Windows Server 2022 RDS Shadow Mode — konfiguracja podglą…

Q: Czy mogę podejrzeć sesję użytkownika na innym serwerze RDS w farmie?

Nie bez dodatkowych kroków. `mstsc /shadow` łączy się bezpośrednio z konkretnym hostem sesji (RDSH). Aby podejrzeć sesję na innym serwerze, musisz jawnie wskazać ten serwer: `mstsc /shadow:3 /v:rdsh-server02.firma.local`. W dużych farmach RDS zaleca się automatyzację przez skrypt PowerShell pobierający nazwę serwera i ID sesji z brokera RDS.

Q: Jak sprawdzić, które sesje są obecnie podglądane?

Użyj polecenia `query session` — w kolumnie STAN sesja podglądana wyświetli dodatkowy wpis z typem `Shadow`. Możesz też użyć PowerShell: ```powershell Get-RDUserSession | Where-Object { $_.SessionState -eq "Shadow" } ```

Q: Jak wyłączyć Shadow Mode globalnie dla całego serwera?

W tej samej ścieżce GPO (`Konfiguracja komputera → … → Połączenia → Ustaw reguły zdalnego sterowania sesjami użytkownika Usług pulpitu zdalnego`) ustaw politykę na **Włączone** i wybierz opcję **„Niedozwolone”**. Następnie wykonaj `gpupdate /force`. Wszystkie próby użycia `mstsc /shadow` będą odrzucane.

RDS Shadow Mode (tryb cienia) to wbudowana funkcja Windows Server 2022 umożliwiająca administratorowi podgląd lub przejęcie kontroli nad aktywną sesją użytkownika w środowisku Usług Pulpitu Zdalnego (RDS). Narzędzie uruchamia się przez polecenie mstsc /shadow:<ID> i pozwala na wsparcie techniczne, diagnostykę błędów oraz zdalną pomoc bez instalowania dodatkowego oprogramowania — wystarczy skonfigurować zasady grupy i nadać odpowiednie uprawnienia.

W skrócie

Shadow Mode to wbudowany mechanizm Windows Server — nie wymaga zewnętrznych narzędzi ani agentów

Działa przez natywnego klienta mstsc.exe z przełącznikami /shadow, /control, /noConsentPrompt

Konfiguracja odbywa się w zasadach grupy (GPO): Konfiguracja komputera → Szablony administracyjne → Składniki systemu Windows → Usługi pulpitu zdalnego → Host sesji usług pulpitu zdalnego → Połączenia → Ustaw reguły zdalnego sterowania sesjami użytkownika Usług pulpitu zdalnego

Dostępne są 4 tryby: brak zdalnego sterowania, pełna kontrola za zgodą użytkownika, pełna kontrola bez zgody, podgląd bez możliwości interakcji

Shadow działa wyłącznie w ramach tego samego serwera RDS — nie można podglądać sesji na innym hoście bez dodatkowej konfiguracji farmy

Wymaga uprawnień administracyjnych na serwerze RDS lub członkostwa w grupie Remote Desktop Users z odpowiednimi delegacjami

Funkcja dostępna również w Windows Server 2016, 2019, 2022 i Windows Server 2025

Czym jest RDS Shadow Mode

Shadow Mode (dosłownie „tryb cienia”) to mechanizm pozwalający administratorowi podejrzeć ekran użytkownika pracującego w sesji RDS w czasie rzeczywistym — podobnie jak funkcja „Remote Control” znana ze starszych wersji Terminal Services. W zależności od konfiguracji administrator może tylko obserwować pulpit użytkownika (tryb View) lub aktywnie przejmować kontrolę nad myszą i klawiaturą (tryb Full Control).

Mechanizm ten jest szczególnie przydatny w trzech scenariuszach:

Helpdesk i wsparcie IT — administrator widzi dokładnie to, co użytkownik, i może natychmiast zdiagnozować problem bez konieczności opisywania go przez telefon
Szkolenia i onboarding — trener przejmuje kontrolę nad sesją nowego pracownika, pokazując krok po kroku działanie aplikacji firmowej
Audyt i zgodność — kierownik może podejrzeć ekran pracownika w celach kontrolnych (z zastrzeżeniem przepisów RODO i obowiązku informacyjnego)

W przeciwieństwie do rozwiązań firm trzecich (TeamViewer, AnyDesk, VNC), Shadow Mode nie wymaga instalacji dodatkowego oprogramowania, nie otwiera dodatkowych portów w zaporze i działa całkowicie w ramach istniejącej infrastruktury RDS.

Różnica między Shadow a Remote Control

Cecha	Shadow Mode (mstsc /shadow)	Remote Control (starsze Terminal Services)
Technologia	Klient mstsc.exe, natywny RDP	Starsze API Terminal Services
Zgoda użytkownika	Konfigurowalna przez GPO (zgodę można wyłączyć)	Domyślnie wymagana
Kontrola sesji	Pełna (mysz + klawiatura) lub tylko podgląd	Pełna kontrola
Serwer docelowy	Windows Server 2016/2019/2022/2025	Windows Server 2008 R2 i starsze
Wymagane uprawnienia	Administrator lub delegowane przez GPO	Administrator serwera terminali
Działanie przez RD Gateway	✅ Tak (wymaga odpowiedniego routingu)	Ograniczone

Wymagania wstępne

Przed przystąpieniem do konfiguracji upewnij się, że spełniasz następujące warunki:

Windows Server 2022 z zainstalowaną rolą Remote Desktop Session Host (RDSH) — Shadow Mode nie zadziała na samym hoście bez roli RDS
Konto użytkownika wykonującego podgląd musi należeć do grupy Administratorzy na serwerze RDSH lub mieć jawnie nadane uprawnienia do zdalnego sterowania (przez GPO)
Klient RDP w wersji 8.0 lub nowszej na komputerze administratora (wbudowany w Windows 10/11, domyślnie spełniony)
Połączenie sieciowe do serwera RDSH przez port 3389 (standardowy port RDP)
Sesja użytkownika musi być aktywna — nie można podejrzeć sesji rozłączonej (stan Disconnected) ani nieaktywnej

Konfiguracja krok po kroku

Krok 1 — Konfiguracja zasad grupy (GPO)

To najważniejszy etap — bez niego Shadow Mode nie będzie działał.

Na serwerze RDSH otwórz Edytor lokalnych zasad grupy: Win + R → gpedit.msc → Enter

Przejdź do ścieżki:

Konfiguracja komputera → Szablony administracyjne → Składniki systemu Windows → Usługi pulpitu zdalnego → Host sesji usług pulpitu zdalnego → Połączenia

Znajdź i kliknij dwukrotnie zasadę „Ustaw reguły zdalnego sterowania sesjami użytkownika Usług pulpitu zdalnego” (oryginalna nazwa: Set rules for remote control of Remote Desktop Services user sessions)
Ustaw stan na Włączone i wybierz jedną z czterech opcji z listy rozwijanej:

Opcja	Zachowanie	Kiedy stosować
Pełna kontrola za zgodą użytkownika	Admin przejmuje pełną kontrolę, ale użytkownik musi kliknąć „Zezwól”	Standardowe wsparcie helpdesk, zgodne z RODO
Pełna kontrola bez zgody użytkownika	Admin przejmuje kontrolę bez pytania użytkownika	Serwery testowe, sesje kioskowe, zdalny monitoring za zgodą pracownika
Podgląd sesji za zgodą użytkownika	Admin tylko widzi ekran, nie może klikać; użytkownik wyraża zgodę	Szkolenia, audyt z poszanowaniem prywatności
Podgląd sesji bez zgody użytkownika	Admin tylko widzi ekran bez pytania; brak interakcji	Monitoring zgodny z polityką firmy (wymaga podstawy prawnej)
Niedozwolone	Shadow całkowicie wyłączony	Środowiska o zaostrzonej polityce bezpieczeństwa

Kliknij Zastosuj i OK, a następnie uruchom gpupdate /force w wierszu polecenia (jako Administrator), aby natychmiast zastosować zmiany.

⚠️ RODO i zgoda użytkownika — jeśli podglądasz sesje pracowników w środowisku produkcyjnym, wybierz opcję z wymaganą zgodą użytkownika. Opcja „bez zgody” jest legalna wyłącznie przy wyraźnym uprzednim poinformowaniu pracownika i posiadaniu odpowiedniej podstawy prawnej (np. regulamin monitoringu w miejscu pracy).

Krok 2 — Pobranie identyfikatora sesji (Session ID)

Shadow Mode wymaga podania numerycznego identyfikatora sesji, którą chcesz podejrzeć.

Zaloguj się na serwer RDSH jako Administrator
Otwórz Wiersz polecenia lub PowerShell
Wykonaj polecenie:
```
query session
```

Wynik będzie podobny do poniższego:

 SESJA     NAZWA                ID  STAN      TYP
 services                       0  Disconnected
 console                        1  Connected
 user01                         3  Active
 user02                         4  Active

Zanotuj ID sesji, którą chcesz podejrzeć — w powyższym przykładzie sesja użytkownika user01 ma ID 3

Alternatywnie możesz użyć PowerShell:

Get-RDUserSession | Select-Object Username, SessionId, SessionState

Krok 3 — Uruchomienie Shadow Mode

Na komputerze administratora (nie musi to być serwer — działa z Windows 10/11) wykonaj:

mstsc /shadow:3 /control

Gdzie:

/shadow:3 — identyfikator sesji pobrany w kroku 2
/control — przejęcie pełnej kontroli nad sesją (pomiń ten przełącznik, jeśli chcesz tylko podglądać bez interakcji)
/noConsentPrompt — pomija monit o zgodę użytkownika (działa tylko jeśli GPO zezwala na tryb „bez zgody”)

Przykładowe warianty:

# Tylko podgląd z monitem o zgodę
mstsc /shadow:3

# Pełna kontrola bez pytania użytkownika
mstsc /shadow:3 /control /noConsentPrompt

# Podgląd z własną rozdzielczością okna
mstsc /shadow:3 /w:1280 /h:720

Zarządzanie uprawnieniami — kto może podglądać sesje

Domyślnie Shadow Mode może uruchomić tylko członek grupy Administratorzy na serwerze RDSH. Jeśli chcesz delegować to uprawnienie np. zespołowi helpdesk bez nadawania pełnych praw administracyjnych:

Otwórz gpedit.msc na serwerze RDSH

Przejdź do:

Konfiguracja komputera → Ustawienia systemu Windows → Ustawienia zabezpieczeń → Zasady lokalne → Przydzielanie praw użytkownika

Znajdź zasadę „Zezwalaj na logowanie za pośrednictwem Usług pulpitu zdalnego” i dodaj odpowiednią grupę (np. RDS_Shadow_Operators)
W tej samej ścieżce znajdź zasadę „Profile wydajności sesji” — upewnij się, że użytkownicy helpdesk mają przynajmniej prawo Query Information do sesji innych użytkowników

Alternatywnie możesz użyć PowerShell do dodania uprawnień:

# Utwórz grupę lokalną dla operatorów shadow
New-LocalGroup -Name "RDS Shadow Operators"

# Nadaj uprawnienia do zapytań o sesje
Add-LocalGroupMember -Group "RDS Shadow Operators" -Member "DOMAIN\Helpdesk_Group"

Najczęstsze problemy i ich rozwiązania

„Nie można odnaleźć sesji o podanym identyfikatorze”

Oznacza to, że ID sesji jest nieprawidłowy lub sesja już nie istnieje. Uruchom ponownie query session na serwerze — numery ID zmieniają się po ponownym logowaniu użytkowników.

„Odmowa dostępu” mimo bycia administratorem

Sprawdź, czy zasada GPO z Kroku 1 jest faktycznie zastosowana — wykonaj gpresult /h raport.html i przejrzyj raport. Częstym błędem jest edycja GPO na niewłaściwym serwerze (np. na brokerze RDS zamiast na hoście sesji).

„Nie można nawiązać połączenia” po mstsc /shadow

Shadow Mode używa tego samego protokołu RDP na porcie 3389. Upewnij się, że:

Zapora systemu Windows nie blokuje portu 3389
Jeśli łączysz się przez RD Gateway, skonfiguruj odpowiednie CAP/RAP (Connection/Resource Authorization Policies)
Serwer RDSH jest osiągalny sieciowo z komputera administratora

Shadow działa, ale nie widzę ekranu użytkownika (czarny ekran)

To znany problem z akceleracją graficzną. Rozwiązanie: na serwerze RDSH otwórz gpedit.msc → Konfiguracja komputera → Szablony administracyjne → Składniki systemu Windows → Usługi pulpitu zdalnego → Host sesji usług pulpitu zdalnego → Środowisko sesji zdalnej, ustaw „Użyj sprzętowej domyślnej karty graficznej dla wszystkich sesji Usług pulpitu zdalnego” na Wyłączone.

Shadow nie działa przez PowerShell Remoting

Shadow Mode wymaga interaktywnego kontekstu użytkownika i nie może być uruchamiany zdalnie przez WinRM/PSRemoting. Zawsze wykonuj mstsc z interaktywnej sesji administratora.

Częste pytania

Czy RDS Shadow Mode działa na Windows Server 2025?

Tak, mechanizm Shadow Mode jest w pełni obsługiwany w Windows Server 2025 — składnia mstsc /shadow oraz konfiguracja GPO są identyczne jak w Windows Server 2022. Microsoft utrzymuje tę funkcję bez zmian od wersji 2016, koncentrując rozwój na bezpieczeństwie protokołu RDP i integracji z Microsoft Entra ID.

Czy mogę podejrzeć sesję użytkownika na innym serwerze RDS w farmie?

Nie bez dodatkowych kroków. mstsc /shadow łączy się bezpośrednio z konkretnym hostem sesji (RDSH). Aby podejrzeć sesję na innym serwerze, musisz jawnie wskazać ten serwer: mstsc /shadow:3 /v:rdsh-server02.firma.local. W dużych farmach RDS zaleca się automatyzację przez skrypt PowerShell pobierający nazwę serwera i ID sesji z brokera RDS.

Czy użytkownik widzi, że jego sesja jest podglądana?

Zależy od konfiguracji GPO. Przy trybie „za zgodą użytkownika” — tak, użytkownik zobaczy monit z pytaniem o zgodę. Przy trybie „bez zgody” — standardowo nie, ale w Windows Server 2022 sesja użytkownika może wyświetlić ikonę paska zadań informującą o aktywnym podglądzie (funkcja zależna od wersji systemu klienckiego).

Czy Shadow Mode zużywa dużo zasobów serwera?

Nie — Shadow Mode podłącza się do istniejącego strumienia RDP, nie tworzy nowej sesji ani nie renderuje dodatkowego pulpitu. Obciążenie jest minimalne i ogranicza się do przepustowości sieci potrzebnej do przesłania obrazu sesji do administratora.

Jak sprawdzić, które sesje są obecnie podglądane?

Użyj polecenia query session — w kolumnie STAN sesja podglądana wyświetli dodatkowy wpis z typem Shadow. Możesz też użyć PowerShell:

Get-RDUserSession | Where-Object { $_.SessionState -eq "Shadow" }

Czy mogę nagrywać podglądaną sesję?

Shadow Mode sam w sobie nie oferuje funkcji nagrywania. Możesz użyć zewnętrznego narzędzia do przechwytywania ekranu na komputerze administratora (np. Game Bar Win + Alt + R w Windows 11) lub wdrożyć dedykowane rozwiązanie do nagrywania sesji RDS, jak Microsoft Purview lub narzędzia firm trzecich.

Jak wyłączyć Shadow Mode globalnie dla całego serwera?

W tej samej ścieżce GPO (Konfiguracja komputera → … → Połączenia → Ustaw reguły zdalnego sterowania sesjami użytkownika Usług pulpitu zdalnego) ustaw politykę na Włączone i wybierz opcję „Niedozwolone”. Następnie wykonaj gpupdate /force. Wszystkie próby użycia mstsc /shadow będą odrzucane.

Potrzebujesz licencji Windows Server 2022 do swojego środowiska RDS?

Poprawna konfiguracja RDS Shadow Mode wymaga licencjonowanego Windows Server 2022 z aktywną rolą Remote Desktop Session Host. Jeśli budujesz nowe środowisko RDS lub rozbudowujesz istniejącą farmę, w ofercie KluczeSoft znajdziesz oryginalne klucze licencyjne w atrakcyjnych cenach:

→ Licencje Windows Server — sprawdź dostępne warianty w KluczeSoft.pl

(KluczeSoft jest niezależnym sprzedawcą — nie jesteśmy powiązani z Microsoft Corporation. Sprzedajemy legalne, używane licencje Microsoft zgodnie z wyrokiem Trybunału Sprawiedliwości UE w sprawie C-128/11 UsedSoft.)

Windows Server 2022 RDS Shadow Mode — konfiguracja podglądu i zdalnego sterowania sesjami użytkowników