Настройка предложения удаленной помощи в сети с AD на базе Windows Server 2003 R2. Часть 1

Давайте сначала разберемся что это и зачем это нужно.

  1. Предложение удаленной помощи позволяет решать большую часть проблем пользователя связанных с ПО удаленно, что очень удобно если сеть организации разнесена географически (в разных зданиях, районах или даже городах), что экономит время и силы.
  2. К тому же пользователь сможет Вам сам показать порядок действий в результате которых возникает та или иная проблема, что облегчит понимание проблемы и ускорит ее решение.
  3. Данный метод абсолютно бесплатен, т.к. используются внутренние механизмы, нет необходимости приобретать дополнительные программы удаленного администрирования вроде RAdmin и прочее.
  4. Вся настройка производится на сервере, нет необходимости устанавливать ПО и вносить дополнительные изменения в настройках на компьютерах пользователей.
  5. Высокий уровень безопасности, т.к. никто кроме пользователей технической поддержки не сможет подключиться к ПК пользователя.
  6. Не нужно обучать пользователей, полная прозрачность действий.
  7. Во время удаленной помощи записываются логи, которые можно будет просмотреть и увидеть кто, кому что делал, когда подключался.
  8. Подключение к пользователям происходит только с их разрешения, в результате у них нет страха что за ними «подглядывают».

Предложение удаленной помощи работает также как и удаленный помощник, однако пользователю не нужно создавать запрос на помощь. Администратор сети сам инициализирует удаленного помощника у нужного пользователя. Тем самым повышается защита, а также пользователю не нужно производить никаких действий для запроса помощи, достаточно позвонить в IT отдел или отправить сообщение на электронку с просьбой помочь.

Предлагать удаленную помощь могут только те сотрудники организации, кому будет предоставлено такое разрешение (н.р. только IT-отдел).

Прежде чем экспериментировать с реальной сетью, я бы посоветовал сначала попробовать и проверить все настройки на виртуальных машинах объединенных в сеть, созданных н.р. при помощи VMWare или бесплатных VirtualBox и Microsoft Virtual Machine 2007 SP1.
Ссылки:
Для демонстрации развертывания предложения удаленной помощи на виртуальной машине было установлено и настроено следующее:
Контроллер домена:
Домен: ABA.LOCAL
Имя сервера: DC01.ABA.LOCAL

Включенные роли:

  • Контроллер домена ActiveDirectory
  • DNS-сервер
  • DHCP-сервер (для удобства)

Созданные пользователи домена:

  • expertaba — сотрудник, который может предлагать удаленную помощь.
  • useraba1 — сотрудник которому будет предлагаться помощь.
  • useradd — пользователь с правами добавления к домену.

Компьютеры пользователей:

  • expertabac.aba.local — компьютер пользователя эксперта (сотрудник IT-отдела).
  • useraba1c.aba.local — компьютер пользователя кому будет предлагаться помощь.

Начнем.

Этап 1. Подготавливаем рабочие станции пользователей.

Для этого этапа нам нет необходимости идти к пользователю и изменять настройки. Все сделаем скриптом, который будет запускаться во время входа пользователя в компьютер.Т.к. удаленный помощник использует модель DCOM. В Windows XP в разделе HKEY_LOCAL_MACHINESoftwareMicrosoftOle строчный параметр EnableDCOM должен иметь значение Y. В противном случае, если параметру присвоено значение N или он отсутствует, функция удаленного помощника работать не будет.Чтобы включить этот параметр создадим VB-скрипт следующего содержания и назовем его EnableDCOM.vbs
' || EnableDCOM.vbs
' || Скрипт проверяет включена ли возможность использования модели DCOM, если выключено или значение отлично от Y, то он запишет нужный параметр в реестр.
Option Explicit
On Error Resume Next
Dim WshShell
Set WshShell = CreateObject("WScript.Shell")
WshShell.RegWrite "HKEY_LOCAL_MACHINESoftwareMicrosoftOleEnableDCOM", "Y", "REG_SZ"

Теперь, чтобы нужный скрипт заработал необходимо добавить его выполнение в Групповую политику безопасности.

Для этого создадим сначала новую групповую политику и назовем ее OfferRemouteAssitance.

Чтобы создать групповую политику заходим: «Пуск->Администрирование->Active Directory — Пользователи и компьютеры». Затем переходим в свойства домена и выбираем вкладку «Групповая политика». (рис.1)

рис.1

Далее нажимаем на копку «Создать» и переименовываем созданную групповую политику в OfferRemoteAssistance. (рис.2)

рис.2

Выбираем только что созданную политику и нажимаем на кнопку «Изменить». Теперь переходим по пути: «Конфигурация компьютераКонфигурация WindowsСценарии (запуск/завершение)« в правой части окна выбираем «Автозагрузка« и выбираем ее свойства. Отобразится список сценариев выполняемых при старте системы.

Теперь нужно добавить наш сценарий активации моделей DCOM (EnableDCOM.vbs), для этого нажимаем на кнопку «Добавить«. В появившемся окне нажимаем «Обзор» и выбираем наш сценарий. После чего оставив «Параметры сценария» пустыми нажимаем «ОК«. Теперь у нас есть добавленный наш сценарий, который внесет все необходимые изменения в реестр на компьютере пользователя. (рис.3)

рис.3

Еще раз нажимаем «ОК» чтобы закрыть свойства объекта «Автозагрузка«.

Теперь нужно определить, какие пользователи смогут предлагать удаленную помощь. Для этого переходим в следующую ветку политики: «Конфигурация компьютераАдминистративные шаблоныСистемаУдаленный помощник«.

Теперь настраиваем параметры в этой ветке.

Параметр «Запрошенная удаленная помощь«. Переходим в свойства и выбираем «Включен«, далее в пункте «Разрешить удаленное управление этим компьютером« выбираем «Помощники могут управлять компьютером«. Настройки других пунктов этого параметра настраивайте по своему усмотрению, я лично оставил их без изменения.

Следующий параметр «Разрешить предложение удаленной помощи». Заходим в его свойства и переводим в состояние «Включен«, затем выбираем «Помощники могут управлять компьютером», возле пункта «Помощники» нажимаем на кнопку «Показать…». Здесь нужно указать пользователей которые могут предлагать удаленную помощь, в моем случае это expertaba. Строка должна быть определенного вида, а именно , т.е. в моем случае я должен прописать строчку «ABAexpertaba». Нажимаем на кнопку «Добавить…» вводим нужную строку (рис.4 и рис.5).

рис.4
рис.5

Теперь мы определили какие пользователи имеют право предлагать помощь, все остальные пользователи не смогут это сделать.

Осталось самое главное настроить Брандмауэр на локальных компьютерах, чтобы пользователи могли получать предложенную помощь, но как это сделать при помощи групповых политик будет описано во второй части.


comments powered by HyperComments
nadim
2011-06-15 19:55:01
Где 2 часть?
Hellsman
2011-07-28 15:01:02
в связи с рождением ребенка очень мало времени. Восстановлю виртуалку с нужными именами и выложу в ближайшие 2 недели.
Stas
2015-05-25 18:38:32
Прошло 4 года... :))
hellsman
2015-06-19 15:28:35
Да собственно это не актуально, ибо в 2008 R2 и в 2012 это делается немного по другому и быстрей :) Поэтому вторую часть и не писал.