もっと詳しく

使用できます リモートデスクトップシャドウイング Windowsコンピュータのユーザーセッションにリモート接続します。 この機能は基本的にリモートアシスタンスに類似しており、管理者はデスクトップバージョン(Windows 11または10)とWindowsServerRDSサーバーの両方でユーザーのデスクトップをリモートで表示および操作できます。

コンテンツ:

  • Windowsでリモートデスクトップシャドウ接続モードを有効にする
  • リモートデスクトップシャドウイングを介してユーザーセッションにリモート接続する

Windowsでリモートデスクトップシャドウ接続モードを有効にする

リモートデスクトップシャドウ接続を介して接続するWindowsコンピューターを特定の方法で構成する必要があります。

  1. ユーザーコンピューターでリモートデスクトップ(RDP)を有効にします(手動またはGPO経由)。
  2. アカウントには、ユーザーのコンピューターに対するローカル管理者権限が必要です(ユーザーを手動でまたはグループポリシーを使用して「管理者」グループに追加できます)。
  3. シャドウ接続モードを構成します。 接続するためにユーザー確認を要求する必要があるかどうか、およびシャドウセッションで表示または制御を許可するかどうかを構成できます。 GPOオプションを使用してシャドウ接続モードを構成できます リモートデスクトップサービスのユーザーセッションのリモート制御のルールを設定する ([コンピューターの構成]->[管理用テンプレート]->[Windowsコンポーネント]->[リモートデスクトップサービス]->[リモートセッションホスト]->[接続])。 Windows 10シャドウセッションポリシー:リモートデスクトップサービスユーザーセッションのリモート制御のルールを設定します次の5つのモードを使用できます。0 –シャドウリモコンを無効にします。
    1 —ユーザーの許可によるフルコントロール。
    2 —ユーザーの許可なしにフルコントロール。
    3 —ユーザーの許可を得てセッションを表示します。
    4 —ユーザーの許可なしにセッションを表示する
  4. レジストリを介して、目的のシャドウ接続モードを直接有効にすることができます。 レジストリを手動またはで編集します reg add 指図。 この例では、モード4を設定します。これにより、ユーザーの許可なしにリモートセッションを表示できます。 reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services" /v Shadow /t REG_DWORD /d 4

    デフォルトでは、このレジストリパラメータは設定されておらず、シャドウ接続はユーザー確認付きのフルコントロールモードで実行されます。

  5. 着信リモートシャドウ接続を許可するようにWindowsDefenderファイアウォールルールを構成します。 次のポートは、標準の3389 / RDPポートの代わりに、Windowsのセッションシャドウイングトラフィックに使用されます。 139 / TCP445 / TCP、およびダイナミックの範囲 RPCポート (49152から65535まで)。 着信シャドウ接続トラフィックを許可するには、Windowsで2つの事前定義されたファイアウォールルールを有効にする必要があります。 File and Printer Sharing (SMB-In)Remote Desktop - Shadow (TCP-In)。 最後のルールは、へのリモートアクセスを許可します RdpSa.exe 処理する。 ユーザーのコンピューターでWindowsDefenderルールを有効にするには、GPOを使用するか、Enable-NetFirewallRulePowerShellコマンドレットを使用します。リモートデスクトップシャドウイングトラフィックファイアウォールルールを許可する

リモートデスクトップシャドウイングを介してユーザーセッションにリモート接続する

リモートデスクトップシャドウ接続を使用して、リモートWindowsコンピューター上の別のユーザーのデスクトップセッションにリモート接続する方法を見てみましょう。 この例では、Windows11コンピューターからユーザーのWindows10ワークステーション上のユーザーのセッションに接続します。

組み込みのリモートデスクトップ接続ツール(mstsc.exe)は、ユーザーのセッションへのシャドウ接続に使用されます。 コマンド形式は次のとおりです。

Mstsc.exe /shadow:<Session ID> /v:<Computer name or IP address>

次のmstscオプションのいずれかを使用することもできます。

  • /促す –接続するユーザー資格情報を要求します(指定されていない場合は、現在のユーザー資格情報に接続されます)。
  • /コントロール –ユーザーセッションとの対話を可能にするモード。 パラメータが設定されていない場合、表示モードでユーザーセッションに接続されます。つまり、ユーザーのマウスを制御したり、キーボードからデータを入力したりすることはできません。
  • / noConsentPrompt –デスクトップセッションに接続するための確認をユーザーに求めないでください。

次に、リモートコンピューターでユーザー名とセッションIDを確認する必要があります(ユーザーがコンピューターコンソールで直接作業している場合、セッションIDは常に1になります)。

リモートコンピューター上のユーザーセッションのリストを表示してみましょう(Windows 11/10を実行しているデスクトップコンピューター、またはリモートデスクトップサービスホストの役割を持つWindows Serverの場合があります)。

次のコマンドを使用して、Windows10ワークステーション上のセッションのリストをリモートで要求してみましょう。

qwinsta /server:PC_Name01

qwinsta:リモートコンピューターからユーザーセッションIDを取得します

この例では、コンピューターにログインしているユーザーが1人だけで、コンピューターコンソールで直接作業していることがわかります(SESSIONNAME=console)セッションID=1

シャドウ接続を介してこのユーザーのデスクトップにリモート接続してみましょう。 次のコマンドを実行します。

Mstsc /shadow:1 /v:PC_Name01

mstsc:Windows11でのユーザーデスクトップセッションのシャドウイング

Windowsユーザーは、管理者がセッションに接続していることを確認するように求められます。

Remote connection request
PCadmin is requesting to view your session remotely. Do you accept the request?

PC adminは、セッションをリモートで表示するように要求しています。 リクエストを受け入れますか?

リモートコンピューターのTermServiceサービスが無効になっている場合、リモートデスクトップシャドウ接続を介してリモート接続しようとすると、エラーが表示されます。

The version of Windows running on this server does not support user shadowing.

このサーバーで実行されているバージョンのWindowsは、ユーザーシャドウイングをサポートしていません。

ユーザーが接続を受け入れると、コンソールセッションに接続して、ユーザーのデスクトップが表示されます。 すべてのユーザーアクションが表示されますが、このセッションを制御(対話)することはできません。 彼のセッションを制御する場合は、mstscコマンドの/controlオプションを使用します。 この場合、ウィンドウタイトルのキャプションは次のように変更されます。 Viewing username (sessionID 1) on computernameControlling…

Windowsでrdpシャドウイングを使用してリモートユーザーセッションを表示する

この場合、ユーザーのセッションをブロックせずに、ユーザーのコンソールセッションに直接接続しました。 標準のRDPセッションを介してWindowsにリモート接続すると、ローカルユーザーセッションが切断されます(Windowsで複数の同時RDPセッションを有効にしている場合でも)。

ユーザーが非アクティブであるためにユーザーセッションがロックされている場合、またはを使用せずに接続するときにUAC特権昇格要求が表示される場合 mstsc /control パラメータを指定すると、シャドウセッションウィンドウが黒くなり、一時停止記号が表示されます。

ユーザーがセキュアデスクトップにUACプロンプトを表示すると、シャドウセッションは一時停止状態になります。 ユーザーがUACアクションを確認すると、シャドウセッションが再開されます。

Windowsでのシャドウセッションの一時停止/一時停止

  • キーボードショートカットを使用する Ctrl + Alt + Break デスクトップの画面全体に合うようにシャドウ接続ウィンドウのサイズを変更します。
  • プレス Alt+* コンピューター上(または Ctrl+* RDSサーバー上で)シャドウセッションを終了します。

次のPowerShellスクリプトを使用して、誰かがRDPシャドウ接続を介してセッションにリモート接続していることをユーザーに通知できます。
while($true){
if (Get-Process -Name "RdpSa" -ErrorAction SilentlyContinue){[console]::beep(1000,500);Write-Host "RdpSa is running at $(Get-Date)"}
Start-Sleep -Seconds 1
}
このPowerShellスクリプトはWindowsサービスとして実行できます。 この例では、単純なビープ音でユーザーに通知しています。 また、デスクトップにポップアップ通知を表示することもできます。

Windowsイベントログから、ユーザーコンピューターのシャドウ接続履歴を照会できます。 あなたが興味を持っているすべてのイベントは、 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational イベントビューアのセクション。

  • イベントID 20508 —シャドウビューのアクセス許可が付与されました
  • イベントID 20503 —シャドウビューセッションが開始されました
  • イベントID 20504 —シャドウビューセッションが停止しました

PowerShellを使用して、ユーザーのコンピューターからシャドウ接続ログを取得できます。

$EventIds = 20508,20503,20504
Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational";ID=$EventIds}

PowerShellを使用してWindowsでシャドウ接続ログを表示する

リモートデスクトップシャドウイングは、Windows 11/10/8.1およびWindowsServer2022/2019/2016/2012R2で使用できます。 したがって、リモートデスクトップシャドウイングをリモートアシスタンスまたはTeamViewer / AnyDeskのアナログとして使用できます。これにより、ローカル企業ネットワーク上のユーザーのコンピュータに即座に安全にアクセスできます。

The post Windowsでシャドウモードを使用してリモートユーザーのデスクトップセッションを表示する appeared first on Gamingsym Japan.