Настройка Удаленного помощника в Active Directory через групповые политики

Задача: Оказывать удаленную помощь пользователям домена не используя сторонние программы(teamviewer, ammyy admin, VNC итд).
Пишу опять для себя ибо постоянно забываю какие групповые политики редактировать!
Допустим имя домена у нас DOMEN.LAN
В данном случае домен был поднят на windows 2003 server, групповые политики редактировались через Средства удаленного администрирования сервера на windows server 2012 R2

Создаем политику FW and Remote Assistance (назыаем по своему вкусу)

  1. Конфигурация компьютера -- Политики -- АДМ Шаблоны -- Система -- Удаленный помощник
    Включить оптимизацию пропускной способности (Полная оптимизация)
    Настроить запрашиваемую удаленную помощь -- Разрешить помощникам управлять компьютером(5 часов, SIMPLE MAPI)
    Настроить предлагаемую удаленную помощь -- Разрешить помощникам управлять компьютером(DOMEN.LAN\admin_name)
  2. Конфигурация компьютера -- Политики -- Конфигурация Windows -- АДМ Шаблоны -- Система -- Сеть -- Сетевые подключения -- Брандмауэр -- Профиль домена
    Брандмауэр Windows:Разрешить локальные исключения программ(Включено)
    Брандмауэр Windows:Определение входящих исключений програм
    a) %windir%\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Remote Assistance -- Messenger
    b) %windir%\pchealth\helpctr\binaries\HelpSvc.exe:*:Enabled:Offer Remote Assistance
    c) %windir%\system32\sessmgr.exe:*:Enabled:Remote Assistance
    Брандмауэр Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам (Указываем подсети)
    Брандмауэр Windows:Разрешаем локальные исключения портов (Включено)
    Брандмауэр Windows: Определение Входящих исключений портов (135:TCP:*:Enabled:Offer Remote Assistance )
    Брандмауэр Windows: Разрешить исключения для входящих сообщений удаленного управления рабочим столом(Указываем подсети)
  3. Конфигурация компьютера -- Политики -- Конфигурация Windows -- Параметры Безопасности -- Брандмауэр Windows в режиме повышенной безопасности -- Правила входящих подключений
    Создаем правило -- выбираем предопределенные -- Удаленный помощник
    Создаем правило -- выбираем предопределенные -- Доступ к сети COM+
  4. В оснастке "Active Directory - пользователи и компьютеры" создаем группу "Удаленные помощники" и добавляем туда нужных пользователей.
  5. Конфигурация компьютера -- Политики -- Конфигурация Windows -- Параметры Безопасности -- Группы с ограниченным доступом
    Добавляем группу -- И выбираем ранее созданную группу "Удаленные помощники",членов группы можно не добавлять.
  6. На windows 7,8,8,1 windows server 2008R2,2012R2 создаем ярлык и вписываем туда C:\Windows\System32\msra.exe /offerra

2 комментария

  1. Odin

    Спасибо!

  2. АлексейКА

    не лишним будет такой пункт:
    Для того, чтобы на компьютерах с Windows 7 или Windows Vista «Удаленный помощник» мог ввести логин и пароль администратора при запросе UAC, можно включить следующий параметр групповой политики:

    конфигурация компьютера—политики—конфигурация windows—параметры безопасности—локальные политики—параметры безопасности:
    1)Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав — отключен (если конечно он где то включался)
    2)Контроль учетных записей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол. — включен

    Эти параметры позволяют UIA-приложениям, к которым относится и «Удаленный помощник», не использовать безопасный рабочий стол (secure desktop) при выводе запроса логина и пароля для повышения прав.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *