Remote Desktop Shadowing is een verborgen pareltje voor beheerders die even snel in de sessie van een gebruiker willen duiken zonder al te veel te storen. Het is vergelijkbaar met ondersteuning op afstand, maar dan beter geïntegreerd in Windows. Je kunt zien wat de gebruiker doet en, afhankelijk van de instellingen, zelfs de controle overnemen. Dat is superhandig als iemand problemen heeft die je niet zomaar via de chat kunt uitleggen. Op Windows 11, 10 en zelfs Windows Server RDS-systemen kan deze functie enorm veel tijd besparen. Het addertje onder het gras? Je moet het wel goed configureren, anders werkt het niet. Daarom volgt hier een beknopte handleiding om dit correct in te stellen en verbinding te maken zonder elke keer gefrustreerd te raken.
Hoe schakel ik Remote Desktop Shadowing in en gebruik ik het in Windows?
Configureer de schaduwverbindingsmodus op de doelcomputer.
Dit gedeelte draait erom te controleren of de computer die je wilt schaduwen deze verbindingen daadwerkelijk accepteert. Want Windows moet het natuurlijk onnodig ingewikkeld maken. Schakel eerst Remote Desktop (RDP) in:
- Ga naar Instellingen > Systeem > Extern bureaublad.
- Schakel ‘Extern bureaublad inschakelen’ in of uit.
- Voor groepsconfiguraties is implementatie via GPO onder Computerconfiguratie > Administratieve sjablonen > Windows-onderdelen > Extern bureaubladservices de gebruikelijke methode. Zoek naar ‘ Regels instellen voor het op afstand beheren van gebruikerssessies van Extern bureaubladservices’.
Je account heeft beheerdersrechten nodig op de doelmachine. Voeg jezelf toe aan de groep Beheerders of voer de opdrachten uit als beheerder. Dit is vrijwel noodzakelijk, want zonder beheerdersrechten werkt shadowing niet.
Schakel de schaduwmodus in via het register of groepsbeleid.
Hier wordt het wat specifieker. Je kunt instellen of de schaduwsessie alleen-lezen is of beheerrechten heeft. Dit kan via GPO of registeraanpassingen:
- Open de Groepsbeleid-editor gpedit.msc.
- Navigeer naar Computerconfiguratie > Administratieve sjablonen > Windows-onderdelen > Extern bureaubladservices > Externe sessiehost > Verbindingen.
- Zoek en schakel ‘Regels instellen voor het op afstand beheren van gebruikerssessies van Remote Desktop Services’ in.
- Kies de gewenste modus. Modus 4 (weergave zonder toestemming van de gebruiker) stelt u bijvoorbeeld als volgt in:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 4 /fIk weet niet zeker waarom het werkt, maar in sommige configuraties is een herstart of een GPO-vernieuwing (gpupdate /force) nodig om dit van kracht te laten worden. Standaard is volledige controle met gebruikersbevestiging, dus als je stille weergave wilt, is die registersleutel handig.
Firewallregels aanpassen voor schaduwverkeer
Ontzettend irritant: Windows gebruikt speciale poorten voor shadowing, niet alleen 3389. Je moet het volgende openen:
- 139/TCP
- 445/TCP
- Een reeks dynamische RPC-poorten: van 49152 tot 65535
Zorg ervoor dat deze items zijn toegestaan via Windows Defender Firewall. Dit kunt u doen via GPO of PowerShell:
Enable-NetFirewallRule -DisplayGroup "File and Printer Sharing (SMB-In)" Enable-NetFirewallRule -DisplayGroup "Remote Desktop - Shadow (TCP-In)"Op die manier komt het schaduwverkeer er daadwerkelijk doorheen zonder te worden geblokkeerd.
Op afstand verbinding maken met een gebruikerssessie
Dit is het leuke gedeelte. Zodra alles is ingesteld, kun je mstsc.exe gebruiken met een aantal parameters. De basisopdracht ziet er als volgt uit:
Mstsc.exe /shadow:<Session ID> /v:<Computername or IP>Om de gebruikerssessies en hun ID’s te achterhalen, voert u het volgende commando uit:
qwinsta /server:RemotePCDit geeft een overzicht van actieve sessies, en als je geluk hebt (of pech), is de consolesessie ID 1. Zo niet, dan is het dat nummer, dus controleer het goed.
Voorbeeld: als de sessie-ID 1 is, maak dan verbinding met:
Mstsc /shadow:1 /v:RemotePCDe gebruiker krijgt een melding waarin wordt gevraagd of hij/zij hiermee akkoord gaat, tenzij je /noConsentPrompt toevoegt. Als de gebruiker ja zegt, krijg je zijn/haar bureaublad te zien, maar tenzij je /control toevoegt, is het alleen-lezen. In sommige configuraties blijft het venster zwart totdat de gebruiker akkoord gaat of je de controle krijgt.
Als je de controle wilt overnemen, voeg dan /control toe. De venstertitel verandert dan in ‘Controleren…’ en je kunt de muis van de gebruiker bewegen en typen. Let op: als de gebruiker een UAC-prompt heeft of de sessie vergrendeld is, kan je scherm bevriezen of zwart worden. Je moet dan wachten tot de gebruiker de UAC-toegang bevestigt.
Extra’s: meldingen en logboeken
Wil je de gebruiker laten weten dat er iemand meekijkt? Dat is eenvoudig: gebruik een PowerShell-script zoals:
while($true){ if (Get-Process -Name "RdpSa" -ErrorAction SilentlyContinue){[console]::beep(1000, 500);Write-Host "RdpSa is running at $(Get-Date)"} Start-Sleep -Seconds 1 }Dit kan pieptonen of pop-upmeldingen weergeven als u het als een service of geplande taak uitvoert. Controleer ook de Windows-gebeurtenislogboeken onder Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational op gebeurtenissen zoals 20508 (toegang tot weergave verleend) of 20503/20504 (starten/stoppen).
PowerShell-opdrachten om logbestanden op te halen:
$EventIds = 20508, 20503, 20504 Get-WinEvent -FilterHashTable @{LogName='Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational';ID=$EventIds}Kortom, shadowing in Windows is niet alleen voor grote bedrijfsapplicaties. Mits correct geconfigureerd, is het een handige manier om direct in een gebruikerssessie te springen – zonder dat er tools van derden nodig zijn. Een kleine configuratie en je kunt aan de slag.