Windows server 2016 ошибка теневого доступа неопознанная ошибка

Обновлено: 03.07.2024

Сервер 2012r2 c поднятым сервером терминалов, домен на 2003 Standart SP2.

Клиенты работают в терминале все ок. Но я не могу подключиться к ним как Shadow (mstsc /shadow 3 /noConsentPrompt) для просмотра или управления, выдает просто окошко с названием Ошибка теневого доступа, а внутри Неопознанная ошибка. В журналах вроде все просмотрел, нету ошибок вообще.

Подскажите пожалуйста куда копать.

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Конфигурация компьютера
Процессор: "AMD Ryzen™ 5 3600X @ 3.8GHz" under "be quiet! Dark Rock 4"
Материнская плата: MSI MPG B550 GAMING EDGE WIFI
Память: 32GB G.Skill Ripjaws V DDR4-3600MHz (2x16GB) (F4-3600C16D-32GVKC) CL16-19-19-39 1.35V
HDD: 500Gb SSD Samsung 970 EVO Plus NVMe M.2
Видеокарта: 2Gb MSI AMD Radeon RX 550 AERO ITX OC
Звук: "Realtek ALC1200" with "Edifier R1700BTs"
Блок питания: "500W be quiet! PURE POWER 11 (L11-CM-500W)" with "Be Quiet Pure Base 500DX"
Монитор: 27" AOC U2777PQU
Ноутбук/нетбук: ASUS M50Vn + Моноблок Acer Veriton Z4860G (DQ.VRZER.041)
ОС: Microsoft Windows 10 Pro x64
Прочее: Defender Berkeley Wireless combo C-925 / Logitech HD Webcam B910 / Keenetic Ultra (KN-1810) + Air (KN-1611)

mstsc /v:<наименование хоста> /shadow:<№ сеанса> /noConsentPrompt А возможно ли просматривать из-под НЕадминской учетки? Есть ли какой хитрый трикс?
(цель: запустить 1С-поддержку к клиенту) Есть подозрение, что shadowing доступен только администраторам.
Для непривилегированных пользователей есть RDP Remote Control в рамках одного терминального сервера, Permissions выставляются в свойствах RDP-Tcp-соединения.

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.

Вроде было что теневые сеансы работают только при наличии домена и доступны только админам

Отличная статья по этой теме.

Microsoft вернула функционал Remote Desktop Shadowing в Windows Server 2012 R2 и Windows 8.1! Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления активной терминальной сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в релизе Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим).

Кроме того, у режима RD Shadow и rdp клиента появился ряд новых интересных возможностей. Полный список опций rdp клиента mstsc.exe, определяющих возможность удаленного подключения к сессии конечного пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]] Новые параметры mstsc в Windows 8.1

/shadow:ID – подключится к терминальной сессии с указанным ID

/v:servername – имя терминального сервера (если не задано, используется текущий)

/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии

Ограничения теневых сеансов RDS в Windows 2012 R2

Подключаться к чужим сессиям может только администратор сервера. Делегировать эти права обычным пользователем нельзя
RDS Shadow не будет работать в сетях на базе рабочих групп
Remote Desktop Shadow — работа в GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection. коллекция QuickSessionCollection

Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow. shadow - запуск теневой сесии

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того можно включить опцию Prompt for user consent (запросить согласие на подключение у пользователя). параметры теневого подключения к терминальной сесиии

Если выбрана опция «Запросить подтверждение», в сессии у пользователя появится запрос:

Winitpro\administrator is requesting to view your session remotely. Do you accept the request? Запрос пользователя о shadow подключении

Если пользователь подтвердит, подключение, администратор увидит его рабочий стол и сможет взаимодействовать с ним. удаленное управление терминальной сесией пользователя в rds windows server 2012r2

Совет. Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).
Если же пользователь отклонит подключение, появится окно:

Shadow Error: The operator or administrator has refused the request
The operator or administrator has refused the request
Если же попытаться подключится к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая что такое поведение настроено групповой политикой:

Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.
ошибка GPO удаленного shadow подключения

Параметры удаленного управлениями терминальными сессиями пользователя настраиваются политиками Set rules for remote control of Remote Desktop Services user sessions, которые находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections в пользовательской и «компьютерной» секциях GPO.

Этой политикой можно настроить следующие варианты подключения по RD Shadow:

No remote contol allowed — удаленное управление запрещено
Full Control with users’s permission — полный контроль с разрешения пользователя
Full Control without users’s permission — полный контроль без разрешения пользователя
View Session with users’s permission – наблюдение за сеансом с подтверждением
View Session without users’s permission – наблюдение за сеансом без подтверждения
групповая политика управления подключением к терминальным сесииям пользователей

RDS Shadow из Powershell

Воспользоваться функционалом Remote Desktop Services Shadow можно и из Powershell.

В первую очередь покажем, как получить список сессий на терминальном сервере (сесии пользователей будут сгруппированы в группы в зависимости от их статуса):

Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate
Get-RDUserSession Powershell

На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:

В Windows 2012 R2 и Windows 8.1 Microsoft вернула функционал Remote Desktop Shadowing (теневого подключения). Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления существующей RDP сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим). Функционал RDS Shadow работает и в следующих версиях ОС: Windows Server 2016 / Windows 10.

Кроме того, у режима теневого подключения RDS Shadow и RDP клиента появился ряд новых интересных возможностей. Полный список параметров RDPклиента mstsc.exe, определяющих возможность удаленного теневого подключения к сессии конечного пользователя:

/shadow:ID – подключится к RDP сессии с указанным ID.

/v:servername – имяRDP/RDS терминального сервера (если не задано, используется текущий).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.

/prompt –используется для подключения под другими учетными данными. Запрашивается имя и пароль пользователя для подключения к удаленному компьютеру.

Ограничения теневых сеансов RDS в Windows 2012 R2

Подключаться к чужим сессиям может только администратор сервера. Делегировать эти права обычным пользователем нельзя
~~RDS Shadow не будет работать в сетях на базе рабочих групп~~

Использование Remote Desktop Shadow из графического GUI

Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow (Теневая копия).

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt foruser consent (Запрашивать согласие пользователя на подключение к сессии).

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:

Запрос на удаленное наблюдение

Winitpro\administrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос.

Winitpro\administrator is requesting to view your session remotely. Do you accept the request?

Если пользователь подтвердит, подключение, в режиме просмотра администратор увидит его рабочий стол, но не сможет взаимодействовать с ним.

Если же пользователь отклонит подключение, появится окно:

Shadow Error: The operator or administrator has refused the request

Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что такое это запрещено групповой политикой:

Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.

Параметры удаленного управлениями RDS сессиями пользователя настраиваются политикой Set rules for remote control of Remote Desktop Services user sessions (Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов), которая находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections (Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Подключения) в пользовательской и «компьютерной» секциях GPO. Данной политике соответствует dword параметр реестра Shadow в ветке HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.

Этой политикой можно настроить следующие варианты теневого подключения через теневое подключение RD Shadow::

No remote contol allowed — удаленное управление не разрешено (значение ключа реестра Shadow = 0);
Full Control with users’s permission — полный контроль с разрешения пользователя (1);
Full Control without users’s permission — полный контроль без разрешения пользователя (2);
View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (3);
View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (4).

Теневое подключение RDS Shadow из PowerShell

Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.

В первую очередь покажем, как получить список сессий на терминальном сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):

Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate

Mstsc /shadow:3 /control

Также для получения списка всех сессии на сервере можно выполнить команду

На экране отобразится список RDP сессий, их ID и статус: активная сесиия (Active) или отключенная (Disconnected).

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Для более удобного теневого подключения к сессиям можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех сеансов и предложит указать сеанс, к которому нужно подключится:

shadow.bat

query session /server:%rcomp%

start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%\System32, в результате для теневого подключения достаточно выполнить команду shadow.

Для подключения к консольной сессии можно использовать такой скрипт:

start mstsc /shadow:%rid% /v:%rcomp% /control

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

Если вы захотите настроить резервное копирование базы данных на другой сервер, или протестировать соединение с базой данных из другого сервера. И тогда вы можете столкнуться с ошибкой access denied for user root localhost, даже если вы указали верное имя пользователя, базу данных и пароль.

Что такое ADP и ADE проекты?

ADP (Access Data Project) – это проект приложения, которое выступает в качестве клиента доступа к базе данных.

ADE (Access Data Extension) – это тоже самое, но с одним существенным отличием, а именно, в adp проекте храниться код VBA который можно редактировать, т.е. вносить изменения, а в ade проекте это сделать не получится, другими словами тот же самый код там есть, но его уже нельзя вывести на редактирование. Обычно используют adp проект для разработки, затем его преобразовывают в ade и уже его отдают пользователям, чтобы те в свою очередь ничего там не изменили в плане логики программы, т.е. самого кода.

Что означает access denied for user root localhost?

Если переводить дословно, то эта ошибка означает что у вас нет доступа к данной базе данных от имени этого пользователя. В примере я использовал пользователя root, но вы можете использовать и другого пользователя. Это может быть вызвано несколькими причинами:

Пароль введен неверно;
По каким-либо причинам у пользователя нет прав на доступ к базе данных;
В настройках этого пользователя запрещено авторизоваться с этого сервера;

Для безопасности базы данных в mysql была придумана настройка хоста, из которого пользователь может авторизоваться. По умолчанию для пользователей устанавливается разрешение на авторизацию только с localhost. Чтобы разрешить подключение с других хостов, нужно менять настройки. Рассмотрим как это делается с помощью Phpmyadmin и в терминале.

Способ 1: Настройка прав доступа системного раздела

Как известно, все файлы, связанные с операционной системой, хранятся на системном разделе жесткого диска. Если на него установлены какие-либо правовые ограничения, возможно возникновение различных проблем при попытке взаимодействовать со стандартными файлами, в том числе и службами. Решается эта неполадка следующим образом:

Способ 2: Редактирование группы Администраторы

Следующее решение будет связано с изменением локальной группы пользователей под названием Администраторы. Принцип этого способа заключается в добавлении прав на управление локальными и сетевыми службами. Для этого придется от имени администратора выполнить две команды в консоли, с чем справится даже самый начинающий юзер.

По завершении данной операции обязательно перезагрузите компьютер, поскольку установленная конфигурация активируется только при создании нового сеанса.

Способ 3: Проверка определенной службы

Способ 4: Включение привилегий для LOCAL SERVER

В Windows 10 имеется учетная запись под названием LOCAL SERVER. Она является системной и отвечает за запуск определенных опций, в том числе и при взаимодействии со службами. Если ни один из предыдущих методов не принес должного результата, можно попытаться установить отдельные права для этой учетной записи, что делается так:

Способ 5: Проверка системы на вирусы

Подробнее: Борьба с компьютерными вирусами

Как разрешить обычном пользователям использовать теневое подключение

Для решения проблемы нужно установить отдельные обновления:

для Windows Server 2016 — KB4057142 (от 17 января 2018)
для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)

Усиление цифровой обороны

Для максимальной отдачи необходимо выполнить ещё одну настройку — включить логирование «командной строки процесса». Тогда на рабочих станциях и серверах, к которым применяется этот параметр политики, сведения из командной строки будут заноситься в журнал событий «Безопасность» (Security) с ID 4688.

Рисунок 10. Журналирование командной строки процесса

Требования к версии ОС: не ниже Windows Server 2012 R2, Windows 8.1. Данная функциональность также доступна и на ОС Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 после установки обновления KB 3004375.

Путь к политике: Конфигурация компьютера / Административные шаблоны / Система / Аудит создания процессов (Computer Configuration / Administrative Templates / System / Audit Process Creation). Имя: «Включать командную строку в события создания процессов» (Include command line in process creation events).

Рисунок 11. Путь к аудиту создания процессов

Включаем политику, выставив соответствующее значение, и нажимаем «Применить» (Apply).

Рисунок 12. Настройка «Включать командную строку в события создания процессов»

После включения этой политики в журнале событий «Безопасность» (Security) в событиях с кодом 4688 появится дополнительное значение «Командная строка процесса» (Process Command Line), где будет отображаться тело исполняемой команды.

В примере ниже демонстрируется, как это поможет заглянуть чуть глубже. На первый взгляд в событии происходит запуск легитимного процесса «opera_», но вот строка «Process Command Line» больше похожа на запуск утилиты «mimikatz». Без активированной политики «Включать командную строку в события создания процессов» мы этого не зафиксируем.

Рисунок 13. Детектирование mimikatz

Укрепим нашу оборону и полным журналированием работы самого мощного инструмента ОС Windows — PowerShell. Для этого необходима версия PowerShell 5.0 или выше.

PowerShell 5.0 / 5.1 предустановлен в Windows 10, Windows Server 2016 и Windows Server 2019. Для остальных операционных систем необходимо обновить модуль Windows Management Framework.

Список поддерживаемых ОС:

Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows 8.1
Windows 8
Windows 7 SP1

Включим регистрацию блоков сценариев PowerShell через соответствующую политику. Она находится по следующему пути: Административные шаблоны / Компоненты Windows / Windows PowerShell (Administrative Templates / Windows Components / Windows PowerShell). Имя: «Включить регистрацию блоков сценариев PowerShell» (Turn on PowerShell Script Block Logging)

Рисунок 14. Путь к аудиту Windows PowerShell

Рисунок 15. Включить регистрацию блоков сценариев PowerShell

После включения этой политики PowerShell будет регистрировать в журнале событий трассировки Microsoft-Windows-PowerShell/Operational с кодом события 4104 все блоки сценариев, в том числе — путь, тело скрипта и все используемые командлеты.

Рисунок 16. Пример регистрируемого события 4104

Хорошей практикой является увеличение размера самих журналов, даже если вы используете SIEM или сервер сборщика событий (Windows Event Collector). Например, журнал «Безопасность» (Security) по умолчанию имеет размер 20 МБ. При настроенном аудите на типичном АРМ этого объёма хватит на журналирование нескольких дней, на сервере — нескольких часов, а на контроллере домена 20 МБ не хватит ни на что.

Рекомендуем для всех основных журналов следующие объёмы:

журнал «Установка» (Setup) — не менее 10 МБ,
журнал «Система» (System) — не менее 50 МБ,
журнал «Приложение» (Application) — не менее 50 МБ,
журнал «Безопасность» (Security) — не менее 200 МБ (для контроллера домена — не менее 500 МБ).

При этом оставляем функцию перезаписи старых событий (по умолчанию она активирована).

RDP отказано в доступе
Добрый день, при попытке подключиться через удаленный рабочий стол выдает ошибку отказано в.

Отказано в доступе по RDP
Всем доброго дня! Server + служба удаленных рабочих столов, на котором две сетевые карты: одна.

отказано в доступе server 2008
Здравствуйте форумчане. Помогите с такой проблемой. Недавно в офисе купили сервер, стоит server.

antuanidze,
создайте раздел из 2016.

Вообще только к этим разделам потерялся доступ?
у всех или только у админа?
проверяйте права, имена, пароли явки. Что в КД , то же отсутствует?
нужно разобраться что именно не даёт вам войти может временный профиль еще подгружется?

Пробовал создать раздел в самой ОС, результат тот же! Смена разрешений через takeown и icacls ничего не дает,все те же отказано в доступе! Извените но что значит КД? Есть partition wizard, там он видит все папки.

на сколько я знаю ничего такого не замечено,а как можно еще убедиться в этом?

Добавлено через 2 часа 42 минуты
КД я так понял это контроллер домена? Если так то это и есть он, есть ещё второй кд, но там только одна папка открыта для админа домена для бекапа с данного контроллера! Бекапятся только папки рассшаринные для каждого отдела со второго раздела!

Смена владельца тома возможна?
Дополнительные параметры безопасности - действующие права доступа - Владелец = изменить.
выбираете там своего админа

Смена разрешений через takeown и icacls ничего не дает,все те же отказано в доступе!

Если менять через графический интерфейс, пишет отказано в доступе, но визуально владелец меняется! То есть после пишет нового владельца.

Добавлено через 57 секунд
Еще я заметил что логи все равно ведутся, журналы я как раз таки перекинул на хдд, что бы на ссд меньше циклов было!

Добавлено через 9 минут
Еще есть один нюанс! До этого сервер работал на другом компе и там почему то жесткие диски отображались в безопасном извлечении! После я перекинул хдд на новый комп, по мощнее, там так же они видны в трее. После в групповых политиках КД я включил политику для сьемных носителей, отключить все виды носителей(точно название не помню, но думаю вы поняли о чем речь), может это как то влиять? После я конечно выключил эту политику, но ничего не изменилось.

Добавлено через 1 минуту
в биосе стоит AHCI, на всякий случай.

Читайте также: