Połączenie Remote Desktop w trybie administratorskim, czyli o mstsc /console oraz mstsc /admin

Dzisiaj, przy okazji omawiania konsoli RDC (MSTSC.EXE) chciał / nie chciał, musimy liznąć  odrobinę historii, ale nie będę się z tego  tłumaczył – wielu z Was z wypiekami na twarzy przyzna, że Windowsy 2003 ciągle u Was działają, a 2008 jest znacznie więcej niż 2012 🙂

Dostęp Administratorski

W epoce Windowsów przed wersjami Vista SP1 i Windows Server 2008  istniało pojęcie „dostępu administratorskiego” lub  „dostępu konsolowego” przez klienta RDP. Systemy, które nie miały zainstalowanej roli serwera terminalowego obsługiwały 2 równoległe sesje RDP i jedną administratorską (sesja zerowa). Serwery Terminalowe obsługiwały również sesję zerową oraz tyle sesji RDP, ile licencji CAL posiadaliśmy. Sesja zerowa to właśnie „sesja konsolowa”.

Aby uruchomić Pulpit Zdalny (Remote Desktop Console) z Wiersza Poleceń należy wpisać polecenie:

mstsc

Dostęp administratorski zyskiwaliśmy dzięki jednemu z dwóch przełączników:

mstsc /console

lub

mstsc /admin

Zmiany w Windows Server 2008 i Vista SP1

Od czasów Windows Server 2008 i Vista SP1 sesja zerowa zarezerwowana jest dla usług i nie ma możliwości ani konieczności logowania się na niej. Ma to sens, bo usługi przecież potrzebują znacznie wyższych uprawnień niż użytkownik  (o tym jak możemy sami, świadomie podnieść swoje uprawnienia do poziomu systemowego już kiedyś pisałem).

Zniknął też przełącznik „/console” (tak dokładnie to zniknął od RDC w wersji 6.1), ale pozostał przełącznik „/admin”, który warto znać (patrz niżej),

Reakcja systemów na przełącznik „/console”

Jeśli na systemach Windows Serwer 2008 i nowszych uruchomimy konsolę RDP z poziomu konsoli  CMD, to przełącznik „/console” zostanie zignorowany i zalogujemy się do sesji 1 lub 2.

Przy próbie uruchomienia pliku .RDP, w którym zapisaliśmy na sztywno użycie mstsc /console, albo gdy w oknie konsoli RDP podamy nazwę serwera z parametrem /console to przywita nas złowieszczy komunikat:

Logowanie przez polecenie „mstsc /admin” – praktyczne zastosowanie

Po pierwsze logowanie w ten sposób nie zużyje nam licencji TS CAL. Jest to bardzo przydatne, gdy musimy się zalogować na serwerze, a wszystkie licencje terminalowe są obecnie  w użyciu, lub gdy z jakichś przyczyn obsługa licencji CAL nie działa poprawnie i konsola RDP uruchomiona bez parametrów nie chce nas wpuścić.

Jeśli na serwerze działa polityka blokująca dostęp przez RDP (Deny Users Permissions To Log On To Terminal Server), to użycie mstsc /admin ominie to zabezpieczenie – oczywiście, użytkownik musi mieś uprawnienia do użycia tego przełącznika (np. administrator ma takie uprawnienia).

Na serwerze, na którym nie ma roli Serwera terminali – tak naprawdę przełącznik /admin nic nie zmienia.

Co nowego w Windows Server 2012 i Windows 8?

Dużo:) Po pierwsze Windows 2012 serwer domyślnie akceptuje tylko jedną sesję zdalną (nowa sesja wyloguje starą), a do zarządzania usługami terminali służy RDMS, który zastępuje znane z wcześniejszych wersji narzędzia np. tsadmin.exe    ..będziemy pisać o tym niebawem, więc nie zapomnijcie nas czasem odwiedzać  🙂