Сейчас я на новом месте работы, и опираясь на свой небольшой опыт работы системным администратором выработал привычки посредством которых выполняться свои функциональные обязанности мне в удовольствие. У меня все действия отрепетированы и нет ничего чтобы повергло меня в смятение. Ранее когда я работал в компании где сфера деятельности «Авто: Продажа/Ремонт», я для удаленного администрирования использовал, как настройку «Удаленный помощник», так и сервис TightVNC. Именно для TightVNC я написал множеством скриптов, как устанавливать серверную часть на Windows системы посредством обычных bat-файлов. Но в то время я забыл что есть способ проще: Это посредством приложения ORCA и групповых политик домена можно создать единую настройку где каждый компьютер с учетом wmic фильтров установит разворачиваемое приложение TightVNC и заданный мною конфигурационный файл (mst — файл).
А на этой работе я пойду уже по пути правильной реализации задумки по удаленному администрированию рабочих станций.
Итак тестовая структура:
- Домен контроллер:
srv-dc1.polygon.local
на базеWindows Server 2012 R2 Standard
- Рабочая станция:
w7x64.polygon.local
на базеWindows 7 pro x64
Шаг №1: Авторизуюсь на контроллере домена с правами администратора домена (Login: ekzorchik) и создаю каталог (отключаю наследование) необходимый для групповой политики где будет располагаться сам исполняемый файл и файл с параметрами запуска:
C:\Windows\system32>mkdir c:\soft
C:\Windows\system32>net share soft=c:\soft /GRANT:"Domain Computers",READ
soft was shared successfully.
C:\Windows\system32>icacls c:\soft /inheritance:d
processed file: c:\soft
Successfully processed 1 files; Failed processing 0 files
и даю на запись доступ только для группы «Domain Computer», «Domain Users» исключаю из доступа. Если натравить утилиту icacls то права доступа должны быть такими:
C:\Windows\system32>icacls c:\soft /inheritance:d
processed file: c:\soft
Successfully processed 1 files; Failed processing 0 files
C:\Windows\system32>icacls c:\soft
c:\soft CREATOR OWNER:(OI)(CI)(IO)(F)
POLYGON\Domain Computers:(OI)(CI)(M)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
POLYGON\ekzorchik:(F)
BUILTIN\Administrators:(OI)(CI)(F)
Successfully processed 1 files; Failed processing 0 files
Шаг №2: Внутри каталога Soft создаю каталог tightvnc и помещаю в него приложение, как для amd64 и x86 архитектуры, либо же просто x86 оно одинаково установится на обе архитектуры: tightvnc-2.8.11-gpl-setup-32bit.msi
Шаг №3: Затем на домен контроллер устанавливаю приложение именуемое, как Orca (OrcaMSI.zip
), установка полная.
Шаг №4: Запускаю его (нажимаю на клавиатуре клавишу Win, затем набираю Orca) и открываю msi файл приложения tightvnc для которого буду формировать файл ответов на вопросы, как если бы я его ставил на один компьютер и мне вручную требовалось отвечать на вопросы инсталлятора, а тут все будет делать запрограммированная автоматика.
И через правый клик мышью по установленную приложения выбираю запуск от имени администратора.
File — Open — путь до msi файла: C:\soft\tightvnc\tightvnc-2.8.11-gpl-setup-32bit.msi
Шаг №5: После создаю новый файл предустановленных параметров запуска msi пакета:
Transform — New Transform, как только это сделано верхнее меню программы Orca изменится на «tightvnc-2.8.11-gpl-setup-32bit.msi (transformed by Unitiled) — Orca
», опираясь на свою заметку выделяю параметры которые в редакторе мне нужно предопределить:
Tables — Property:
SERVER_REGISTER_AS_SERVICE=1
SERVER_ADD_FIREWALL_EXCEPTION=1
SERVER_ALLOW_SAS=1
SET_USEVNCAUTHENTICATION=1
VALUE_OF_USEVNCAUTHENTICATION=1
SET_PASSWORD=Aa123456
SET_USECONTROLAUTHENTICATION=1
VALUE_OF_USECONTROLAUTHENTICATION=1
SET_CONTROLPASSWORD=Aa123456
Tables — CustomAction:
VALUE_OF_PASSWORD=Aa123456
VALUE_OF_CONTROLPASSWORD=Aa123456
[stextbox id=’alert’]На заметку: При назначении пароля в TightVNC он имеет ограничение не более 8 символов, все что свыше обрезается. Так что учитывайте.[/stextbox]
После того, как изменения внесены следует сохранить внесенные изменения:
Transform — Generate Transform — и сохраняю в каталог c:\soft\tightvnc
по именем, как именуется msi, но это будет mst файл: tightvnc-2.8.11-gpl-setup-32bit.mst
После нужно приложение закрыть: File — Exit
Шаг №6: Теперь следует проверить, что из себя представляет mst файл и отпечатались ли в нем внесенные изменения из приложения Orca. Для этой задумки есть утилита под именем MST File Viewer
(входит в пакет ork.exe (Microsoft Office 2003 Resource Kit Self-Extracting Installer)
). Запускаю ее (C:\Program Files (x86)\ORKTOOLS\ORK11\TOOLS\VIEWERS\MSTVIEW.EXE
), после указываю путь до msi и путь до mst файла и нажимаю View Transform
, в итоге должно получиться следующее:
Посредством блокнота открывается mst файл, вот мой:
Enforce Validation Flags: True
Base package: C:\soft\tightvnc\tightvnc-2.8.11-gpl-setup-32bit.msi
ProductCode: {4FD0F83C-4755-430B-8122-620F63B558B1}; ProductVersion: 2.8.11.0; UpgradeCode: {B1F272B0-5B47-46F0-9AF2-705E64EB1A69}
Transform: C:\soft\tightvnc\tightvnc-2.8.11-gpl-setup-32bit.mst
Expected values - ProductCode: {4FD0F83C-4755-430B-8122-620F63B558B1}; ProductVersion: 2.8.11.0; UpgradeCode: {B1F272B0-5B47-46F0-9AF2-705E64EB1A69}
DATA CHANGE - CustomAction Action Type Source Target ExtendedType
<> SetDataForControlPasswordsActionSilently Aa123456{[VALUE_OF_CONTROLPASSWORD]}
<> SetDataForPasswordsActionSilently Aa123456{[VALUE_OF_PASSWORD]}
DATA CHANGE - Property Property Value
<> SET_CONTROLPASSWORD Aa123456{0}
<> SET_PASSWORD Aa123456{0}
<> SET_USECONTROLAUTHENTICATION 1{0}
<> SET_USEVNCAUTHENTICATION 1{0}
<> VALUE_OF_USECONTROLAUTHENTICATION 1{0}
Шаг №7: Открываю оснастку управления групповыми политиками и создаю политику на компьютер, в моем случае он именуется, как W7X64
Win + X — Control Panel — Administrative Tools — Group Policy Management, политику именую, как GPO:TightVNC — Edit — Computer Configuration — Policies — Software Settings — и через правый клик мышью по Software Installation — New — Package, указываю путь до msi пакета в виде строки обращения:\\srv-dc1\soft\tightvnc\tightvnc-2.8.11-gpl-setup-32bit.msi
и нажимаю кнопку Open, метод разворачивания выбираю Advanced и нажимаю кнопку ОК, после открывают свойства разворачиваемого приложения, тут нужно перейти на вкладку с именем Modifications, нажать Add и указать путь до сформированного mst файла. Путь до mst файла тоже должен быть вида: \\srv-dc1\soft\tightvnc\tightvnc-2.8.11-gpl-setup-32bit.mst
После нажимаю кнопку OK окна TightVNC Properties
Шаг №8: Проверяю, как установится ли политика на доменную станцию W7X64
C:\Users\ekzorchik>gpupdate /force
Обновление политики...
Обновление политики пользователя завершено успешно.
Обновление политики для компьютера успешно завершено.
При обработке политики компьютера возвращены следующие предупреждения:
Клиентскому расширению
“Software Installation” групповой политики не удалось применить один или несколько параметров, поскольку эти изменения должны обрабатываться до запуска системы или до входа пользователя. Завершение обработки групповой политики будет выполнено перед следующим запуском системы или входом этого пользователя, что может вызвать замедление загрузки и запуска системы.
Чтобы получить дополнительные сведения, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики.
Включены некоторые политики компьютера, выполняющиеся только при загрузке компьютера.
Перезагрузить компьютер? (Y/N)
y
Перезагрузка компьютера...
..
[stextbox id=’alert’]На заметку: Плохо лишь одно, чтобы внести изменения в политику ее нужно удалить, а потом создать заново.[/stextbox]
После перезагрузки рядом с часами вижу иконку TightVNC при попытке через правый клик мышью на ней открыть ее свойства получаю желаемый запрос на указание пароля:
Отлично, одна настройка отработала, а будет ли запрашиваться пароль при удаленном подключении к данной рабочей станции при запуске TightVNC Viewer
с места администратора или места где он установлен, к примеру с домен контроллера: srv-dc1
TightVNC Viewer — Remote Host: W7X64
и нажимаю Connect и да запрашивается пароль на подключение:
- Connected to: W7X64
- Password: ввожу Aa123456
и нажимаю кнопку OK и успешно авторизуюсь, могу делать все что делает локально пользователь. Работает.
На этом пошаговая заметка завершена. До новых встреч на моем блоге, с уважением автор блога Олло Александр aka ekzorchik.