Каморка

на самом деле, задачко это мне, но ибо я ни-бум-бум, соответственно переадресую, вопия. заранее спасиб.

есть в домене виндовые сервера server1 и server2. есть также их юзеры user1 и user2. тоже в домене. ситуация считаеццо нормальной, если user1 залогинился на консоли server1, откуда прицепилсо по rdp к server2, и залогинилсо туда как user2, причём эта сессия rdp являеццо активной. все остальные ситуации считаюццо абнормальными и требуют отправки имейла админу с требованием ситуацию исправить. допустим, проверять статусы соединений на обоих серверах мы умеем при помощи quser или qwinsta. допустим также, что по errorlevel 1 мы умеем запускать cli майлер. теперь вопрос в задачке: как определить, что ремоутная сессия юзера user2 на сервере server2 была вызвана с консоли сервера server1 юзером user1, а не каким-либо иным методом?

любые ответы от "вот так-то и так-то" до "никак, ибо" принимаюццо с благодарностью.

Waterbyte писал(а):на самом деле, задачко это мне, но ибо я ни-бум-бум, соответственно переадресую, вопия. заранее спасиб.

есть в домене виндовые сервера server1 и server2. есть также их юзеры user1 и user2. тоже в домене. ситуация считаеццо нормальной, если user1 залогинился на консоли server1, откуда прицепилсо по rdp к server2, и залогинилсо туда как user2, причём эта сессия rdp являеццо активной. все остальные ситуации считаюццо абнормальными и требуют отправки имейла админу с требованием ситуацию исправить. допустим, проверять статусы соединений на обоих серверах мы умеем при помощи quser или qwinsta. допустим также, что по errorlevel 1 мы умеем запускать cli майлер. теперь вопрос в задачке: как определить, что ремоутная сессия юзера user2 на сервере server2 была вызвана с консоли сервера server1 юзером user1, а не каким-либо иным методом?

любые ответы от "вот так-то и так-то" до "никак, ибо" принимаюццо с благодарностью.

tsadmin - меет информацию про которую ты спрашиваешь

Твой подход это "ловля ведьм", но если надо чтобы просто работало, и если сервер2 не ДС, я бы не применял этот молох, а просто-напросто полисями разрешил бы РДП одному только юзеру2 сделав ему локальный аккаунт.
Все остальные чотко маршируют нах by default.
Ну можть еще отслеживал бы удачные/неудачные логины чиста для профилактики кариеса если сильно критично, только нафига лишние телодвижения.

Waterbyte писал(а):на самом деле, задачко это мне, но ибо я ни-бум-бум, соответственно переадресую, вопия. заранее спасиб.
есть в домене виндовые сервера server1 и server2. есть также их юзеры user1 и user2. тоже в домене. ситуация считаеццо нормальной, если user1 залогинился на консоли server1, откуда прицепилсо по rdp к server2, и залогинилсо туда как user2, причём эта сессия rdp являеццо активной. все остальные ситуации считаюццо абнормальными и требуют отправки имейла админу с требованием ситуацию исправить. допустим, проверять статусы соединений на обоих серверах мы умеем при помощи quser или qwinsta. допустим также, что по errorlevel 1 мы умеем запускать cli майлер. теперь вопрос в задачке: как определить, что ремоутная сессия юзера user2 на сервере server2 была вызвана с консоли сервера server1 юзером user1, а не каким-либо иным методом?
любые ответы от "вот так-то и так-то" до "никак, ибо" принимаюццо с благодарностью.

Мда... Видал на своем веку извращенцев, сам извращенец, но.... чтобы до такой степени!!!
РДП - он по идее для того, чтобы можно было подключаться из любой точки земного шара - так оно задумано...
Файрвол можно напинать, чтобы он принимал коннекты только с ИП сервера 1, тогда все остальное можно просто утилизировать в гарбадж бин.

Stanislav писал(а):Мда... Видал на своем веку извращенцев, сам извращенец, но....

Булгактер, ептыть, ему название

Vims писал(а):tsadmin - меет информацию про которую ты спрашиваешь

меть-то оно меет (client name), а как её оттуда достать?

пыс. забыл добавить в задачко: все методы, основанные на "не пущщать" не годяццо. ситуации мониторяццо, а не инфорсяццо. домен клиентский, в нём свои админы и свои полиси, со своим уставом лезть нельзя, менять ничо нельзя. мониторить и на моск капать - можно, но не интерактивно, ибо.

ещё забыл добавить. дабы отвести наезды зануд в плане "извращений". в ремоутной сессии юзера user2 на сервере server2 должны крутиццо какие-то дурацкие макросы, которые непременно хотят взаимодействовать с десктопом. вот почему эта сессия должны быть активной. далее, user2 может залогиниццо на server2 откуда угодно, но тогда этот user2 понятия не имеет про те макросы, и они опять, соответственно, не работают. единственный юзер, который в курсе про макросы - это user1, но у него нету доступа к server2 кроме как через ремоутную сессию, инициированную с консоли сервера server1. а на сервере server2 у юзера user1 тоже есть своя сессия, но с совершенно иными задачами, поэтому для запуска тех грёбаных макросов он использует сессию под юзером user2. шонеясно? :)

Я бы поосторожнее стакимиделами.
Есть тут одни типа такие клоуны. У них одном на среди прочих серваков крутится CC процессинг. Они периодически шмыгают в серверную и делают на консоли чо им там надо. Но иногда кто-нибудь из них забывается и лезет в РДП. В итоге транзакции процессятся по два раза и прочие артефакты.
На попытки как-то это дело улучшить вопять "не надо, все ж работает!" и на колу мочало. Можно конешно РДП прикрыть, но тоже вопят не надо. Да и в серверной они как слон в посудной лавке: норовят на не тот сервак залогиниться а потом ышшут на нем свою аппликуху. Которая тоже сделана левой ногой: кроме как под юзером с именем Administrator толком работать не может, есть еще другие "но", короче все страшно запущено. Это все последствия наличия _одного_ около-компьютерно-грамотного дятла в ихнем руководстве, который предпочитает работать только с тем, что может лично уразуметь. В течение многих лет он самоотверженно состряпал это "единое целое" из кусочков всякого freeware гавна, что-то приделал сам (на клиппере ай гесс), что-то из под ДОСа, а теперь старый стал. К сожалению есть только 2 мнения: одно - его, другое - неправильное, а клиэнт всегда прафф, ниче не попишешь. Хотя надо отдать должное, чувак, вовремя присосавшись в нужное место, давно миллионер, ездит на thunderbird и даже тайно состоит в масонском ордене!
Вот раньше хотя б можно было прямиком на консольную сессию заремоутиться, а щас - только через бубен, нафига M$ этот гиморой сделали?

Если в твоем случае только скрипты, и ничего чиста на консоли смотреть не надо, powershell тебе в руки и помогай тя бохъ.

Waterbyte писал(а):ещё забыл добавить. дабы отвести наезды зануд в плане "извращений". в ремоутной сессии юзера user2 на сервере server2 должны крутиццо какие-то дурацкие макросы, которые непременно хотят взаимодействовать с десктопом. вот почему эта сессия должны быть активной. далее, user2 может залогиниццо на server2 откуда угодно, но тогда этот user2 понятия не имеет про те макросы, и они опять, соответственно, не работают. единственный юзер, который в курсе про макросы - это user1, но у него нету доступа к server2 кроме как через ремоутную сессию, инициированную с консоли сервера server1. а на сервере server2 у юзера user1 тоже есть своя сессия, но с совершенно иными задачами, поэтому для запуска тех грёбаных макросов он использует сессию под юзером user2. шонеясно?

Так эта... Фсе ясно, канешна... Но вот именно это я и называю извращениями
Тот, кто понял с первого чтения кто и что делает там на этих серваках - могут считать меня оконным чайником
БТВ, это особенности Программизма:

413959 [ 6064 ] смешно / [:||||:] / не смешно / утверждена 2011-10-28 в 08:11
xxx: Словно умудренные жизненным опытом стервятники в пустыне, они смотрят вслед проползающим путникам. На вопрос, где можно напиться, они долго обсуждают, нужна ли тебе вода и неизменно приходят к выводу, что нет, тебе, брат, вода ни к чему. Неспешно перечисляют причины, по которым тебе лучше жить без воды. И ни один из них не покажет в какой стороне колодец.

ё-маё, там всё ещё хуже... если user2 сначало зайдёт ремоутно на server1, а затем уже оттуда - на server2, то я не узнаю даже при помощи tsadmin, с консоли server1 та сессия на server2 пошла, или из ремоутной сессии на этом же server1... :(