12
Berechtigung Shadow - Remoteüberwachung - Windows 2012 R2
Hallo!
Ich suche gerade nach einer Möglichkeit, Benutzern das Recht zur Remoteüberwachung/Shadow von anderen zu geben. Ich habe einige Mitarbeiter, die so Hilfestellung leisten, aber keine Admin-Accounts haben.
Unter Windows 2003 war das möglich mit:
Terminaldienstekonfiguration -> Berechtigungen - > Spezielle Berechtigungen
Gleiches möchte ich jetzt unter Windows 2012 R2 machen.
Hier habe ich keine Möglichkeit gefunden, die berechtigten Benutzer einzuschränken.
Gibt es diese Option einfach nicht? Das würde ja bedeuten: Alle oder Keiner...
Danke für eure Hilfe
Gruß
Phil
Ich suche gerade nach einer Möglichkeit, Benutzern das Recht zur Remoteüberwachung/Shadow von anderen zu geben. Ich habe einige Mitarbeiter, die so Hilfestellung leisten, aber keine Admin-Accounts haben.
Unter Windows 2003 war das möglich mit:
Terminaldienstekonfiguration -> Berechtigungen - > Spezielle Berechtigungen
Gleiches möchte ich jetzt unter Windows 2012 R2 machen.
Hier habe ich keine Möglichkeit gefunden, die berechtigten Benutzer einzuschränken.
Gibt es diese Option einfach nicht? Das würde ja bedeuten: Alle oder Keiner...
Danke für eure Hilfe
Gruß
Phil
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283770
Url: https://administrator.de/forum/berechtigung-shadow-remoteueberwachung-windows-2012-r2-283770.html
Ausgedruckt am: 02.04.2025 um 11:04 Uhr
12 Kommentare
Neuester Kommentar
Hi.
--
to allow non-administrators permissions to shadow you can use the following command which is also applicable for Windows Server 2008 R2 (Credits for this command go to fellow RDS MVP TP who posted this on Technet* Forum.
--
Dieser Befehl berechtigt die Gruppe domain\group zum Shadowing und (wenn ich mich recht erinnere) auch zum Trennen und beenden von Sitzungen anderer - feiner ist es nicht mehr einstellbar.
* http://social.technet.microsoft.com/Forums/windowsserver/en-US/0d119172 ...
--
to allow non-administrators permissions to shadow you can use the following command which is also applicable for Windows Server 2008 R2 (Credits for this command go to fellow RDS MVP TP who posted this on Technet* Forum.
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "domain\group",2 Dieser Befehl berechtigt die Gruppe domain\group zum Shadowing und (wenn ich mich recht erinnere) auch zum Trennen und beenden von Sitzungen anderer - feiner ist es nicht mehr einstellbar.
* http://social.technet.microsoft.com/Forums/windowsserver/en-US/0d119172 ...
Hallo!
Vielen Dank!!
Das hilft mir sehr.
Grüße
Phil
Vielen Dank!!
Das hilft mir sehr.
Grüße
Phil
Darf ich zuerst mal dumm fragen?
Ist das im Hinblick auf den Datenschutz eigentlich genehmigt worden (z.B. durch einen Betriebsrat)?
Wenn da auch nur ein Nutzer dabei ist, der sich daran stört, gibt es ungeahnten Ärger.
Ich setze bei meinen Nutzern auf einen anderen Weg.
Wir arbeiten zwar auch mit Terminaldiensten (aber unter Wind 2008 R2), allerdings lege ich viel Wert darauf, dass meine Nutzer sich selbst entscheiden können, ob sie mich zuschauen lassen oder nicht.
Ich habe per GPO die Windows-Remoteunterstützung domänenweit eingerichtet.
Ich starte das Tool mit "msra /offerra", gebe den Clientnamen ein (nicht den des TS natürlich) und verbinde mich.
Dem Nutzer schlägt ein PopUp entgegen und er kann entscheiden, ob ich seinen Bildschirm in erster Stufe sehen darf.
Wenn ich auch noch die Steuerung brauche, fordere ich die per Mausklick an und der Nutzer kann erneut zustimmen oder ablehnen.
Eine runde Sache, die aus meiner Sicht bei jedem Betriebsrat Genehmigung finden dürfte und keine Datenschutzbedenken schüren dürfte.
Ist das im Hinblick auf den Datenschutz eigentlich genehmigt worden (z.B. durch einen Betriebsrat)?
Wenn da auch nur ein Nutzer dabei ist, der sich daran stört, gibt es ungeahnten Ärger.
Ich setze bei meinen Nutzern auf einen anderen Weg.
Wir arbeiten zwar auch mit Terminaldiensten (aber unter Wind 2008 R2), allerdings lege ich viel Wert darauf, dass meine Nutzer sich selbst entscheiden können, ob sie mich zuschauen lassen oder nicht.
Ich habe per GPO die Windows-Remoteunterstützung domänenweit eingerichtet.
Ich starte das Tool mit "msra /offerra", gebe den Clientnamen ein (nicht den des TS natürlich) und verbinde mich.
Dem Nutzer schlägt ein PopUp entgegen und er kann entscheiden, ob ich seinen Bildschirm in erster Stufe sehen darf.
Wenn ich auch noch die Steuerung brauche, fordere ich die per Mausklick an und der Nutzer kann erneut zustimmen oder ablehnen.
Eine runde Sache, die aus meiner Sicht bei jedem Betriebsrat Genehmigung finden dürfte und keine Datenschutzbedenken schüren dürfte.
Hallo!
Ich sehe da nicht so den Unterschied zur Remoteüberwachung. Hier kann ja auch verlangt werden, dass die Zustimmung vom Nutzer eingeholt wird.
Gruß
Phil
Ich sehe da nicht so den Unterschied zur Remoteüberwachung. Hier kann ja auch verlangt werden, dass die Zustimmung vom Nutzer eingeholt wird.
Gruß
Phil
Hallo!
Leider hat das wohl doch nicht ausgereicht. Die User haben noch keine Berechtigung für das Shadow. Hast Du noch eine Idee, woran das liegen könnte?
Vielen Dank und Grüße
Phil
Leider hat das wohl doch nicht ausgereicht. Die User haben noch keine Berechtigung für das Shadow. Hast Du noch eine Idee, woran das liegen könnte?
Vielen Dank und Grüße
Phil
Das ging so bei mir.
Hast Du auf eine Gruppe berechtigt? Dann müssen sich diese steuernden Nutzer neu anmelden.
Hast Du auf eine Gruppe berechtigt? Dann müssen sich diese steuernden Nutzer neu anmelden.
Hab's gerade nochmal gemacht, geht.
Man muss mit qwinsta die Session auslesen (Spalte "ID") und dann folgendes Kommando am Server als steuernder Nutzer ausführen:
(ID ist hier=2)
Man muss mit qwinsta die Session auslesen (Spalte "ID") und dann folgendes Kommando am Server als steuernder Nutzer ausführen:
mstsc /shadow:2
Hallo!
Ich habe die Gruppe berechtigt, den Server neu gestartet und einen User, sowie einen Admin (der in der berechtigten Gruppe ist) angemeldet.
Testweise habe ich die Gruppe "Domänen-Admins" genutzt.
Das Ergebnis ist:
DOMAIN\Administrator -> Alles funktioniert
DOMAIN\Adminuser (der in der Gruppe Domänen-Admins ist) -> Funktioniert nicht -> Meldung: Spiegelungsfehler - Zugriff verweigert.
Ich habe auch mit tsconfig.msc von einem Windows 2008R2-Terminalserver mal auf den 2012R2-Server geschaut. Auch hier sieht alles gut aus, aber aktuell kann nur der User "Administrator" und keine anderen Administratoren oder User die Remoteüberwachung starten, obwohl die Gruppe und nicht der User berechtigt sind.
Warum ist überhaupt DOMAIN\Administrator dann berechtigt?
Fragen über Fragen...
Gruß
Phil
Ich habe die Gruppe berechtigt, den Server neu gestartet und einen User, sowie einen Admin (der in der berechtigten Gruppe ist) angemeldet.
Testweise habe ich die Gruppe "Domänen-Admins" genutzt.
Das Ergebnis ist:
DOMAIN\Administrator -> Alles funktioniert
DOMAIN\Adminuser (der in der Gruppe Domänen-Admins ist) -> Funktioniert nicht -> Meldung: Spiegelungsfehler - Zugriff verweigert.
Ich habe auch mit tsconfig.msc von einem Windows 2008R2-Terminalserver mal auf den 2012R2-Server geschaut. Auch hier sieht alles gut aus, aber aktuell kann nur der User "Administrator" und keine anderen Administratoren oder User die Remoteüberwachung starten, obwohl die Gruppe und nicht der User berechtigt sind.
Warum ist überhaupt DOMAIN\Administrator dann berechtigt?
Fragen über Fragen...
Gruß
Phil
Berechtige mal den User explizit.
Hallo!
Ich schätze, es lag an den Umlauten der berechtigten Gruppen. Am liebsten würde ich alles auf englische Sprache migrieren, um dem Mist zu entgehen.
Jetzt läuft es. Lösung war:
Mit tsconfig.msc vom Windows 2008R2-Server auf die Windows 2012 R2-Server verbinden. Berechtigungen löschen -> Berechtigungen neu setzen.
Ich habe übrigens noch ein kleiner Powershell-Skript gebastelt, das ein Menü bereitstellt, um auf mehreren Servern RDP-Sessions zu Überwachen, Nachrichten zu verschicken, etc. Bei Interesse kann ich das bereitstellen, aber hübsch ist es definitiv nicht...
Gruß
Phil
Ich schätze, es lag an den Umlauten der berechtigten Gruppen. Am liebsten würde ich alles auf englische Sprache migrieren, um dem Mist zu entgehen.
Jetzt läuft es. Lösung war:
Mit tsconfig.msc vom Windows 2008R2-Server auf die Windows 2012 R2-Server verbinden. Berechtigungen löschen -> Berechtigungen neu setzen.
Ich habe übrigens noch ein kleiner Powershell-Skript gebastelt, das ein Menü bereitstellt, um auf mehreren Servern RDP-Sessions zu Überwachen, Nachrichten zu verschicken, etc. Bei Interesse kann ich das bereitstellen, aber hübsch ist es definitiv nicht...
Gruß
Phil
Über 2008, slick. Ja, stell Dein Script doch als Wissensbeitrag aus, hübsch machen es dann vielleicht andere.
Und Umlaute unbedingt vermeiden.
Und Umlaute unbedingt vermeiden.
Hallo!
Die schöne Gruppe der "Domänen-Admins" hat noch Windows NT4 hier angelegt. Da bin ich von jeder Schuld freigesprochen
Gruß
Phil
Die schöne Gruppe der "Domänen-Admins" hat noch Windows NT4 hier angelegt. Da bin ich von jeder Schuld freigesprochen
Gruß
Phil
