Наблюдение или управление сеансом пользователя в Windows Server

В Windows Server 2012 R2 доступно теневое подключение к RDP сессиям пользователей следующим образом:

  1. запускаем командную строку под администратором (поиск → вводим «cmd» → нажимаем ПКМ, выбираем запуск с правами Администратора)
  2. вводим команду quser (смотрим id необходимой сессии)
  3. для наблюдения вводим команду mstsc /shadow:id, если требуется управление, то добавляем к команде опцию /control
  4. пользователь должен разрешить подключение, нажав кнопку «да» (опция /noConsentPrompt позволяет не запрашивать разрешения на подключение, однако она требует соответствующей настройки политики Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов)

Основные атрибуты Active Directory

Attribute \ Атрибут Англоязычное название Русскоязычное название Value \ Значение
OU (Organizational Unit) \ Подразделение
distinguishedName  Distinguished Name  Отличительное (уникальное) имя OU=Компания,DC=domain,DC=com
name Компания
Group \ Группа
distinguishedName  Distinguished Name Отличительное (уникальное) имя CN=Группа,OU=Компания,DC=domain,DC=com
name Группа
member Members Члены группы (какие пользователи входят в данную группу) CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com
User \ Пользователь
DN Distinguished Name Отличительное (уникальное) имя CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com
DC Domain Component Компонент(класс) доменного имени. DC=domain,DC=com
OU Organizational Unit Подразделение Компания
CN Common Name Общее имя Сергей Петрович Иванов
givenName First name Имя Сергей Петрович
name Full name Полное имя Сергей Петрович Иванов
sn (SurName) Last name Фамилия Иванов
displayName Display Name Выводимое имя Сергей Петрович Иванов
mail E-mail Электронная почта mail@domain.com
sAMAccountName User logon name (pre-Windows 2000) Имя входа пользователя (пред-Windows 2000) IvanovSP
userPrincipalName User logon name Имя входа пользователя IvanovSP@domain.com
memberOf Member Of Член групп (в какую группу входит данный пользователь) CN=Группа,OU=Компания,DC=domain,DC

Стоит отметить, что пользовательский displayName ≠ CN = Full name\Полное имя = namе, что можно видеть на последнем скрине.

Далее следуют картинки для более наглядного понимания:

Атрибут userAccountControl

Иногда надо понять включена или отключена учетная запись в AD. Или что еще с ней вообще происходит. За это отвечает атрибут userAccountControl, который является суммой нескольких свойств атрибутов. При этом, значение 512 является значением по умолчанию при всех снятых флагах на вкладке «Учетная запись» и каждый дополнительный параметр прибавляется к нему. Например, значения атрибута userAccountControl для наиболее распространенных случаев:
512 — Включена (Enabled)
514 (512+2) — Отключена (Disabled)
66048 (512+65536) — Включена, срок действия пароля не ограничен (Enabled, password never expires)
66050 (512+65536+2) — Отключена, срок действия пароля не ограничен (Disabled, password never expires)

Список основных значений атрибутов userAccountControl:

HEX DEC Описание
0x00000002 2 Учетная запись отключена
0x00000010 16 Учетная запись заблокирована
0x00000020 32 Пароль не требуется
0x00000040 64 Запретить смену пароля пользователем
0x00000080 128 Хранить пароль, используя обратимое шифрование
0x00000200 512 Учетная запись по умолчанию. Представляет собой типичного пользователя
0x00010000 65536 Срок действия пароля не ограничен
0x00040000 262144 Для интерактивного входа в сеть нужна смарт-карта
0x00400000 4194304 Без предварительной проверки подлинности Kerberos
0x00800000 8388608 Пароль пользователя истек

Подробное описание всех атрибутов

Adobe Reader — Internet explorer enhanced security configuration

При попытке установки программы через программу-установщик, использующую Интернет, Windows Server может заблокировать её работу в целях безопасности.
По умолчанию, Windows Server 2012 защищает от атак через обозреватель Интернета, в значительной степени ограничивая его возможности. Это полезно для серверов, однако, если Вы желаете использовать его для нормальной работы, потребуется отключить эту функцию безопасности. Откройте оснастку Server Manager, выберите Local Server в левой панели и нажмите на ссылку On, рядом с пунктом IE Enhanced Configuration, в секции PROPERTIES. В открывшемся окне установите флажок напротив Off для необходимой группы пользователей или для обоих групп сразу, нажмите Ok, чтобы закрыть окно и применить настройки.
IE Enhanced Configuration

Как узнать модель материнской платы в Windows

Заходим в Пуск и в строку поиска вписываем cmd, после чего запускаем командную строку. Или же идём в Пуск → Все программы → Стандартные → Командная строка. В окне командной строки пишем:

wmic baseboard get product

Где в Windows хранятся ссылки с панели задач

Ярлыки с панели задач в Windows XP и Windows 2000 располагаются в директории:

C:\Documents and Settings\Имя пользователя\Application Data\Microsoft\Internet Explorer\Quick Launch

В Windows версий 7 и 8, а также Server 2008 и Server 2012, располагаются в директории:

C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

Имя пользователя, в пути до папки с ярлыками, у каждого своё разумеется.
Папки Application Data, AppData, User Pinned по умолчанию скрыты. Соответственно необходимо либо настроить отображение скрытых папок, либо совершить переход, скопировав\написав в адресной строке сразу весь путь.

Добавление лицензий на сервер в рабочей группе

Windows Server 2012 R2 работает без контроллера домена и Active Directory, находясь в рабочей группе. По умолчанию сервер имеет лицензию на два одновременных подключения по RDP.
Для активации дополнительных лицензий без установки ненужных ролей, необходимо установить лишь два сервиса Remote Desktop Session Host и Remote Desktop Licensing Server.
Для этого необходимо: зайти в Server Manager → Add roles and features → Role-based or feature-based installation → Select server from the server pool → выбрать Remote Desktop Services → выбрать Remote Desktop Session Host и Remote Desktop Licensing Server → произвести установку выбранных сервисов.
После чего следует запустить оснастку gpedit.msc и пройти в раздел Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Licensing. Где выбрать политику Use the specified RD license servers, задействовав её (Enabled) и указав имя текущего сервера (License servers to use). Далее выбрать политику Set the Remote Desktop licensing mode, задействовать её и указать режим Per User.
После чего сервер готов к активации лицензий.

Event Viewer — Access to drivers on Windows Update was blocked by policy

Не удаётся пробросить локальный принтер, при подключении к серверу по RDP. Журнал Windows Server 2012 содержит ошибку: Access to drivers on Windows Update was blocked by policy (EventID 122).
Изменить соответствующую политику можно следующим образом: зайти в Control PanelDevices and Printers → ПКМ на всплывающей строке Windows can display enchanced device icons and information from the Internet → выбрать пункт Open device installation settings.
Enhanced device icons
Если всплывающей строки нет, то необходимо в строке поиска панели управления набрать «device installation» и после поиска нажать Change device installation settings.
device installation
В открывшемся окне следует установить флажок на пункт Always install the best driver software from Windows Update и применить настройки.
Device installation settings