Surveiller ou contrôler les sessions RDS de vos utilisateurs sous Windows Server 2012 R2 / 2016
- Windows Server
- 03 mai 2019 à 20:34
-
- 2/2
4. Autorisation requise par défaut
Notez que la demande d'autorisation de l'utilisateur est, par défaut, obligatoire.
En effet, si vous décochez la case "Demander l'autorisation de l'utilisateur", vous recevrez automatiquement un message d'erreur :
Plain Text
Le paramètre de stratégie de groupe est configuré pour demander l'accord de l'utilisateur. Vérifier la configuration du paramètre de stratégie.
5. Rendre facultative la demande d'autorisation de l'utilisateur
Comme expliqué précédemment, par défaut, vous demander l'accord de l'utilisateur pour voir ce qu'il fait et pour contrôler sa session.
Cette pratique est recommandée en entreprise, car vos utilisateurs travaillent peut-être sur des projets importants et/ou sur des documents confidentiels (que vous ne devriez donc pas voir).
Cela signifie que vous ne devriez pas désactiver cette demande d'autorisation qui est obligatoire par défaut.
Néanmoins, si vous voulez la rendre facultative, voici comment faire.
Sur votre serveur Active Directory, ouvrez la gestion des stratégies de groupe et allez dans : Configuration ordinateur -> Modèles d'administration -> Composants Windows -> Services Bureau à distance -> Hôte de la session Bureau à distance -> Connexions.
Ensuite, faites un double clic sur la stratégie "Définir les règles pour le contrôle à distance des sessions utilisateur des services Bureau à distance".
Activez cette stratégie, puis choisissez l'option souhaitée :
- Aucun contrôle à distance autorisé
- Contrôle total avec l'autorisation de l'utilisateur
- Contrôle total sans l'autorisation de l'utilisateur
- Afficher la session avec l'autorisation de l'utilisateur
- Afficher la session sans l'autorisation de l'utilisateur
Dans ce tutoriel, nous autoriserons l'administrateur à contrôler une session utilisateur à distance sans demander l'autorisation de l'utilisateur concerné.
Forcez la mise à jour de la stratégie de groupe sur votre serveur Hôte de session, puis ouvrez à nouveau le gestionnaire de serveur.
Ensuite, allez dans : Services Bureau à distance -> Collections -> Nom de la collection souhaitée -> clic droit sur un utilisateur connecté à cette session -> Cliché instantané (Shadow session).
Maintenant, nous sélectionnons "Contrôle" et nous décochons la case "Demander l'autorisation de l'utilisateur".
Comme prévu, nous pouvons contrôler la session de notre utilisateur à distance sans qu'il en soit averti et sans qu'il ne donne son accord.
Notez que si vous désactivez cette demande d'autorisation, vous devriez d'abord prévenir vos utilisateurs que leurs sessions pourront être surveillées et/ou contrôlées à distance sans demande au préalable.
6. Afficher ou contrôler la session d'un utilisateur depuis la ligne de commande (CLI)
Pour ceux qui souhaitent faire la même chose via la ligne de commande, voici comment le faire grâce au processus mstsc.exe
Pour afficher ou contrôler une session à distance depuis un invite de commandes, vous devrez d'abord connaitre l'ID de session de l'utilisateur concerné.
Pour cela, ouvrez un invite de commandes en tant qu'administrateur et utilisez cette commande :
Batch
query session
Dans notre cas, cette commande nous affiche ceci :
Plain Text
SESSION UTILISATEUR ID ÉTAT TYPE PÉRIPHÉRIQUE services 0 Déco >console Administrateur 1 Actif rdp-tcp#3 InformatiUser 2 Actif rdp-tcp 65536 Écouter
Maintenant, nous savons que notre utilisateur InformatiUser possède l'ID de session : 2.
Pour connaitre les paramètres que vous pouvez utiliser avec le programme mstsc.exe, utilisez la commande :
Batch
mstsc /?
6.1. Afficher la session d'un utilisateur depuis la ligne de commande
Pour afficher la session d'un utilisateur, utilisez cette commande en remplaçant le chiffre 2 par l'ID de session de l'utilisateur souhaité :
Batch
mstsc /shadow:2
Votre utilisateur sera prévenu que vous tentez de surveiller sa session à distance et pourra accepter ou refuser votre demande.
Une connexion Bureau à distance s'effectue.
Comme vous pouvez le voir dans le titre de la fenêtre, il s'agit d'un affichage de la session de votre utilisateur dont l'ID est bien dans notre cas : 2.
6.2. Contrôler la session d'un utilisateur depuis la ligne de commande
Pour contrôler la session d'un utilisateur, la commande est quasiment identique.
En effet, il suffit d'ajouter le paramètre : /control
Batch
mstsc /shadow:2 /control
Dans ce cas-ci, votre utilisateur sera averti que vous souhaitez contrôler sa session à distance.
La fenêtre "Connexion Bureau à distance" du client RDP apparait.
Cette fois-ci, le terme "Contrôle" apparait dans le titre de la fenêtre et vous pouvez donc contrôler la session de l'utilisateur à distance.
6.3. Contrôler la session d'un utilisateur depuis la ligne de commande (sans demander l'autorisation)
Comme c'est le cas avec l'interface graphique, vous pouvez aussi afficher ou contrôler une session à distance sans demander l'autorisation de l'utilisateur.
Néanmoins, il faut que la stratégie du serveur vous y autorise et ce n'est pas le cas par défaut (comme expliqué précédemment).
Une fois que vous aurez modifié et mis à jour la stratégie du serveur hôte de session comme expliqué à l'étape "5. Rendre facultative la demande d'autorisation de l'utilisateur" de ce tutoriel, vous pourrez contrôler la session de votre utilisateur comme ceci :
Batch
mstsc /shadow:2 /control /noConsentPrompt
Une fois la commande exécutée, vous aurez accès à distance à la session de votre utilisateur.
Partager ce tutoriel
A voir également
-
Windows Server 7/6/2019
WS 2012 / 2012 R2 - RDS - Mettre en place la HA sur votre infrastructure RDS
-
Windows Server 8/3/2019
WS 2012 / 2012 R2 / 2016 - RDS - Accéder aux RemoteApp via une application moderne
-
Windows Server 22/3/2019
WS 2012 / 2012 R2 / 2016 - RDS - Activer le NLA et utiliser le SSL (TLS 1.0)
-
Windows Server 16/6/2019
WS 2012 / 2012 R2 / 2016 - RDS - Améliorer les performances du serveur RDS
Pas de commentaire