đoán và giải quyết vấn đề từ xa cho người dùng của mình khó đến mức nào. Bạn có thể sử dụng các công cụ như Máy chủ quản lý hệ thống Microsoft (SMS) và Hỗ trợ từ xa Windows XP để chạy trên PC của người dùng và bạn biết cách kết nối từ xa với sổ đăng ký mạng để thay đổi cài đặt của người dùng.

Dịch vụ đầu cuối làm cho các tác vụ này trở nên dễ dàng hơn. Thay vì tìm kiếm một số máy trạm trên một trang web từ xa trên mạng của bạn, bạn và người dùng của bạn đều đăng nhập vào cùng một máy tính. Và vì cả hai bạn đều đang sử dụng RDP để truyền dữ liệu KVM nên bạn có thể dễ dàng can thiệp. Để hiển thị các kỹ thuật hỗ trợ khác nhau, trước tiên hãy giới thiệu các tiện ích hỗ trợ.

Người quản lý dịch vụ đầu cuối

Khi bạn chạy tiện ích Terminal Services Manger, danh sách tất cả các máy chủ được cài đặt Dịch vụ đầu cuối sẽ được hiển thị. Với tiện ích này, bạn có thể dễ dàng xem người dùng đang kết nối với máy chủ nào và từ thiết bị khách nào, quy trình và ứng dụng nào đang chạy trong phiên của họ.

Nếu bạn quen thuộc với Trình quản lý dịch vụ đầu cuối Win2K, bạn sẽ nhận thấy một số cải tiến trong phiên bản đi kèm với WS2K3. Đầu tiên, phiên bản mới chứa một nút Máy tính này, cho phép truy cập nhanh vào các phiên của máy chủ mà bạn đã đăng nhập. Thứ hai, có một nút Máy chủ yêu thích, cho phép bạn truy cập vào một số máy chủ đầu cuối mà bạn thường quản lý nhất. Cuối cùng là nút Tất cả các máy chủ được liệt kê ban đầu không được tiết lộ, vì vậy bạn không phải đợi lâu để tìm tất cả các máy chủ đầu cuối trước khi sử dụng tiện ích này.

Nếu bạn chọn một máy chủ, tiện ích sẽ hiển thị danh sách tất cả các phiên của người dùng trên máy chủ đó. Trạng thái của mỗi phiên cũng được hiển thị:

Đang hoạt động - Người dùng hiện đang gửi dữ liệu nhập bằng bàn phím hoặc chuột đến máy chủ
Idle (nhàn rỗi) - Người dùng không di chuyển chuột hoặc nhấn bất kỳ phím nào trong một khoảng thời gian nhất định
Đã ngắt kết nối - Người dùng đã ngắt kết nối khỏi máy chủ nhưng vẫn để phiên chạy để kết nối thêm.

Nếu bạn chọn một phiên người dùng ở khung bên trái, khung bên phải sẽ hiển thị danh sách tất cả các tiến trình đang chạy bởi người dùng trên máy chủ. Trong bảng này, bạn có thể chấm dứt một quá trình bị mắc kẹt.

Chuyển hướng Thông tin Ngăn bên phải báo cáo tên thiết bị và địa chỉ IP của máy khách, cũng như phiên bản máy khách RDP, độ phân giải màn hình và mức mã hóa. Thông tin này sẽ giúp bạn khắc phục sự cố. Nếu bạn nhấp chuột phải vào phiên người dùng, một menu ngữ cảnh sẽ xuất hiện:

Kết nối - Cho phép bạn kết nối với phiên khác mà bạn đã thiết lập trên máy chủ
Ngắt kết nối - Ngắt kết nối người dùng khỏi phiên nhưng để phiên chạy trên máy chủ
Điều khiển từ xa - Cho phép bạn xem hoặc tương tác với phiên của người dùng mà không cần ngắt kết nối người dùng. Người dùng nhìn thấy bất kỳ hành động nào bạn thực hiện và đến lượt bạn, bạn có thể giám sát hành động của người dùng.
Đặt lại - Tắt phiên
Trạng thái - Hiển thị cửa sổ trạng thái hiển thị hoạt động mạng giữa máy chủ và máy khách.
Đăng xuất - Buộc chấm dứt phiên

Lựa chọn Đăng xuất kết thúc phiên một cách duyên dáng và tải hồ sơ của người dùng lên thư mục hồ sơ trung tâm. Tuy nhiên, nó không cho phép người dùng lưu lại công việc của họ.

Điều khiển từ xa

Khi bạn chọn tùy chọn Điều khiển từ xa, bạn tạm thời bị ngắt kết nối khỏi phiên của mình và được kết nối với phiên của người dùng. RDP hiện gửi tất cả thông tin video đến cả máy của bạn và thiết bị khách của người dùng, đồng thời nhận các lần nhấn phím và chuyển động chuột từ cả hai bạn (nếu bạn đã thiết lập điều khiển từ xa tương tác).

Trong quá trình điều khiển từ xa, người dùng có thể xem bạn khởi chạy ứng dụng, thay đổi cài đặt, v.v. và bạn có thể xem hành động của người dùng. Điều quan trọng cần nhớ là mọi hạn chế bạn áp dụng cho người dùng sử dụng Chính sách nhóm cũng sẽ được áp dụng trong quá trình quản lý từ xa, vì vậy nếu bạn đã tắt tính năng chỉnh sửa sổ đăng ký, bạn sẽ không thể chạy REGEDIT trong quá trình quản lý từ xa.

Chỉnh sửa sổ đăng ký

Đôi khi cần phải chỉnh sửa sổ đăng ký của người dùng. Trong trường hợp máy trạm, bạn cần kết nối với sổ đăng ký từ xa của máy tính người dùng. Trên máy chủ đầu cuối, bạn chia sẻ cùng một sổ đăng ký với người dùng của mình. Chỉ có một khóa HKEY_LOCAL_MACHINE cho tất cả người dùng và khóa HKEY_CURRENT_USER cho mỗi phiên có thể được tìm thấy trong HKEY_USERS.

Mỗi sổ đăng ký người dùng có SID riêng. Cách nhanh nhất để tìm người dùng bạn đang tìm nếu bạn không biết SID của họ là xem thông tin đăng nhập Môi trường dễ bay hơi cho mỗi người dùng. Khóa con này chứa biến APPDATA chứa tên người dùng. Mọi thay đổi được thực hiện sẽ được hiển thị ngay lập tức cho người dùng.

Nhu cầu buộc người dùng phải tắt máy chủ yếu phát sinh trong các trường hợp sau:

Cập nhật cơ sở thông tin;
Thêm đối tượng siêu dữ liệu mới vào cấu hình;
Thực hiện công việc phòng ngừa và sửa chữa trên máy chủ;
Phiên người dùng bị treo đang ngăn ứng dụng khởi động lại.

Trong bài viết này, chúng tôi sẽ cố gắng cho bạn biết cách kết thúc phiên người dùng, quản trị viên có những công cụ nào trong kho vũ khí của mình để hoàn thành tác vụ này, tùy chọn chấm dứt nào được cung cấp bởi phiên bản tệp và tùy chọn chấm dứt nào được cung cấp bởi phiên bản máy khách-máy chủ của 1C .

Điều quan trọng cần nhớ là việc buộc chấm dứt phiên có thể dẫn đến mất dữ liệu. Vì vậy, để tránh những tình huống khó chịu, nên cảnh báo trước cho người dùng về việc ngắt kết nối.

Đóng phiên từ bộ cấu hình

Khi thay đổi cấu trúc cơ sở dữ liệu, các bản cập nhật cấu hình động sẽ không còn khả dụng nữa. Và một cửa sổ thông tin xuất hiện trên màn hình (Hình 1).

Trình tự hành động trong trường hợp này là rõ ràng:

Bạn phải nhấp vào nút “Kết thúc phiên và lặp lại”;
Đợi cửa sổ tái cấu trúc cơ sở dữ liệu;
Nhấp vào "OK".

Cần lưu ý rằng những thay đổi được thực hiện đối với mã chương trình không yêu cầu người dùng phải tắt nhưng chúng sẽ không hoạt động trên thiết bị đó nếu không khởi động lại ứng dụng trên từng máy tính cụ thể.

Kết thúc phiên trực tiếp từ chương trình

Hầu hết các sản phẩm 1C tiêu chuẩn, phiên bản 8, đều có cơ chế cho phép bạn dễ dàng chấm dứt công việc của người dùng từ xa và cung cấp cho quản trị viên quyền truy cập độc quyền vào cơ sở dữ liệu. Đây là quá trình xử lý "Chặn kết nối tới cơ sở thông tin".

Bạn có thể tìm thấy nó ở một trong hai địa chỉ:

Trong một trong các menu con của phần “Dịch vụ”;
Đi tới phần Hoạt động-> Xử lý.

Hình 2

Sự xuất hiện của quá trình xử lý được thể hiện trong Hình 2.

Đặc điểm của quá trình xử lý này:

Việc chọn hoặc bỏ chọn hộp và nhấp vào nút Ghi sẽ bật và tắt tính năng chặn người dùng, xóa phiên và ngăn tạo kết nối mới;
Thời gian kết thúc chặn không được để trống hoặc nhỏ hơn thời gian bắt đầu;
Nếu tham số “Mã quyền” được chỉ định, nó có thể được nhập vào dòng khởi động để bỏ qua việc chặn bằng cách chỉ định “/UC” trước mã;
Nếu bạn không chỉ định “Mã cấp phép”, thì việc truy cập vào cơ sở dữ liệu sẽ gặp vấn đề trước khi hết thời gian chặn (trong phiên bản tệp của công việc, bạn có thể thử xóa tệp 1CVcdn khỏi thư mục cơ sở dữ liệu);
Nếu thay vì tham số “/UC” và mật khẩu cách nhau bằng dấu cách, bạn chỉ định “/CAllow Users to Work”, trong đó C là tiếng Latin, bạn hoàn toàn có thể tắt tính năng chặn đối với tất cả người dùng;
Nhấp vào nút “Người dùng đang hoạt động” sẽ mở ra một cửa sổ có danh sách người dùng đầy đủ (Hình 3), từ đó bạn có thể mở “Nhật ký đăng ký” hoặc kết thúc phiên của từng người dùng cụ thể.

Hình 3

Hai tùy chọn trên hoạt động tốt ở cả chế độ tệp và máy khách-máy chủ. Hơn nữa, chúng tôi sẽ xem xét các trường hợp điển hình chỉ dành cho công việc của máy chủ.

Xóa người dùng khỏi rdp

Điều quan trọng cần nhớ là chỉ có thể ngắt kết nối phiên người dùng khỏi máy chủ nếu bạn có một số quyền nhất định để thực hiện việc này.

Khi làm việc từ máy tính để bàn từ xa, bạn có thể kết thúc phiên của người dùng bằng trình quản lý tác vụ tiêu chuẩn. Đơn giản là làm gián đoạn các buổi tập thì hơi sai, nhưng khá hiệu quả.

Tùy chọn thứ hai là sử dụng trình quản lý tác vụ - kết nối từ xa với khả năng kiểm soát từng phiên cụ thể và thoát khỏi chương trình theo tất cả các quy tắc. Phương pháp này mất nhiều thời gian và không ai đảm bảo rằng khi một người dùng đăng xuất, chương trình sẽ không được khởi chạy bởi bất kỳ nhân viên nào khác.

Xóa người dùng thông qua bảng điều khiển máy chủ

Có quyền Quản trị viên cho cụm máy chủ 1C, bạn phải:

Rất thường xuyên, khi làm việc ở chế độ máy chủ, phiên người dùng bị treo không hiển thị thông qua các công cụ nền tảng; chúng chỉ có thể bị xóa thông qua bảng điều khiển.

Cách triệt để nhất để làm gián đoạn phiên

Trường hợp các phương pháp trên không hiệu quả là cực kỳ hiếm. Nhưng nếu điều đó xảy ra, có một cách triệt để khác để làm gián đoạn các kết nối tới cơ sở dữ liệu: khởi động lại máy chủ về mặt vật lý.

Tất nhiên, những người dùng không có thời gian hoàn thành công việc và lưu dữ liệu sẽ vô cùng phẫn nộ trước thái độ vô liêm sỉ như vậy, nhưng nó nhanh chóng và cực kỳ hiệu quả.

Trên Windows 2012 R2 và Windows 8.1 Microsoft chức năng trả vềXaMáy tính để bànBóng tối(kết nối bóng). Hãy để chúng tôi nhắc bạn rằng quản trị viên có thể sử dụng chế độ Shadow (phiên bóng) để xem và quản lý phiên RDP hiện có của bất kỳ người dùng nào. Chế độ hoạt động này hầu như đã được hỗ trợ kể từ các phiên bản đầu tiên của máy chủ đầu cuối Microsoft và bị loại bỏ bất ngờ trong Windows Server 2012 (do việc chuyển ngăn xếp thứ rdp từ chế độ kernel sang chế độ người dùng). Chức năng RDS Shadow cũng hoạt động trong các phiên bản HĐH sau: Windows Server 2016 / Windows 10.

Ngoài ra, chế độ kết nối RDS Shadow và máy khách RDP còn có một số tính năng mới thú vị. Danh sách đầy đủ các tham số máy khách RDP mstsc.exe xác định khả năng kết nối theo dõi từ xa với phiên người dùng cuối:

Mstsc.exe ]

/bóng:ID– kết nối với phiên RDP với ID được chỉ định.

/v:tên máy chủ– Tên RDP/RDS của máy chủ đầu cuối (nếu không được chỉ định thì tên hiện tại sẽ được sử dụng).

/điều khiển– khả năng tương tác với phiên người dùng (nếu không được chỉ định, chế độ xem phiên người dùng sẽ được sử dụng).

/noConsentPrompt– không yêu cầu người dùng xác nhận để kết nối với phiên.

/lời nhắc -được sử dụng để kết nối theo các thông tin xác thực khác nhau. Bạn được nhắc nhập tên người dùng và mật khẩu để kết nối với máy tính từ xa.

Hạn chế của phiên bóng RDS trong Windows 2012 R2

Chỉ quản trị viên máy chủ mới có thể kết nối với phiên của người khác. Những quyền này không thể được ủy quyền bởi người dùng thông thường.
RDSBóng tốisẽ không hoạt động trên các mạng dựa trên nhóm làm việc

Sử dụng Remote Desktop Shadow từ GUI đồ họa

Bằng cách nhấp vào phiên của người dùng mà bạn quan tâm, hãy chọn Shadow từ menu ngữ cảnh.

Cửa sổ Cài đặt kết nối Shadow sẽ xuất hiện. Có thể xem ( Xem) và kiểm soát ( Điều khiển) phiên họp. Ngoài ra, bạn có thể kích hoạt tùy chọn Lời nhắcvìngười dùngbằng lòng(Yêu cầu người dùng đồng ý kết nối với phiên).

Nếu tùy chọn “Nhắc sự đồng ý của người dùng” được chọn, người dùng sẽ được hỏi trong phiên:

Yêu cầu giám sát từ xa

Winitpro\quản trị viên yêu cầu xem phiên của bạn từ xa. Bạn chấp nhận yêu cầu này.

Winitpro\administrator đang yêu cầu xem phiên của bạn từ xa. Bạn có chấp nhận yêu cầu không?

Nếu người dùng xác nhận kết nối, ở chế độ xem, quản trị viên sẽ nhìn thấy màn hình của mình nhưng sẽ không thể tương tác với nó.

Khuyên bảo. Để ngắt kết nối khỏi phiên người dùng và thoát khỏi chế độ bóng, nhấn ALT+* tại một trạm làm việc hoặc Điều khiển+* trên máy chủ đầu cuối (trừ khi các kết hợp thay thế được chỉ định).

Nếu người dùng từ chối kết nối, một cửa sổ sẽ xuất hiện:

Lỗi bóng:

Nếu bạn cố gắng kết nối với phiên người dùng mà không yêu cầu xác nhận, một lỗi sẽ xuất hiện cho biết điều này bị cấm theo chính sách nhóm:

Lỗi bóng: Cài đặt Chính sách nhóm được định cấu hình để yêu cầu sự đồng ý của người dùng. Xác minh cấu hình của cài đặt chính sách.

Các tham số để quản lý từ xa các phiên RDS của người dùng được định cấu hình theo chính sách Đặt quy tắc để điều khiển từ xa các phiên người dùng Dịch vụ Máy tính Từ xa (Đặt quy tắc điều khiển từ xa cho phiên người dùng Dịch vụ máy tính từ xa), nằm trong phần Chính sách -> Mẫu quản trị -> Thành phần Windows -> Dịch vụ máy tính từ xa -> Máy chủ phiên từ xa -> Kết nối (Mẫu quản trị -> Cấu phần Windows -> Dịch vụ máy tính từ xa - Máy chủ phiên máy tính từ xa -> Kết nối) trong phần người dùng và máy tính của GPO. Chính sách này tương ứng với tham số đăng ký dword Bóng tối trong chủ đề HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.

Chính sách này có thể định cấu hình các tùy chọn kết nối bóng sau thông qua kết nối bóng RD Shadow::

Không cho phép điều khiển từ xa - không cho phép điều khiển từ xa (Giá trị khóa đăng ký bóng = 0);
Kiểm soát hoàn toàn với sự cho phép của người dùng - kiểm soát hoàn toàn với sự cho phép của người dùng (1);
Kiểm soát hoàn toàn mà không cần sự cho phép của người dùng - toàn quyền kiểm soát mà không cần sự cho phép của người dùng (2);
Xem phiên với sự cho phép của người dùng – theo dõi phiên với sự cho phép của người dùng (3);
Xem phiên mà không có sự cho phép của người dùng – theo dõi phiên mà không có sự cho phép của người dùng (4).

Kết nối RDS Shadow từ PowerShell

Bạn cũng có thể sử dụng chức năng của kết nối bóng với phiên người dùng thông qua kết nối bóng Dịch vụ máy tính từ xa từ Powershell.

Trước hết, chúng tôi sẽ hướng dẫn cách lấy danh sách các phiên trên máy chủ đầu cuối (phiên của người dùng sẽ được nhóm thành các nhóm tùy thuộc vào trạng thái của họ):

Nhận-RDUserSession | ft Tên người dùng, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate

Chúng tôi tìm thấy ba phiên cuối đang hoạt động trên máy chủ này. Hãy kết nối với phiên người dùng với ID phiên 3:
Mstsc /bóng:3 /điều khiển
Bạn cũng có thể chạy lệnh để lấy danh sách tất cả các phiên trên máy chủ

Màn hình sẽ hiển thị danh sách các phiên RDP, ID và trạng thái của chúng: phiên hoạt động (Active) hoặc đã ngắt kết nối (Disconnected).

Để có danh sách các phiên trên máy chủ từ xa, hãy chạy lệnh:

phiên truy vấn/máy chủ:tên máy chủ

Để kết nối bóng thuận tiện hơn với các phiên, bạn có thể sử dụng tập lệnh sau. Tập lệnh sẽ nhắc bạn nhập tên của máy tính từ xa và sẽ hiển thị danh sách tất cả các phiên và nhắc bạn chỉ định phiên mà bạn muốn kết nối:

bóng.bat

@echo tắt

phiên truy vấn/máy chủ:%rcomp%
set /P rid="Nhập ID người dùng RDP: "

Bạn có thể đặt file này vào thư mục %Windir%\System32, do đó, đối với kết nối Shadow bạn chỉ cần chạy lệnh bóng tối.

Để kết nối với phiên bảng điều khiển, bạn có thể sử dụng tập lệnh sau:

@echo tắt
set /P rcomp="Nhập tên hoặc IP của PC từ xa: "
for /f "tokens=3 delims= " %%G in ("bảng điều khiển phiên truy vấn /máy chủ:%rcomp%") do set rid=%%G
bắt đầu mstsc /shadow:%rid% /v:%rcomp% /control

Cách cho phép người dùng chuẩn sử dụng kết nối bóng

Trong các ví dụ được thảo luận ở trên, để sử dụng kết nối tối với các phiên cuối, bạn cần có quyền quản trị viên cục bộ trên máy chủ RDS. Tuy nhiên, bạn có thể cho phép sử dụng kết nối bóng để kết nối với phiên của người dùng và người dùng thông thường (mà không cấp cho họ quyền quản trị viên cục bộ trên máy chủ).

Ví dụ: nếu bạn muốn cho phép các thành viên của nhóm AllowRDSShaw theo dõi các kết nối với phiên của người dùng, hãy chạy lệnh:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") GỌI AddAccount "corp\AllowRDSShadow",2

Vào tháng 1 năm 2018, sau khi cài đặt bản cập nhật KB4056898 (), người dùng gặp phải tình trạng truy cập bóng đã ngừng hoạt động trong Windows Server 2012 R2. Khi bạn cố gắng tạo kết nối ẩn với phiên của người khác, thông báo “Lỗi không xác định” sẽ xuất hiện (lỗi STATUS_BAD_IMPERSONATION_LEVEL có trong nhật ký). Sự cố tương tự đã xảy ra trên nhóm RDS dựa trên Windows Server 2016.

Để giải quyết vấn đề, bạn cần cài đặt các bản cập nhật riêng biệt:

dành cho Windows Server 2016 - KB4057142(từ ngày 17 tháng 1 năm 2018)
cho Windows Server 2012 R2 - K.B.4057401 (từ ngày 17 tháng 1 năm 2018)