¿Cómo puedo asegurarme de que los usuarios cierren sesión en las sesiones de Escritorio remoto en lugar de simplemente cerrar la ventana RDP?

19

Tenemos un montón de servidores en los que nuestros ingenieros trabajan de manera remota, pero cada servidor tiene un límite de dos conexiones. A menudo intentaremos RDP en estos cuadros y veremos el mensaje "Esta máquina ha excedido el número máximo de conexiones".

Es un gran dolor porque hemos enviado varios mensajes de correo electrónico a estos usuarios, y nunca entienden el punto.

Sé cómo conectarme a la consola raíz y arrancar personas, pero preferiría no hacerlo. También sé que hay formas de iniciar sesiones inactivas después de un período de tiempo, y tampoco quiero hacerlo.

Quiero obligar a los usuarios a aprender que necesitan cerrar sesión. Esto no sucede si cierra la sesión manualmente (además, cerrar la sesión manualmente es una molestia). Si solo cierra la sesión manualmente, estos ingenieros no lo pensarán dos veces antes de permanecer conectados en una sesión RDP porque es conveniente para ellos.

Preferiría algún sistema de notificación en el que se notifique al usuario desconsiderado por correo electrónico o mensaje NET SEND que su cuenta se está desconectando de la máquina. De esa manera, se darán cuenta de que están haciendo algo mal. Aún mejor, si están en violación varias veces, me gustaría que su cuenta se bloquee hasta que un administrador del sistema la desbloquee.

¿Hay alguna manera de lograr el objetivo de que los usuarios cierren sesión manualmente? Todas las sugerencias son bienvenidas.

remote-desktop windows-server-2008 windows-server-2008-r2

— JackAce
fuente

La mejor manera práctica en la que puedo pensar es en lo que ya estás haciendo. Envíelos a todos pero agregue 'usuario A y usuario B están trabajando activamente en esta máquina en este momento. ¿Alguno de ustedes dos puede usar el correo cuando haya terminado y cerrado la sesión? '. Objetivo: Sí, estás esperando. Estas son las personas que olvidaron cerrar la sesión, ir a quejarse con ellos. Además, si necesita más usuarios, existe una solución: Terminal Server. Hasta donde yo sé, eso significa pagar una licencia y cambiar una DLL.

— Hennes

15

Puede usar las herramientas de configuración de host de sesión de escritorio remoto o (mejor) políticas de grupo para definir reglas en torno a las desconexiones RDP.

Si usa la directiva de grupo y las unidades organizativas, podrá permitir que algunos usuarios permanezcan "desconectados" y obligar a otros a cerrar sesión después de la desconexión.

Consulte específicamente estas ramas de política:

Configuración del equipo \ Políticas \ Plantillas administrativas \ Componentes de Windows \ Servicios de escritorio remoto \ Host de sesión de escritorio remoto \ Límites de tiempo de sesión
Configuración de usuario \ Políticas \ Plantillas administrativas \ Componentes de Windows \ Servicios de escritorio remoto \ Host de sesión de escritorio remoto \ Límites de tiempo de sesión

Y políticas como estas:

Finalizar una sesión desconectada

Especifique la cantidad máxima de tiempo que una sesión de usuario desconectado se mantiene activa en el servidor Host de sesión de Escritorio remoto. Si especifica "Nunca", la sesión desconectada del usuario se mantiene por tiempo ilimitado.

Cuando una sesión está desconectada, los programas en ejecución se mantienen activos aunque el usuario ya no esté conectado activamente.

.

Cuando se alcanza un límite de sesión o se interrumpe la conexión

Especifique si se debe desconectar o finalizar la sesión de Servicios de escritorio remoto del usuario cuando se alcanza un límite de sesión activa o un límite de sesión inactiva.

Si la sesión del usuario se desconecta, los programas que ejecuta el usuario se mantienen activos aunque el usuario ya no esté conectado activamente.

Si finaliza la sesión del usuario, el usuario deberá establecer una nueva sesión de Servicios de Escritorio remoto con un servidor Host de sesión de Escritorio remoto.

Para obtener más información, consulte esta página de MS sobre las políticas de desconexión de RDP.

— Ƭᴇcʜιᴇ007
fuente

También discutido en ServerFault: serverfault.com/questions/301640/…

1

Para un sistema de notificación, supongo que tendría que desarrollarlo, utilizando API como WTSEnumerateSession .

Esto significa desarrollar algo como un servicio de Windows que consultaría regularmente sus servidores para buscar sesiones desconectadas y hacer lo que quiera con ellos.

Esto podría llevarle un montón de días de trabajo para hacerlo bien.

De lo contrario, sugiero otro enfoque para este problema:

Configure dos grupos de usuarios de rdp en los servidores: diga TrustedDisconnectors y UntrustedDisconnectors.
Configure una política para UntrustedDisconnectors, haciendo que se cierre la sesión en un tiempo de desconexión algo corto.
Comunicar sobre ese cambio. Establece que los ingenieros que con frecuencia no se desconectan correctamente sin razones válidas ya no se les permitiría desconectarse sin desconectarse.

— Frédéric
fuente

0

No estoy seguro de cuánta ayuda será, pero vale la pena echarle un vistazo al uso del visor VNC . Se puede configurar para cerrar sesión una vez que se desconecta el último visor.

Luego puede obligar a los usuarios a usar VNC bloqueando el puerto RDP en la máquina.

— greg84
fuente

1

¿VNC no solo permite una conexión? Eso podría empeorar las cosas (intentar iniciar sesión cuando alguien ya ha iniciado sesión). Además, VNC me pone nervioso porque alguien puede estar parado frente a la máquina que controlas mirando todo lo que escribes sin que lo sepas.

— JackAce

1

Además, hay momentos en los que legítimamente desea desconectarse y dejar que algunas operaciones continúen ejecutándose. Hay momentos en que quiero desconectarme cuando salgo del trabajo y luego volver a conectarme desde casa.

— JackAce

Tenga cuidado con VNC ... si está usando cifrado simétrico (también conocido como una contraseña única para todos los usuarios), se puede descifrar fácilmente: raymond.cc/blog/crack-or-decrypt-vnc-server-encrypted-password

— Mick