der-phil
Goto Top

Berechtigung Shadow - Remoteüberwachung - Windows 2012 R2

Hallo!

Ich suche gerade nach einer Möglichkeit, Benutzern das Recht zur Remoteüberwachung/Shadow von anderen zu geben. Ich habe einige Mitarbeiter, die so Hilfestellung leisten, aber keine Admin-Accounts haben.

Unter Windows 2003 war das möglich mit:
Terminaldienstekonfiguration -> Berechtigungen - > Spezielle Berechtigungen


Gleiches möchte ich jetzt unter Windows 2012 R2 machen.

Hier habe ich keine Möglichkeit gefunden, die berechtigten Benutzer einzuschränken.

Gibt es diese Option einfach nicht? Das würde ja bedeuten: Alle oder Keiner...

Danke für eure Hilfe

Gruß
Phil

Content-Key: 283770

Url: https://administrator.de/contentid/283770

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: DerWoWusste
Lösung DerWoWusste 24.09.2015 aktualisiert um 10:16:12 Uhr
Goto Top
Hi.
--
to allow non-administrators permissions to shadow you can use the following command which is also applicable for Windows Server 2008 R2 (Credits for this command go to fellow RDS MVP TP who posted this on Technet* Forum.

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "domain\group",2  
--

Dieser Befehl berechtigt die Gruppe domain\group zum Shadowing und (wenn ich mich recht erinnere) auch zum Trennen und beenden von Sitzungen anderer - feiner ist es nicht mehr einstellbar.

* http://social.technet.microsoft.com/Forums/windowsserver/en-US/0d119172 ...
Mitglied: Der-Phil
Der-Phil 24.09.2015 um 10:16:36 Uhr
Goto Top
Hallo!

Vielen Dank!!
Das hilft mir sehr.

Grüße
Phil
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 24.09.2015 aktualisiert um 10:23:29 Uhr
Goto Top
Darf ich zuerst mal dumm fragen?

Ist das im Hinblick auf den Datenschutz eigentlich genehmigt worden (z.B. durch einen Betriebsrat)?
Wenn da auch nur ein Nutzer dabei ist, der sich daran stört, gibt es ungeahnten Ärger.

Ich setze bei meinen Nutzern auf einen anderen Weg.
Wir arbeiten zwar auch mit Terminaldiensten (aber unter Wind 2008 R2), allerdings lege ich viel Wert darauf, dass meine Nutzer sich selbst entscheiden können, ob sie mich zuschauen lassen oder nicht.

Ich habe per GPO die Windows-Remoteunterstützung domänenweit eingerichtet.
Ich starte das Tool mit "msra /offerra", gebe den Clientnamen ein (nicht den des TS natürlich) und verbinde mich.
Dem Nutzer schlägt ein PopUp entgegen und er kann entscheiden, ob ich seinen Bildschirm in erster Stufe sehen darf.

Wenn ich auch noch die Steuerung brauche, fordere ich die per Mausklick an und der Nutzer kann erneut zustimmen oder ablehnen.

Eine runde Sache, die aus meiner Sicht bei jedem Betriebsrat Genehmigung finden dürfte und keine Datenschutzbedenken schüren dürfte.
Mitglied: Der-Phil
Der-Phil 24.09.2015 um 10:26:05 Uhr
Goto Top
Hallo!

Ich sehe da nicht so den Unterschied zur Remoteüberwachung. Hier kann ja auch verlangt werden, dass die Zustimmung vom Nutzer eingeholt wird.

Gruß
Phil
Mitglied: Der-Phil
Der-Phil 24.09.2015 um 15:55:59 Uhr
Goto Top
Hallo!

Leider hat das wohl doch nicht ausgereicht. Die User haben noch keine Berechtigung für das Shadow. Hast Du noch eine Idee, woran das liegen könnte?

Vielen Dank und Grüße
Phil
Mitglied: DerWoWusste
DerWoWusste 24.09.2015 um 16:34:24 Uhr
Goto Top
Das ging so bei mir.
Hast Du auf eine Gruppe berechtigt? Dann müssen sich diese steuernden Nutzer neu anmelden.
Mitglied: DerWoWusste
DerWoWusste 24.09.2015 aktualisiert um 17:13:42 Uhr
Goto Top
Hab's gerade nochmal gemacht, geht.
Man muss mit qwinsta die Session auslesen (Spalte "ID") und dann folgendes Kommando am Server als steuernder Nutzer ausführen:
mstsc /shadow:2
(ID ist hier=2)
Mitglied: Der-Phil
Der-Phil 25.09.2015 aktualisiert um 08:16:56 Uhr
Goto Top
Hallo!

Ich habe die Gruppe berechtigt, den Server neu gestartet und einen User, sowie einen Admin (der in der berechtigten Gruppe ist) angemeldet.

Testweise habe ich die Gruppe "Domänen-Admins" genutzt.

Das Ergebnis ist:
DOMAIN\Administrator -> Alles funktioniert
DOMAIN\Adminuser (der in der Gruppe Domänen-Admins ist) -> Funktioniert nicht -> Meldung: Spiegelungsfehler - Zugriff verweigert.

Ich habe auch mit tsconfig.msc von einem Windows 2008R2-Terminalserver mal auf den 2012R2-Server geschaut. Auch hier sieht alles gut aus, aber aktuell kann nur der User "Administrator" und keine anderen Administratoren oder User die Remoteüberwachung starten, obwohl die Gruppe und nicht der User berechtigt sind.

Warum ist überhaupt DOMAIN\Administrator dann berechtigt?

Fragen über Fragen...

Gruß
Phil
Mitglied: DerWoWusste
DerWoWusste 25.09.2015 um 08:12:11 Uhr
Goto Top
Berechtige mal den User explizit.
Mitglied: Der-Phil
Der-Phil 25.09.2015 um 08:25:17 Uhr
Goto Top
Hallo!

Ich schätze, es lag an den Umlauten der berechtigten Gruppen. Am liebsten würde ich alles auf englische Sprache migrieren, um dem Mist zu entgehen.

Jetzt läuft es. Lösung war:

Mit tsconfig.msc vom Windows 2008R2-Server auf die Windows 2012 R2-Server verbinden. Berechtigungen löschen -> Berechtigungen neu setzen.

Ich habe übrigens noch ein kleiner Powershell-Skript gebastelt, das ein Menü bereitstellt, um auf mehreren Servern RDP-Sessions zu Überwachen, Nachrichten zu verschicken, etc. Bei Interesse kann ich das bereitstellen, aber hübsch ist es definitiv nicht...

Gruß
Phil
Mitglied: DerWoWusste
DerWoWusste 25.09.2015 um 08:29:41 Uhr
Goto Top
Über 2008, slick. Ja, stell Dein Script doch als Wissensbeitrag aus, hübsch machen es dann vielleicht andere.
Und Umlaute unbedingt vermeiden.
Mitglied: Der-Phil
Der-Phil 25.09.2015 um 09:39:31 Uhr
Goto Top
Hallo!

Die schöne Gruppe der "Domänen-Admins" hat noch Windows NT4 hier angelegt. Da bin ich von jeder Schuld freigesprochen face-wink

Gruß
Phil