Как отключить перехват сессии RDP другим клиентом, который использует те же учетные данные?

Question

[Trianid Trianid]

Здравствуй тостер. Не могу правильно спросить у гугла, спрашиваю у тебя.
Есть терминальный сервер на винде (2008+). При запущенном сеансе удаленки в клиенте№1 юзер нормально себе работает. Как сделать так, чтобы при подключении с этой же учеткой другим клиентом, первого клиента не выбрасывало. Чтобы второй клиент ждал пока первый клиент не закроет подключение, или его не выбросит. И если это возможно, как это правильно реализовать, в частности по отношению к конкретным пользователям и/или группам, т.к. хотелось бы админов под это правило не подписывать.
Заранее спасибо за инфы, Тостер!

UPDATE: о безопасности я забочусь не менее Вашего. Просто специфика задачи требует нестандартного подхода, который в этом случае не станет уязвимостью.

Comments

[Pavel]

хе,если одни и те же учётные данные,Как понять что один из них юзер,а другой админ?бред

[Trianid Trianid]

ну к примеру групповые политики можно разруливать на админов или неадминов

Answer 1

[Алексей С.]

вы понимаете, что ваше предложение это нарушение всех правил безопасности. Не должны разные лица входить под одной и той же учёткой, потом концов не найти если один из них сделает "ой, всё"

Comments

[Trianid Trianid]

Это не существенно в моей задаче.

[Алексей С.]

Trianid Trianid: если сделать ограничение на кол-во лицензий, то пока он не выйдет , вы не сможете подключиться ... но у вас же там не два пользователя, следовательно , вам такое не пойдёт

Есть ещё возможность подключать новую сессию под тем же логином и паролем (настройки на сервере) ... то есть оба будут работать под одними и теме же учётками (и вот тут уже можно выдавать сообщение, что другой пользователь уже подключен)

[Trianid Trianid]

"то есть оба будут работать под одними и теме же учётками " - куда копать?

[Алексей С.]

Trianid Trianid:
Для этого необходимо изменить значение fSingleSessionPerUser ключа системного реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer с 0×1 (Force each user to a single session save this ) на 0×0 (Allow multiple sessions per user).

[Алексей С.]

Trianid Trianid:
В Windows Server 2012 настройку, разрешающую несколько подключений с одним логином к службе удаленных рабочих столов, по какой-то неведомой причине спрятали очень далеко.
Вместо того, чтобы поставить одну галку, как это было в Win2k3 или Win2k8, открываем редактор локальной групповой политики
gpedit.msc

и отключаем политику Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Подключения -> Ограничить пользователей служб удаленных рабочих столов одним сеансом служб удаленных рабочих столов .
Для английской версии эта политика находится здесь: Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections -> Restrict Remote Desktop Services users to a single remote session

[Trianid Trianid]

Алексей С.: Блин вот вопрос... Они увидят одни и те же окна? К примеру: Чел А запустил оперу, значит Чел Б палит его оперу?

[Trianid Trianid]

Алексей С.: или сеансы будут иметь разные ID?

[Алексей С.]

Trianid Trianid: нет, будет два разных сеанса, почему и написал , что надо будет тогда какой то батник который при старте будет проверять, а не залогинен ли кто то ещё ... но тут будут проблемы, если пользователь забудет выйти .. сессия так и будет висеть

[Trianid Trianid]

Спасибо за инфы - пошел тестить

Answer 2

[kir117]

Технически оно не сложно, в настройках RD Session host configuration снимаем галку с Restrict each user to a single session. Но всецело присоединяюсь к предыдущему оратору, организационно это делать нельзя.