5
RDP-Monitoring
Guten Morgen zusammen,
nachfolgendes Problem mit der Bitte um Prüfung.
Es gibt mehrere Windows-Server diverser Kunden, welche via VPN erreichbar sind und über RDP gewartet werden.
Die Systeme sind in unterschiedlichen Domänen und es werden unterschiedliche Benutzer/Passwörter für die Zugänge verwendet.
Informationen wie Benutzer/Passwort und IP des Servers etc. sind in der DB/Kundenakte vorhanden und können in einen Programmaufruf als Variable übergeben werden.
Da es pro Server mehrerer mögliche User gibt, soll via Tool X eine Auflistung stattfinden, welche Benutzer auf dem Server angemeldet sind (und welche somit noch „frei“ sind).
Hintergrund ist die Tatsache, dass ein ständiger „Sitzungsklau“ stattfindet, da niemand weiß welcher User frei ist und welcher nicht.
Das entsprechende Tool sollte (wenn möglich) DAU freundlich sein, d.h. der Mitarbeiter steht in der Kundenakte und klickt auf einen Server/IP und bekommt anschließend eine Auflistung welche User angemeldet sind.
Meine bisherigen Ansätze gingen in die Richtung
tsadmin.msc
bzw.
query session /IP
Intern alles kein Problem, sobald die Kundenserver aufgerufen werden, funktioniert es nicht wegen der Security/anderen Domänen.
Hatte dann mal wieder nach Ewigkeiten in den PSTools gestöbert aber dort leider auch nichts brauchbares gefunden.
Ich schätze mit diesem bzw. ähnlichen Problemen hatten schon mehrere zu kämpfen, finde aber trotzdem bei Dr. Google nichts brauchbares.
Vielleicht hat von Euch jemand den Goldenen Tipp oder wenigstens ein paar Gedanken, welche mich in eine neue Richtung lenken.
Vorab vielen Dank für Eure Unterstützung.
Mfg
M0bbel
PS:
Kundenserver sind meist Server 2008 R2, gelegentlich noch Server 2003.
Clients sind meist ebenfalls Server 2008 R2 (Terminalserver) aber ebenfalls viele Windows 7 Systeme.
nachfolgendes Problem mit der Bitte um Prüfung.
Es gibt mehrere Windows-Server diverser Kunden, welche via VPN erreichbar sind und über RDP gewartet werden.
Die Systeme sind in unterschiedlichen Domänen und es werden unterschiedliche Benutzer/Passwörter für die Zugänge verwendet.
Informationen wie Benutzer/Passwort und IP des Servers etc. sind in der DB/Kundenakte vorhanden und können in einen Programmaufruf als Variable übergeben werden.
Da es pro Server mehrerer mögliche User gibt, soll via Tool X eine Auflistung stattfinden, welche Benutzer auf dem Server angemeldet sind (und welche somit noch „frei“ sind).
Hintergrund ist die Tatsache, dass ein ständiger „Sitzungsklau“ stattfindet, da niemand weiß welcher User frei ist und welcher nicht.
Das entsprechende Tool sollte (wenn möglich) DAU freundlich sein, d.h. der Mitarbeiter steht in der Kundenakte und klickt auf einen Server/IP und bekommt anschließend eine Auflistung welche User angemeldet sind.
Meine bisherigen Ansätze gingen in die Richtung
tsadmin.msc
bzw.
query session /IP
Intern alles kein Problem, sobald die Kundenserver aufgerufen werden, funktioniert es nicht wegen der Security/anderen Domänen.
Hatte dann mal wieder nach Ewigkeiten in den PSTools gestöbert aber dort leider auch nichts brauchbares gefunden.
Ich schätze mit diesem bzw. ähnlichen Problemen hatten schon mehrere zu kämpfen, finde aber trotzdem bei Dr. Google nichts brauchbares.
Vielleicht hat von Euch jemand den Goldenen Tipp oder wenigstens ein paar Gedanken, welche mich in eine neue Richtung lenken.
Vorab vielen Dank für Eure Unterstützung.
Mfg
M0bbel
PS:
Kundenserver sind meist Server 2008 R2, gelegentlich noch Server 2003.
Clients sind meist ebenfalls Server 2008 R2 (Terminalserver) aber ebenfalls viele Windows 7 Systeme.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 202935
Url: https://administrator.de/contentid/202935
Printed on: April 19, 2024 at 19:04 o'clock
5 Comments
Latest comment
Hey,
wieso macht ihr es denn nicht einfach so, dass jeder Mitarbeiter, der den Server Supportet einen eigenen Admin-Benutzer bekommt? das wäre die einfachste Variante, wo muss keine Globale Datenbank gepflegt werden und man kann höchstens sich selber (selten aber gibts wirklich) aus einer Session werfen.
Außerdem kann jeder Nachvollziehe, wer im Moment aufdem Server angemeldet ist statt das da einfach nur Accounts wie Admin 1, ... sind.
Gruß XenClient
wieso macht ihr es denn nicht einfach so, dass jeder Mitarbeiter, der den Server Supportet einen eigenen Admin-Benutzer bekommt? das wäre die einfachste Variante, wo muss keine Globale Datenbank gepflegt werden und man kann höchstens sich selber (selten aber gibts wirklich) aus einer Session werfen.
Außerdem kann jeder Nachvollziehe, wer im Moment aufdem Server angemeldet ist statt das da einfach nur Accounts wie Admin 1, ... sind.
Gruß XenClient
Hallo XenClient,
danke für die rasche Antwort.
Die Idee ist gut und sicherlich auch in einer entsprechenden Umgebung die schnellste/beste.
Leider ist dies so in unserer vorhandenen Struktur bei uns zu aufwendig und damit leider keine Lösung für das Problem.
Trotzdem vielen Dank für Deinen Tipp!
Gruß
m0bbel
danke für die rasche Antwort.
Die Idee ist gut und sicherlich auch in einer entsprechenden Umgebung die schnellste/beste.
Leider ist dies so in unserer vorhandenen Struktur bei uns zu aufwendig und damit leider keine Lösung für das Problem.
Trotzdem vielen Dank für Deinen Tipp!
Gruß
m0bbel
Hey M0bbel,
wieso ist das für euch keine Lösung? Natürlich wäre es mal (je nach Kunde) 1-2 Tage Arbeit aber danach wäre das Problem auf jeden Fall weg und der Kunde hat halt auch irgendwo eine Aufzeichnung, wer auf dem Server ist usw.
Ebenso musst du nicht mit irgendwelchen Skripten o. Ä. rumhantieren.
Gruß XenClient
wieso ist das für euch keine Lösung? Natürlich wäre es mal (je nach Kunde) 1-2 Tage Arbeit aber danach wäre das Problem auf jeden Fall weg und der Kunde hat halt auch irgendwo eine Aufzeichnung, wer auf dem Server ist usw.
Ebenso musst du nicht mit irgendwelchen Skripten o. Ä. rumhantieren.
Gruß XenClient
Hallo XenClient,
kurz gesagt:
Die Anzahl der Kunden in Verbindung mit der Anzahl der Support-Mitarbeiter würde daraus eine „endlose“ Arbeit machen.
Außerdem wird nicht das AD supportet, dafür gibt es beim Kunden EDV-Leiter oder andere Dienstleister, sondern nur eine Applikation.
Versuch den Kunden mal (nachträglich) diesen Aufwand (der ihn ggf. auch Geld kostet) aufzuhalsen, da wird keiner mit glücklich (und kaufmännisch auch nur schwer vertretbar sein).
Außerdem müssen die Mitarbeiter dann auch bei Eintritt/Austritt im jeweiligen Kundensystem gepflegt werden
Ein Logging welcher Mitarbeiter sich wann auf welchem System anmeldet gibt es bereits (mit Tätigkeitsnachweis etc.).
Leider fehlt dort einfach die Information, welcher Benutzer auf dem Kundensystem verwendet wurde/wird.
Dies könnte man wiederrum durch weitere Abfragen mit einbauen und auch anzeigen, dann hätte ich die ursprünglich gewünschten Informationen.
Damit wäre aber nur eine 75% Lösung vorhanden, ich suche die 99% Lösung.
75% weil:
- Was ist wenn sich innerhalb der Kundensysteme von einem Server via RDP auf einem anderen Server angemeldet wird.
- Was ist wenn beim Anmelden der falsche User ausgewählt wird.
- Was ist wenn sich jemand ohne Protokollierung auf dem Kundensystem anmeldet, z.B. bei einem vor Ort Termin
- Usw ….
Wie gesagt prinzipiell eine gute Idee und ich weiß auch, dass sich manche schon einen eigenen User auf den Systemen anlegen lassen.
Leider aber nicht das was ich suche.
Trotzdem wie bereits gesagt vielen Dank für Deine Untersützung
Gruß
m0bbel
kurz gesagt:
Die Anzahl der Kunden in Verbindung mit der Anzahl der Support-Mitarbeiter würde daraus eine „endlose“ Arbeit machen.
Außerdem wird nicht das AD supportet, dafür gibt es beim Kunden EDV-Leiter oder andere Dienstleister, sondern nur eine Applikation.
Versuch den Kunden mal (nachträglich) diesen Aufwand (der ihn ggf. auch Geld kostet) aufzuhalsen, da wird keiner mit glücklich (und kaufmännisch auch nur schwer vertretbar sein).
Außerdem müssen die Mitarbeiter dann auch bei Eintritt/Austritt im jeweiligen Kundensystem gepflegt werden
Ein Logging welcher Mitarbeiter sich wann auf welchem System anmeldet gibt es bereits (mit Tätigkeitsnachweis etc.).
Leider fehlt dort einfach die Information, welcher Benutzer auf dem Kundensystem verwendet wurde/wird.
Dies könnte man wiederrum durch weitere Abfragen mit einbauen und auch anzeigen, dann hätte ich die ursprünglich gewünschten Informationen.
Damit wäre aber nur eine 75% Lösung vorhanden, ich suche die 99% Lösung.
75% weil:
- Was ist wenn sich innerhalb der Kundensysteme von einem Server via RDP auf einem anderen Server angemeldet wird.
- Was ist wenn beim Anmelden der falsche User ausgewählt wird.
- Was ist wenn sich jemand ohne Protokollierung auf dem Kundensystem anmeldet, z.B. bei einem vor Ort Termin
- Usw ….
Wie gesagt prinzipiell eine gute Idee und ich weiß auch, dass sich manche schon einen eigenen User auf den Systemen anlegen lassen.
Leider aber nicht das was ich suche.
Trotzdem wie bereits gesagt vielen Dank für Deine Untersützung
Gruß
m0bbel
Hi.
Zunächst mal würde ich mich auch gegen geteilte und somit anonyme Accounts aussprechen - ganz schlechte Praxis aus Sicht des Datenschutzes usw.
Wenn Du es jedoch so beibehalten willst, dann lass doch von einem geplanten Task auf den Servern selbst mittels des Kommandos
qwinsta > \\Server\zugaenglicheFreigabe\Sessions.txt
regelmäßig mitschreiben, wer drauf ist.
Zunächst mal würde ich mich auch gegen geteilte und somit anonyme Accounts aussprechen - ganz schlechte Praxis aus Sicht des Datenschutzes usw.
Wenn Du es jedoch so beibehalten willst, dann lass doch von einem geplanten Task auf den Servern selbst mittels des Kommandos
qwinsta > \\Server\zugaenglicheFreigabe\Sessions.txt
regelmäßig mitschreiben, wer drauf ist.
