Eu preciso de um processo de servidor para ser executado com acesso total à área de trabalho física do servidor. Eu também preciso ver / controlar seu estado remotamente.
Minha solução atual envolve um serviço VNC Server, mas quero ter uma solução mais "nativa".
Eu tentei usar o sombreamento de sessão do RDP, mas ele não funciona para a sessão do console:
mstsc /shadow:3 /v:somehost.example.com /noConsentPrompt
Tudo que eu obtenho é "A sessão especificada não está conectada", enquanto consulta a sessão no servidor:
> query session
SESSIONNAME USERNAME ID STATE TYPE DEVICE
services 0 Disc
>rdp-tcp#2 Administrator 1 Active
console 3 Conn
rdp-tcp 65536 Listen
FWIW, configurei a política de grupo para permitir conexões sem consentimento.
Há algo mais que eu possa estar perdendo ou isso simplesmente não é possível?
Eu não acho que isso pode ser feito com o Windows 2012. Eu sei que no passado eu usei as opções / console ou / admin pelas seguintes razões:
Mas não parece que isso é possível no Windows 2012, porque ele nunca atribui você a ID 0
Você já tentou usar a opção / admin, que deve conectá-lo à sessão do console?
mstsc /admin /v:host.example.com
Eu posso entender mal, mas isso é bastante fácil. Você deve ser remoto para o servidor usando sua conta, em qualquer sessão que desejar. Então, no prompt de comando (no servidor remoto) ou PS, digite:
mstsc /shadow:3 /noConsentPrompt
Não especifique um nome de servidor, você está no servidor que tem a sessão que gostaria de sombrear. Você terá que habilitar o sombreamento no GP para que isso funcione. Está em ambos
[<Computer Configuration> | <User Configuration>]\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections\Set rules for remote control of Remote Desktop Services user sessions
Uma vez que você o habilita (eu sei que você disse que sim, mas você o fez no User and Computer Config?), você deve ser capaz de sombrear uma sessão depois de encontrar o ID da sessão que você deseja como você já tem.
Mini controle remoto Dameware . Pequeno programa doce. Permite o acesso à sessão do 'console', a tela de login, o processo de inicialização (se você usar o Intel AMT) e também permite alternar para sessões RDP existentes também.
Múltiplos métodos de conexão: MRC (sua solução proprietária ridiculamente rápida) RDP, VNC, intel AMT (vPro). Múltiplos métodos de autenticação (NTLM passthrough / manual entry, credenciais personalizadas). Eu usei por anos, vale bem o preço .. deixe-me saber se você tiver alguma dúvida.
Além disso, pelo que vale a pena, o mstsc / admin definitivamente conecta você à sessão do console, mas a sessão do console NÃO é a tela de login.
No entanto, se você pretende conectar-se à Sessão 0 (que não é a sessão de console), basta configurar HKLM \ SYSTEM \ CurrentControlSet \ Control \ Windows \ NoInteractiveServices = 0 e, em seguida, iniciar o serviço de Detecção de Serviços Interativos. Se um serviço (ou qualquer outro processo) estiver sendo executado de forma interativa na sessão 0, uma janela irá aparecer avisando-o e permitindo que mude para a sessão 0 e interaja com o processo
Para responder mais detalhadamente à pergunta:
Não existe uma solução 'mais nativa' (como na built-in) que permita controlar a 'área de trabalho física' do servidor. O RDP só permitirá acesso à sessão do 'console' logado. De modo algum fornece acesso ao 'desktop físico' do servidor. O RDP não é uma tecnologia de exibição 'viciante', como o VNC, etc, mas funciona bem para a maioria dos propósitos. Se, como eu, uma pessoa se encontra regularmente precisando de acesso ao 'desktop físico' das máquinas, uma solução de terceiros é a única opção.
Devo acrescentar, é por isso que existem MUITAS ferramentas de acesso remoto de terceiros oferecidas por fornecedores confiáveis. Intelliadmin, Radmin são alguns outros que vêm imediatamente à mente.
Já que estou sendo abalado, sinto que devo adicionar mais algumas informações ... A maioria das soluções de acesso remoto exige (ou pelo menos instala por padrão) um executável e / ou driver cliente que é executado em TODAS AS VEZES no host remoto . Dameware não. Ele possui uma interface amigável que permite que um administrador envie e instale / start / stop / uninstall o serviço de host remoto sob demanda para a máquina por meio da Administração de Serviços Remotos / RPC. Ele pode instalar / iniciar o serviço automaticamente ao se conectar e, em seguida, interromper / desinstalar o serviço ao desconectar. Isso nega o vetor de ataque 'hack de driver' mencionado em um comentário abaixo. É assim que tenho meus sistemas configurados. E, claro, apenas um usuário com credenciais de administrador adequadas pode fazer isso acontecer.
p. Eu não estou de forma alguma conectado a este fornecedor de software (agora pertencente à SolarWinds).
Além disso, eu diria que de outra perspectiva sobre a palavra 'nativo', VNC, ou ainda melhor, Intel AMT ou outras tecnologias similares baseadas em hardware (HP iLO, Lantronix Spider KVM, etc) são tão 'nativo' como você pode conseguir.