Удалённый помощник Windows в домене.
Работая системным администратором и не имея доступ к бюджету компании.
Печальная печаль (((
Появилась необходимость в удалённом подключении к пользователям сети. Домен рос, пользователей тьма. Закупать Radmin? Ставить AM? Windows, друг, приходи на помощь.
Разберём по этапам весь процесс, как настроить удалённый помощник Windows в домене для пользователей домена, где администраторы могут посылать запрос на просмотр, а далее второй запрос на управление (это очень важно, особенно для руководителей компании). В сети рассматриваем операционные системы: Windows XP, их ещё полно. Windows 7, 8х, 10.
Приступим к затее. Распишем этапы работ.
- Настроим групповую политику, где админам разрешим удалённый помощник и права на управление.
- Настроим фильтры для операционных систем, операционки разные, фильтры разные.
- Разрешим пользователям изменять поле «описание» в AD для удобства определения, кто залогинен за ПК.
- Создадим правильные ярлыки для работы.
Настраиваем групповую политику.
Win+R – mmc – файл — добавить или удалить оснастку – управление групповой политикой – ОК. Всё описанное делаем на контроллере домена.
Открываем наши имеющиеся политики в домене. Добавляем новую для Windows 7 и выше понятно её называем.
Нам потребуется добавить:
Конфигурация Windows.
Скрипт в автозагрузку, который будет проверять, включена ли возможность использования модели DCOM. Содержание самого скрипта EnableDCOM.vbs
' || EnableDCOM.vbs
' || Скрипт проверяет включена ли возможность использования модели DCOM, если выключено или значение отлично от Y, то он запишет нужный параметр в реестр.
Option Explicit
On Error Resume Next
Dim WshShell
Set WshShell = CreateObject(«WScript.Shell»)
WshShell.RegWrite «HKEY_LOCAL_MACHINE\Software\Microsoft\Ole\EnableDCOM», «Y», «REG_SZ»
Включаем — Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.
Включаем — Разрешать удаленное подключение с использованием служб удаленных рабочих столов.
Включаем — Включить ведение журнала сеансов
Включаем — Включить оптимизацию пропускной способности
Отключаем — Запрос удаленной помощи. Посылки помощи не желательны, достаточно позвонить на SD.
Отключаем — Настройка предупреждающих сообщений.
Включаем — предлагать удалённую помощь, и добавляем группу администраторов , которые могут править миром в части удалённых помощников в сети домена.
С политикой для Winodws 7 и выше закончено. Переходим к Windows XP. Единственное, что нам надо, добавить условие — если это XP, добавить в реестр строку. Добавляем файл RemoteAssistance.reg
Содержание RemoteAssistance.reg добавляем с параметром /s RemoteAssistance.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
«fAllowToGetHelp»=dword:00000001
Политики готовы, накладываем эти политики на наши доменные ПК.
Добавляем политику для администраторов. создаём политику RemDeskAdm можно назвать как угодно.
Включаем:
Всегда запрашивать пароль при подключении
Установить уровень шифрования для клиентских подключений
Привязываем данную политику либо администраторам домена, либо создаём группу и добавляем к политике.
Переходим к этапу 2.
Настраиваем фильтры для операционных систем.
В чём смысл? Всё дело в том, что для Windows XP требуется добавление в реестр строки, для всех остальных — нет. Следовательно, если система будет определять, что на удалёнке Windows XP, то прописывать в реестр строку, если нет, то просто игнорировать.
Добавляем фильтр с определением версии Windows и привязываем её к политике для winXP.
Пространство имён — добавляем root\CIMv2
Сам код с определением версии Windows:
select * from Win32_OperatingSystem where Version like «5.1» and ProductType = «1»
Привязываем наш фильтр к нашей политике для Windows XP.
Теперь про фильтр для политики Windows 7 и выше, вот его тело :
Select * from Win32_OperatingSystem where Version like «6.1» and ProductType = «1»
Она так же накладывается на политику Windows 7 и выше, как и предыдущая, но я её снял. Причина: она цепляется на все наши ПК. К ПК на Windows XP применяется только отдельный фильтр для добавления строки в реестр. А версии Windows-то уже не только 6.1. Следовательно, ставить её не будем, в противном случае придётся делать для всех отличных от 6.1 версий отдельные политики.
Разрешим пользователям изменять поле «описание» в AD
Спорное решение, но мне удобно. Я вижу, под какой учёткой на ПК сейчас коннект.
Делается это добавлением двух скриптов , один — при входе в систему, второй — при выходе из системы.
Сами скрипты в формате file.vbs:
On Error Resume Next
Dim adsinfo, ThisComp, oUser
Set adsinfo = CreateObject(«adsysteminfo»)
Set ThisComp = GetObject(«LDAP://» & adsinfo.ComputerName)
Set oUser = GetObject(«LDAP://» & adsinfo.UserName)
Thiscomp.put «description», «Logged on: » + oUser.cn + » » + CStr(Now)
ThisComp.Setinfo
On Error Resume Next
Dim adsinfo, ThisComp, oUser
Set adsinfo = CreateObject(«adsysteminfo»)
Set ThisComp = GetObject(«LDAP://» & adsinfo.ComputerName)
Set oUser = GetObject(«LDAP://» & adsinfo.UserName)
Thiscomp.put «description», «>> Logged off: » + oUser.cn + » » + CStr(Now)
ThisComp.Setinfo
Накладываем данную политику уже на контейнер пользователей.
Создаём правильные ярлыки для удалённого подключения к пользователям.
Для работы через Удалённый помощник Windows в домене достаточно создать ярлык:
Windows 7
%windir%\system32\msra.exe /offerra
Windows XP
%windir%\pchealth\helpctr\binaries\helpctr.exe /url hcp://CN=Microsoft%20Corporation, L=Redmond, S=Washington, C=US/Remote%20Assistance/Escalation/unsolicited/unsolicitedrcui.htm
Всё!!! Перегружаем ПК пользователей, либо через cmd обнавляем политики домена.
gpupdate /force
Открываем помощника, вводим имя ПК пользователя и работаем.
Удачи в реализации удалённого помощника Windows в домене.
Свежие комментарии