Как организовать Shadow Remote без домена?

Question

[Константин]

Есть комп,где крутится бот. Он находится в соседнем помещении,но в одной локальной сети.
Хочется контролить его по shadow remote,чтобы не выпадал в локскрин(иногда просто заглядываю в соседнее помещение крутится или нет).
Как это можно организовать?
Оба ПК - обычная win 10

Answer 1

[Rsa97]

Если в одной локальной сети, то проще поставить VNC.

Answer 2

[res2001]

Для shadow не нужен домен, имхо.

Comments

[Константин]

Проблема с том,что юзер,который запускает shadow remote должен быть админом на удалённом пк. А как сделать учётку другого пк админом - непонятно,ибо в окружении он видит только себя

[res2001]

Константин, Заведите одного и того же пользователя на обоих компах с одинаковым паролем.

[Константин]

res2001, а как это поможет? Ведь если в списке админов пк1 не будет строчки пк2/user,то я с пк2 под учёткой user не смогу законнектиться,ибо access denied. Или я что-то не так понимаю?

[res2001]

При этом этот пользователь на удаленном компе должен быть админом, а на локальном - не обязательно.
.

[res2001]

Константин,

Или я что-то не так понимаю?

Именно.
Для авторизации не нужно пк2/user, достаточно просто user.

[Константин]

res2001, так ведь mstsc при shadow спрашивает только id сессии(по умолчанию понятно что 1) и коннектится к пк1 под УЗ пк2/user2. Или есть способ скормить ему УЗ удалённого пк1?
Ведь мне же даже через query session /server не узнать список сессий,т.к. не админ,и access denied

[res2001]

Константин, Вам, видимо, кроме всего прочего нужно еще вот это:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
Этот ключ реестра нужно выставить на удаленной машине и перезагрузиться.
Это отключает UAC при логине админом удаленно, т.к. повысить привилегии удаленно нельзя. Напрямую с shadow это не связано, но влияние оказывает. Так же с этим ключем вы сможете использовать админские шары.
Когда сеть с АД, то этот ключ уже выставлен.

[Константин]

res2001, А как мне админские шары помогут?
Ведь даже по вашей ссылке написано,что без прав администратора на удалённом пк не подключиться. Вся проблема заключается в том как добавить моего пользователя рабочего пк в админы на удалённом

[res2001]

Константин,

А как мне админские шары помогут?

Не помогут. Я привел пример, что без этого ключа при включенном UAC админские шары не работают да же при наличии прав администратора. Так же как не работает и shadow даже при наличии админских прав.

что без прав администратора на удалённом пк не подключиться

У вас проблема завести пользователя с админскими правами на удаленном ПК?

[res2001]

Константин, Вы можете на своем ПК завести пользователя, который является администратором на удаленном и запускать shadow из-под него. Админские права вам по любому нужны.

[Константин]

res2001, Вы,видимо, не поняли. Админом должна быть учётка,от которой стартует mstsc shadow. Если она не имеет прав админа на удалённом пк,то она не может коннектится,что собственно логично по соображениям безопасности,ибо тогда без проблем можно было бы к любому заходить через shadow.

[res2001]

Константин, И что?
В свое время я юзал не mstsc /shadow, а просто shadow - суть одна и та же, только shadow работала из терминальной сессии, приходилось сначала подключаться к промежуточному терминальному серверу, а оттуда давать shadow.
shadow я мог запускать от любого пользователя, он не обязательно должен быть локальным админом, главное что бы он был удаленным админом.
Я думаю, что mstsc /shadow работает примерно аналогичным образом.

Сейчас я уже не использую этот механизм. Но 2 года назад плотно с ним работал, практически развернул это в сети средней величины на каждом пользовательском компе (в сети АД не было). Так что опыта было более чем достаточно.

[Константин]

res2001, Я наоборот использовал только в домене.
Для взаимодействия с удалённым пк моя учётная запись рабочего пк должна быть админом на удалённом. Иначе как? На удалённом есть локальная уз с правами админа,но она же не может делать shadow сама на себя.

В домене мы добавляли Domain Admins в группу Администраторов на удалённом пк и спокойно взаимодействовали. Без добавления вылетал тот же Access Denied

[res2001]

Константин, Да, учетная запись из под которой вы делаете shadow, должна быть админом на удаленном ПК, иначе ни как. Я об этом писал выше.

Обычно, если в сети нет домена, то заводят на каждом ПК пользователя с одним и тем же именем и паролем. Обычно это стандартный Администратор.
Если у вас нет такого, подойдет любой - у вас же нужна shadow только на один комп. Берете от туда юзера с админскими правами, заводите на своем компе такого же и запускаете shadow из-под него.