Windows Server 2012 R2 Remote Desktop Services Yeniliklerinden bir tanesi olan Shadowing veya Remote Control özelliğini bu makale içinde paylaşacağız. Bu özelliği sıfatlamış olduğum yenilik kelimesi bu teknoloji için doğru olmadığını belirtmek ve iki satırla açıklamak istiyorum.
Remote Desktop Services Shadowing özelliği terminal services mimarisinin ilk zamanlarından beri bulunmakta ve terminal services mimarisinden, Remote Desktop services mimarisine kadar değişen süreç içinde sürekli yer almıştır. Bu özellik Windows Server 2012 Remote Desktop Services mimarisi içinde kaldırılmış ve bu teknolojinin eksikliğinin giderilmesi için SCCM Remote Control, Windows Server Remote Assistance vb.Microsoft araçlarına ve Microsoft olmayan üçüncü firmaların uzaktan yönetim araçları ile karşılanması hedeflenmiştir. Bu sebepten ötürü bu teknolojisi bizler sadece Windows Server 2012 işletim sistemlerimizde kullanamadık. Öncesinde vardı ve Windows Server 2012 R2 ile birlikte görüyoruz ki bundan sonrada olacaktır. Bu açıklamalardan sonra yenilik sıfatını kullanmak yerine Shadowing özelliğinin geri getirildiğini söylemek daha hoş olacaktır.
Shadowing veya Remote Control özelliği nedir?
İsminden ve yukarıda ki açıklamalardan anlayacağınız gibi bir uzaktan yönetim özelliğidir. Remote Desktop ortamına bağlantı kuran uzak kullanıcılarımız, isminin hakkını veren ve bağlantılarını uzaktan yapan kullanıcılardır. Merkezi ofisimiz içinde bulunan kullanıcılarımız Remote Desktop Servisini kullanabildiği gibi farklı coğrafyalar içinde bulunan kullanıcılarımızda bu teknolojiden yararlanabilmektedirler.
Bu kullanıcılarımız bağlantı yapmış oldukları Remote Desktop Servisinden yararlandıkları zaman, çalışmaları sırasında bir takım hatalar veya problemler ile karşılaşabilirler. Bu yaşayan bir süreç içinde her zaman olası bir ihtimaldir. Bu yaşanılan problemleri çözebilmek için telefon desteği ve yönlendirmeler bazı durumlarda yetersiz kalmakta ve kullanıcılarımızın bağlantıyı yapmış oldukları yerler uzakta olduğu zaman çözüm süresi uzamaktadır.
Shadowing özelliği sayesinde problemi yaşayan kullanıcımız ve çözüm üretecek olan sistem yöneticimiz aynı ortak ekrana bağlantı gerçekleştirerek probleme görsel olarak anlama ve çözüm üretme özelliğini gerçekleştiren bir teknolojidir. İzinleri olan yöneticimiz problemli oturumu sadece izleyebildiği gibi eş zamanlı müdahale yapma hakkına da sahip olmaktadır.
Bu özelliği senaryolarla ve kullanım şekilleriyle açıklayalım. Remote Desktop ortamına bağlantıyı yapan bir kullanıcıyı görmektesiniz. RemoteAPP özelliği ile RDS ortamına bağlantıyı gerçekleştiriyor.
Bu teknoloji Windows Server 2008’ den beri oturum ile birlikte RemoteAPP teknolojisi içinde desteklenmektedir. Kullanıcımız yukarıda görüldüğü üzere RemoteAPP teknolojisi ile uygulamasını başlattı ve problemlerini aktarıyor.
Aktarılan problemlere telefon ile çözüm üretemeyen Sistem yöneticimiz problemi görmek istiyor ve kullanıcımızın oturumuna Shadowing isteğini gönderiyor.
Yöneticimizin göndermiş olduğu Shadow isteği için seçenekler bulunmaktadır. Bu seçenekler;
· Mevcut kullanıcı oturumunu izleme
· Mevcut kullanıcı oturumunu yönetme olarak ikiye ayrılır.
Bu istekler gönderilirken Promt for user consent özelliği bulunmaktadır. Bu kutu seçili durumdayken istek gönderilirse destek verilecek kullanıcı tarafından izin verilmesi gerekmektedir ve güvenlik politikaları içinde bir değişiklik yapılmadıysa varsayılan değerlerle istek bu kutu işaretli durumdayken gönderilmelidir.
Yöneticimiz tarafından Remote Control isteği kullanıcımıza gönderildi.
Kullanıcımıza Remote Control isteğini kabul etmesi için ekranına mesaj çıktı.
Kullanıcımız Remote Control isteğini kabul ettikten sonra, oturum yöneticimiz tarafından izlenebilir veya yönetilebilir duruma geldi. Bu özellik yukarıda görüldüğü gibi RemoteAPP teknolojisi içinde başarılı bir şekilde kullanılmaktadır.
Windows Server 2012 R2 Shadowing teknolojisinde dikkatimi çeken bir yeni geliştirme Controlling Consolu çarpıdan kapatıldığı zaman kullanıcımızın oturumu düşmemesidir. Bu teknolojiyi Windows Server 2008 R2 ve öncesi işletim sistemleri üzerinde kullanan yöneticiler, Controlling ekranını çarpıdan kapattıkları zaman son kullanıcımızın oturumu askıda kalıyordu. Bu problemin oluşmaması için desteği veren yöneticimizin Remote Control isteğini gönderirken, oturumun tekrar son kullanıcıya verilmesi için kısa yollar belirliyor ve oturumu bu kısa yollar ile bırakıyordu. Bu kısa yolların belirlenmesi artık zorunlu değil ve daha esnek bir yönetim sunulmuş durumdadır.
Shadowing isteğini GUI yerine Windows PowerShell aracı ile yerine getirelim. Bu kez Shadowing isteğimizi RemoteAPP yerine full desktop oturumuna gerçekleştireceğiz. Her iki yöntemde GUI ve PS komutları ile karşılanabildiğini bir kez daha hatırlatmak isterim.
PS komut satırı üzerinde yöneticimiz;
Get-RDUserSession –CollectionName “Collectionİsmi”
Komutunu çalıştırarak RDS ortamı içinde bulunan Collection’a bağlantı yapmış bulunan kullanıcıların bilgilerini görebilmektedir. Komut içinde yer alan Collectionİsmi yapımımıza göre değiştirilecektir.
Yöneticimiz Collection içinde bulunan oturumları listeledikten sonra;
Mstsc.exe /v:RDSSunucuHostname /Shadow:IDNumber
Komutunu çalıştırarak istenilen oturuma bağlantı yapabilmektedir. Komut içinde yer alan RDSSunucuHostname yapımımıza göre değiştirilecektir. IDNumber bölümüne ise UnifiedSession ID bölümünde yer alan bağlantı yapılmak istenilen oturumun ID’ si yazılacaktır.
RemoteAPP teknolojisinde olduğu gibi Full Desktop oturumuna da başarılı bir şekilde Remote Control yapılabildiğini görebilmekteyiz.
Promt for user consent yani kullanıcı onayı gerekmeksizin kullanıcı oturumuna bağlanmak.
Bu özelliği kullanmak yasal olarak bir takım soru işaretlerini beraberinde getirmektedir. Çünkü kullanıcı onayı olmadan kullanıcı oturumuna bağlanmak beraberinde kötü amaçlı kişilerin bu yöntemi kullanarak kötü işlemleri yapmasını sağlayabilmektedir. Bu özelliği kullanmak istiyorsak eğer kurumumuz içinde bir takım yasal bildirimleri yapmamız ve önlemlerini almamız gerekmektedir.
Örnek olarak kullanıcımız oturum sırasında bir takım gizlilik gerektiren işlemleri yerine getiriyorken sizler oturumuna bağlantı yapabilir ve bu gizli işlemlerden bilgi sahibi olabilirsiniz. Çünkü bu yöntem ile bağlantı yaptığınız zaman kullanıcımızın oturumunun izlendiğini bilmesi neredeyse imkânsızdır.
Bu özellik zaten varsayılan değerlerde kapalı durumdadır. Bu özelliği aktif duruma getirebilmek için Remote Desktop Host sunucumuzun Local Group Policy’ si üzerinde bir takım Policiyleri değiştirmemiz gerekmektedir.
RDS Sunucumuz üzerinde;
Computer Configuration \ \Administrative Templates\Windows Components\Remote Desktop Services \ \Remote Desktop Session Host\Connections yolunu izliyoruz ve Set rules for remote control of Remote Desktop Services user sessions policysini ihtiyaçlarımıza göre düzenliyoruz.
Bu policy üzerinde yapabilecek olduğumuz işlemler
· No remote control allowed: Bu özelliğin kullanılmaması
· Full Control with user’s permission: Full Control özelliğinin kullanıcı onayı ile yapılabilmesi.
· Ful Control without user’s permission: Full Control özelliğinin kullanıcı onayı olmaksızın yapılabilmesi.
· View Session with user’s permission: Oturumun izlenmesi kullanıcı onayı ile yapılabilmesi.
· View Session without user’s permission: Oturumun izlenmesi kullanıcı onayı olmaksızın yapılabilmesi.
Without User’s yapılandırmaları yapılırken kötü amaçlı kişilerin bu özelliği kullanmamasını bir şekilde sağlamanız gerekmektedir.
Bu bilgiyle birlikte Windows Server 2012 R2 RDS üzerinde ki Shadowing özelliğinde artık delegasyon yapılamamaktadır. Eski sunucu işletim sistemlerinde Shadowing özelliği HelpDesk kullanıcılarına delegasyon yapılabiliyordu. Artık bu özellik bulunmamaktadır. Makale içinde sürekli bahsetmiş olduğum Sistem Yöneticisi sıfatı bu değişiklik için kullanılmıştır. Shadowing özelliğini kullanabilecek kullanıcılar RDS sunucusu üzerinde Local Admin hakkına sahip olmaları gerekmektedir.
