Службы удаленных рабочих столов: CAP или RAP через PowerShell

Question

Службы удаленных рабочих столов: CAP или RAP через PowerShell

Я пытаюсь настроить новый сервер шлюза RDS через Powershell (для автоматической настройки после создания EC2). Проблема, с которой я сталкиваюсь сейчас, - это настройка CAP и RAP по умолчанию или иным образом. Все остальное работает нормально, и если я перейду к диалоговым окнам сервера и укажу свой путь к мастеру CAP/RAP, все будет работать. Пока я не сделаю это, эти политики не существуют (даже по умолчанию).

Код, который я использую, который я получил из сообщений в блоге на Technet о предмете, это:

new-item -Force -Credential $AdminCredentials -path RDS:\GatewayServer\CAP -Name DomainAdmin-CAP -UserGroups “$AdminGroupName@$NetBiosDomainName" -AuthMethod 1
new-item -Force -Credential $AdminCredentials -path RDS:\GatewayServer\CAP -Name DomainUser-CAP -UserGroups “$UserGroupName@$NetBiosDomainName" -AuthMethod 1

new-item -Force -Credential $AdminCredentials -path RDS:\GatewayServer\RAP -Name DomainAdmin-RAP -UserGroups “$AdminGroupName@$NetBiosDomainName" -ComputerGroupType 2
new-item -Force -Credential $AdminCredentials -path RDS:\GatewayServer\RAP -Name DomainUser-RAP -UserGroups “$UserGroupName@$NetBiosdomainName" -ComputerGroupType 2

Опять же, все остальное работает, и система на 100% и может использоваться после того, как я отправлю RDP на сервер и настрою их вручную, поэтому моя единственная проблема - это шаг автоматизации. Ошибка, которую я получаю, когда запускаю свой скрипт:

new-item: Доступ к объекту в RDS:\GatewayServer\CAP\DomainAdmin-CAP запрещен для командлета New-Item. Указанное значение недопустимо или у вас недостаточно прав. В строке:89 символов:1 + новый элемент -Force -Credential $AdminCredentials -path RDS:\GatewayServe ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (:) [новый элемент], AccessViolationException + FullyQualifiedErrorId: PermissionDenied,Microsoft.PowerShell.Commands.NewItemCommand

Изменить: Вещи, которые я пытался на основе предложений и разочарования:

Я сделал все символы одинаковыми после того, как кто-то указал, что они на самом деле не совпадают на передней и задней части строки переменных -UserGroup - без изменений.

Я пробовал $NetBiosDomainName как простую версию NetBIOS одним словом (DOMAIN), а также как полный домен (domain.company.com) - без ошибок.

Я попытался изменить строку "$AdministratorsGroupName@$NetBiosDomainName" для $AdminGroup (= $AdministratorsGroupName + "@" + $NetBiosDomainName"), чтобы упростить ввод параметра -UserGroups - без изменений

Я запустил этот скрипт как администратор домена и учетная запись локального администратора - без изменений

0

windows powershell remote-desktop gateway new-item

Источник

user5531123 07 май '18 в 20:42

1 ответ

Другие вопросы по тегам windows powershell remote-desktop gateway new-item

user1772150 22 мар '21 в 17:35 2021-03-22 17:35 · Answer 1 · 2021-03-22 17:35

Мне удалось использовать следующий сценарий для настройки шлюза удаленного доступа на сервере Windows 2019/2016, не являющемся доменом. Сюда входят CAP, RAP и ManagedComputerGroup,

      Install-WindowsFeature -Name "RDS-Gateway" -IncludeAllSubFeature -IncludeManagementTools > $null
Import-Module -Name RemoteDesktopServices

#=============User Modifiable=============#
$GroupName="SG_RemoteUsers@$env:COMPUTERNAME"
# No Restrictions
#$GroupName="Users@BUILTIN"
$ManagedComputers="RDG_RDCBComputers"
# Managed Computer Groups
$MCGComputers=@($env:COMPUTERNAME,"<target machines>")
$MCGs=@(@{Name="RDG_RDCBComputers";Desc="All RDCB Computers in the deployment";Computers=$MCGComputers})
# Connection Authorization Policies
$CAPs=@(@{Name="RDG_CAP_AllUsers";UserGroups=$GroupName;AuthMethod=1;Status=1})
# Resrouce Authorization Policies
$RAPs=@(@{Name="RDG_AllComputers";UserGroups=$GroupName;ComputerGroupType=2;ComputerGroup=$null})

# If you already have a certificate, skip this part.
<#region Certificate
$FilePath="C:\temp\export.cer"
$SelfSigned=New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName $env:COMPUTERNAME -FriendlyName $env:COMPUTERNAME -KeyAlgorithm "RSA" -HashAlgorithm "SHA256" -KeyDescription "RDG Key" -KeyLength 4096 -KeyUsage KeyEncipherment,DataEncipherment -KeyUsageProperty All
$CertPassword=ConvertTo-SecureString -String “password” -Force –AsPlainText
Export-PfxCertificate -Cert $SelfSigned.PSPath -FilePath $FilePath -Password $CertPassword > $null
Import-PfxCertificate -CertStoreLocation "Cert:\LocalMachine\Root" -FilePath $FilePath -Password $CertPassword > $null
Remove-Item -Path $FilePath
$Certificate=$SelfSigned
#endregion
#>
$Certificate=Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Thumbprint -eq "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" } | Sort-Object -Property NotAfter -Descending | Select-Object -Last 1

#=============Do not modify=============#
$CAPPath="RDS:\GatewayServer\CAP"
$RAPPath="RDS:\GatewayServer\RAP"
$MCGPath="RDS:\GatewayServer\GatewayManagedComputerGroups"

#=============Script=============#
# Add the certificate to RDS
Set-Item -Path "RDS:\GatewayServer\SSLCertificate\Thumbprint" -Value $Certificate.Thumbprint

try { Get-LocalGroup -Name $GroupName -ErrorAction Stop > $null }
catch { New-LocalGroup -Name $GroupName > $null }

try { Get-LocalGroupMember -Group $GroupName -Member "<user that should have access>" -ErrorAction Stop > $null }
catch { Add-LocalGroupMember -Group $GroupName -Member "<user that should have access>" > $null }

# Remove existing items (must be done in the order of CAP and/or RAP first, then GatewayManagedComputerGroups
$CAPs | ForEach-Object { if (Test-Path -Path "$CAPPath\$($_.Name)") { Remove-Item -Path "$CAPPath\$($_.Name)" -Recurse } }
$RAPs | ForEach-Object { if (Test-Path -Path "$RAPPath\$($_.Name)") { Remove-Item -Path "$RAPPath\$($_.Name)" -Recurse } }
$MCGs | ForEach-Object { if (Test-Path -Path "$MCGPath\$($_.Name)") { Remove-Item -Path "$MCGPath\$($_.Name)" -Recurse } }

$MCGs | ForEach-Object { New-Item -Path $MCGPath -Name $_.Name -Description $_.Desc -Computers $_.Computers > $null }
$CAPs | ForEach-Object { New-Item -Path $CAPPath -Name $_.Name -UserGroups $_.UserGroups -AuthMethod $_.AuthMethod -Status $_.Status > $null }
$RAPs | ForEach-Object { New-Item -Path $RAPPath -Name $_.Name -UserGroups $_.UserGroups -ComputerGroupType $_.ComputerGroupType > $null }

# Stop redirection of Serial Ports
$CAPs | ForEach-Object { Set-Item -Path "$CAPPath\$($_.Name)\DeviceRedirection\SerialPorts" -Value 0 }

Restart-Service -Name "TSGateway"