К сожалению, довольно часто в организациях я наблюдаю печальную картину как сотрудники на соседний в локалке компьютер могут «ходить» через TeamViewer или AnyDesk — чтобы не занимать сеанс целиком, а получить совместное управление. В моей картине мира подобная эксплуатация вышеперечисленного ПО неприемлема, если уж «делать неправильно» — то иначе. Прошлая заметка была посвящена снятию ограничений на количество одновременных терминальных сеансов при помощи RDP Wrapper, а сегодня я хочу рассказать об еще одной возможности, предоставляемой этим инструментом.
Администраторы серверов служб терминалов наверняка знакомы c RDP Shadowing — механизм, который позволяет подключаться к существующим терминальным сессиям. Статей по этой технологии много, но все они в основном описывают работу именно на терминальном сервере. В нашем же случае речь пойдёт про обычную рабочую станцию (которая даже может быть в составе рабочей группы, а не домена) с установленным RDP Wrapper. В поставляемой с «враппером» утилите конфигурирования RDP убедитесь, что в разделе Session Shadowing Mode включен режим Full access with user’s permission, после чего нужно выполнить небольшую донастройку брандмауэра и политик безопасности.
Сначала идём в настройки брандмауэра и включаем следующие правила:
- Удаленный рабочий стол — теневая копия (TCP — входящий трафик) — Любые входящие порты для приложения %SystemRoot%\system32\RdpSa.exe
- Общий доступ к файлам и принтерам (входящий трафик сеанса NB) — TCP 139
- Общий доступ к файлам и принтерам (входящий трафик SMB) — TCP 445
Следующий шаг — настройка групповых политик через gpedit.msc:
Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Подключения
- Ограничить количество подключений: Включена
- Ограничить пользователей служб удаленных рабочих столов одним сеансом служб удаленных рабочих столов: Отключена
Всё, теперь можно подключаться к пользовательским сеансам через Shadowing. Для сеанса с ID 1 в режиме «только просмотр» подключение будет выглядеть следующим образом:
mstsc.exe /shadow:1 /v:192.168.88.40 /prompt
Для режима «полный доступ к управлению» нужно подключаться вот так:
mstsc.exe /shadow:1 /v:192.168.88.40 /prompt /control
Ну а для режима «полный доступ к управлению и пользователя мы не спрашиваем»:
mstsc.exe /shadow:1 /v:192.168.88.50 /prompt /control /noConsentPrompt