Headless RDP sessie starten

Je probleem begint al dat programma via een GUI gestart moet worden, dus dit moet onder een active user op de server uitgevoerd worden.

Laten we eerst beginnen bij stap 1:
Wat voor programma is het en wat moet het uitvoeren? Heb je een naam voor ons?

Nouja, technisch gezien kun je natuurlijk een user gebruiken en dat script "at logon" uitvoeren.
Als dat script dan ook weer afmeld kun je dit blijven doen. Dan hoef je alleen een client te hebben die een remote desktop sessie automatisch start.
Wel erg fragiele automations dit, klinkt als een xy probleem.

Eerst overleggen met de security mensen. Bij mij zou je op z'n minst een tik op de vingers krijgen. Er zal een reden zijn dat het RDP-only is opgezet en je niet MMC vanaf de eigen device kan gebruiken.

SCADA, dan heb je naar ik aanneem al toegang tot het (juiste V-)LAN. ik mag hopen dat dat niet aan het grote boze interwebs hangt. Als je het script eenmalig klaar zet op de server zelf via RDP kan je die misschien afvuren via schtasks. Of bedoel je een landing server? Zie dan weer m'n eerste zin.

Maar zie vooral Markozv in "Headless RDP sessie starten" en kijk of het niet anders kan. Zijn er geen relevante API's?

Met @F_J_K wat betreft security...

Anyway: een google search "aveva system platform cli commands" laat zien dat sommige applicaties wel iets aan commandos ondersteunen.

Je kunt nog eens in de directory kijken wat voor exe files je tegen komt en die (samen met de main binary) even op strings scannen. Soms zit die functionaliteit niet in de GUI executable maar een stand-alone exe.

Ik kijk ook wel eens naar SCADA software...

Persoonlijk al geen voorstander van programmatuur waar een Active user voor nodig is om het te kunnen laten werken. Dat gezegende te hebben is AVEVA System Platform een vrij breed pakket, waar wat @sh4d0wman al zegt ook bepaalde CLI commands mogelijk zijn.

Mijn tweede vraag is waarom moet die taak om 2:00am uitgevoerd worden? En wat voor taak is het?

Wat zegt de software leverancier zelf hierover?

Markozv schreef op dinsdag 30 december 2025 @ 13:48:


Wat zegt de software leverancier zelf hierover?

Ik zou eerst inderdaad vooral hier aan denken, dit soort pakketten betaal je vaak flink voor de support, maak er dan ook gebruik van. Leg je probleem voor aan de leverancier, en check of ze een supported oplossing hebben.

Kan het niet supported kan je altijd nog verder gaan 'beunen' (mits je natuurlijk toestemming hebt), maar dan zou ik wel even overleggen met de andere betrokken afdelingen (o.a. ook de afdeling die over security gaat). Want dit soort gehobbybob wordt in het bedrijfsleven lang niet altijd op prijs gesteld, ook al denk je bijvoorbeeld het beste voor te hebben. Want je wil bijvoorbeeld ook niet in een situatie komen waarbij jullie een issue hebben en de leverancier komt dan met 'ja, jullie hebben dit op gezet, is niet supported, zoek het verder maakt uit / maak de omgeving eerst maar weer compliant' of iets in die strekking.

uit mijn hoofd, Nee voor een overname sessie is er altijd fysieke handeling van een persoon nodig.

ktf schreef op dinsdag 30 december 2025 @ 14:16:
De vraag was eigenlijk heel simpel: is er een Windows-RDP tool die headless kan werken, dan kan ik iets wat nu met de hand gebeurt exact een-op-een automatiseren: simuleer de login, simuleer het openen van de mmc, simuleer de toetsaanslagen, simuleer het uitloggen. Dan veranderd er toch ook geen klap qua security?

Pak een tool als auto-it zou ik zeggen....

AutoIt v3 is a freeware BASIC-like scripting language designed for automating the Windows GUI and general scripting. It uses a combination of simulated keystrokes, mouse movement and window/control manipulation in order to automate tasks in a way not possible or reliable with other languages (e.g. VBScript and SendKeys).

Misschien denk ik te simpel maar je kunt toch een *.rdp bestand maken waarbij je de credentials opslaat, dat je daar alleen maar op hoef te dubbelklikken?

Dan maak je een schedule aan die de *.rdp aanroept.
Vervolgens een schedule op de desbetreffende machine dat als die gebruiker inlogt, jouw commando's/script worden uitgevoerd.

Je kunt hier natuurlijk een virtuele machine voor starten.
Pak een Windows 11 IoT LTSC, die heeft nog autologin, en dan schedule je de remote desktop sessie met je script (welke op je server runt "on logon"?).

Alternatief is je software direct in die VM laden. 't is maar net wat makkelijker is licentie-technisch.

[ Voor 6% gewijzigd door jeroen3 op 30-12-2025 14:55 ]

ktf schreef op dinsdag 30 december 2025 @ 14:45:
[...]

AutoIT werkt niet als er geen gebruiker actief is ingelogd. Daarom is de vraag: is er een RDP tool waarmee dat inloggen kan simuleren, zodat een tool als AutoIT (in dit geval PowerShell) zijn werk kan doen.

Je kunt via AutoIT toch een rdp sessie starten, automatisch inloggen en op basis van posities muisinput geven?

Technisch gezien kan een user op Windows Server installatie oneindig ingelogd blijven. Je hebt dan een user van waaruit je kan scripten. Je moet bij een reboot wel één keer opnieuw inloggen.
Het gaat waarschijnlijk net als de VM tegen al je security regels in om een user ingelogd te laten, maar dat is de enige andere optie die ik ken.

Dit hoeft natuurlijk geen normale user te zijn. Je kunt deze enorm begrenzen.

[ Voor 12% gewijzigd door jeroen3 op 30-12-2025 16:33 ]

ktf schreef op dinsdag 30 december 2025 @ 16:26:
[...]
Dan moet er dus wel ergens een gebruiker zijn ingelogd, en dan kun je het dus niet op een bepaalde tijd schedulen.

Klopt, maar is dat niet het standaard probleem met software die een GUI nodig heeft? (en meteen ook de reden dat die software eigenlijk verbannen zou moeten worden?)

@jeroen3 dat is wel een idee. Dan kun je zoiets maken als test:

Dedicated user: svc_gui_automation
“Allow log on through Remote Desktop Services”
Disable screen lock
Prevent RDP sessions from ever disconnecting

Na een eerste aanmelding doe je dan disconnect ipv logoff. De sessie blijft dan gewoon draaien (tot de server eens reboot).

De scheduled task zou volgens AI hier aan moeten voldoen:
- Run as the automation user
- Run only when user is logged on
- NOT run as SYSTEM
-NOT “Run whether user is logged on or not”

This causes Windows to:
Inject the task into the existing interactive session
Attach to WinSta0\Default

* Will_M heeft een aversie van 'Windows Service Accounts' welke Non-Managed' zijn middels een (Azure / Entra) Active Directory.

Dat soort 'Service' accounts zijn feitelijk gewoon Active Directory User Accounts welke de setting 'User Can Not Change Password' & 'Password Never Expires' mee gekregen hebben.....

Applicaties welke niet met een 'Managed Service-Account' overweg kunnen moet je IMHO in een modern AD Domain eigenlijk niet meer willen zien.

@Will_M ja maar dat wil ie niet horen. Mogelijk is het zelfs een reset o.i.d. wat elke nacht gedaan moet worden om matige software in leven te houden. Dat ken ik maar al te goed 🙈

Waarom laat je de rdp sessie niet open staan? Als je rdp sluit met het kruisje bovenaan dan blijft de sessie en gui gewoon draaien onder die gebruiker. Het is wel lastiger als er 1 admin en jou sessie is ingelogd en er komt nog een 2e admin om in te loggen, die kan jou sessie dan killen.

Maar in overleg is het bovenstaande geen probleem lijkt mij. Je kunt dan ook de taak scheduler gebruiken en instellen dat hij de gui gebruikt.