Удалённый помощник на службе системного администратора

Posted by

Если Вам надо администрировать рабочие станции пользователей в Вашей сети, к  примеру, подключиться к пользователю, посмотреть что у него не, получается, посмотреть последовательность действий приводящих к ошибке да многое  чего. Для этих целей существует много разного стороннего софта, номы воспользуемся тем, что предоставляет  сама операционная система Windows. Это . Далее я покажу, как на базе домена polygon.local настроить групповую политику и распространить её на компьютеры в домене.

Ранее в серии заметок на моем блоге www.ekzorchik.ru я описывал, как делегировать добавление в домен polygon.local рабочих станций пользователей.  Продолжим серию настройки для этого контейнера (в данном случае IT). В вашем случае контейнер может отличаться.

Итак,  у нас есть домен polygon.local на базе операционной системы Windows R2 Standard SP1.

Политика будет применять на компьютеры находящиеся в определённом контейнере.

Создадим групповую политику, на контейнер IT:

Запускаем «StartControl PanelAdministrative ToolsGroup Policy Management и после на контейнер IT создадим групповую политику.

Создадим шаблон групповой политики.

 

 

 

 

 

 

 

 

И назовём её: — GPO_RemoteAssistant

Назовём её: - GPO_RemoteAssistant

 

 

 

 

 

Проверяем пока созданный шаблон групповой политики, которую будем настраивать.

На контейнер IT и на кого применять, т.е. в  фильтры безопасности лучше добавить все аутентифицированные пользователи (Прошедшие проверку или Authenticated Users).

Политика назначается на контейнер IT и в фильтре применять на аутентифицированных пользователей.

 

Теперь перейдем к редактированию созданной политики “GPO_RemoteAssistant”, следует

Отключаем политикой встроенный брандмауэр и включаем в свойствах компьютера подключение с использование удалённого помощника.

Computer Configuration (Конфигурация компьютера)  – Policies ( Политики) – Administrative Templates (Административные шаблоны ) – Network (Сеть)  – Network Connections (Сетевые подключения ) Windows Firewall (Брандмауэр Windows ) Domain Profile (Профили домена) :

Windows Firewall: Protect all network connections — Disabled

Брандмауэр Windows: Защита всех сетевых подключений – ОТКЛЮЧЕНО.

Отключаем встроенный Брандмауэр Windows.

 

Включаем ведение журналов подключения с использованием удалённого помощника:

Computer Configuration (Конфигурация компьютера) – Policies (Политики)  – Administrative Templates (Административные шаблоны)  – System(Система)  – Remote Assistance (Удалённый помощник ) :

Turn on session logging — Enabled

Включить ведение журналов сеансов – ВКЛЮЧЕНО.

Включаем ведение журналов сеансов.

 

Удалённый помощник можно настроить в двух вариантах (разрешить взаимодействие с удалённой рабочей станцией и разрешить только просмотр выполняемых действий), но я покажу на примере первого варианта:

Computer Configuration (Конфигурация компьютера) – Policies (Политики)  – Administrative Templates (Административные шаблоны)  – System(Система)  Remote Assistance (Удалённый помощник )

Solicited Remote Assistance  (Allow helpers to remotely control the computer, 6 Hours, Simple MAPI)

Запрос удалённой помощи – ВКЛЮЧЕНО. (Помощники могут управлять компьютером, 6 часов, Simple MAPI)

Включаем вариантвзаимодействия с удалённой рабочей станцией

 

А теперь делегируем определённым сотрудникам использование функции удалённого помощника.

Создадим пользователя и группу которая будет заниматься обслуживание рабочих станций и добавим туда этого пользователя.

Создание пользователя через командную строку, но можно и через GUI интерфейс оснастки Active Directory Users and Computers.

Создаём учётную запись test в контейнере IT:

C:\Windows\system32>dsadd user «cn=test,ou=it,dc=polygon,dc=local»

dsadd succeeded:cn=test,ou=it,dc=polygon,dc=local

 

Назначаем пароль для созданной учётной записи:

C:\Windows\system32>dsmod user «cn=test,ou=it,dc=polygon,dc=local» -pwd Aa1234567

dsmod succeeded:cn=test,ou=it,dc=polygon,dc=local

 

По умолчанию, создаваемые через  командную строку пользователи помечаются, как блокируемые, разблокируем:

C:\Windows\system32>dsmod user «cn=test,ou=it,dc=polygon,dc=local» -disabled no

dsmod succeeded:cn=test,ou=it,dc=polygon,dc=local

 

Создаём группу:

C:\Windows\system32>dsadd group «CN=Remote_Assistance,ou=it,dc=polygon,dc=local»

 dsadd succeeded:CN=Remote_Assistance,ou=it,dc=polygon,dc=local

 

Добавляем в созданную группу, созданную учётную запись:

C:\Windows\system32>dsmod group «CN=Remote_Assisntant,ou=it,dc=polygon,dc=local» -addmbr «CN=test,ou=it,dc=polygon,dc=local»

dsmod succeeded:CN= Remote_Assistance,ou=it,dc=polygon,dc=local

 

Предоставим созданной группе Remote_Assistance право на подключение к рабочим станциям пользователям:

Действия ниже включают политику для рабочих станций под управлением Windows 7:

Computer Configuration (Конфигурация компьютера) – Policies (Политики)  – Administrative Templates (Административные шаблоны)  – System(Система)  – Remote Assistance (Удалённый помощник )

Offer Remote Assistance – Enable

Предлагать удалённую помощь – ВКЛЮЧЕНО (указываем, кому предоставляем доступ на подключение к другим рабочим станциям)

Разрешаем, предлагать удаленную помощь.

 

Открываем Show…, где прописываем домен (polygon.local)\Remote_Assistance

Прописываем домен и группу (polygon.local)\Remote_Assistance кто будет иметь возможность пользоваться удалённым помощником.

 

 

 

 

Действия ниже включают политику для рабочих станций под управлением Windows XP, нужно в эту же политику добавить внесение изменений в реестр, что я имею ввиду:

Создаём -файл следующего содержания и называем, его, к примеру, AllowToGetHelp.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

«fAllowToGetHelp»=dword:00000001

Данный файл следует поместить по адресу –

Computer ConfigurationPoliciesWindows Settings – Scripts (Startup / Shutdown)Startup

Для Windows XP создаем reg файл который следует применить при загрузке компьютера.

 

Вы должны привести вот к такому виду —

Regedit

/s AllowToGetHelp.reg

Приводим вот к такому виду.

 

 

 

 

 

На окне,  свойств загрузки у Вас должно получиться вот так:

Итоговое окно настройки применения reg файл для систем Windows XP.

 

 

 

 

 

 

 

 

 

 

Нажимаем Apply, закрываем созданную политику.  Политика настроена. Следует перезагрузить рабочие станции и удостовериться, что на рабочие станции применилась политика. В итоге должна быть установлена галочка, которая разрешает подключение к рабочей станции посредством функционала Windows, т.е. удалённого помощника. :::::Результат::::

На Windows 7:

КомпьютерСвойстваДополнительные параметры системыУдалённый доступ

Результат включения пункта - Удалённый помощник на Windows 7

 

 

 

 

 

На Windows XP:

Мой КомпьютерСвойстваУдалённые сеансы

Результа включения пункта - Удалённый помощник на Windows XP.

 

 

 

 

 

 

Вот собственно и всё,  в следующей заметке я рассмотрю, как пользоваться удалённым помощником. Следите за обновлениями на моём блоге.

3 комментария

  1. Спасибо всё четко, внятно и по делу, разве что можно было просто сказать что добавить разрешения нужной группе или пользователю, не расписывая процедуру создания группы, пользователя и так далее.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

двадцать − шестнадцать =