Начиная с сервера версии 2012 пропала возможность управлять доступами к теневым копиям через интерфейс менеджера сервером.
Но это не трудно сделать через командную строку
Добавить группу
Команды нужно выполнять в консоли CMD с повышенными полномочиями.
Создайте в AD группу с необходимым вам названием и подставьте имя домена и вашей группы в следующую команду:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE TerminalName="RDP-Tcp" CALL AddAccount "DOMAIN\GroupName",2
Цифра 2 в конце определяет тип доступа:
0 = WINSTATION_GUEST_ACCESS
1 = WINSTATION_USER_ACCESS
2 = WINSTATION_ALL_ACCESS
Что бы получить доступ к возможности которой обладают локальные администраторы — выбираем максимальный уровень доступа.
В уже существующие сессии попасть не удастся, так что права стоит выдавать заблаговременно
Посмотреть актуальные права доступа
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSAccount WHERE TerminalName="rdp-tcp" get AccountName,PermissionsAllowed
Выполнив на текущем сервере данную команду, мы увидим таблицу групп с соответствующим кодом уровня доступа.
Например 983999 — это максимальный и необходимый для подключения теневой копии сессии
Удалить группу
Команды для удаления выполняется из Powershell
$Group = @(gwmi -Namespace Root\CIMv2\TerminalServices -query "select * from Win32_TSAccount where TerminalName='RDP-TCP' AND AccountName='DOMAIN\\GroupName'") $Group.Delete()
Подключение к теневой копии сессии
Находим нужного пользователя и смотрим его ID
quser /SERVER:RDSserver
Подключаемся, используя полученный ID, с возможностью управления сессией, без уведомления пользователя
mstsc /v RDSserver /shadow:ID /noConsentPrompt /control