Сейчас я на новом месте работы, и опираясь на свой небольшой опыт работы системным администратором выработал привычки посредством которых выполняться свои функциональные обязанности мне в удовольствие. У меня все действия отрепетированы и нет ничего чтобы повергло меня в смятение. Ранее когда я работал в компании где сфера деятельности «Авто: Продажа/Ремонт», я для удаленного администрирования использовал, как настройку «Удаленный помощник», так и сервис TightVNC. Именно для TightVNC я написал множеством скриптов, как устанавливать серверную часть на Windows системы посредством обычных bat-файлов. Но в то время я забыл что есть способ проще: Это посредством приложения ORCA и групповых политик домена можно создать единую настройку где каждый компьютер с учетом wmic фильтров установит разворачиваемое приложение TightVNC и заданный мною конфигурационный файл (mst — файл).

А на этой работе я пойду уже по пути правильной реализации задумки по удаленному администрированию рабочих станций.

Итак тестовая структура:

  • Домен контроллер: srv-dc1.polygon.local на базе Windows Server 2012 R2 Standard
  • Рабочая станция: w7x64.polygon.local на базе Windows 7 pro x64

Шаг №1: Авторизуюсь на контроллере домена с правами администратора домена (Login: ekzorchik) и создаю каталог (отключаю наследование) необходимый для групповой политики где будет располагаться сам исполняемый файл и файл с параметрами запуска:

C:\Windows\system32>mkdir c:\soft

C:\Windows\system32>net share soft=c:\soft /GRANT:"Domain Computers",READ

soft was shared successfully.

C:\Windows\system32>icacls c:\soft /inheritance:d

processed file: c:\soft

Successfully processed 1 files; Failed processing 0 files

и даю на запись доступ только для группы «Domain Computer», «Domain Users» исключаю из доступа. Если натравить утилиту icacls то права доступа должны быть такими:

Расшаренный каталог работает \\127.0.0.1\softC:\Windows\system32>icacls c:\soft /inheritance:d

processed file: c:\soft

Successfully processed 1 files; Failed processing 0 files

C:\Windows\system32>icacls c:\soft

c:\soft CREATOR OWNER:(OI)(CI)(IO)(F)

POLYGON\Domain Computers:(OI)(CI)(M)

NT AUTHORITY\SYSTEM:(OI)(CI)(F)

POLYGON\ekzorchik:(F)

BUILTIN\Administrators:(OI)(CI)(F)

Successfully processed 1 files; Failed processing 0 files

Шаг №2: Внутри каталога Soft создаю каталог tightvnc и помещаю в него приложение, как для amd64 и x86 архитектуры, либо же просто x86 оно одинаково установится на обе архитектуры: tightvnc-2.8.11-gpl-setup-32bit.msi

Шаг №3: Затем на домен контроллер устанавливаю приложение именуемое, как Orca (OrcaMSI.zip), установка полная.

Шаг №4: Запускаю его (нажимаю на клавиатуре клавишу Win, затем набираю Orca) и открываю msi файл приложения tightvnc для которого буду формировать файл ответов на вопросы, как если бы я его ставил на один компьютер и мне вручную требовалось отвечать на вопросы инсталлятора, а тут все будет делать запрограммированная автоматика.

Запускаю приложение Orca

И через правый клик мышью по установленную приложения выбираю запуск от имени администратора.

File — Open — путь до msi файла: C:\soft\tightvnc\tightvnc-2.8.11-gpl-setup-32bit.msi

Шаг №5: После создаю новый файл предустановленных параметров запуска msi пакета:

Transform — New Transform, как только это сделано верхнее меню программы Orca изменится на «tightvnc-2.8.11-gpl-setup-32bit.msi (transformed by Unitiled) — Orca», опираясь на свою заметку выделяю параметры которые в редакторе мне нужно предопределить:

Tables — Property:

  • SERVER_REGISTER_AS_SERVICE=1
  • SERVER_ADD_FIREWALL_EXCEPTION=1
  • SERVER_ALLOW_SAS=1
  • SET_USEVNCAUTHENTICATION=1
  • VALUE_OF_USEVNCAUTHENTICATION=1
  • SET_PASSWORD=Aa123456
  • SET_USECONTROLAUTHENTICATION=1
  • VALUE_OF_USECONTROLAUTHENTICATION=1
  • SET_CONTROLPASSWORD=Aa123456

Tables — CustomAction:

  • VALUE_OF_PASSWORD=Aa123456
  • VALUE_OF_CONTROLPASSWORD=Aa123456

[stextbox id=’alert’]На заметку: При назначении пароля в TightVNC он имеет ограничение не более 8 символов, все что свыше обрезается. Так что учитывайте.[/stextbox]

После того, как изменения внесены следует сохранить внесенные изменения:

Transform — Generate Transform — и сохраняю в каталог c:\soft\tightvnc по именем, как именуется msi, но это будет mst файл: tightvnc-2.8.11-gpl-setup-32bit.mst

После нужно приложение закрыть: File — Exit

Шаг №6: Теперь следует проверить, что из себя представляет mst файл и отпечатались ли в нем внесенные изменения из приложения Orca. Для этой задумки есть утилита под именем MST File Viewer (входит в пакет ork.exe (Microsoft Office 2003 Resource Kit Self-Extracting Installer)). Запускаю ее (C:\Program Files (x86)\ORKTOOLS\ORK11\TOOLS\VIEWERS\MSTVIEW.EXE), после указываю путь до msi и путь до mst файла и нажимаю View Transform, в итоге должно получиться следующее:

Открываю mst файл через MST File ViewerПосредством блокнота открывается mst файл, вот мой:

Enforce Validation Flags: True

Base package: C:\soft\tightvnc\tightvnc-2.8.11-gpl-setup-32bit.msi

ProductCode: {4FD0F83C-4755-430B-8122-620F63B558B1}; ProductVersion: 2.8.11.0; UpgradeCode: {B1F272B0-5B47-46F0-9AF2-705E64EB1A69}

Transform: C:\soft\tightvnc\tightvnc-2.8.11-gpl-setup-32bit.mst

Expected values - ProductCode: {4FD0F83C-4755-430B-8122-620F63B558B1}; ProductVersion: 2.8.11.0; UpgradeCode: {B1F272B0-5B47-46F0-9AF2-705E64EB1A69}

DATA CHANGE - CustomAction Action Type Source Target ExtendedType

<> SetDataForControlPasswordsActionSilently Aa123456{[VALUE_OF_CONTROLPASSWORD]}

<> SetDataForPasswordsActionSilently Aa123456{[VALUE_OF_PASSWORD]}

DATA CHANGE - Property Property Value

<> SET_CONTROLPASSWORD Aa123456{0}

<> SET_PASSWORD Aa123456{0}

<> SET_USECONTROLAUTHENTICATION 1{0}

<> SET_USEVNCAUTHENTICATION 1{0}

<> VALUE_OF_USECONTROLAUTHENTICATION 1{0}

Шаг №7: Открываю оснастку управления групповыми политиками и создаю политику на компьютер, в моем случае он именуется, как W7X64

Win + X — Control Panel — Administrative Tools — Group Policy Management, политику именую, как GPO:TightVNC — Edit — Computer Configuration — Policies — Software Settings — и через правый клик мышью по Software Installation — New — Package, указываю путь до msi пакета в виде строки обращения:\\srv-dc1\soft\tightvnc\tightvnc-2.8.11-gpl-setup-32bit.msi и нажимаю кнопку Open, метод разворачивания выбираю Advanced и нажимаю кнопку ОК, после открывают свойства разворачиваемого приложения, тут нужно перейти на вкладку с именем Modifications, нажать Add и указать путь до сформированного mst файла. Путь до mst файла тоже должен быть вида: \\srv-dc1\soft\tightvnc\tightvnc-2.8.11-gpl-setup-32bit.mst

После нажимаю кнопку OK окна TightVNC Properties

Шаг №8: Проверяю, как установится ли политика на доменную станцию W7X64

C:\Users\ekzorchik>gpupdate /force

Обновление политики...

Обновление политики пользователя завершено успешно.

Обновление политики для компьютера успешно завершено.

При обработке политики компьютера возвращены следующие предупреждения:

Клиентскому расширениюSoftware Installationгрупповой политики не удалось применить один или несколько параметров, поскольку эти изменения должны обрабатываться до запуска системы или до входа пользователя. Завершение обработки групповой политики будет выполнено перед следующим запуском системы или входом этого пользователя, что может вызвать замедление загрузки и запуска системы.

Чтобы получить дополнительные сведения, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики.

Включены некоторые политики компьютера, выполняющиеся только при загрузке компьютера.

Перезагрузить компьютер? (Y/N) y

Перезагрузка компьютера...

..

[stextbox id=’alert’]На заметку: Плохо лишь одно, чтобы внести изменения в политику ее нужно удалить, а потом создать заново.[/stextbox]

После перезагрузки рядом с часами вижу иконку TightVNC при попытке через правый клик мышью на ней открыть ее свойства получаю желаемый запрос на указание пароля:

TightVNC через GPO установлено и настройки защищены паролемОтлично, одна настройка отработала, а будет ли запрашиваться пароль при удаленном подключении к данной рабочей станции при запуске TightVNC Viewer с места администратора или места где он установлен, к примеру с домен контроллера: srv-dc1

TightVNC Viewer — Remote Host: W7X64 и нажимаю Connect и да запрашивается пароль на подключение:

  • Connected to: W7X64
  • Password: ввожу Aa123456

и нажимаю кнопку OK и успешно авторизуюсь, могу делать все что делает локально пользователь. Работает.

На этом пошаговая заметка завершена. До новых встреч на моем блоге, с уважением автор блога Олло Александр aka ekzorchik.

От ekzorchik

Всем хорошего дня, меня зовут Александр. Я под ником - ekzorchik, являюсь автором всех написанных, разобранных заметок. Большинство вещей с которыми мне приходиться разбираться, как на работе, так и дома выложены на моем блоге в виде пошаговых инструкции. По сути блог - это шпаргалка онлайн. Каждая новая работа где мне случалось работать вносила новые знания и нюансы работы и соответственно я расписываю как сделать/решить ту или иную задачу. Это очень помогает. Когда сам разбираешь задачу, стараешься ее приподнести в виде структурированной заметки чтобы было все наглядно и просто, то процесс усвоения идет в гору. Также прошу на https://win.ekzorchik.ru https://lin.ekzorchik.ru https://net.ekzorchik.ru https://voip.ekzorchik.ru https;//home.ekzorchik.ru