На какой Windows работает RDP Shadow?

Windows 7/8/10/11 Pro и Enterprise, Windows Server 2012R2 и новее. На Home-редакциях функция недоступна.

Видит ли пользователь, что админ подключился?

По умолчанию — да, всплывает запрос. Можно отключить через GPO, но это не этично и может нарушать закон о персональных данных.

Чем отличается от TeamViewer?

RDP Shadow работает только в локальной сети (или через VPN/RDG), бесплатен, встроен в AD. TeamViewer работает через интернет, но платный и с санкционными ограничениями.

Можно ли использовать Shadow на сервере?

Да, на терминальных серверах это основной сценарий — админ видит, что делает пользователь в своей сессии.

Требуются ли CAL-лицензии?

Shadow сам по себе не требует, но требует RDP CAL на сервере, если подключаетесь к серверной ОС.

Администрирование 8 апреля 2025 · 14 мин чтения

RDP Shadow: удалённая поддержка пользователей средствами Windows

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет на аутсорсе я попробовал, наверное, всё: TeamViewer, AnyDesk, DameWare, LogMeIn, ScreenConnect. Но в корпоративной сети с AD лучше родного Windows-инструмента ничего нет — бесплатно, без агентов, без облака, с логами в стандартном журнале. Shadow session — ровно то, что нужно большинству IT-отделов.

Что такое RDP Shadow

Shadow session — встроенная в Windows функция, которая позволяет админу подключиться к активной сессии другого пользователя: смотреть экран или управлять с его правами. Работает на рабочих станциях и на терминальных серверах. Протокол тот же RDP, порт 3389, но без занятия отдельной сессии.

Плюсы и минусы

Плюсы	Минусы
Бесплатно	Только в локальной сети или через VPN/RDG
Без агентов	Нет передачи файлов между сессиями
Интеграция с AD	Требует прав администратора на целевой машине
Логирование в Event Log	Нет чата
Санкционно устойчивое	Home-редакции не поддерживаются

Настройка на клиентах через GPO

Два ключевых параметра политики задают поведение Shadow на машинах домена.

# Путь в gpmc.msc
Computer Configuration → Administrative Templates →
Windows Components → Remote Desktop Services →
Remote Desktop Session Host → Connections →
"Set rules for remote control of Remote Desktop Services user sessions"

# Варианты:
# 0 - No remote control allowed
# 1 - Full Control with user's permission
# 2 - Full Control without user's permission
# 3 - View Session with user's permission
# 4 - View Session without user's permission

Я всегда ставлю «1 — Full Control with permission» для офисов и «2» для терминалов, где пользователи знают об этом и подписали политику.

Разрешение в файрволе

# GPO или на каждой машине
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes

Использование: поиск сессии

# Список сессий на машине
qwinsta /server:WS-001
# ID сессии нужен для shadow

# Подключение с управлением
mstsc /shadow:2 /control /v:WS-001

# Только просмотр
mstsc /shadow:2 /noConsentPrompt /v:WS-001
# /noConsentPrompt работает если GPO = 2 или 4

Удобный скрипт для хелпдеска

# shadow.ps1
param([string]$ComputerName, [string]$UserName)

$sessions = quser /server:$ComputerName 2>$null
$line = $sessions | Where-Object { $_ -match $UserName }
if (-not $line) { Write-Host "Нет активных сессий $UserName на $ComputerName"; exit }

$id = ($line -split '\s+')[2]
Start-Process mstsc.exe -ArgumentList "/shadow:$id /control /v:$ComputerName"

Аудит Shadow-подключений

Каждое подключение логируется в Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational под ID 20508. Я всегда собираю эти события на центральный SIEM — руководство часто требует журнал «кто и когда подглядывал за пользователем».

Мини-кейс: хелпдеск для холдинга

Декабрь 2025, клиент — промышленный холдинг, 140 рабочих мест в трёх офисах. Раньше пользовались TeamViewer Corporate — 320 000 руб. в год плюс постоянные жалобы на лаги при подключении из МО в региональный офис. Подняли RDP Shadow через домен, добавили RD Gateway для внешних обращений, сделали скрипт для хелпдеска. Экономия на лицензиях — те же 320 000 руб./год, плюс скорость: в LAN Shadow подключается за 2 секунды, TeamViewer через облако — 5-8 секунд с задержкой на каждый клик. Стоимость внедрения — 45 000 руб. за день работы.

Безопасность и этика

Всегда запрашивайте согласие пользователя через GPO = 1.
Сессия без согласия — только при расследовании инцидентов с письменным разрешением руководства.
Логи Shadow храните минимум 12 месяцев на SIEM.
Ограничьте группу, кому разрешён Shadow (обычно Helpdesk + IT).
Для внешних подключений — только через VPN или RD Gateway, никогда не пробрасывайте 3389 в интернет.

Настроим корпоративный хелпдеск на базе Windows

RDP Shadow через GPO, скрипты для саппорта, журналирование подключений, интеграция с Service Desk. Обучим вашу первую линию за один день.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

На какой Windows работает RDP Shadow?: Windows 7/8/10/11 Pro и Enterprise, Windows Server 2012R2 и новее. На Home-редакциях функция недоступна.
Видит ли пользователь, что админ подключился?: По умолчанию — да, всплывает запрос. Можно отключить через GPO, но это не этично и может нарушать закон о персональных данных.
Чем отличается от TeamViewer?: RDP Shadow работает только в локальной сети (или через VPN/RDG), бесплатен, встроен в AD. TeamViewer работает через интернет, но платный и с санкционными ограничениями.
Можно ли использовать Shadow на сервере?: Да, на терминальных серверах это основной сценарий — админ видит, что делает пользователь в своей сессии.
Требуются ли CAL-лицензии?: Shadow сам по себе не требует, но требует RDP CAL на сервере, если подключаетесь к серверной ОС.