10
RDS Session-ID auslesen mit Minimalrechten
In einer RDS-Farm soll ein privilegierter AD-Benutzer alle Session-IDs auslesen können. Als Admin funktioniert das Script mittels Powershell.
Kurzum hier der Befehl: quser maxmustermann /server:rds-server
Welche Berechtigungen benötigt dieser User, um dies machen zu dürfen? In welcher Builtin-Sicherheitsgruppe muss er Mitglied sein?
Danke.
Kurzum hier der Befehl: quser maxmustermann /server:rds-server
Welche Berechtigungen benötigt dieser User, um dies machen zu dürfen? In welcher Builtin-Sicherheitsgruppe muss er Mitglied sein?
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666196
Url: https://administrator.de/contentid/666196
Printed on: April 24, 2024 at 23:04 o'clock
10 Comments
Latest comment
Hi.
Das geht mit niedrigsten Rechten, jedoch muss serverseitig Port 445 geöffnet sein zum Rechner hin, der abfragt.
Das geht mit niedrigsten Rechten, jedoch muss serverseitig Port 445 geöffnet sein zum Rechner hin, der abfragt.
Danke vorab.
Per User und der Admin sind auf dem selben Host im selben Netzwerk und Ports sind frei.
Dem priv. User fehlt ein Recht um die Server abzufragen. Nur welches?
Per User und der Admin sind auf dem selben Host im selben Netzwerk und Ports sind frei.
Dem priv. User fehlt ein Recht um die Server abzufragen. Nur welches?
Ein schwacher Nutzer kann hier remote System abfragen, deren Port 445 offen ist. Ist 445 zu, kann er es nicht.
Der Nutzer ist in keinen weiteren Gruppen außer Domänen-Benutzer und es wurde an den Zielrechnern nichts weiter konfiguriert.
Ich werde es daheim in der Testdomäne ebenso mal prüfen.
Der Nutzer ist in keinen weiteren Gruppen außer Domänen-Benutzer und es wurde an den Zielrechnern nichts weiter konfiguriert.
Ich werde es daheim in der Testdomäne ebenso mal prüfen.
Hab's nochmal getestet - es hängt ausschließlich an der Öffnung von Port 445. Natürlich muss der abfragende Nutzer auch ein (schwacher) Domänennutzer sein.
Der abfragende Benutzer ist ein ganz gewöhnlicher DomUser. Firewalls sind zum Test komplett auf beiden Systemen aus. Also Port sollte es nicht sein. Unter MS-Docs steht geschrieben, dass nur Admins oder User mit "speziellen Zugriffsrechten" die Sessions mittels quser, query session oder qwinsta abfragen dürfen. M.E. auch logisch. Ich möchte dem User aber die genau diese "spezielle Zugriffsrechte" zuweisen. Das wäre die Lösung. Danke
Also Port sollte es nicht sein
Ja prüf das bitte nach. Installiere "Telnet Client" als Windows-Feature auf dem Rechner, der auslesen will und dann:telnet Zielrechner 445Unter MS-Docs steht geschrieben...
Zeig mir den Link bitte.M.E. auch logisch
Nee, logisch wäre das nicht. Wenn Ports offen sind, kannst Du alles mögliche auslesen als Standardbenutzer.
Was nun, willst Du das noch gemeinsam lösen? Dann bitte Feedback.
Sorry, Urlaub hat die Pause verursacht und Danke für deine Hilfe. Habe alles gecheckt. Der user muss mindestens in der Gruppe der Remotedesktopbenutzer sein, dann funktioniert der Befehl.
Nun muss es so gehen.
Hier noch der Link https://docs.microsoft.com/de-de/windows-server/administration/windows-c ...
Nun muss es so gehen.
Hier noch der Link https://docs.microsoft.com/de-de/windows-server/administration/windows-c ...
Aha...
So ganz stimmt das auch nicht. Du hast nun mein Interesse endgültig geweckt und ich habe 2 leere VMs mit Win10 20H2 installiert.
Ohne die Gruppenmitgliedschaft "Remotedesktopbenutzer" geht es bei mir trotzedem (oben), mit der Mitgliedschaft sieht man mehr (unten)
Da man also auch ohne Mitgliedschaft die Konsolensitzung sieht, sollte das für dich reichen.
Hier ist nur Port 445 auf und der schwache Nutzer "test" ist bei beiden Systemen mit dem selben Kennwort angelegt (Workgroup, keine Domäne. mit unterschiedlichem Kennwort geht es nicht!)
So ganz stimmt das auch nicht. Du hast nun mein Interesse endgültig geweckt und ich habe 2 leere VMs mit Win10 20H2 installiert.
Ohne die Gruppenmitgliedschaft "Remotedesktopbenutzer" geht es bei mir trotzedem (oben), mit der Mitgliedschaft sieht man mehr (unten)
Hier ist nur Port 445 auf und der schwache Nutzer "test" ist bei beiden Systemen mit dem selben Kennwort angelegt (Workgroup, keine Domäne. mit unterschiedlichem Kennwort geht es nicht!)
Edit: Ha, das war nun Blödsinn... Du hast ja eine RDS-Farm mit mehreren Sitzuzngen... die kann er dann wirklich nicht sehen ohne die Mitgliedschaft. Somit hast Du Recht!
