DevAdmin Blog

Blog di Ermanno Goletto (Microsoft MVP Directory Services - MCSE - MCSA - MCITP - MCTS)
posts - 1026, comments - 598, trackbacks - 8

My Links

News

Il blog si è trasferito al seguente link:

www.devadmin.it

Avatar

Visualizza il profilo di Ermanno Goletto su LinkedIn

Follow ermannog on Twitter


Il contenuto di questo blog e di ciascun post viene fornito “così come é”, senza garanzie, e non conferisce alcun diritto. Questo blog riporta il mio personale pensiero che non riflette necessariamente il pensiero del mio datore di lavoro.

Logo Creative Commons Deed


Logo SysAdmin.it SysAdmin.it Staff


Logo TechNet Forum TechNet Italia @ForumTechNetIt Follow TechNet Forum on Twitter


Logo MVP

Article Categories

Archives

Post Categories

Blogs

Friends

Knowledge Base

MVP Sites

Resources

Remote Desktop Connection (Terminal Services Client 6.1) e opzione console

Il Remote Desktop Connection (Terminal Services Client 6.1) consente di utililizzare le nuove funzionalità di Servizi terminal introdotte in Windows Vista e in Windows Server 2008 (TS Web Access, RDP signing, TS Easy Print, TS Gateway, TS RemoteApp). La versione 6.1 (6.0.6001) di RDC è disponibile come download per XP SP2 e integrata nel Service Pack 3 di XP e in Windows Vista e Windows Server 2008.

In questa versione l'opzione /console che consentiva di connettersi alla sessione console (Session 0) di un Windows Server 2003 non è più supportata (la connessione alla sesione 0 di un Windows Server 2000 non è mai stata possibile a riguardo si veda Non si può utilizzare Mstsc.exe con l'opzione /CONSOLE per connettere a una sessione di console in un computer basato su Windows 2000 Server).

In Windows Server 2003 viene utilizzato il comando Mstsc.exe /console per avviare una sessione di Desktop remoto per i seguenti motivi:

  1. Alcune applicazioni si installano e si eseguono solo nella sessione 0 in quanto devono comunicare con i servizi eseguiti nella sessione 0 o perchè devono interagire con elementi dell'interfaccia utente visualizzati nella sessione 0.
  2. In Windows Server 2003 la sessione console è sempre la 0 e non possibile connetersi ad una sessione console esistente se non specificando l'opzione /console.

In Windows Server 2008 l'opzione /console non è più necessaria per due ragioni:

  1. E' stata migliorata la compatibilità con le applicazioni per garantire che  le appliaczioni legacy che durante l'installazione devono comunicare con i servizi in sessione 0 possano farlo anche da sessioni diverse dalla 0. Nel caso in cui sia necessario interagire con elementi dell'interfaccia utente visualizzati nella sessione 0 le funzionalità native di Windows Vista e Windows Server 2008 consentono di vedere e interagire con l'interfaccia grafica della sesione 0 da una sessione diversa.
  2. Dal momento che la sessione 0 non è mai la sessione console è sempre possibile riconnetersi alla sessione console. Tramite la group policy Restrict Terminal Services users to a single remote session in Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Connections è possibile abilitare o disabilitare la possibilità di connettersi alla sessione console. In alternativa è possibile configurare questa opzione nel Terminal Services Configuration tramite Edit settings nella sezione General opzione Restrict each user to a single session.

Per ulteriori informazioni si veda Changes to remote administration in Windows Server 2008.

In Windows XP e Windows Server 2003 e versioni precedenti tutti i servizi girano nella stessa sessione e in questa sessione opera anche il primo utente che si connette alla console. Questa sessione è chiamata la Sessione 0, ma l'esecuzione di servizi e applicazioni nella stessa sessione comporta un'implicazione di sicurezza in quanto i servizi vengono eseguiti con privilegi elevati diventanto obbiettivi di malware che tramite essi possono fare privilege escalation.

image

A partire da Windows Vista questo richio di sicurezza è stato ridotto isolando la Sessione 0 e rendendola non interattiva. In Windows Vista solo i processi di sistema e i servizi possono essere eseguiti nella sessione 0, mentre il primo utente che si connette opererà nella Sessione 1 e gli utenti successivi in sessioni successive. Ciò significa che i servizi non vengono mai eseguiti nella stessa sessione delle applicazioni utente e quindi sono protetti da attacchi generati da codice applicativo.

 

image

Per ulteriri informazioni e implicazioni su servizi e driver si veda Impact of Session 0 Isolation on Services and Drivers in Windows Vista.

Al posto dell'opzione /console è stata introdotta l'opzione /admin che consente di connetersi a Windows 2008 per scopi amministrativi indipendentemente che sia installato o meno il ruolo Terminal Server. Nel caso non sia installato il ruolo Terminal Server è possibile eviatre di specificare l'ozione /admin in quanto verrà sempre avviata una sessione di amministrazione remota (le sessioni di amministraziomota possono essere un massimo di due e possono essere avviate dai membri del gruppo Administrators).

Le sessioni amministrative hanno le seguenti caratteristiche:

  • Non è necessaria una TS CAL.
  • La Time zone redirection è disabilitata.
  • La Terminal Services Session Broker (TS Session Broker) redirection è disabilitata.
  • La Plug and Play device redirection è disabilitata.
  • Il remote session theme è modificato in Windows Classic.
  • La Terminal Services Easy Print è disabilitata.

Per retro compatibilità  è possibile connettersi alla sessione console (Session 0) di un Windows Server 2003 specificando l'opzione /admin al posto dell'opzione /console.

Per ulteriori informazioni si veda Changes to Remote Administration in Windows Server 2008.

Print | posted on Monday, July 28, 2008 10:51 PM | Filed Under [ Links Tips IT ]

Powered by:
Powered By Subtext Powered By ASP.NET