Comment puis-je m'assurer que les utilisateurs sont déconnectés des sessions du Bureau au lieu de simplement fermer la fenêtre RDP?
Nos ingénieurs ont un ensemble de serveurs sur lesquels les postes de travail distants sont installés, mais chaque serveur a une limite de deux connexions. Nous allons souvent essayer de RDP dans ces cases et nous verrons le message "Cette machine a dépassé le nombre maximal de connexions".
C'est très pénible, car nous avons envoyé plusieurs courriels à ces utilisateurs, qui ne comprennent jamais rien.
Je sais comment me connecter à la console racine et démarrer les utilisateurs, mais je préférerais ne pas le faire. Je sais également qu'il existe des moyens de démarrer des sessions inactives après un certain temps, et je ne veux pas le faire non plus.
Je veux forcer les utilisateurs à apprendre qu'ils doivent se déconnecter. Cela ne se produit pas si vous les déconnectez manuellement (en plus, les déconnecter manuellement est une tâche ardue). Si vous vous contentez de les déconnecter manuellement, ces ingénieurs n'hésiteront pas à rester connectés dans une session RDP, car cela leur convient.
Je préférerais un système de notification dans lequel l'utilisateur inconsidéré est averti par courrier électronique ou par message NET SEND que son compte est déconnecté de la machine. De cette façon, ils se rendront compte qu'ils font quelque chose de mal. Mieux encore, s’ils contrevenaient à plusieurs reprises, je souhaiterais que leur compte soit verrouillé jusqu’à ce qu’un administrateur système le déverrouille.
Existe-t-il un moyen de permettre aux utilisateurs de se déconnecter manuellement? Toutes les suggestions sont les bienvenues.
Vous pouvez utiliser les outils de configuration d'hôte de session de bureau à distance ou (mieux) les stratégies de groupe pour définir des règles relatives aux déconnexions RDP.
Si vous utilisez la stratégie de groupe et les unités d'organisation, vous pourrez autoriser certains utilisateurs à rester "déconnectés" et obliger d'autres utilisateurs à se déconnecter après la déconnexion.
Vérifiez spécifiquement ces branches de politique:
- Configuration de l'ordinateur\Stratégies\Modèles d'administration\Composants Windows\Services de bureau à distance\Hôte de session de bureau à distance\Durée de la session
- Configuration utilisateur\Stratégies\Modèles d'administration\Composants Windows\Services de bureau à distance\Hôte de session de bureau à distance\Limites de temps de session
Et des politiques comme celles-ci:
Termine une session déconnectée
Spécifiez la durée maximale pendant laquelle une session d'utilisateur déconnecté est maintenue active sur le serveur hôte de session Bureau à distance. Si vous spécifiez "Jamais", la session déconnectée de l'utilisateur est conservée pendant une durée illimitée.
Lorsqu'une session est dans un état déconnecté, les programmes en cours sont maintenus actifs même si l'utilisateur n'est plus activement connecté.
.
Lorsqu'une limite de session est atteinte ou que la connexion est interrompue
Indiquez si vous souhaitez déconnecter ou mettre fin à la session des services Bureau à distance de l'utilisateur lorsqu'une limite de session active ou une session inactive est atteinte.
Si la session de l'utilisateur est déconnectée, les programmes exécutés par l'utilisateur restent actifs même si l'utilisateur n'est plus activement connecté.
Si la session de l'utilisateur est terminée, l'utilisateur devra établir une nouvelle session de services Bureau à distance avec un serveur hôte de session Bureau à distance.
Pour plus d'informations, consultez cette page de MS à propos des stratégies de déconnexion RDP.
Pour un système de notification, je suppose que vous devrez le développer en utilisant des API telles que WTSEnumerateSession .
Cela signifie développer quelque chose comme un service Windows qui interrogerait régulièrement vos serveurs afin de rechercher les sessions déconnectées et de faire ce que vous voulez avec elles.
Cela pourrait vous prendre un tas de jours de travail pour bien faire les choses.
Sinon, je suggère une autre approche à ce problème:
- Configurez deux groupes d'utilisateurs rdp sur les serveurs: dites TrustedDisconnectors et UntrustedDisconnectors.
- Configurez une stratégie pour UntrustedDisconnectors, ce qui les oblige à déconnecter leur session après un délai de déconnexion quelque peu court.
- Communiquer sur ce changement. Les états dans lesquels les ingénieurs omettent souvent de se déconnecter correctement sans raisons valables ne seraient plus autorisés à se déconnecter sans être déconnectés.
Vous ne savez pas à quel point cela vous aidera, mais cela vaut la peine de jeter un coup d'œil sur en utilisant l'afficheur VNC . Il peut être configuré pour se déconnecter une fois le dernier visualiseur déconnecté.
Vous pouvez ensuite forcer les utilisateurs à utiliser VNC en bloquant le port RDP sur la machine.