Теневое подключение RDP в Windows 10

Обновлено: 03.07.2024

Чтобы установить теневое соединение с сеансом пользователя, необходимо использовать стандартный инструмент RDP mstsc.exe. Команда выглядит так:

Mstsc.exe /shadow: /v:

Вы также можете использовать один из следующих вариантов:

  • /prompt — запросить учетные данные пользователя для подключения (если не указано, вы будете подключены с текущими учетными данными пользователя);
  • /control — режим, позволяющий взаимодействовать с сеансом пользователя. Если параметр не установлен, вы будете подключены к сеансу пользователя в режиме просмотра, т.е. е. вы не сможете управлять мышью пользователя или вводить данные с клавиатуры;
  • /noConsentPrompt — позволяет не запрашивать у пользователя подтверждение подключения к сеансу.


ЧТОБЫ ВКЛЮЧИТЬ УДАЛЕННОЕ ЗАТЕНЕНИЕ:

Параметры удаленного теневого копирования настраиваются с помощью групповой политики или изменения реестра. Вы можете настроить, нужно ли запрашивать подтверждение пользователя для подключения, а также разрешен ли просмотр или управление в теневом сеансе.

Политика находится в разделе редактора GPO Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел удаленных сеансов -> Подключения и называется Установить правила для удаленного управления пользователем служб удаленных рабочих столов. сеансы.

0 – отключить дистанционное управление;
1 — полный доступ с разрешения пользователя;
2 — полный доступ без разрешения пользователя;
3 — просмотр сеанса с разрешения пользователя;
4 — просмотр сеанса без разрешения пользователя.

По умолчанию этот параметр реестра не установлен, и теневое подключение выполняется в режиме полного контроля с разрешениями пользователя.

ПРИМЕЧАНИЕ. Чтобы удаленно подключиться к сеансу пользователя с помощью теневого копирования, подключающаяся учетная запись должна иметь права администратора и включенный удаленный рабочий стол (RDP) на компьютере с Windows 10 (в свойствах системы).


УДАЛЕННОЕ ПОДКЛЮЧЕНИЕ К РАБОЧЕЙ СТАНЦИИ WINDOWS 10

1 – удаленно запросить список сеансов на рабочей станции Windows 10 с помощью следующей команды (без кавычек):

RemoteRPC должен быть включен на клиенте через редактор реестра:

Раздел реестра: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server
Значение: «AllowRemoteRPC»=dword:00000001

Режим теневого сеанса позволяет администраторам RDS просматривать рабочий стол пользователя и взаимодействовать с ним. Режим Remote Desktop Shadowing работает на всех современных версиях Windows, начиная с Windows Server 2012 R2 и Windows 8.1 (кроме Windows Server 2012, в связи с переносом стека RDP из режима ядра в режим пользователя). В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения и управления активными пользовательскими сеансами RDP в Windows Server 2016 и Windows 10.

Параметры теневого подключения в клиенте Windows RDP (mstsc.exe)

В Windows Server 2016/Windows 10 встроенный клиент RDP ( mstsc.exe ) имеет несколько специальных параметров, которые можно использовать для удаленного теневого подключения к активному сеансу RDP любого пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [/prompt]]

mstsc. exe - параметры теневого подключения rdp в Windows 10

  • /shadow:ID — подключиться к RDP-сессии пользователя с указанным ID;
  • /v:servername — вы можете указать имя хоста или IP-адрес удаленного хоста RDP/RDS. Если не задано, подключения выполняются к локальным сеансам пользователей на текущем хосте;
  • /control — позволяет взаимодействовать с сеансом пользователя (рабочим столом). Администратор может управлять мышью пользователя, вводить данные с клавиатуры. Если этот параметр не задан, используется режим просмотра сеанса пользователя;
  • /noConsentPrompt — опция позволяет администратору принудительно подключиться к любой сессии, не запрашивая у пользователя подтверждение подключения;
  • /prompt — позволяет подключиться с другими учетными данными. Для подключения к удаленному компьютеру запрашиваются имя пользователя и пароль.

Теневые сеансы можно использовать для подключения к сеансам пользователей на компьютерах и серверах как в домене Active Directory, так и в рабочей группе. Кроме того, нет необходимости иметь права администратора на хосте RDS, на котором запущен сеанс RDP пользователя. Администраторы могут делегировать разрешения RDS Shadowing любой учетной записи пользователя, даже не являющейся администратором (подробнее об этом ниже).

Использование тени удаленного рабочего стола из графического интерфейса Windows

Вы можете подключиться к сеансу пользователя с помощью mstsc.exe или напрямую из графической консоли диспетчера серверов. Для этого откройте консоль диспетчера серверов на сервере RDS, перейдите в раздел Службы удаленных рабочих столов -> выберите свою коллекцию, например QuickSessionCollection.

RDS 2012 R2 — QuickSessionCollection

Список справа будет содержать список пользователей, у которых есть сеансы на этом сервере RDS. Щелкните правой кнопкой мыши нужный сеанс пользователя и выберите «Тень» в раскрывающемся меню.

Вы можете подключиться только к активному пользовательскому сеансу. Если сеанс находится в отключенном состоянии (из-за настроек лимита/тайм-аута сеанса RDS), вы не можете подключиться к такому сеансу:

Shadow Error — The указанный сеанс не подключен.

Появится окно с параметрами теневого подключения. Вы можете просматривать или контролировать сеанс RDP пользователя. Вы также можете установить флажок Запрашивать согласие пользователя.

теневое подключение к сеансу удаленного рабочего стола пользователя на сервере Windows 2016

Если этот параметр отмечен, в сеансе RDP пользователя появляется следующий запрос:

rds shadow Запрос удаленного мониторинга в сеансе RDP пользователя

Если пользователь подтвердит подключение, администратор увидит его рабочий стол в режиме просмотра, но не сможет с ним взаимодействовать.

тестирование теневого подключения к сеансу пользователя rdp

Совет. Чтобы отключиться от сеанса пользователя и выйти из теневого режима, нажмите ALT+* на рабочей станции или Ctrl+* на RDS-сервере (если не заданы никакие альтернативные комбинации).

Если пользователь отклоняет административное подключение Shadow RDS, появляется следующее сообщение:

Shadow Error: Оператор или администратор отклонил запрос

Вы не можете использовать графическую оснастку tsadmin.msc из Windows Server 2008 R2 для теневых подключений к сеансам RDP в более новых версиях Windows Server.


Если вы попытаетесь подключиться к сеансу пользователя без запроса подтверждения, вы получите сообщение об ошибке:

mstsc shadow noncosentpropmt — параметр групповой политики настроен на требование согласия пользователя

Если вам необходимо отслеживать события теневого подключения RDS для пользовательских сеансов, используйте следующие отфильтрованные события из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:

  • Идентификатор события 20508: разрешение на теневой просмотр предоставлено;
  • Идентификатор события 20503: сеанс теневого просмотра запущен;
  • Идентификатор события 20504: сеанс теневого просмотра остановлен.

проверить события теневого сеанса в средстве просмотра событий сервера Windows

Настройка теневых правил RDS в Windows с помощью GPO

Параметры удаленных подключений к сеансам пользователей RDS настраиваются с помощью параметра групповой политики «Установить правила для удаленного управления сеансами пользователей служб удаленных рабочих столов», который находится в разделах «Пользователь» и «Компьютер» объекта групповой политики: Политики -> Административные шаблоны — > Компоненты Windows -> Службы удаленных рабочих столов -> Узел удаленных сеансов -> Подключения. Этой политике соответствует параметр DWORD Shadow в разделе реестра HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services (в скобках указаны значения этого параметра, соответствующие параметрам политики).

Эту политику можно использовать для настройки следующих параметров подключения RD Shadow:

  • Удаленное управление не разрешено (соответствует значению параметра реестра Shadow = 0);
  • Полный доступ с разрешения пользователя ( 1 );
  • Полный доступ без разрешения пользователя ( 2 );
  • Просмотр сеанса с разрешения пользователя ( 3 );
  • Просмотр сеанса без разрешения пользователя ( 4 ).

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 4

rdp shadow GPO: установка правил для удаленного управления сеансами пользователей служб удаленных рабочих столов

Вы можете настроить правила для удаленных теневых подключений в домене AD из консоли gpmc.msc, используя параметр политики, описанный выше, или с помощью предпочтений групповой политики, которые напрямую изменяют параметр реестра (последний вариант позволяет более точно нацелить политику на определенные компьютеры с помощью таргетинга на уровне элементов групповой политики).

Затенение сеанса RDP с помощью PowerShell

Get-RDUserSession

Вы также можете использовать теневые функции служб удаленных рабочих столов для подключения к сеансу пользователя из PowerShell. Прежде всего, вам необходимо получить список сеансов на узле RDS (сеансы пользователей будут сгруппированы в соответствии с их состоянием):
Get-RDUserSession | ft Имя пользователя, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate

На этом сервере есть три активных пользовательских сеанса RDP. Подключимся к сеансу пользователя с идентификатором сеанса 3:
Mstsc /shadow:3 /control

Кроме того, чтобы получить список всех сеансов RDP на сервере (или на рабочем столе Windows 10, к которому разрешено несколько подключений RDP), вы можете использовать команду:

На экране отобразится список пользовательских сеансов RDP, их идентификаторы и состояния: Активен или Отключен .

qwinsta - список удаленных сеансов на RDS

Чтобы отобразить список сеансов на удаленном сервере, выполните следующую команду:

запрос сеанса /сервер:имя_сервера

Чтобы подключиться к сеансу пользователя на удаленном сервере, используйте команду:

mstsc /v:rdsh2:3389 /shadow:3 /control

Диапазон динамических портов (RPC) от 49152 до 65535 используется для установки сеанса удаленного теневого подключения вместо порта TCP/3389 RDP по умолчанию.

Для более удобного теневого подключения к сеансам пользователей RDP можно использовать следующий пакетный скрипт. Он предлагает вам ввести имя удаленного сервера RDS, отображает список всех сеансов и предлагает вам указать сеанс (ID), к которому вы хотите подключиться:

shadow.bat

@echo off
set /P rcomp="Введите имя или IP-адрес удаленного ПК: "
query session /server:%rcomp%
set /P rid="Введите RDP ID пользователя: "
запустить mstsc /shadow:%rid% /v:%rcomp% /control

Вы можете сохранить этот bat-файл в каталоге %Windir%\System32. В результате вам просто нужно запустить команду shadow, чтобы запустить теневое соединение.

Этот сценарий отображает простую графическую форму со списком активных сеансов RDP на локальном узле. Вам просто нужно выбрать учетную запись пользователя и нажать кнопку «Подключиться».

Для запуска сценариев PowerShell (*.ps1) на компьютере необходимо настроить политику выполнения PowerShell.

Вы можете использовать теневое подключение пользователя не только к Windows Server с ролью Службы удаленных рабочих столов, но и для подключения к рабочим столам пользователей под управлением Windows 10 (используя режим теневого копирования сеансов удаленного рабочего стола в Windows 10).

Как разрешить пользователям без прав администратора скрывать сеансы RDS?

В приведенных выше примерах для использования теневого подключения к сеансам пользователей RDS требуются права локального администратора на сервере RDS. Однако вы можете разрешить пользователю без прав администратора скрывать сеансы RDP без предоставления разрешений локального администратора на компьютере/сервере.

Например, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сеансам пользователей RDP. Откройте командную строку с повышенными привилегиями (cmd.exe) и выполните команду:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "woshub\AllowRDSShadow",2

Я думал, что теневое копирование сеанса удаленного рабочего стола в Windows 10 будет осуществляться по принципу «укажи и щелкни». Пока мне не пришлось это сделать. Как оказалось, есть несколько крошечных шагов настройки, которые необходимо выполнить, прежде чем вы сможете начать теневое копирование сеанса RDP в Windows 10. Это отличается от серверных операционных систем Windows, где не требуется дополнительной подготовки, чтобы иметь возможность теневого копирования сеанса. . С другой стороны, с хостом Windows 10 есть несколько ключевых моментов, которые необходимо принять во внимание, прежде чем вы сможете успешно затенить сеанс удаленного рабочего стола.

Чтобы представить это в перспективе, в системе Windows Server вы можете просто перейти к обзору подключений к удаленному рабочему столу, выбрать сеанс, щелкнуть правой кнопкой мыши и выбрать «Тень», и все готово. Это не может быть проще, чем это.

Затенение сеанса удаленного рабочего стола

Однако, если вы хотите затенить сеанс удаленного рабочего стола на хосте Windows 10, все становится немного сложнее. Вам нужно будет выполнить некоторые подготовительные шаги, прежде чем вы сможете успешно затенить сеанс на хост-компьютере с Windows 10. Но как только вы правильно настроите хост, у вас не будет проблем с подключением к активному сеансу удаленного рабочего стола. На самом деле, вы даже сможете скрывать сеанс консоли. Итак, давайте посмотрим, как ответить на главный вопрос здесь. Как скрыть сеанс удаленного рабочего стола в Windows 10?

1. Настройка групповой политики узла удаленных сеансов

На узле Windows 10, который вы хотите затенить, вам необходимо настроить параметр групповой политики, который разрешит затенение сеансов. Откройте редактор групповой политики и перейдите по ссылке:

Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел удаленных сеансов -> Подключения

Теперь найдите политику с названием «Установить правила для удаленного управления сеансами пользователей служб удаленных рабочих столов». Включите конфигурацию этой политики.

Подготовка параметров групповой политики для затенения сеанса удаленного рабочего стола в Windows 10

Теперь у вас есть ряд различных параметров, которые определяют, можете ли вы затенить сеанс с разрешениями на полный доступ или только разрешения на просмотр, а также возможность определить, нужно ли человеку в активном сеансе предоставлять разрешение на сессия будет затенена.

Пользовательские настройки для скрытия сеанса удаленного рабочего стола в Windows 10

Например, если вы установите для политики параметр «с разрешения пользователя», пользователь в активном сеансе получит уведомление, когда вы попытаетесь затенить сеанс удаленного рабочего стола на его или ее компьютере с Windows 10. Пользователь должен будет принять запрос, прежде чем вы сможете подключиться к сеансу.

Пользователь должен принять затенение сеанса удаленного рабочего стола

Выбор параметра «Без разрешения пользователя» позволяет сразу начать скрывать сеанс удаленного рабочего стола, не требуя от пользователя никаких действий.

В качестве альтернативы вы также можете внести изменения в реестр Windows, чтобы разрешить теневое копирование сеансов пользователей удаленного рабочего стола. Если вы установили параметр групповой политики, как описано выше, вам не нужно изменять какие-либо параметры реестра, но если вы предпочитаете изменить реестр, а не изменять параметры групповой политики, вам необходимо перейти к следующему разделу реестра: /p>

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services

Реестр DWORD Shadow

2. Загрузите Microsoft PSTools

Если вы хотите подключиться и затенить сеанс удаленного рабочего стола в Windows 10 на удаленном компьютере, вам необходимо определить, какие сеансы активны на хост-компьютере, чтобы выбрать правильный сеанс для соединить с. Для этой цели мы будем использовать команду qwinsta, которая позволит вам вывести список всех существующих сеансов на компьютере. Если вы можете запустить qwinsta на самом удаленном компьютере, он покажет список всех текущих сеансов, и вы сможете увидеть, какой из них является активным.

Я предполагаю, что вы не можете запустить qwinsta на удаленном компьютере, так как у вас еще нет подключения к удаленному рабочему столу. Поэтому мы собираемся использовать утилиту psexec, которая позволит нам удаленно запускать команды на компьютере.

Вы можете скачать Psexec как часть Microsoft PStools здесь.

Загружаемый файл представляет собой zip-файл, который необходимо распаковать, чтобы получить доступ к psexec.

3. Запустите PSExec для определения удаленных сеансов

В командной строке перейдите в папку, в которую вы скачали и распаковали PSExec. Теперь вы готовы использовать psexec для удаленного запуска команды qwinsta на главном компьютере.

Введите следующую команду:

psexec -u имя-удаленного-компьютера\имя-пользователя -p «пароль» -s \\ip-адрес удаленного компьютера qwinsta

Использование qwinsta для определения идентификатора сеанса

Обратите внимание, что вы должны использовать учетную запись пользователя с правами администратора на удаленном компьютере.

Теперь вы должны получить список сеансов на удаленных компьютерах, где вы увидите, какой сеанс активен (или вы можете выбрать сеанс консоли, если хотите скрыть сеанс консоли в Windows 10).

Теперь вы готовы перейти к следующему шагу, который будет заключаться в запуске сеанса удаленного рабочего стола.

4. Запуск удаленного рабочего стола с параметром Shadow

В этом примере я слежу за сеансом удаленного рабочего стола в Windows 10 без разрешения пользователя. Я буду затенять сеанс 1, поскольку он был активным сеансом на предыдущем шаге. Команда:

mstsc /shadow:1 /v:192.168.0.196 /prompt /noConsentPrompt

Очевидно, что замените IP-адрес IP-адресом удаленного компьютера, на котором вы хотите затенить сеанс.

Удаленный компьютер теперь будет запрашивать учетные данные пользователя для входа в сеанс.

Учетные данные для скрытия сеанса удаленного рабочего стола

После предоставления правильных учетных данных пользователя мы теперь можем успешно скрыть сеанс удаленного рабочего стола в Windows 10:

Затенение сеанса удаленного рабочего стола в Windows 10

В заключение мы можем сказать, что требуется некоторая подготовка, прежде чем вы сможете затенить сеанс удаленного рабочего стола в Windows 10, но если вы выполните описанные здесь шаги, вы сможете сделать это без каких-либо проблем.

Если вам понравилась эта статья или вы сочли ее полезной, я буду признателен, если вы сообщите мне об этом, нажав кнопку "Мне нравится" (или "Поделиться") ниже. Спасибо!


Во время нашего сеанса на прошлой неделе во время мероприятия «Microsoft встречает сообщество: виртуальный рабочий стол Windows — второе издание:» я кратко упомянул о возможностях скрытия активного пользовательского сеанса в виртуальном рабочем столе Windows, если вы заинтересованы, вы можете посмотреть демонстрацию здесь.

В этом блоге я хочу более подробно рассказать о том, какие шаги необходимо выполнить, прежде чем вы сможете затенить активный сеанс пользователя в Windows Virtual Desktop.

Этот блог разделен на следующие этапы:

  1. Настройте брандмауэр Защитника Windows с помощью групповых политик
  2. Настройте правила удаленного подключения с помощью групповых политик.
  3. Скрыть активного пользователя на виртуальном рабочем столе Windows

Шаг 1. Настройте брандмауэр Защитника Windows с помощью групповых политик

Первый шаг — включить удаленный рабочий стол в брандмауэре Защитника Windows. Для этого откройте редактор управления групповыми политиками и откройте или создайте новый объект групповой политики. Конечно, вам нужно убедиться, что этот объект групповой политики будет применен к OU, где расположены серверы Sessions Hosts.


Перейдите к: Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Брандмауэр Защитника Windows в режиме повышенной безопасности > Правила для входящего трафика.

Щелкните правой кнопкой мыши "Правила для входящих подключений" и выберите "Новое правило".


Выберите «Предопределенные» и выберите «Удаленный рабочий стол». Нажмите "Далее".


Убедитесь, что выбраны все три правила, и нажмите "Далее".


Выберите Разрешить подключение и нажмите Готово


Теперь созданы правила, показанные на снимке экрана выше.

Шаг 2. Настройте правила для удаленного подключения с помощью групповых политик

На этом втором шаге будут настроены правила удаленного управления сеансами пользователей служб удаленных рабочих столов.


В GPO выберите Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Службы удаленного рабочего стола > Узел сеанса удаленного рабочего стола > Подключения

Откройте Установить правила для удаленного управления сеансами пользователей службы удаленных рабочих столов


Выберите «Включено» и выберите нужные разрешения (или разрешенные в вашей организации) во время удаленного теневого подключения, а также если требуется разрешение пользователя. В этом случае я выберу Полный доступ без разрешений пользователя. На следующем шаге я покажу вам, что вы по-прежнему можете запросить разрешение пользователя с помощью параметра командной строки.

Шаг 3. Скройте активного пользователя в Windows Virtual Desktop

Чтобы затенить активный сеанс пользователя в Windows Virtual Desktop, нам сначала нужно собрать некоторую информацию о текущем сеансе. Для этого перейдите на портал виртуальных рабочих столов Windows и откройте колонку «Пользователи».

Найдите пользователя и нажмите на его/ее имя.


Для настройки теневого сеанса нам необходимо знать идентификатор сеанса и активную виртуальную машину (сервер узла сеанса, на котором размещается сеанс пользователя).

Убедитесь, что вы запускаете следующие коммандос с «Jump Server» или из «пула узлов ИТ-администрирования» или, по крайней мере, с виртуальной машины, которая имеет прямой доступ к виртуальным машинам узла сеансов.

Чтобы настроить теневой сеанс С разрешением пользователя, выполните следующую команду:

Итак, в этом случае это будет:


Эта команда отобразит диалоговое окно, показанное на снимке экрана выше, в сеансе пользователя с запросом разрешения на теневое копирование сеанса.

Если вы хотите скрыть сеанс без запроса управления, выполните следующую команду:

Итак, в этом случае это будет:


После выполнения этой команды теневой сеанс пользователя будет установлен без запроса разрешения.

Читайте также: