В этой статье я расскажу как настроить помощь корпоративным пользователям посредством Remote Assistance. Существуют два режима работы:
1) Когда пользователь обращается к техподдержке за помощью самостоятельно. В этом случае пользователь должен послать пришлашение к техподдержке на удаленную сессию. Что несомненно требует от новичка определенных знаний
2) Техподдержка сам инициализирует удаленную сессию. В этом случае от пользователя требуется только сообщить имя своего компьютера.
Второй случай я и рассмотрю более подробно
Прежде чем начать: Remote Assistance на данный момент (2022 декабрь) не работает, если в вашем домене в настройках политик домен контроллера и компьютеров пользователей отключена поддержка kerberos RC4_HMAC_MD5. Проверьте :
Computer Configuration->Policies-> Windows Settings-> Security Settings-> Local Policies-> Security Options >> "Network security: Configure encryption types allowed for Kerberos"
Remote Assistance работает по портам TCP 135, 3389 и динамически берет порты выше 1024. Что бы на фаирволе открыть необходимые порты, лучше всего разрешить все входящие подключения к двум exe фаилам: %SYSTEMROOT%\system32\raserver.exe и %SYSTEMROOT%\system32\msra.exe
Для начала разрешим использовать Remote Assistance в корпоративной среде. (В моем случае контроллер домена Windows Server 2022) Делается это через групповую политику. Создаем или изменяем групповую политику. которая будет примется к компьютерам. Заходим в раздел Computer Configuration- Polices — Administrative Templates — System — Remote Assistance.
В первую очередь изменяем правило Configure Offer Remote Assistance с Not Configured на Enabled. В строчке Permit remote conrol of this computer: выбираем Allow helpers to remotely control the computer что означает что подключаемый эксперт имеет право не только видеть экран пользователя, но и сможет удаленно управлять им. В строчке Helpers нажимем Show и вписываем имена тех, кто будут экспертами в формате domain\username. Так же можно указать и группу домена в формате domain\groupname
Следующее правило Customize Warning Messages изменять не обязательно. Но я все же включил его. В строчке Display warnings message before connecting я написал дополнительное сообщение, которое будет показываться пользователю в момент установки соединения. «Ваша техподдержка запрашивает разрешение на просмотр вашего рабочего стола.» Естественно эта строчка может быть любой. В строчке Display warning message before sharing control «Ваша техподдержка запрашивает разрешение на управление вашим компьютером»
Allow only Windows Vista or later connections повышает параметры безопастности и не позволяет подключаться со старых клиентов. Устанавливаем в Enabled
Так же по желанию можно оптимизировать пропускную способность сети в пункте Turn on bandwidth optimization
Теперь про безопастность. Если мы подключились к сессии пользователя без прав, при попытке запуска программы с правами администратора окно с вводом пользователя и пароля появится только со стороны новичка а у нас экран почернеет. Происходит это потому что окно ввода запускается в Secure Destop. Это область памяти, куда доступ имеют только привелигированные процессы windows. Сделано это для того, чтоб защитить эти данные от перехвата сторонними процессами. Если необходимо, можно понизить безопастность и отключить Secure Desctop для ввода этих данных. Решать вам. Для этого необходимо перевести политику Computer Configuration — Polices — Windows Settings — Security Settings — Local Policies — Secury Options — User Account Control: Switch to the secure desktop when prompting for elevation перевести в состояние disabled
На этом основные настройки групповой политики закончены. Следующий этап заключается в том, чтоб донести до пользователя имя компьютера на котором он работает, версию операционной системы и любую другую информацию которую вы сочтете нужным. Я использовал для этого бесплатную утилиту BGInfo от Windows Sysinternals. Основное ее преимущество в том, что она запускается один раз при входе пользователя в систему и выводит нужную информацию на задний фон десктопа. То есть она не потребляет системных ресурсов и не висит в трее. Скачать ее можно по адресу http://technet.microsoft.com/en-us/sysinternals/bb897557
Для начала запустим ее и выберем какую информацию эта программа будет выводить на десктоп. В моем случае было сделано так:
Имя компьютера: <Host Name>
Версия windows: <Os version>
Имя пользователя: <User name>
Далее в настройках bitmap — location выбираем где будет хранится задний фон десктопа. User’s temorary files directory. Выбираем настройки цвета, шрифта, место вывода на экран по вкусу. После чего выбираем File — Save As… и сохраняем получившийся конфигурационный фаил. Теперь помещаем саму программу bginfo.exe и ее конфигурационный фаил config.bgi в сетевую шару, доступную всем пользователям домена. Допустим фаилы у вас будут доступны по следующим адресам:
\\sharing\it$\bginfo.exe
\\sharing\it$\config.bgi
Теперь делаем так, чтоб программа стартовала у всех юзеров при входе в систему. В настройках групповой политики для всех пользователей User Configuration — Polices — Windows Settings — Scripts (Logon/Logoff) — Logon создаем скрипт bginfo.cmd внутри которого пишем следующие строки:
@echo off
«\\sharing\it$\bginfo.exe» «\\sharing\it$\config.bgi» /accepteula /timer:0 /silent
Теперь у пользователя есть необходимая информация о имени его компьютера.
Чтобы воспользоваться Remote Assistance со стороны техподдержки необходимо запустить в командной строке приложение msra.exe, выбрать help someone who has invited you, перейти на advanced connection option for help desk и ввести имя компютера или ip адрес.
Так же можно сразу указать адрес компютера к которому подключаемся через командную строку:
msra.exe /offerRA {IP адрес или имя компьютера}