Stínové připojení RDP k ploše uživatele v systému Windows 10

Kromě používání vzdálené pomoci se můžete vzdáleně připojit k uživatelské ploše systému Windows 10 pomocí stínování vzdálené plochy. Většina správců tak či onak tuto funkci použila pro připojení k uživatelským relacím na terminálových serverech RDS se systémem Windows Server 2012 R2 / Server 2016. Ne každý však ví, že stínové připojení lze použít k dálkovému prohlížení a interakci se stolním a stolním počítačem uživatele. 10. Zvažte, jak to funguje.

Jak si pamatujete, pokud se pokusíte vzdáleně připojit k počítači se systémem Windows 10 prostřednictvím protokolu RDP, relace uživatele pracujícího lokálně bude vyřazena (i když v systému Windows 10 povolíte možnost používat několik současných relací RDP). Můžete se však připojit přímo k relaci konzoly uživatele, aniž byste blokovali jeho relaci.

Předpokládejme, že je třeba se připojit ze serveru Windows Server 2012 R2 k ploše uživatele, který pracuje místně za pracovní stanicí Windows 10.

Pro stínové připojení k relaci uživatele je třeba použít standardní obslužný program RDP mstsc.exe. Formát příkazu je:

Mstsc.exe / shadow: / v:

Můžete také použít jednu z možností:

  • / prompt - vyžádat jméno a heslo uživatele, pod kterým je navázáno spojení (není-li uvedeno, bude navázáno spojení s aktuálním uživatelem).
  • / ovládání - režim interakce s relací uživatele. Pokud parametr není nastaven, budete připojeni v režimu zobrazení (pozorování) uživatelské relace, tj. nemůžete ovládat jeho myš a zadávat data z klávesnice;
  • / noConsentPrompt - nepožádejte uživatele o potvrzení připojení k relaci.

Režim stínového připojení (zda je třeba vyžádat potvrzení uživatele a případně kontrolu v relaci nebo pouze monitorování) se konfiguruje pomocí skupinových zásad nebo úprav registru..

Zásady jsou v sekci Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows -> Služby vzdálené plochy -> Hostitel relací vzdálené plochy -> Připojení (Zásady -> Šablony pro správu -> Komponenty Windows -> Služby vzdálené plochy -> Hostitel vzdálené relace -> Připojení) a nazývá se „Nastavte pravidla vzdálené správy pro uživatelské relace služeb vzdálené plochy"(Nastavit pravidla pro dálkové ovládání uživatelských relací služby Vzdálená plocha).

Namísto povolení zásady můžete nastavit hodnotu dword klíče s názvem Stín ve větvi registru HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal Services. Platné hodnoty:

  • 0 - zakázat vzdálenou správu;
  • 1 - plná kontrola se souhlasem uživatele;
  • 2 - plná kontrola bez povolení uživatele;
  • 3 - sledování relace se souhlasem uživatele;
  • 4 - sledování relace bez povolení uživatele.

Ve výchozím nastavení není tento klíč nastaven a stínové připojení je prováděno v režimu plné kontroly s povolením uživatele.

Chcete-li se vzdáleně připojit k počítači pomocí stínového připojení, musí mít připojovací účet v počítači práva správce a ve vlastnostech systému je povolena vzdálená plocha (RDP)..

Vzdáleně si vyžádejte seznam relací na pracovní stanici Windows 10 příkazem:

qwinsta /server:192.168.11.60

Jak vidíte, v tomto počítači je jedna relace uživatele konzoly s ID ID = 1.

Zkusme se tedy vzdáleně připojit k relaci uživatele pomocí stínového připojení. Spusťte příkaz:

Mstsc / shadow: 1 / v:192.168.11.60

Na uživatelské obrazovce systému Windows 10 se zobrazí výzva:

Žádost o vzdálené připojení
Uživatelské jméno vyžaduje vzdálené zobrazení vaší relace. Přijmete tuto žádost.

Pokud uživatel připojení povolí, připojíte se k relaci konzoly a uvidíte jeho plochu. Uvidíte všechny uživatelské akce, ale nebudete moci komunikovat s jeho relací.

Tip. Chcete-li ukončit stínovou relaci, klikněte na serveru Alt + na počítači na server Alt + * nebo ctrl + *.

Pokud zkontrolujete síťová připojení pomocí protokolu TCPView, uvidíte, že interakce probíhá prostřednictvím RemoteRPC (a nikoli prostřednictvím protokolu RDP s portem TCP 3389). I.e. pro připojení se používá náhodný port TCP z velkého rozsahu RPC. Na straně spojovacího počítače je připojení navázáno pomocí mstsc.exe, na straně klienta proces připojení rdpsa.exe nebo rdpsaproxy.exe (v závislosti na sestavení systému Windows 10). Proto musí být na klientovi povolen RemoteRPC:

HKLM \ SYSTEM \ CurrentControlSet \ Control \ Thermal Server
„AllоwRemotеRPC“ = dwоrd: 00000001

Funkce stínování vzdálené plochy funguje ve Windows 10 / 8.1 a Windows Server 2012 R2 / 2016. Pro stínové připojení pro klienty s Windows 7 SP1 (Windows Server 2008 R2) potřebujete klienta RDP verze 8.1 - takže budete muset nainstalovat aktualizaci KB2830477 (vyžaduje nainstalované KB2574819 a KB2857650).

Stínování vzdálené plochy lze tedy použít jako analog vzdálené pomoci nebo TeamViewer pro místní nebo podnikovou síť..