Terminal-Sessions spiegeln (Shadowing) in Windows Server 2012 R2

    Session Shadowing: Warten auf die Zustimmung des Benutzers.Die Terminal-Dienste bieten Administratoren seit jeher die Möglichkeit, sich auf die Sitzung eines Users aufzuschalten (die Rede ist von Session Shadowing, Remote Control oder Sitzungen spiegeln). Eine "Verbesserung" von Windows Server 2012 bestand darin, dieses Feature abzuschaffen, sein Nachfolger führt es nun wieder ein.

    Das Spiegeln von Sitzungen erfreut sich vor allem beim Helpdesk einiger Beliebtheit, weil es ihm erlaubt, dem Benutzer virtuell über die Schulter zu schauen und bei Bedarf auch die Kontrolle über den entfernten Desktop zu übernehmen. Da RDP selbst über wenig leistungsfähige Netze gut funktioniert, lassen sich auf diesem Weg auch Mitarbeiter in Außenstellen betreuen, ohne dass eine eigene Fernsteuerungs-Software nötig ist.

    Shadowing im Server Manager aktivieren

    Nachdem sich die Installation und Verwaltung der Remote Desktop Services in Windows 2012 gründlich verändert hat, muss man sich auch beim Session Shadowing umstellen. Auch für dieses ist nun der Server Manager zuständig. Dort wechselt man zu Remotedesktop-Dienste => Sammlungen und wählt die Collection aus, in der die gewünschte Sitzung läuft. Anschließend sieht man im Fenster Verbindungen eine Liste der aktiven Sitzungen.

    Eine gespiegelte Sitzung öffnet man im Server-Manager im Kontextmenü der betreffenden Verbindung.

    Im Kontextmenü der gewünschten Session kann man schließlich den Befehl Schatten ausführen. Die schlechte Qualität der Übersetzung zeigt sich auch im nachfolgenden Dialog, der dem Anwender die Wahl zwischen Anzeigen und Steuerungselement lässt. Gemeint ist natürlich, ob der Administrator die Session nur beobachten oder die Kontrolle über sie übernehmen möchte.

    Der Administrator kann die Session nur ansehen oder bei Bedarf auch selbst steuern.

    Zustimmung des Benutzers einholen

    Zusätzlich gibt es dort noch die Checkbox Aufforderung zur Zustimmung des Benutzers, über die man festlegt, ob der User damit einverstanden ist, dass sich der Administrator auf seine Session aufschaltet. Standardmäßig ist für eine Schattensitzung immer die Zustimmung des Benutzers erforderlich, man kann diese Einstellung aber über Gruppenrichtlinien ändern.

    Nachdem der User die Zustimmung erteilt hat, kann sich der Admin auf seine Session aufschalten.

    Sobald der Benutzer dem Administrator die Genehmigung erteilt hat, erhält dieser je nach Art der Sitzung Zugriff auf den kompletten Desktop oder auf eine bzw. mehrere RemoteApp. Nutzt der Anwender nur einzelne entfernte Anwendungen, dann sieht man in der gespiegelten Sitzung nur diese und der Desktop des Remote-PC bleibt schwarz.

    Konfiguration über Gruppenrichtlinien

    Wie erwähnt, lassen sich gespiegelte Sessions primär über zwei Einstellungen in den Gruppenrichtlinien steuern. Sie finden sich unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktopdienste => Remotedesktopsitzungs-Host => Verbindungen.

    Über GPOs lässt sich bestimmen, ob der Benutzer dem Öffnen einer gespiegelten Session zustimmen muss.

    Über Regeln für Remotesteuerung von Remotedesktopdienste-Benutzersitzungen festlegen kann man bestimmen, ob Administratoren für eine gespiegelte Session die Zustimmung der Benutzer benötigen und ob sie diese nur anzeigen oder auch kontrollieren dürfen.

    Eine weitere Einstellung mit der Bezeichnung Set remote control UAC session legt fest, ob in einer ferngesteuerten Sitzung der UAC-Prompt auf dem normalen Desktop (Secure Desktop ist dort nicht möglich) oder gar nicht angezeigt wird.

    Shadowing für Nicht-Admins

    Ein gängiges Anliegen beim Session Shadowing besteht darin, dass auch Nicht-Administratoren, also zum Beispiel Mitarbeiter des Helpdesk, das Recht erhalten sollen, sich auf eine Sitzung aufzuschalten. Während dies in den alten Management-Tools über die GUI möglich war, muss man nun den Weg über WMI gehen. Der Aufruf mit dem Kommandozeilenprogramm wmic sieht so aus:

    wmic /NameSpace:\\root\cimv2\TerminalServices PATH WIN32_TSPermissionsSetting.TerminalName="RDP-TCP" call AddAccount "Domain\user", X

    Microsoft beschreibt in diesem Support-Dokument die möglichen Werte für X, der Aufruf selbst ist in der dortigen Form aber nicht mehr gültig. Möchte man den wmic-Befehl remote ausführen, dann muss man den Namen des Zielrechners über den Parameter /node angeben.

    Keine Kommentare