Die Remotedesktopüberwachung ist ein echter Geheimtipp für Administratoren, die sich unauffällig in die Sitzung eines Benutzers einklinken möchten. Sie ähnelt der Fernwartung, ist aber stärker in Windows integriert. Sie sehen, was der Benutzer gerade tut, und können – je nach Konfiguration – sogar die Kontrolle übernehmen. Das ist besonders praktisch, wenn Probleme auftreten, die sich nicht per Chat lösen lassen. Unter Windows 11, 10 und sogar Windows Server RDS kann diese Funktion enorm viel Zeit sparen. Der Haken? Die Konfiguration muss korrekt sein, sonst funktioniert es nicht. Hier finden Sie eine kurze Anleitung, wie Sie die Überwachung richtig einrichten und sich problemlos verbinden können.
So aktivieren und verwenden Sie Remote Desktop Shadowing in Windows
Konfigurieren Sie den Schattenverbindungsmodus auf dem Zielrechner.
In diesem Abschnitt geht es darum sicherzustellen, dass der Rechner, dessen System Sie überwachen möchten, diese Verbindungen auch tatsächlich akzeptiert. Denn Windows macht es natürlich unnötig kompliziert. Aktivieren Sie zunächst die Remotedesktopverbindung (RDP):
- Gehen Sie zu Einstellungen > System > Remotedesktop.
- „Remote-Desktop aktivieren“ umschalten.
- Bei Gruppenkonfigurationen ist die Bereitstellung über Gruppenrichtlinienobjekte (GPO) unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste üblich. Suchen Sie nach „ Regeln für die Remotesteuerung von Remotedesktopdienst-Benutzersitzungen festlegen“.
Ihr Konto benötigt nun Administratorrechte auf dem Zielrechner. Fügen Sie sich entweder selbst zu den Administratoren hinzu oder führen Sie die Befehle als Administrator aus. Dies ist zwingend erforderlich, da Shadowing ohne Administratorrechte nicht funktioniert.
Schattenmodus über Registrierung oder Gruppenrichtlinie festlegen
Hier wird es konkreter. Sie können festlegen, ob die Schattenkopie nur lesbar oder steuerungsberechtigt ist. Dies erfolgt über Gruppenrichtlinien oder Registry-Änderungen.
- Öffnen Sie den Gruppenrichtlinien-Editor gpedit.msc.
- Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotesitzungshost > Verbindungen.
- Suchen und aktivieren Sie die Option „Regeln für die Fernsteuerung von Remotedesktopdienste-Benutzersitzungen festlegen“.
- Wählen Sie den gewünschten Modus. Modus 4 (Ansicht ohne Benutzerberechtigung) wird beispielsweise wie folgt eingestellt:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 4 /f
Ich bin mir nicht sicher, warum es funktioniert, aber bei manchen Konfigurationen ist ein Neustart oder eine Aktualisierung der Gruppenrichtlinie (gpupdate /force) erforderlich, damit die Änderung wirksam wird. Standardmäßig ist Vollzugriff mit Benutzerbestätigung aktiviert. Wenn Sie also eine unbeaufsichtigte Ansicht wünschen, ist dieser Registrierungsschlüssel hilfreich.
Firewall-Regeln für Schattenverkehr anpassen
Extrem ärgerlich: Windows verwendet spezielle Ports für die Überwachung, nicht nur Port 3389. Sie müssen Folgendes öffnen:
- 139/TCP
- 445/TCP
- Eine Reihe dynamischer RPC-Ports: von 49152 bis 65535
Stellen Sie sicher, dass diese von der Windows Defender Firewall zugelassen werden. Dies können Sie über Gruppenrichtlinien oder PowerShell tun:
Enable-NetFirewallRule -DisplayGroup "File and Printer Sharing (SMB-In)" Enable-NetFirewallRule -DisplayGroup "Remote Desktop - Shadow (TCP-In)"
Auf diese Weise kann der Schattenverkehr ungehindert durchkommen.
Fernverbindung zur Sitzung eines Benutzers
Jetzt kommt der spaßige Teil. Sobald alles eingerichtet ist, können Sie mstsc.exe mit einigen Parametern verwenden. Der grundlegende Befehl sieht folgendermaßen aus:
Mstsc.exe /shadow:<Session ID> /v:<Computername or IP>
Um die Benutzersitzungen und ihre IDs herauszufinden, führen Sie Folgendes aus:
qwinsta /server:RemotePC
Hier werden die aktiven Sitzungen angezeigt, und wenn Sie Glück (oder Pech) haben, hat die Konsolensitzung die ID 1. Falls nicht, ist es diese Nummer, also überprüfen Sie sie sorgfältig.
Beispiel: Wenn die Sitzungs-ID 1 ist, verbinden Sie sich mit:
Mstsc /shadow:1 /v:RemotePC
Der Benutzer wird gefragt, ob er damit einverstanden ist – es sei denn, Sie fügen ` /noConsentPrompt` hinzu. Bestätigt er, sehen Sie seinen Desktop, aber ohne ` /control` ist die Ansicht schreibgeschützt. In manchen Konfigurationen bleibt das Fenster schwarz, bis der Benutzer zustimmt oder Sie die Kontrolle übernehmen.
Um die Kontrolle zu übernehmen, fügen Sie /control hinzu. Der Fenstertitel ändert sich dann zu „Steuerung…“, und Sie können den Mauszeiger bewegen und tippen. Achtung: Falls der Benutzer eine Benutzerkontensteuerungsabfrage (UAC) erhält oder die Sitzung gesperrt ist, kann Ihr Schatten einfrieren oder schwarz werden. In diesem Fall müssen Sie die UAC-Bestätigung abwarten.
Zusätzliche Funktionen: Benachrichtigungen & Protokolle
Möchten Sie, dass der Benutzer weiß, dass er beobachtet wird? Ganz einfach – verwenden Sie ein PowerShell-Skript wie:
while($true){ if (Get-Process -Name "RdpSa" -ErrorAction SilentlyContinue){[console]::beep(1000, 500);Write-Host "RdpSa is running at $(Get-Date)"} Start-Sleep -Seconds 1 }
Wenn Sie den Dienst oder die geplante Aufgabe ausführen, können Benachrichtigungen per Signalton oder Popup angezeigt werden.Überprüfen Sie außerdem die Windows-Ereignisprotokolle unter Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational auf Ereignisse wie 20508 (Berechtigung zum Anzeigen erteilt) oder 20503/20504 (Start/Stopp).
PowerShell-Befehle zum Abrufen von Protokollen:
$EventIds = 20508, 20503, 20504 Get-WinEvent -FilterHashTable @{LogName='Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational';ID=$EventIds}
Zusammenfassend lässt sich sagen, dass Shadowing unter Windows nicht nur für große Unternehmenslösungen geeignet ist. Richtig konfiguriert, ermöglicht es den sofortigen Zugriff auf Benutzersitzungen – ganz ohne zusätzliche Tools von Drittanbietern. Mit wenigen Handgriffen ist alles eingerichtet und einsatzbereit.