Пользователь не может пройти проверку подлинности или должен пройти проверку подлинности дважды
В этой статье рассматриваются несколько проблем, которые могут вызвать проблемы, влияющие на проверку подлинности пользователей.
Доступ запрещен, ограниченный тип входа
В этом случае пользователю Windows 10, пытающимся подключиться к Windows 10 или Windows Server 2016 компьютерам, будет отказано в доступе со следующим сообщением:
Подключение к удаленному рабочему столу. Системный администратор ограничил тип входа (сетевой или интерактивный), который вы можете использовать. За помощью обратитесь к системному администратору или в службу технической поддержки.
Эта проблема возникает, когда для подключений по протоколу RDP требуется проверка подлинности на уровне сети (NLA), а пользователь не является членом группы «Пользователи удаленного рабочего стола «. Это также может произойти, если группа «Пользователи удаленного рабочего стола » не назначена право доступа к этому компьютеру из сетевого пользователя.
Чтобы решить эту проблему, выполните одно из следующих действий.
- Измените членство пользователя в группе или назначение прав пользователя.
- Отключите NLA (не рекомендуется).
- Используйте клиенты удаленного рабочего стола, отличные от Windows 10. Например, у клиентов Windows 7 нет этой проблемы.
Изменение членства пользователя в группе или назначения прав пользователя
Если эта проблема затрагивает одного пользователя, наиболее простым решением этой проблемы является добавление пользователя в группу «Пользователи удаленного рабочего стола «.
Если пользователь уже является членом этой группы (или у нескольких участников группы есть одна проблема), проверка конфигурацию прав пользователя на удаленном Windows 10 или Windows Server 2016 компьютере.
- Откройте редактор объектов групповая политика (GPE) и подключитесь к локальной политике удаленного компьютера.
- Перейдите в раздел Конфигурация\ компьютераПараметры\Windows Параметры безопасности Локальные\политики\Назначение прав пользователя, щелкните правой кнопкой мыши доступ к этому компьютеру из сети и выберите Свойства.
- Проверьте список пользователей и групп для пользователей удаленного рабочего стола (или родительской группы).
- Если список не включает ни пользователей удаленного рабочего стола , ни родительскую группу , например Все, необходимо добавить ее в список. Если в развертывании несколько компьютеров, используйте объект групповой политики. Например, членство по умолчанию для доступа к этому компьютеру из сети включает все. Если в развертывании для удаления всех используется объект групповой политики, может потребоваться восстановить доступ, обновив объект групповой политики, чтобы добавить пользователей удаленных рабочих столов.
Доступ запрещен, удаленный вызов базы данных SAM запрещен
Это поведение, скорее всего, произойдет, если контроллеры домена работают Windows Server 2016 или более поздней версии, а пользователи пытаются подключиться с помощью настраиваемого приложения для подключения. В частности, приложениям, которые получают доступ к данным профиля пользователя в Active Directory, будет отказано в доступе.
Это поведение является результатом изменения Windows. В Windows Server 2012 R2 и более ранних версиях, когда пользователь входит в удаленный рабочий стол, удаленный диспетчер подключений (RCM) обращается к контроллеру домена (DC) для запроса конфигураций, относящихся к удаленному рабочему столу, в объекте пользователя в доменные службы Active Directory (AD DS). Эти сведения отображаются на вкладке Профиль служб удаленных рабочих столов свойств объекта пользователя в оснастке ПОЛЬЗОВАТЕЛИ И КОМПЬЮТЕРЫ ACTIVE DIRECTORY MMC.
Начиная с Windows Server 2016 RCM больше не запрашивает объект пользователя в AD DS. Если вам требуется RCM для запроса AD DS, так как вы используете атрибуты служб удаленных рабочих столов, необходимо вручную включить запрос.
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для защиты создайте резервную копию реестра перед его изменением, чтобы можно было восстановить его в случае возникновения проблемы. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
Чтобы включить устаревшее поведение RCM на сервере узла сеансов удаленных рабочих столов, настройте следующие записи реестра, а затем перезапустите службу служб удаленных рабочих столов :
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\\
- Имя: fQueryUserConfigFromDC
- Тип: Reg_DWORD
- Значение: 1 (десятичное)
Чтобы включить устаревшее поведение RCM на сервере, отличном от сервера узла сеансов удаленных рабочих стола, настройте следующие записи реестра и следующую дополнительную запись реестра (а затем перезапустите службу):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal ServerПользователь не может войти в систему с помощью смарт-карта
В этом разделе рассматриваются три распространенных сценария, когда пользователь не может войти на удаленный рабочий стол с помощью интеллектуальной карта.
Не удается выполнить вход с помощью интеллектуальной карта в филиале с контроллером домена только для чтения (RODC)
Эта проблема возникает в развертываниях, включающих сервер RDSH на сайте филиала, использующем RODC. Сервер RDSH размещается в корневом домене. Пользователи на сайте филиала принадлежат к дочернему домену и используют смарт-карты для проверки подлинности. RODC настроен для кэширования паролей пользователей (RODC принадлежит к группе разрешенной репликации паролей RODC). Когда пользователи пытаются войти в сеансы на сервере RDSH, они получают такие сообщения, как «Попытка входа в систему недопустима. Это происходит из-за неправильного имени пользователя или сведений о проверке подлинности».
Эта проблема вызвана тем, как корневой контроллер домена и RDOC управляют шифрованием учетных данных пользователя. Корневой контроллер домена использует ключ шифрования для шифрования учетных данных, а RODC передает клиенту ключ расшифровки. Когда пользователь получает ошибку «недопустимая», то есть два ключа не совпадают.
Чтобы обойти эту проблему, попробуйте выполнить одно из следующих действий.
- Измените топологию контроллера домена, отключив кэширование паролей в RODC или разверните на сайте филиала доступный для записи контроллер домена.
- Переместите сервер RDSH в тот же дочерний домен, что и пользователи.
- Разрешить пользователям выполнять вход без смарт-карт.
Имейте в виду, что все эти решения требуют компрометации с точки зрения производительности или уровня безопасности.
Пользователь не может войти на компьютер с Windows Server 2008 с пакетом обновления 2 (SP2) с помощью интеллектуальной карта
Эта проблема возникает при входе пользователей на компьютер с Windows Server 2008 с пакетом обновления 2 (SP2), который был обновлен с помощью KB4093227 (2018.4B). Когда пользователи пытаются войти с помощью смарт-карта, им отказано в доступе с помощью таких сообщений, как «Допустимые сертификаты не найдены. Убедитесь, что карта вставляется правильно и плотно помещается». В то же время компьютер Windows Server записывает событие приложения «Произошла ошибка при получении цифрового сертификата из вставленного смарт-карта. Недопустимая подпись».
Не удается выполнить вход с помощью интеллектуальной карта и служба служб удаленных рабочих столов зависает
Эта проблема возникает при входе пользователей на компьютер с Windows или Windows Server, который был обновлен с 4056446 базы знаний. Сначала пользователь может войти в систему с помощью смарт-карта, но затем получает сообщение об ошибке «SCARD_E_NO_SERVICE». Удаленный компьютер может перестать отвечать.
Чтобы обойти эту проблему, перезагрузите удаленный компьютер.
Чтобы устранить эту проблему, обновите на удаленном компьютере соответствующее исправление:
- Windows Server 2008 с пакетом обновления 2 (SP2): кб 4090928, дескриптора утечек Windows в процессе lsm.exe, а приложения интеллектуальной карта могут отображать ошибки «SCARD_E_NO_SERVICE»
- Windows Server 2012 R2: KB 4103724, 17 мая 2018 г. KB4103724 г. (предварительная версия ежемесячного накопительного пакета)
- Windows Server 2016 и Windows 10 версии 1607: KB 4103720, 17 мая 2018 г. KB4103720 г. (сборка ОС 14393.2273)
Если удаленный компьютер заблокирован, пользователю необходимо ввести пароль дважды.
Эта проблема может возникнуть, когда пользователь пытается подключиться к удаленному рабочему столу под управлением Windows 10 версии 1709 в развертывании, в котором подключения RDP не требуют NLA. В этих условиях, если удаленный рабочий стол заблокирован, пользователю необходимо дважды ввести свои учетные данные при подключении.
Чтобы устранить эту проблему, обновите компьютер Windows 10 версии 1709 с 4343893 кб, 30 августа 2018 г. по KB4343893 г. (сборка ОС 16299.637).
Пользователь не может войти в систему и получает сообщения об ошибке проверки подлинности и исправлении шифрования CredSSP
Когда пользователи пытаются войти в систему с помощью любой версии Windows из Windows Vista с пакетом обновления 2 (SP2) и более поздних версий или Windows Server 2008 с пакетом обновления 2 (SP2) и более поздних версий, им отказано в доступе и получать такие сообщения:
Произошла ошибка определения подлинности. Указанная функция не поддерживается. . Это может быть связано с исправлением оракула шифрования CredSSP .
«Исправление oracle шифрования CredSSP» относится к набору обновлений для системы безопасности, выпущенных в марте, апреле и мае 2018 года. CredSSP — это поставщик проверки подлинности, обрабатывающий запросы проверки подлинности для других приложений. 13 марта 2018 г., «3B» и последующие обновления касались эксплойтов, при которых злоумышленник мог ретранслировать учетные данные пользователя для выполнения кода в целевой системе.
В первоначальных обновлениях добавлена поддержка нового объекта групповая политика , Encryption Oracle Remediation, который имеет следующие возможные параметры:
- Уязвимые. Клиентские приложения, использующие CredSSP, могут вернуться к небезопасным версиям, но это поведение подвергает удаленные рабочие столы атакам. Службы, использующие CredSSP, принимают клиенты, которые не были обновлены.
- Исправлено. Клиентские приложения, использующие CredSSP, не могут вернуться к небезопасным версиям, но службы, использующие CredSSP, принимают клиенты, которые не были обновлены.
- Принудительное обновление клиентов. Клиентские приложения, использующие CredSSP, не могут вернуться к небезопасным версиям, а службы, использующие CredSSP, не будут принимать непатшированные клиенты.
Примечание. Этот параметр не следует развертывать до тех пор, пока все удаленные узлы не поддерживают последнюю версию.
В обновлении от 8 мая 2018 г. значение по умолчанию Для шифрования Oracle исправление было изменено с Уязвимый на Смягчаемая. После этого изменения клиенты удаленного рабочего стола с обновлениями не могут подключаться к серверам, на которых их нет (или к обновленным серверам, которые не были перезапущены). Дополнительные сведения об обновлениях CredSSP см. в 4093492 базы знаний.
Чтобы устранить эту проблему, обновите и перезапустите все системы. Полный список обновлений и дополнительные сведения об уязвимостях см. в разделе CVE-2018-0886 | Уязвимость credSSP, связанная с удаленным выполнением кода.
Чтобы обойти эту проблему до завершения обновлений, проверка КБ 4093492 для разрешенных типов подключений. Если альтернативных вариантов нет, можно рассмотреть один из следующих методов:
- Для затронутых клиентских компьютеров задайте для политики исправления Oracle шифрование значение Уязвимое.
- Измените следующие политики в папке групповой политикибезопасности узласеансов удаленных рабочих столов Службы удаленных рабочих столов впапке «Административные шаблоны\конфигурации\ компьютера» Windows Components \Remote Desktop Services\ \:
- Требовать использования определенного уровня безопасности для удаленных подключений (RDP): установите значение Включено и выберите RDP.
- Требовать проверку подлинности пользователя для удаленных подключений с помощью проверки подлинности на уровне сети: установите значение Отключено.
Важно! Изменение этих групповых политик снижает безопасность развертывания. Мы рекомендуем использовать их только временно, если они вообще.
Дополнительные сведения о работе с групповой политикой см. в разделе Изменение блокирующего объекта групповой политики.
После обновления клиентских компьютеров некоторые пользователи должны дважды войти в систему.
Когда пользователи входят в удаленный рабочий стол с помощью компьютера под управлением Windows 7 или Windows 10 версии 1709, они сразу же увидят второй запрос на вход. Эта проблема возникает, если на клиентском компьютере имеются следующие обновления:
- Windows 7: KB 4103718, 8 мая 2018 г. KB4103718 г. (ежемесячный накопительный пакет)
- Windows 10 1709: KB 4103727, 8 мая 2018 г. KB4103727 г. (сборка ОС 16299.431)
Чтобы устранить эту проблему, убедитесь, что компьютеры, к которым пользователи хотят подключиться (а также серверы RDSH или RDVI), полностью обновлены до июня 2018 г. Сюда входят следующие обновления:
- Windows Server 2016: KB 4284880, 12 июня 2018 г. KB4284880 г. (сборка ОС 14393.2312)
- Windows Server 2012 R2: KB 4284815, 12 июня 2018 г. KB4284815 г. (ежемесячный накопительный пакет)
- Windows Server 2012: KB 4284855, 12 июня 2018 г. KB4284855 г. (ежемесячный накопительный пакет)
- Windows Server 2008 R2: kb 4284826, 12 июня 2018 г. KB4284826 г. (ежемесячный накопительный пакет)
- Windows Server 2008 с пакетом обновления 2 (SP2): KB4056564, описание обновления для системы безопасности для уязвимости удаленного выполнения кода CredSSP в Windows Server 2008, Windows Embedded POSReady 2009 и Windows Embedded Standard 2009: 13 марта 2018 г.
Пользователям отказано в доступе в развертывании, которое использует Remote Credential Guard с несколькими брокерами подключений к удаленному рабочему столу
Эта проблема возникает в развертываниях с высоким уровнем доступности, использующих два или более брокера подключения к удаленному рабочему столу, если используется Защитник Windows Remote Credential Guard. Пользователи не могут войти на удаленные рабочие столы.
Эта проблема возникает из-за того, что Remote Credential Guard использует Kerberos для проверки подлинности и ограничивает NTLM. Однако в конфигурации с высоким уровнем доступности с балансировкой нагрузки брокеры подключений к удаленному рабочему столу не могут поддерживать операции Kerberos.
Если вам нужно использовать конфигурацию высокого уровня доступности с брокерами подключений к удаленному рабочему столу с балансировкой нагрузки, вы можете обойти эту проблему, отключив Remote Credential Guard. Дополнительные сведения об управлении Защитник Windows Remote Credential Guard см. в статье Защита учетных данных удаленного рабочего стола с помощью Защитник Windows Remote Credential Guard.
Обратная связь
Были ли сведения на этой странице полезными?
Устранение ошибок «Удаленный рабочий стол отключен»
В этой статье вы сможете узнать о наиболее распространенных параметрах, используемых для создания сеанса удаленного рабочего стола в корпоративной среде, а также получить сведения об устранении ошибок «Удаленный рабочий стол отключен».
Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 2477176эта статья предназначена для агентов поддержки и ИТ-специалистов.
Сервер удаленных рабочих столов
Сервер узла сеансов удаленных рабочих столов — это сервер, на котором размещаются программы, предназначенные для Windows, или полноценный рабочий стол Windows для клиентов служб удаленных рабочих столов. Пользователи могут подключаться к серверу узла сеансов удаленных рабочих столов для запуска программ, сохранения файлов и использования сетевых ресурсов на этом сервере. Пользователи могут получить доступ к серверу узла сеансов удаленных рабочих столов из корпоративной сети или из Интернета.
Узел сеансов удаленных рабочих столов ранее был известен как служба роли сервера удаленных рабочих столов, а сервер узла сеансов удаленных рабочих столов ранее был известен как сервер удаленных рабочих столов.
Удаленные подключения с целью администрирования
Удаленный рабочий стол поддерживает два одновременных удаленных подключения к компьютеру. Для этих подключений не нужно иметь клиентские лицензии служб удаленных рабочих столов.
Чтобы разрешить более двух административных подключений или несколько подключений пользователей, необходимо установить службу роли узла сеансов удаленных рабочих столов и иметь соответствующие клиентские лицензии служб удаленных рабочих столов.
Проблема 1. Подключения к сеансу удаленного рабочего стола или сеансу служб удаленных рабочих столов с ограниченным доступом
При попытке подключения к удаленному компьютеру или серверу удаленных рабочих столов (серверу терминалов) под управлением Windows Server 2008 R2 с помощью подключения к удаленному рабочему столу, отобразится одно из следующих сообщений об ошибке:
Удаленный рабочий стол отключен.
Этот компьютер не может подключиться к удаленному компьютеру.
из-за временной ошибки. Если ошибка повторится, обратитесь к владельцу удаленного компьютера или администратору сети.Кроме того, ограничено количество пользователей, которые могут подключаться одновременно к сеансу удаленного рабочего стола или к сеансу служб удаленных рабочих столов. Ограниченное число подключений к удаленному рабочему столу может быть вызвано неправильно настроенной групповой политикой или свойствами RDP-TCP в конфигурации служб удаленных рабочих столов. По умолчанию подключение настроено так, чтобы разрешить неограниченное количество сеансов для подключения к серверу.
Проблема 2. Конфликт назначения порта
У вас возник конфликт назначения порта. Эта проблема может указывать на то, что другое приложение на сервере удаленных рабочих столов использует тот же порт TCP, что и протокол удаленного рабочего стола (RDP). Порт по умолчанию, назначенный RDP, — 3389.
Проблема 3. Неправильно настроенные параметры проверки подлинности и шифрования
После того как клиент сервера удаленных рабочих столов теряет подключение к серверу удаленных рабочих столов, возникает одна из следующих проблем:
- Невозможно создать подключение с помощью RDP.
- Сеанс на сервере удаленных рабочих столов не переходит в отключенное состояние. Вместо этого он остается активным, даже если клиент физически отключен от сервера удаленных рабочих столов.
Если клиент повторно входит на тот же сервер удаленных рабочих столов, может быть установлен новый сеанс, а исходный сеанс может оставаться активным.
Также отображается одно из следующих сообщений об ошибке:
-
Сообщение об ошибке 1
Из-за ошибки безопасности клиент не смог подключиться к серверу терминалов. Убедитесь, что вы вошли в сеть, а затем попробуйте снова подключиться к серверу.
Удаленный рабочий стол отключен. Из-за ошибки безопасности клиент не смог подключиться к удаленному компьютеру. Убедитесь, что вы вошли в сеть, а затем попробуйте подключиться снова.
Проблема 4. Повреждение сертификата лицензии
Клиентам служб удаленных рабочих столов неоднократно отказывали в доступе к серверу удаленных рабочих столов. Если вы используете клиент служб удаленных рабочих столов для входа на сервер удаленных рабочих столов, то вы можете получить одно из следующих сообщений об ошибке.
-
Сообщение об ошибке 1
Из-за ошибки безопасности клиент не смог подключиться к серверу терминалов. Убедитесь, что вы вошли в сеть, а затем попробуйте снова подключиться к серверу.
Удаленный рабочий стол отключен. Из-за ошибки безопасности клиент не смог подключиться к удаленному компьютеру. Убедитесь, что вы вошли в сеть, а затем попробуйте подключиться снова.
Из-за ошибки безопасности клиент не смог подключиться к серверу терминалов. Убедитесь, что вы вошли в сеть, а затем попробуйте снова подключиться к серверу.
Удаленный рабочий стол отключен. Из-за ошибки безопасности клиент не смог подключиться к удаленному компьютеру. Убедитесь, что вы вошли в сеть, а затем попробуйте подключиться снова.Кроме того, следующие сообщения с идентификаторами событий могут быть зарегистрированы в окне просмотра событий на сервере удаленных рабочих столов.
-
Сообщение о событии 1
Event ID: 50 Event Source: TermDD Event Description: The RDP protocol component X.224 detected an error in the protocol stream and has disconnected the client.Event ID: 1088 Event Source: TermService Event Description: The terminal services licensing grace period has expired and the service has not registered with a license server. A terminal services license server is required for continuous operation. A terminal server can operate without a license server for 90 days after initial start up.Event ID: 1004 Event Source: TermService Event Description: The terminal server cannot issue a client license.Event ID: 1010 Event Source: TermService Event Description: The terminal services could not locate a license server. Confirm that all license servers on the network are registered in WINS/DNS, accepting network requests, and the Terminal Services Licensing Service is running.Event ID: 28 Event Source: TermServLicensing Event Description: Terminal Services Licensing can only be run on Domain Controllers or Server in a Workgroup. See Terminal Server Licensing help topic for more information.Решение для проблемы 1
Для решения этой проблемы воспользуйтесь приведенными ниже способами соответствующим образом.
Убедитесь, что удаленный рабочий стол включен
- Откройте элемент Система в панели управления. Чтобы запустить средство «Система», нажмите Панель управления, выберите Система и нажмите кнопку ОК.
- В разделе Панель управления — домашняя страница щелкните Настройка удаленного доступа.
- Откройте вкладку Удаленный доступ.
- В разделе Удаленный рабочий стол выберите любой из доступных параметров в зависимости от требований безопасности:
- Разрешать подключения от компьютеров с любой версией удаленного рабочего стола (опаснее)
- Разрешать подключения только от компьютеров с удаленным рабочим столом с сетевой проверкой подлинности (безопаснее)
При выборе параметра Не разрешать подключение к этому компьютеру на вкладке Удаленный доступ пользователи не смогут подключаться удаленно к этому компьютеру, даже если они являются членами группы пользователей удаленного рабочего стола.
Проверка политики «Ограничить количество подключений» служб удаленных рабочих столов
- Запустите оснастку групповой политики, а затем откройте локальную политику безопасности или соответствующую групповую политику.
- Найдите следующую команду: Политика локального компьютера>Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Службы удаленных рабочих столов>Узел сеансов удаленных рабочих столов>Подключения Ограничить количество подключений
- Щелкните Разрешено.
- В поле Максимальное число разрешенных подключений к удаленным рабочим столам введите максимальное количество подключений, которое необходимо разрешить, и нажмите кнопку ОК.
Проверка свойств RDP-TCP служб удаленных рабочих столов
Выполните следующие действия в зависимости от версии операционной системы.
Настройка с помощью конфигурации служб удаленных рабочих столов
Настройка количества одновременных удаленных подключений, разрешенных для подключения:
- На сервере узла сеансов удаленных рабочих столов откройте конфигурацию узла сеансов удаленных рабочих столов. Чтобы открыть конфигурацию узла сеансов удаленных рабочих столов, нажмите кнопку Пуск, выберите Администрирование, затем выберите Службы удаленных рабочих столов.
- В разделе Подключения щелкните правой кнопкой мыши имя подключения и нажмите кнопку Свойства.
- На вкладке Сетевой адаптер нажмите кнопку Максимальное число подключений, введите количество одновременных удаленных подключений, которые необходимо разрешить для подключения, а затем нажмите кнопку ОК.
- Если параметр Максимальное число подключений выбран и затемнен, параметр групповой политики Ограничить количество подключений включен и применен к серверу узла сеансов удаленных рабочих столов.
Проверка прав входа для служб удаленных рабочих столов
Настройка группы пользователей удаленного рабочего стола.
Группа пользователей удаленного рабочего стола на сервере узла сеансов удаленных рабочих столов предоставляет пользователям и группам разрешение на удаленное подключение к серверу узла сеансов удаленных рабочих столов. Вы можете добавить пользователей и группы в группу пользователей удаленного рабочего стола с помощью следующих средств:
- Оснастка «Локальные пользователи и группы»
- Вкладка Удаленный доступ в диалоговом окне Свойства системы на сервере узла сеансов удаленных рабочих столов
- Оснастка «Пользователи и компьютеры Active Directory», если сервер узла сеансов удаленных рабочих столов установлен на контроллере домена
Вы можете использовать следующую процедуру для добавления пользователей и групп в группу пользователей удаленного рабочего стола с помощью вкладки «Удаленный доступ» в диалоговом окне «Свойства системы» на сервере узла сеансов удаленных рабочих столов.
Чтобы завершить эту процедуру, необходимо быть членом группы локальных администраторов или эквивалентной группы на сервере узла сеансов удаленных рабочих столов, который вы планируете настроить.
Добавление пользователей и групп в группу пользователей удаленного рабочего стола с помощью вкладки «Удаленный доступ»
- Запустите средство «Система». Для этого нажмите кнопку «Пуск», выберите «Панель управления», щелкните значок Система и нажмите кнопку ОК.
- В разделе Панель управления — домашняя страница щелкните Настройка удаленного доступа.
- На вкладке Удаленный доступ в диалоговом окне Свойства системы нажмите кнопку Выбрать пользователей. Добавьте пользователей или группы, которые должны подключиться к серверу узла сеансов удаленных рабочих столов, с помощью удаленного рабочего стола.
При выборе параметра Не разрешать подключения к этому компьютеру на вкладке Удаленный доступ пользователи не смогут подключаться удаленно к этому компьютеру, даже если они являются членами группы пользователей удаленного рабочего стола.
Добавление пользователей и групп в группу пользователей удаленного рабочего стола с помощью оснастки «Локальные пользователи и группы»
- Нажмите кнопку Пуск, выберите пункт Администрирование и щелкните пункт Управление компьютером.
- В дереве консоли щелкните узел Локальные пользователи и группы.
- В области сведений дважды щелкните папку Группы.
- Дважды щелкните Пользователи удаленного рабочего стола, затем нажмите Добавить.
- В диалоговом окне Выбрать пользователей щелкните Расположения, чтобы указать расположение для поиска.
- Нажмите Типы объектов, чтобы указать типы объектов, которые необходимо искать.
- В поле Введите имена выбираемых объектов (примеры) введите имя, которое необходимо добавить.
- Нажмите кнопку Проверить имена.
- По завершении ввода имени нажмите кнопку OK.
- Вы не можете подключиться к компьютеру, который находится в спящем режиме или в режиме гибернации, поэтому убедитесь, что параметры сна и гибернации на удаленном компьютере имеют значение «Никогда». (Режим гибернации доступен не на всех компьютерах). Сведения о внесении этих изменений см. в разделе «Изменение, создание или удаление схемы управления питанием».
- Для подключения к компьютеру с Windows 7 Начальная, Windows 7 Домашняя базовая или Windows 7 Домашняя расширенная нельзя использовать службу подключения к удаленному рабочему столу.
- Члены группы локальных администраторов могут подключиться, даже если они отсутствуют в списке.
Решение для проблемы 2
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
Чтобы устранить эту проблему, определите, какое приложение использует тот же порт, что и RDP. Если назначение порта для этого приложения невозможно изменить, измените порт, назначенный RDP, изменив реестр. После изменения реестра необходимо перезапустить службу удаленных рабочих столов. После перезапуска службы удаленных рабочих столов необходимо убедиться, что порт RDP изменен правильно.
Доступность прослушивателя сервера удаленных рабочих столов
Компонент прослушивателя работает на сервере удаленных рабочих столов и отвечает за прослушивание и принятие новых клиентских подключений по протоколу удаленного рабочего стола (RDP), что позволяет пользователям создавать новые удаленные сеансы на сервере удаленных рабочих столов. Для каждого подключения служб удаленных рабочих столов, которое существует на сервере удаленных рабочих столов, имеется прослушиватель. Подключения можно создавать и настраивать при помощи средства настройки служб удаленных рабочих столов.
Для выполнения этих задач обратитесь к следующим разделам.
Как определить, какое приложение использует тот же порт, что и RDP
Вы можете запустить средство netstat, чтобы определить, используется ли порт 3389 (или назначенный порт RDP) другим приложением на сервере удаленных рабочих столов:
- На сервере удаленных рабочих столов нажмите Пуск, нажмите кнопку Выполнить, введите команду cmd и нажмите кнопку ОК.
- В командной строке введите netstat -a -o , а затем нажмите клавишу ВВОД.
- Найдите запись для порта TCP 3389 (или назначенного порта RDP) со статусом Прослушивание. Это указывает на то, что другое приложение использует этот порт. ИД процесса (PID) или службы, использующих этот порт, отображается в столбце PID.
Чтобы определить, какое приложение использует порт 3389 (или назначенный порт RDP), используйте средство командной строки для задач вместе с данными PID из средства netstat:
- На сервере удаленных рабочих столов нажмите Пуск, нажмите кнопку Выполнить, введите команду cmd и нажмите кнопку ОК.
- Введите tasklist /svc , а затем нажмите клавишу ВВОД.
- Найдите запись для номера PID, связанного с портом (на основе выходных данных средства netstat). Службы или процессы, связанные с этим PID, отображаются справа.
Изменение порта, назначенного RDP
Необходимо определить, может ли это приложение использовать другой порт. Если вы не можете изменить порт приложения, необходимо изменить порт, назначенный RDP.
Рекомендуется не изменять порт, который назначен RDP.
Если необходимо изменить порт, назначенный RDP, необходимо изменить реестр. Для этого необходимо являться членом группы локальных администраторов или иметь соответствующие разрешения.
Для изменения порта, назначенного RDP, необходимо выполнить следующие действия:
- На сервере удаленных рабочих столов откройте редактор реестра. Чтобы открыть редактор реестра, нажмите кнопку Пуск, выберите Выполнить. , введите regedit и нажмите кнопку ОК.
- При отображении диалогового окна Контроль учетных записей пользователей убедитесь в правильности отображаемого в нем действия и нажмите Продолжить.
- Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Remote Desktop server\WinStations
RDP-TCP — это имя подключения по умолчанию. Чтобы изменить порт для определенного подключения на сервере удаленных рабочих столов, выберите подключение в разделе WinStations:
- В области сведений дважды щелкните запись реестра Номер порта.
- Введите номер порта, который необходимо назначить RDP.
- Для сохранения изменений нажмите кнопку ОК, затем закройте редактор реестра.
Перезапуск служб удаленных рабочих столов
Чтобы изменение назначения порта RDP вступило в силу, остановите и снова запустите службу удаленных рабочих столов. Для этого необходимо являться членом группы локальных администраторов или иметь соответствующие разрешения.
Чтобы остановить и запустить службу удаленных рабочих столов, выполните следующие действия:
- На сервере удаленных рабочих столов откройте оснастку «Службы». Для этого нажмите Пуск, выберите Администрирование, а затем выберите Службы.
- При отображении диалогового окна Контроль учетных записей пользователей убедитесь в правильности отображаемого в нем действия и нажмите Продолжить.
- В области Службы щелкните правой кнопкой мыши Службы удаленных рабочих столов и нажмите кнопку Перезапустить.
- При запросе на перезагрузку компьютера нажмите кнопку Да.
- Убедитесь, что в столбце со статусом для службы удаленных рабочих столов отображается статус Запущено.
Как убедиться в том, что порт RDP был изменен
Чтобы убедиться в том, что назначение порта RDP было изменено, используйте средство netstat:
- На сервере удаленных рабочих столов нажмите Пуск, нажмите кнопку Выполнить, введите команду cmd и нажмите кнопку ОК.
- В командной строке введите netstat -a , а затем нажмите клавишу ВВОД.
- Найдите запись для номера порта, назначенного RDP. Порт должен отображаться в списке и иметь статус Прослушивание.
Служба подключения к удаленному рабочему столу и веб-клиент сервера терминалов по умолчанию используют порт 3389 для подключения к серверу удаленных рабочих столов. При изменении порта RDP на сервере удаленных рабочих столов необходимо изменить порт, используемый службой подключения к удаленному рабочему столу и веб-клиентом сервера удаленных рабочих столов. Дополнительные сведения см. в разделе Изменение порта прослушивания для удаленного рабочего стола на компьютере.
Как определить, что прослушиватель на сервере удаленных рабочих столов работает
Чтобы убедиться, что прослушиватель на сервере удаленных рабочих столов работает правильно, воспользуйтесь одним из указанных ниже методов.
RDP-TCP — это имя подключения по умолчанию, а 3389 — порт RDP по умолчанию. Используйте имя подключения и номер порта, связанные с конфигурацией сервера удаленных рабочих столов.
- Способ 1 Чтобы установить удаленное подключение к серверу удаленных рабочих столов, используйте RDP-клиент, например службу подключения к удаленному рабочему столу.
- Способ 2 Используйте средство qwinsta для просмотра статуса прослушивателя на сервере удаленных рабочих столов:
- На сервере удаленных рабочих столов нажмите Пуск, нажмите кнопку Выполнить, введите команду cmd и нажмите кнопку ОК.
- В командной строке введите qwinsta и нажмите клавишу ВВОД.
- Статус сеанса RDP-TCP должен иметь значение Прослушать.
- Способ 3 Используйте средство netstat, чтобы просмотреть статус прослушивателя на сервере удаленных рабочих столов:
- На сервере удаленных рабочих столов нажмите Пуск, нажмите кнопку Выполнить, введите команду cmd и нажмите кнопку ОК.
- В командной строке введите netstat -a , а затем нажмите клавишу ВВОД.
- Запись для порта TCP 3389 должна иметь значение Прослушивание.
- Способ 4 Используйте средство telnet для подключения к порту RDP на сервере удаленных рабочих столов:
- На другом компьютере нажмите Пуск, нажмите кнопку Выполнить, введите команду cmd и нажмите кнопку ОК.
- В командной строке введите telnet 3389 , где — это имя сервера удаленных рабочих столов, а затем нажмите клавишу ВВОД.
В случае успешного использования средства telnet отобразится экран используемого средства и курсор.
В случае неудачного использования средства telnet отобразится следующее сообщение об ошибке:
Подключение к имя сервера. Не удалось открыть подключение к этому узлу, на порт 3389: Сбой подключения.
Средства qwinsta, netstat и telnet также включены в ОС Windows XP и Windows Server 2003. Также можно скачать и использовать другие средства устранения неполадок, например Portqry.
Решение для проблемы 3
Чтобы устранить проблему, настройте проверку подлинности и шифрование.
Чтобы настроить проверку подлинности и шифрование для подключения, выполните следующие действия:
- На сервере узла сеансов удаленных рабочих столов откройте конфигурацию узла сеансов удаленных рабочих столов. Чтобы открыть конфигурацию узла сеансов удаленных рабочих столов нажмите Пуск, выберите Администрирование, затем выберите Службы удаленных рабочих столов и нажмите Конфигурация узла сеансов удаленных рабочих столов.
- В разделе Подключения щелкните правой кнопкой мыши имя подключения и нажмите кнопку Свойства.
- В диалоговом окне Свойства подключения на вкладке Общие в разделе Уровень безопасности выберите метод безопасности.
- В разделе Уровень шифрования выберите нужный уровень. Можно выбрать один из следующих вариантов: низкий, совместимый с клиентским, высокий и совместимый с FIPS. См. шаг 4 выше для Windows Server 2003 для выбора параметров Уровень безопасности и Уровень шифрования.
- Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена». По соображениям безопасности рекомендуется использовать команду «Запуск от имени».
- Чтобы открыть конфигурацию сервера удаленных рабочих столов, нажмите кнопку Пуск, выберите Панель управления, дважды щелкните значок Администрирование, а затем дважды щелкните значок Конфигурация сервера удаленных рабочих столов.
- Любые параметры уровня шифрования, настроенные в групповой политике, переопределяют конфигурацию, заданную с помощью средства настройки служб удаленных рабочих столов. Кроме того, если включить параметр Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания, он переопределит параметр групповой политики Установить уровень шифрования для клиентских подключений.
- При изменении уровня шифрования новый уровень шифрования вступает в силу при следующем входе пользователя. Если требуется несколько уровней шифрования на одном сервере, установите несколько сетевых адаптеров и настройте каждый адаптер отдельно.
- Чтобы убедиться, что сертификат имеет соответствующий закрытый ключ в конфигурации служб удаленных рабочих столов, щелкните правой кнопкой мыши подключение, для которого вы хотите просмотреть сертификат, нажмите вкладку Общие, нажмите кнопку Изменить, выберите сертификат, который вы хотите просмотреть, а затем нажмите Просмотреть сертификат. В нижней части вкладки Общие должно отобразиться следующее сообщение: Есть закрытый ключ, соответствующий этому сертификату. Эти сведения также можно просмотреть при помощи оснастки диспетчера сертификатов.
- Параметр FIPS-совместимый (параметр Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания групповой политики или параметр FIPS-совместимый конфигурации сервера удаленных рабочих столов) обеспечивает шифрование и расшифровку данных, отправляемых от клиента к серверу и обратно, с помощью алгоритмов шифрования FIPS 140 (федеральный стандарт обработки информации), используя модули шифрования корпорации Майкрософт. Дополнительные сведения см. в разделе Техническое руководство по службам терминалов в Windows Server 2003.
- Значение Высокий означает, что данные, которыми обмениваются клиент и сервер, шифруются на основе стойкого 128-битного шифрования.
- Значение Совместимый с клиентским означает, что данные, которыми обмениваются клиент и сервер, шифруются с использованием ключа максимальной стойкости, поддерживаемой клиентом.
- При значении «Низкий» с помощью 56-битного шифрования шифруются только данные, пересылаемые от клиента к серверу.
Дополнительный способ устранения неполадок: включение ведения журналов событий CAPI2
Чтобы устранить эту проблему, войдите в журналы событий CAPI2 на клиентских и серверных компьютерах. Эта команда отображается на приведенном ниже снимке экрана.
Обходной путь для решения проблемы (невозможно полностью отключить подключение к серверу удаленных рабочих столов), описанный в разделе «Проблема 3»
Чтобы обойти эту проблему, выполните следующие действия:
- В меню Пуск щелкните Выполнить, введите команду gpedit.msc и нажмите кнопку ОК.
- Последовательно разверните узлы Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, затем нажмите Подключения.
- В правой области дважды щелкните Настроить интервал проверяемых на активность подключений.
- Выберите Включено и нажмите кнопку OK.
- Закройте редактор объектов групповой политики, нажмите кнопку ОК, а затем закройте оснастку «Пользователи и компьютеры Active Directory».
Решение для проблемы 4
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. раздел 322756 Сведения о резервном копировании и восстановлении реестра Windows.
Чтобы устранить эту проблему, создайте резервную копию и удалите ключи реестра сертификатов X509, затем перезапустите компьютер и повторно активируйте сервер лицензирования служб удаленных рабочих столов. Для этого выполните указанные ниже действия.
Выполните следующую процедуру на каждом из серверов удаленных рабочих столов.
- Убедитесь, что резервная копия реестра сервера удаленных рабочих столов успешно создана.
- Откройте редактор реестра.
- Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM
- В меню Реестр выберите Экспорт файла реестра.
- Введите имя экспортируемого сертификата в поле Имя файла и нажмите кнопку *Сохранить.
Примечание. Если в будущем потребуется восстановить этот подраздел реестра, дважды щелкните файл Exported-parameters.reg, сохраненный на этом шаге.
- Сертификат
- Сертификат X509
- Код сертификата X509
- Сертификат X509 №2
Ссылки
Дополнительные сведения о шлюзе удаленных рабочих столов см. в следующих статьях:
- 967933 Сообщение об ошибке, когда удаленный пользователь пытается подключиться к ресурсу на компьютере под управлением Windows Server 2008 через шлюз служб терминалов с помощью полного доменного имени ресурса: «Удаленный рабочий стол отключен»
- 329896 Из-за ошибки безопасности клиент не смог подключиться к серверу удаленных рабочих столов
- Параметры групповой политики для служб удаленных рабочих столов в Windows Server 2008 R2
- Устранение неполадок при отображении общих сообщений об ошибках, связанных с удаленным рабочим столом
Если с помощью этой статьи решить проблему не удается или возникают неполадки, отличные от описанных в данной статье, обратитесь в службу технической поддержки Майкрософт для получения дополнительной информации. Чтобы найти проблему, в поле Поиск в центре справки и поддержки введите текст сообщения об ошибке или введите описание проблемы.
Сбор данных
Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать информацию, выполнив действия, описанные в статье Сбор информации с помощью TSS для проблем с взаимодействием с пользователем.
Обратная связь
Были ли сведения на этой странице полезными?
Способ обойти экран блокировки Windows на сеансах RDP
На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP).
Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола.
Джо Таммариелло (Joe Tammariello) из Института разработки программного обеспечения Университета Карнеги-Меллона обнаружил данную уязвимость. Для использования уязвимости необходимо, чтобы для аутентификации RDP использовался Network Level Authentication (NLA). Кстати, именно NLA недавно сами Microsoft рекомендовали для защиты от уязвимости BlueKeep RDP (CVE-2019-0708).
Как подтверждает Уилл Дорманн (Will Dormann), аналитик из CERT / CC, если аномалия сети вызывает временное разъединение RDP, когда клиент уже был подключен к серверу, но экран входа в систему заблокирован, то «после переподключения сеанс RDP будет восстановлен до предыдущего состояния (с разблокированным окном), независимо от того, как удаленная система была оставлена».
«Начиная с Windows 10 1803 и Windows Server 2019, обработка RDP сеансов на основе NLA изменилась таким образом, что это может привести к неожиданному поведению в отношении блокировки сеансов», — объясняет Дорманн в своей статье.
«Системы двухфакторной аутентификации, которые интегрируются с экраном входа Windows, такие как Duo Security MFA, также могут обходиться с помощью этого механизма. Любые баннеры входа в систему, применяемые организацией, также будут обойдены».
Proof of Concept
Видео от Леандро Веласко из исследовательской группы KPN Security, демонстрирующее, как легко использовать эту уязвимость.
CERT описывает сценарий атаки следующим образом:
- Пользователь подключается к системе Windows 10 или Server 2019 через RDS.
- Пользователь блокирует удаленный сеанс и оставляет клиентское устройство без присмотра.
- На этом этапе злоумышленник, имеющий доступ к клиентскому устройству, может прервать подключение к сети и получить доступ к удаленной системе без необходимости каких-либо учетных данных.
Таммариелло уведомил Microsoft об этой уязвимости 19 апреля, но компания ответила, что «поведение не соответствует Microsoft Security Servicing Criteria для Windows», что означает, что технический гигант не планирует исправлять проблему в ближайшее время.
Однако пользователи могут защитить себя от возможного использования этой уязвимости, блокируя локальную систему вместо удаленной системы и отключая сеансы удаленного рабочего стола вместо простой блокировки.
Теневое подключение к рабочему столу (сеансу) пользователя Windows

09.11.2023

itpro

Windows 10, Windows 11

комментария 84
Вы можете использовать возможности теневых подключений (Remote Desktop Shadowing) для удалённого подключение к сессиям пользователей на компьютерах Windows. Это функционал является по сути аналогом Remote Assistance и позволяет администраторам удаленно просматривать и взаимодействовать с рабочим столом пользователей как на десктопных версиях (Windows 11 или 10), так и на RDS серверах Windows Server.
Remote Desktop Shadowing часто используется администраторами для оказания поддержки пользователям RDS ферм Windows Server.
Настройка клиентов Windows для удаленного подключения через теневые сессии
Вам нужно определенным образом настроить компьютеры, к которым вы хотите подключаться через теневое подключение.
- Включите удаленный рабочий стол (RDP) на компьютерах пользователей (вручную или через GPO);

- Ваша учетная запись должна обладать правами локального администратора на компьютере пользователей (вы можете добавить пользователя в группу администраторов вручную или с помощью групповых политик);
- Настройте режим теневого подключения (нужно ли запрашивать подтверждение пользователя, и возможно управления в сессии или только наблюдение). Можно настроить режим через групповую политику “Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов” (Set rules for remote control of Remote Desktop Services user sessions) в разделе Конфигурация компьютера -> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов –> Узел сеансов удаленных рабочих столов –> Подключения (Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections).

Доступны 5 режимов:0 – запретить удаленное управление;
1 — полный контроль с разрешения пользователя;
2 — полный контроль без разрешения пользователя;
3 — наблюдение за сеансом с разрешения пользователя;
4 — наблюдение за сеансом без разрешения пользователя. - Вы можете включить нужный режим напрямую в реестре. Отредактируйте реестр вручную или с помощью команды (в этом примере мы установили 4 режим – разрешить просмотр сеанса пользователя без уведомления): reg add «HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services» /v Shadow /t REG_DWORD /d 4
По умолчанию данный теневое подключение выполняется в режиме полного контроля с разрешения пользователя.

- Настройте правила Windows Defender Firewall, разрешающие трафик теневых подключений по сети. Для трафика session shadowing в Windows вместо стандартного порта 3389/RDP используются порты 139/TCP, 445/TCP и диапазон динамических RPC портов (49152 по 65535). Чтобы разрешить входящий трафик теневых подключений, нужно включить два преднастроненных правила в Windows: File and Printer Sharing (SMB-In) и Remote Desktop — Shadow (TCP-In) . Последнее правило разрешает удаленный доступ к процессу RdpSa.exe . Вы можете включить правила Windows Defender на компьютерах пользователей через GPO или с помощью PowerShell командлета Enable-NetFirewallRule.
- /prompt – запросить имя и пароль пользователя, под которым выполняется подключение (если не указано, подключение выполняется под текущим пользователем).
- /control – режим взаимодействия с сеансом пользователя. Если параметр не задан, вы подключитесь в режиме просмотра (наблюдения) сессии пользователя, т.е. вы не сможете управлять его мышью и вводить данные с клавиатуры;
- /noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.
Удаленное подключение к сессии пользователя Windows через RDP Shadowing
Рассмотрим, как удаленно подключиться рабочему столу сессии другого пользователя на удаленном компьютере Windows через теневые подключения RDP. В этом примере я покажу, как подключиться с компьютера Windows 11 к сессии пользователя на рабочей станции пользователя с Windows 10.
Для теневого подключения к сессии пользователя используется стандартная RDP утилита mstsc.exe. Формат команды такой:
Также можно использовать одну из опций:
Теперь нужно узнать имя пользователя и ID его сессии на удаленном компьютере (если пользователь работает непосредственно за консолью компьютера, то ID его сессии всегда будет равно 1).
Выведем список сессий пользователей на удаленном компьютере (это может быть как десктопный компьютер с Windows 11/10 или Windows Server с ролью Remote Desktop Services Host (RDSH).

В данном примере видно, что на компьютере залогинен один пользователь a.novak, который работает непосредственно за компьютером ( SESSIONNAME=console ). Идентификатор сессии >
Чтобы подключиться к рабочему столу этого пользователя через теневое подключение, выполните команду:
mstsc.exe /shadow:1 /v:wks-w10b01

На экране пользователя Windows появится запрос подтверждения подключения администратора к его сеансу: Запрос на удаленное подключение Username запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос.

Если служба TermService на удаленном компьютере отключена, то при попытке удалённого подключения через RDP shadow появится ошибка:
The version of Windows running on this server does not support user shadowing

Если пользователь разрешит соединение, вы подключитесь к его консольному сеансу и увидите его рабочий стол. Вы будете видеть все действия пользователя, но не сможете взаимодействовать с его сессией. Если вы хотите управлять его сессией, добавьте в команду параметр /control. В этом случае надпись в заголовке окна сменится с Viewing username (sessionID 1) on computername на Controlling…

В данном случае вы подключились непосредственно подключиться к консольной сессии пользователя без блокировки его сеанса. При удаленном подключении к Windows 10 через обычный RDP, то сессия локального отключается (даже если вы включите возможность использования нескольких одновременных RDP сессий в Windows 10).
Если сессия пользователя заблокирована, или появляется запрос повышения привилегий UAC, то без исопльзования режима mstsc /control окно с теневой сессией становится черным и на нем появляется символ паузы.
Теневая сессия переходит в приостановленное состояние, если у пользователя появляется запрос UAC на Secure desktop. После того, как пользователь подтвердит действие UAC, ваша сессия возобновится.
PromptOnSecureDesktop это один из параметров, доступных в групповых политиках UAC.

Чтобы развернуть окно теневой сессии во весь экран, воспользуйтесь комбинацией клавиш Ctrl + Alt + Break.
Для завершения теневой сессии нажмите на компьютере alt+* (или ctrl+* на RDS сервере).
Вы можете оповестить пользователя о том, что кто-то удаленно подключится к его сессии через теневое подключение с помощью следующего PowerShell скрипта:
while($true)if (Get-Process -Name «RdpSa» -ErrorAction SilentlyContinue)
Start-Sleep -Seconds 1Вы можете получить историю теневых подключений к компьютеру пользователя из журнала событий Windows. Все интересующие вас логи находятся в разделе Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:Event Viewer
- Event ID 20508 — Shadow View Permission Granted
- Event ID 20503 — Shadow View Session Started
- Event ID 20504 — Shadow View Session Stopped
Вы можете получить логи теневых подключений к компьютеру с помощью PowerShell:

Подробнее про анализ логов RDP подключений рассказано в отдельной статье.
Функционал теневого подключения Remote Desktop Shadowing работает в Windows 11/10/ 8.1 и Windows Server 2022/2019/2016/2012 R2. Таким образом Remote Desktop Shadowing можно использовать как аналог Remote Assistance (Удаленный помощник) или TeamViewer/Anydesk для локальной или корпоративной сети.
Предыдущая статья Следующая статья
