Возможность подключения к RDP-сессии пользователя. Для этого нужно знать ID его сессии. Обычно используется qwinsta, есть ещё удобный модуль PSTerminalServices.

$comp = 't-w11-1'
# qwinsta
$session = (qwinsta /server:$comp |% {$_.trim() -replace "\s+",","} |ConvertFrom-Csv |? статус -eq 'активно').id
# PSTerminalServices
# $session = (Get-TSSession -ComputerName $comp -State Active).sessionid
 
mstsc /shadow:$session /v:$comp /control

• /shadow:ID – к какому ID сессии подключаемся;
• /v:servername – имя или IP хоста. Если не указан, подключение идёт на локальной машине;
• /control – управление. Если не указано, то только просмотр;
• /noConsentPrompt – не спрашивать у юзера разрешения не подключение;
• /prompt – подключиться к сессии под другими учётными данными.

https://woshub.com/rds-shadow-how-to-connect-to-a-user-session-in-windows-server-2012-r2/

Есть пользователи из соседней организации, которым нужен доступ на терминальный сервер, а так как компьютеров, входящих в домен, у них нет, то единственный способ поменять стандартный пароль от их учётки после её создания - это RDP-сессия. При попытке это сделать выдаётся ошибка: You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support.

Решение: на терминальном сервере переключить в свойствах коллекции уровень безопасности на «Уровень безопасности RDP».

https://darrenmyher.com/2017/03/29/windows-server-2016-rdp-you-must-change-your-password-before-logging-on-the-first-time/

Клиенту WinRM не удается обработать запрос. Если применяемая схема проверки подлинности отличается от Kerberos или компьютер клиента не входит в домен, необходимо использовать транспорт HTTPS или добавить компьютер назначения к значениям параметра конфигурации TrustedHosts. Чтобы настроить TrustedHosts, используйте winrm.cmd. Обратите внимание, что в списке TrustedHosts могут находиться компьютеры, не прошедшие проверку подлинности. Чтобы получить дополнительные сведения об этом, выполните следующую команду: winrm help config. For more information, see the about_Remote_Troubleshooting Help topic.

The WinRM client cannot process the request. If the authentication scheme is different from Kerberos, or if the client computer is not joined to a domain, then HTTPS transport must be used or the destination machine must be added to the TrustedHosts configuration setting. Use winrm.cmd to configure TrustedHosts. Note that computers in the TrustedHosts list might not be authenticated. You can get more information about that by running the following command: winrm help config. For more information, see the about_Remote_Troubleshooting Help topic.

# Вывести список доверенных узлов
Get-Item WSMan:\localhost\Client\TrustedHosts
# Добавить узел к существующим
Set-Item WSMan:\localhost\Client\TrustedHosts -Value '192.168.1.12' -Concatenate

https://stackoverflow.com/questions/21548566/how-to-add-more-than-one-machine-to-the-trusted-hosts-list-using-winrm