Записи с Меткой ‘ windows server

Принудительная перезагрузка удаленно

https://geektimes.ru/post/117083/
http://www.pufik.org/article/windows/soft-reset

Удаленная перезагрузка ПК если psshutdown и стандартные вызовы не работают.
Программная «жесткая» перезагрузка.

ForceReboot

Или
Принудительно завершить win32 subsystem (csrss.exe)
1.Проверить что опция «Автоматическая перезагрузка при крахе системы» включена
2.>pskill \\COMPUTERNAME -u User -p password csrss.exe

RDS Shadow – подключаемся к сессии пользователя в Windows 2012 R2

http://winitpro.ru/index.php/2014/02/12/rds-shadow-v-windows-2012-r2/

RDS Shadow – подключаемся к сессии пользователя в Windows 2012 R2
12.02.2014 Windows Server 2012 R2 Комментарии (25)

Спешим поделиться хорошей новостью: Microsoft вернула функционал Remote Desktop Shadowing в Windows Server 2012 R2 и Windows 8.1! Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления активной терминальной сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в релизе Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим).

Кроме того, у режима RD Shadow и rdp клиента появился ряд новых интересных возможностей. Полный список опций rdp клиента mstsc.exe, определяющих возможность удаленного подключения к сессии конечного пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]] Новые параметры mstsc в Windows 8.1

/shadow:ID – подключится к терминальной сессии с указанным ID

/v:servername – имя терминального сервера (если не задано, используется текущий)

/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии

Ограничения теневых сеансов RDS в Windows 2012 R2

Подключаться к чужим сессиям может только администратор сервера. Делегировать эти права обычным пользователем нельзя
RDS Shadow не будет работать в сетях на базе рабочих групп

Remote Desktop Shadow — работа в GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection. коллекция QuickSessionCollection

Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow. shadow — запуск теневой сесии

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того можно включить опцию Prompt for user consent (запросить согласие на подключение у пользователя). параметры теневого подключения к терминальной сесиии

Если выбрана опция «Запросить подтверждение», в сессии у пользователя появится запрос:

Winitpro\administrator is requesting to view your session remotely. Do you accept the request? Запрос пользователя о shadow подключении

Если пользователь подтвердит, подключение, администратор увидит его рабочий стол и сможет взаимодействовать с ним. удаленное управление терминальной сесией пользователя в rds windows server 2012r2
Совет. Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).

Если же пользователь отклонит подключение, появится окно:
Shadow Error: The operator or administrator has refused the request

The operator or administrator has refused the request
Если же попытаться подключится к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая что такое поведение настроено групповой политикой:
Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

ошибка GPO удаленного shadow подключения

Параметры удаленного управлениями терминальными сессиями пользователя настраиваются политиками Set rules for remote control of Remote Desktop Services user sessions, которые находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections в пользовательской и «компьютерной» секциях GPO.

Этой политикой можно настроить следующие варианты подключения по RD Shadow:

No remote contol allowed — удаленное управление запрещено
Full Control with users’s permission — полный контроль с разрешения пользователя
Full Control without users’s permission — полный контроль без разрешения пользователя
View Session with users’s permission – наблюдение за сеансом с подтверждением
View Session without users’s permission – наблюдение за сеансом без подтверждения

групповая политика управления подключением к терминальным сесииям пользователей
RDS Shadow из Powershell

Воспользоваться функционалом Remote Desktop Services Shadow можно и из Powershell.

В первую очередь покажем, как получить список сессий на терминальном сервере (сесии пользователей будут сгруппированы в группы в зависимости от их статуса):

Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate

Get-RDUserSession Powershell

На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:

Mstsc /shadow:3 /control

mstsc запуск shadow из powershell
Еще записи по теме: Windows Server 2012 R2

Установка KMS сервера на базе Windows Server 2012 R2
DNSSEC–технология защиты DNS в Windows Server 2012
Настройка VPN сервера на базе Windows Server 2012 R2
Динамическое изменение размеров виртуальных дисков в Windows Server 2012 R2
Включаем Jumbo Frames в Windows Server 2012 R2 Hyper-V

Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:Резервное копирование почтовой базы Exchange 2013 средствами Windows Server Backup
Вперед:Обзор обновлений безопасности Microsoft за февраль 2014
Комментариев: 25
Оставить комментарий

Павел | 06.06.2014

круто, но ты не написал самого главного — как активировать эту функцию =)
У меня её как не было, так и нет.
Ответить
itpro | 06.06.2014

Хм, этот функционал идет прямо-из-коробки. Насколько я помню ничего включать не нужно. В статье речь идет о версии Windows 2012 R2, возможно ты проверял на простой Windows Server 2012.
Проверь, что в хелпе команды mstsc.exe /? имеется опция /shadow
Ответить
Павел | 09.06.2014

да, ты прав. Прошу за невнимательность
Ответить
myr4ik07 | 11.06.2014

Приветствую, протестировал, все прекрасно работает.Спасибо за знакомство.
Ответить
Pavel | 03.11.2014

нет такой функции. сервер 2012 r2
установлены роли — лицензирование удаленных рабочих столов
посредник подключений
узел сеансов удаленных рабочих столов
Ответить
Тимур | 22.11.2014

У меня тоже нет, но у меня не домен, а рабочая группа, а в ней как написано работать не будет.
Ответить
Антон | 08.03.2015

Спасибо. Получилось. Работает. Но в отличие от 2008R2 не удается сделать сеанс на весь экран. Если у меня с пользователем одинаковые разрешения экрана, то теневой сеанс получается немного ужатым.
Ответить
itpro | 10.03.2015

Есть такая проблема, но как правило, особых неудобств не вызывает
Ответить
Виталий | 14.05.2015

А если я удалил QuickSessionCollection, как мне можно подключаться к пользовательским сессиям из GUI?
Ответить
Shurik | 10.09.2015

Добрый день. Интересует если возможность также подключатся к пользователю(Shadow), только не на терминальном сервере, а на сервере Windows 2012 R2 Hyper-V. И рабочая станция Windows 7
Ответить
Павел | 10.09.2015

на сервере Windows 2012 R2 Hyper-V

Hyper-V это роль сервера для организации хоста с вируталками. Зачем туда постоянно подключаться?
Если же надо подключиться к одной из виртуалок, развернутых на Hyper-V, в режиме наблюдения за сеансом пользователя то вариант удаленный помощник.
Ответить
Shurik | 10.09.2015

Если же надо подключиться к одной из виртуалок, развернутых на Hyper-V, в режиме наблюдения за сеансом пользователя то вариант удаленный помощник.
Удаленный помощник менее удобен. У гостевой ОС Windows 8.1 есть такая возможность http://social.technet.microsoft.com/wiki/contents/articles/19804.remote-desktop-services-session-shadowing.aspx, ищу решение как прикрутить в Windows 7

Ответить
Павел | 17.09.2015

«Remote Server Administration Tools (RSAT) позволяет администраторам управлять ролями и функциями на Windows Server 2008 R2 и Microsoft Server 2012 (Core & Full installation) с компьютера на базе Windows 7 и Windows 8 соответственно. RSAT для Windows 7 может работать только на версиях Enterprise, Professional или Ultimate и позволяет управлять Microsoft Hyper-V Server 2012, однако её функционал будет ограничен, в первую очередь будут недоступны новые настройки сети.»
Еще вариант 5nine Manager 4.0 for Hyper-V.
Так что попробовать поставить а там как получится.
Но все таки решение либо с удаленным помощником, либо с тем же VNC удобнее и проще.
Ответить
Shurik | 17.09.2015

Спасибо за отзыв
Сделал по Вашому совету — удаленный помощник.
Ответить
Alex Lyashkov | 16.11.2015

Проверил у двух клиентов только что…
Итак — все настройки давно сделаны, но ранее точно помню работало так как надо:
На сервере — члене домена AD (но не скажу точно 2008/2008R2/2012) с ролью RDSH c с настройками как в вашей статье

На сервере RDSH я мог msra /offerRA БЕЗ СОГЛАСИЯ пользователей подключатся к их сеансу. А на клиентах — Win7 — согласие требовало. Но как бы этично — на сервере у них RemoteApp (1C) и там нет личной жизни.

Сейчас : изменилась версия — Server 2012R2 msra , настройки GPO в домене и настройки Локальной политики на самом Server 2012R2 RDSH позволяют «Полный контроль без разрешения клиента», но так как надо — без уведомления и разрешения работает только из GUI (Диспетчер серверов-Службы удаленных рабочих столов-Коллекции-Подключения нужный сеанс — правой клавишей Теневая копия)
Почему, черт побери карамба!, это перестал работать через msra работает, но запрашивает уведомление о подключений пользователя и потом разрешение на управление… то есть я запускаю в RDP сессии находясь по RDP на RDSH msra подключаюсь к нему-же (к серверу на котором нахожусь) выбираю сеанс пользователя — и у пользователя выскакивает — «Разрешить пользователю Админ подключение к вашему компьютеру»
И совсем грустно, что mstsc /shadow:3 /control не работает — Ошибка теневого доступа Отказано в доступе.
Не понимаю. Ведь из GUI работает !!!
Ответить
Александр | 16.11.2015

Так — все на так темно, есть светлый лучик
mstsc /shadow:3 /control /noConsentPrompt — и моментально, за 1 секунду видим и управляем пользовательской сессией — да, жаль что в маленьком окошке
Ответить
Alexey | 04.12.2015

В политиках стоит «Full Control without users’s permission» — полный контроль без разрешения пользователя.
Получаем список id сессий командой «qwinsta».
При попытке запустить «mstsc /shadow:3 /control /noConsentPrompt» получаю ошибку: Ошибка теневого доступа Отказано в доступе.
Выполнение команды «mstsc /shadow:3″ приводт к такой же ошибке.
Подскажите в какую строну копать?
MSRA работает, но при условии что запрос на помощь примут!
Ответить
Александр | 04.12.2015

мне хватило добавить /noConsentPrompt и заработало
Ответить
Adminny | 04.12.2015

Проверь. Должно быть так:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
«fInheritShadow»=dword:00000000
«Shadow»=dword:00000002
Ответить
Александр | 16.11.2015

mstsc /shadow:3 /control /noConsentPrompt — работает так как надо! Итого — осталось с MSRA разобраться, или понять, или простить…
Ответить
Adminny | 24.11.2015

Для удобства/быстроты подключения сделал простой ps-скриптик на раб.столе:

Write-Host »
»
quser
$user = Read-Host -Prompt »
Enter ID»
mstsc /shadow:$user /control /noConsentPrompt

PS
Команда quser выполняется моментально в отличие от долгодумающей Get-RDUserSession
Ответить
Я | 02.01.2017

При подключении и отключении от сеанса юзера, экран так же мигает как в 2008r2?
Ответить
Кирилл | 01.08.2017

При попытке подключится в сессию пользователя через GUI — выдаёт: Неопознанная ошибка.

Есть идеи?
Ответить
itpro | 01.08.2017

Подключаетесь с самого сервера? Права администратора имеются?
Ответить
itpro | 01.08.2017

Чтобы разрешить пользователям (членам определенной группы, например,corp\RDSSupport) без прав администратора подключаться к сессии других пользователей через shadow нужно выполнить такую команду:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=»RDP-Tcp») CALL AddAccount «corp\RDSSupport»,2
Ответить

Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

RAMMap + EmptyStandbyList.exe

Когда сервер windows захламляет пространство оперативки кешем и разучился кэш освобождать, то на помощь приходит rammap и EmptyStandbyList.exe

RAMMap -> Empty Standby List

Empty Standby List
EmptyStandbyList.exe is a command line tool for Windows (Vista and above) that can empty:

process working sets,
the modified page list,
the standby lists (priorities 0 to 7), or
the priority 0 standby list only.
The executable file below is signed.
Download: EmptyStandbyList.exe (88727 downloads)

Usage:

EmptyStandbyList.exe workingsets|modifiedpagelist|standbylist|priority0standbylist

https://social.technet.microsoft.com/Forums/ru-RU/3ac33590-7658-4e09-b163-c36e5c40638d/-2008r2?forum=ws2008r2ru

экспорта данных из AD

Как вытащить адресную книгу из AD?
Для экспорта данных из AD я использую утилиту csvde.exe

Использую скрипт следующего вида:

csvde -f output.txt -d OU=OUN,DC=domain,DC=ru -r «(&(objectClass=person)(mail=*))» -l cn,mail

На выходе получаем список строк следующего вида:

«CN=Ivanov Ivan,OU=OUN,DC=domain,DC=ru»,Ivanov Ivan,Ivanov.Ivan@domain.ru

Все это сохраняется в CSV формате и не сложно обрабатывается в Excel’е и приводится к нужному виду.

Windows PowerShell. Выполнение сценариев отключено в этой системе

http://winnote.ru/security/160-windows-powershell.-vypolnenie-scenariev-otklyucheno-v-etoy-sisteme.html

MS Terminal Services + Ad

В начале все по стандарту. Установка окна, ввод в домен и устновка терминального сервера с лицензированием по пользователя. Хотя можно сделать и на устройство.

Настройка терминального сервера на базе Windows 2012 r2


%d1%83%d1%81%d1%82%d0%b0%d0%bd%d0%be%d0%b2%d0%ba%d0%b0-%d1%81%d0%b5%d1%80%d0%b2%d0%b5%d1%80%d0%b0-%d1%82%d0%b5%d1%80%d0%bc%d0%b8%d0%bd%d0%b0%d0%bb%d0%be%d0%b2-%d0%b2-windows-server-2012-r2-_-tavalik

Последние и ГЛАВНЫЕ штрихи, иначе доменные пользователи не смогут конектится к серверу терминала.
http://pk-help.com/server/terminal-access-to-a-domain-controller/
%d1%82%d0%b5%d1%80%d0%bc%d0%b8%d0%bd%d0%b0%d0%bb%d1%8c%d0%bd%d1%8b%d0%b9-%d0%b4%d0%be%d1%81%d1%82%d1%83%d0%bf-%d0%bd%d0%b0-%d0%ba%d0%be%d0%bd%d1%82%d1%80%d0%be%d0%bb%d0%bb%d0%b5%d1%80-%d0%b4%d0%be
В конце группа доменных пользователей добаить на сервер терминалов
123

Microsoft Active Directory PDC + BDC

Первый контроллер домена в лесу, на базе Windows 2012 R2. Настройка служб AD DS, DNS, DHCP


%d0%bf%d0%b5%d1%80%d0%b2%d1%8b%d0%b9-%d0%ba%d0%be%d0%bd%d1%82%d1%80%d0%be%d0%bb%d0%bb%d0%b5%d1%80-%d0%b4%d0%be%d0%bc%d0%b5%d0%bd%d0%b0-%d0%b2-%d0%bb%d0%b5%d1%81%d1%83-%d0%bd%d0%b0-%d0%b1%d0%b0%d0%b7

Установка дополнительного контроллера домена на базе Windows 2012 R2 (сore)


%d1%83%d1%81%d1%82%d0%b0%d0%bd%d0%be%d0%b2%d0%ba%d0%b0-%d0%b4%d0%be%d0%bf%d0%be%d0%bb%d0%bd%d0%b8%d1%82%d0%b5%d0%bb%d1%8c%d0%bd%d0%be%d0%b3%d0%be-%d0%ba%d0%be%d0%bd%d1%82%d1%80%d0%be%d0%bb%d0%bb%d0%b5

TS + 1c + MSSQL

Прозрачная авторизация на RDS с помощью SSO

Прозрачная авторизация на RDS с помощью SSO
%d0%bf%d1%80%d0%be%d0%b7%d1%80%d0%b0%d1%87%d0%bd%d0%b0%d1%8f-%d0%b0%d0%b2%d1%82%d0%be%d1%80%d0%b8%d0%b7%d0%b0%d1%86%d0%b8%d1%8f-%d0%bd%d0%b0-rds-%d1%81-%d0%bf%d0%be%d0%bc%d0%be%d1%89%d1%8c%d1%8e-sso

Настройка единого входа (RDS 2012 R2 Single Sign On, SSO).
%d1%88%d0%b0%d0%b3-5-%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d1%8f-%d1%81%d0%b5%d1%80%d1%82%d0%b8%d1%84%d0%b8

%d0%bf%d0%b0%d1%80%d0%b0%d0%bc%d0%b5%d1%82%d1%80%d1%8b-%d0%b2%d1%85%d0%be%d0%b4%d0%b0

%d1%80%d0%b0%d0%b7%d1%80%d0%b5%d1%88%d0%b8%d1%82%d1%8c-%d0%bf%d0%b5%d1%80%d0%b5%d0%b4%d0%b0%d1%87%d1%83-%d1%83%d1%87%d0%b5%d1%82%d0%bd%d1%8b%d1%85-%d0%b4%d0%b0%d0%bd%d0%bd%d1%8b%d1%85-%d1%83%d1%81

%d1%81%d0%bf%d0%b8%d1%81%d0%be%d0%ba-%d0%bd%d0%b0%d0%b7%d0%bd%d0%b0%d1%87%d0%b5%d0%bd%d0%b8%d0%b9-%d0%b7%d0%be%d0%bd%d1%8b-%d0%b1%d0%b5%d0%b7%d0%be%d0%bf%d0%b0%d1%81%d1%82%d0%bd%d0%be%d1%81%d1%82

%d1%83%d0%ba%d0%b0%d0%b7%d0%b0%d1%82%d1%8c-%d0%be%d1%82%d0%bf%d0%b5%d1%87%d0%b0%d1%82%d0%ba%d0%b8-%d1%81%d0%b5%d1%80%d1%82%d0%b8%d1%84%d0%b8%d0%ba%d0%b0%d1%82%d0%be%d0%b2-sha1

Настройка использования сертификатов для служб удаленных рабочих столов. WINDOWS SERVER TS

Настройка использования сертификатов для служб удаленных рабочих столов.
%d1%88%d0%b0%d0%b3-5-%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d1%8f-%d1%81%d0%b5%d1%80%d1%82%d0%b8%d1%84%d0%b8

Samba AD

Настройка Samba AD в 4.4 на Centos 7
Installing Samba 4.4.0 AD DC on CentOS 7.1511
installing-samba-4-4-0-ad-dc-on-centos-7

kinit administrator@BALES.LAN — Домен пишется СТРОГО ЗАГЛАВНЫМИ!!!

Если мешает NetworkManager в resolf.conf

sudo /etc/init.d/NetworkManager stop
chkconfig NetworkManager off

Также, можно пойти другим путем и использовать systemctl:
systemctl disable NetworkManager
systemctl stop NetworkManager

———————————————

Unit SystemD
vim /lib/systemd/system/samba.service

[Unit]
Description= Samba 4 Active Directory
After=syslog.target
After=network.target

[Service]
Type=forking
PIDFile=/usr/local/samba/var/run/samba.pid
LimitNOFILE=16384
EnvironmentFile=-/etc/conf.d/samba
ExecStart=/usr/local/samba/sbin/samba
ExecReload=/usr/bin/kill -HUP $MAINPID

[Install]
WantedBy=multi-user.target

systemctl enable samba
systemctl start samba

——————————————

Прописывание обратной зоны для 192.168.10.5

Теперь давайте добавим зону traning.kz в наш сервер:
samba-tool dns zonecreate traning.kz 10.168.192.in-addr.arpa -UAdministrator%’Traning.kz!’

Создаём PTR запись для сервера dc.traning.kz:
samba-tool dns add dc.traning.kz 10.168.192.in-addr.arpa 1 PTR dc.traning.kz -UAdministrator%’Traning.kz!’

Теперь создадим А запись для нашего сервера gateway:
samba-tool dns add 192.168.10.5 traning.kz gateway A 192.168.10.1 -UAdministrator%’Traning.kz!’

Давайте проверим:
ping gateway

После создания зоны Самбу необходимо перезапустить:

systemctl restart samba
————————————————-
Ошибки

Ввод ubuntu в домен

AD + Samba Backend Centos 6.8 (4.5)
Samba 4.5 in CentOS 6.8 as Secondary DC with Microsoft Active Directory 2012R2

—————————————————

Полный гайд по PDC и BDC на Samba — все, что нужно.
http://yvision.kz/post/542170 — samba-4-PDC AD DC-centos-7 PDC

http://yvision.kz/post/577878 — samba-4-BDC SDC

——————————————————
Перемещаемые профили windows 7

https://www.stefanwienert.de/blog/2014/07/02/samba-4-active-directory-controller-with-windows-7-roaming-profiles-plus-linux-login-the-definitive-guide/
samba-4-active-directory-controller-with-windows-7-roaming-profiles-linux-login-the-complete-guide-_-stefanwienert

How to configure Samba 4 as Secondary Domain Controller

Samba4 provisioning
Доменный контроллер Samba4 на CentOS
%d0%b4%d0%be%d0%bc%d0%b5%d0%bd%d0%bd%d1%8b%d0%b9-%d0%ba%d0%be%d0%bd%d1%82%d1%80%d0%be%d0%bb%d0%bb%d0%b5%d1%80-samba4-%d0%bd%d0%b0-centos-medium

Миграция доменного контроллера Windows 2008R2 в Samba4
%d0%bc%d0%b8%d0%b3%d1%80%d0%b0%d1%86%d0%b8%d1%8f-%d0%b4%d0%be%d0%bc%d0%b5%d0%bd%d0%bd%d0%be%d0%b3%d0%be-%d0%ba%d0%be%d0%bd%d1%82%d1%80%d0%be%d0%bb%d0%bb%d0%b5%d1%80%d0%b0-windows-2008r2-%d0%b2-samba4

https://wiki.samba.org/index.php/Setup_Samba_as_an_AD_Domain_Member