In this post, I will show you how to enable Remote Assistance using group policy(GPO). We also allow access through the Windows Defender Firewall with Advanced Security using Group Policy.
We will also look at the steps to enable remote assistance on a Windows server by adding the feature using the Server Manager. This is applicable when you want to turn on remote assistance on a single machine.
However, the easiest way to enable remote assistance on your domain computers is by using the group policy. We will enable Configure Offer Remote Assistance setting. This policy setting allows you to turn on or turn off Offer (Unsolicited) Remote Assistance on this computer.
If you enable this policy setting, users on their computer can get help from their corporate technical support staff using Offer (Unsolicited) Remote Assistance.
Most of all, Remote Assistance is a Windows feature. To initiate the remote assistance, the user has to accept the request of the administrator. A machine cannot be remote controlled when no one is logged on.
Using the Remote Assistance feature, you can invite someone to connect to your computer. After he or she is connected, that person can view your computer screen and chat with you about what you both see.
With your permission, your helper can even use his or her mouse and keyboard to control your computer and show you how to resolve a problem. The Remote Assistance feature will not work in cases when the outbound traffic from port 3389 is blocked.
On a Windows Server, the remote assistance feature isn’t enabled by default. You must enable the feature before you can use it. Remote assistance can also be used with Configuration Manager. Refer to the guide on how to enable and configure Remote Assistance feature in SCCM guide for more details.
Table of Contents
Remote Assistance Firewall Requirements
The remote assistance uses TCP port 3389. To allow users within an organization to request help outside your organization using Remote Assistance, port 3389 must be open at the firewall. To prohibit users from requesting help outside the organization, this port should be closed at the firewall.
If you enable Configure Offer Remote Assistance setting, you should also enable firewall exceptions to allow Remote Assistance communications. The firewall exceptions required to Offer (Unsolicited) Remote Assistance on Windows include.
Enable the Remote Assistance exception for the domain profile. The exception must contain: Port 135:TCP %WINDIR%\System32\msra.exe %WINDIR%\System32\raserver.exe
Let’s look at the steps to enable Remote Assistance using group policy
How to Enable Remote Assistance using Group Policy
To enable remote assistance using group policy, use these steps.
- Login to a Domain controller or member server installed with Group Policy Management console.
- Launch the Group Policy Management console.
- You can either edit an existing Group Policy object or create a new one using the Group Policy Management Tool.
- Expand the Computer Configuration/Policies/Administrative Templates/System/Remote Assistance node.
- Enable Configure Offer Remote Assistance setting.
Alright, let’s do this step by step. I would recommend creating a new group policy to configure remote assistance. Do not edit the default policy because it applies to entire domain and is not the recommended method.
Before you apply this GPO, test the policy on a separate OU and then plan your GPO deployment accordingly. Since I am configuring the policy in my lab, I am applying it on a domain level. In the Group Policy Management console, right click your domain and click Create a GPO in this domain and link it here.
Specify a name for the group policy, such as Enable Remote Assistance. Click OK.
Go to Computer Configuration/Policies/Administrative Templates/System/Remote Assistance node. Right click Configure Offer Remote Assistance setting and click Edit.
On the Configure Offer Remote Assistance window, click Enabled. This enables the policy. You must permit remote control of the computer. So from the drop-down, select Allow helpers to remotely control the computer. Next to helpers, click Show button.
You can enter the names of the helpers. Add each user or group one by one. While adding helpers user or groups, use the following format.
- <Domain Name>\<User Name>
- <Domain Name>\<Group Name>
Click OK.
Close the GPMC editor. It’s time to update the group policy on the client computers and check to see if access to the taskview button has been disabled. You can use multiple ways to perform the group policy update on remote computers. On a test client machine, you can manually perform the group policy update by running the gpupdate /force command.
Create Firewall Exception to Allow Remote Assistance
In this step, we will allow Remote Assistance access through the Windows Firewall using Group Policy. Again, you can create a new policy or edit the existing remote assistance policy.
I am editing the same policy that we just created in the above step. In the GPMC editor, go to Computer Configuration/Policies/Windows Settings. Expand Security Settings/Windows Defender Firewall with Advanced Security/Windows Defender Firewall with Advanced Security.
Right click Inbound Rules and click New Rule.
Under the Rule Type, select Port. Click Next.
On the Protocol and Ports window, select TCP and enter the port number 135. Click Next.
Select Allow the connection. Click Next.
Choose the profile to which the rule applies to. Click Next.
Finally specify a name to the firewall rule and click Finish.
Verify if Remote Assistance has been enabled or not
All you need to do now is wait for the policy to get applied on to your client computers. If the policy has been applied, you will notice the remote assistance feature is enabled.
Let’s check if the remote assistance has been enabled on our client computer. Login to the client computer and run the command systempropertiesremote.exe.
In the System Properties window, under Remote tab, look for Remote Assistance. The Allow Remote Assistance connection to this computer box is enabled.
In addition, let’s verify the firewall policy has been applied or not. On the client computer, run the command prompt as administrator. Run the command gpresult /r and notice the Remote Assistance policy under Computer Settings.
Enable Remote Assistance on Windows Server
As mentioned earlier, on a Windows Server does not have remote assistance feature enabled. Therefore you need to enable this feature. Open the Server Manager, click on Manage, click Add Roles and Features. Select Role based or feature based installation. Click Next.
Click Next.
From the list of features, select Remote Assistance. Click Next.
On the Confirmation window, click Install.
The remote assistance feature installation is complete. Click Close.
Still Need Help?
If you need further assistance on the above article or want to discuss other technical issues, check out some of these options.
Прочитано: 12 327
Если Вам надо администрировать рабочие станции пользователей в Вашей сети, к примеру, подключиться к пользователю, посмотреть что у него не, получается, посмотреть последовательность действий приводящих к ошибке да многое чего. Для этих целей существует много разного стороннего софта, номы воспользуемся тем, что предоставляет сама операционная система Windows. Это удалённый помощник. Далее я покажу, как на базе домена polygon.local настроить групповую политику и распространить её на компьютеры в домене.
Ранее в серии заметок на моем блоге www.ekzorchik.ru я описывал, как делегировать добавление в домен polygon.local рабочих станций пользователей. Продолжим серию настройки для этого контейнера (в данном случае IT). В вашем случае контейнер может отличаться.
Итак, у нас есть домен polygon.local на базе операционной системы Windows Server 2008 R2 Standard SP1.
Политика будет применять на компьютеры находящиеся в определённом контейнере.
Создадим групповую политику, на контейнер IT:
Запускаем «Start – Control Panel – Administrative Tools – Group Policy Management и после на контейнер IT создадим групповую политику.
И назовём её: – GPO_RemoteAssistant
Проверяем пока созданный шаблон групповой политики, которую будем настраивать.
На контейнер IT и на кого применять, т.е. в фильтры безопасности лучше добавить все аутентифицированные пользователи (Прошедшие проверку или Authenticated Users).
Теперь перейдем к редактированию созданной политики “GPO_RemoteAssistant”, следует
Отключаем политикой встроенный брандмауэр и включаем в свойствах компьютера подключение с использование удалённого помощника.
Computer Configuration (Конфигурация компьютера) – Policies ( Политики) – Administrative Templates (Административные шаблоны ) – Network (Сеть) – Network Connections (Сетевые подключения ) – Windows Firewall (Брандмауэр Windows ) – Domain Profile (Профили домена) :
Windows Firewall: Protect all network connections – Disabled
Брандмауэр Windows: Защита всех сетевых подключений – ОТКЛЮЧЕНО.
Включаем ведение журналов подключения с использованием удалённого помощника:
Computer Configuration (Конфигурация компьютера) – Policies (Политики) – Administrative Templates (Административные шаблоны) – System(Система) – Remote Assistance (Удалённый помощник ) :
Turn on session logging – Enabled
Включить ведение журналов сеансов – ВКЛЮЧЕНО.
Удалённый помощник можно настроить в двух вариантах (разрешить взаимодействие с удалённой рабочей станцией и разрешить только просмотр выполняемых действий), но я покажу на примере первого варианта:
Computer Configuration (Конфигурация компьютера) – Policies (Политики) – Administrative Templates (Административные шаблоны) – System(Система) – Remote Assistance (Удалённый помощник )
Solicited Remote Assistance (Allow helpers to remotely control the computer, 6 Hours, Simple MAPI)
Запрос удалённой помощи – ВКЛЮЧЕНО. (Помощники могут управлять компьютером, 6 часов, Simple MAPI)
А теперь делегируем определённым сотрудникам использование функции удалённого помощника.
Создадим пользователя и группу которая будет заниматься обслуживание рабочих станций и добавим туда этого пользователя.
Создание пользователя через командную строку, но можно и через GUI интерфейс оснастки Active Directory Users and Computers.
Создаём учётную запись test в контейнере IT:
C:\Windows\system32>dsadd user "cn=test,ou=it,dc=polygon,dc=local"
dsadd succeeded:cn=test,ou=it,dc=polygon,dc=local
Назначаем пароль для созданной учётной записи:
C:\Windows\system32>dsmod user "cn=test,ou=it,dc=polygon,dc=local" -pwd Aa1234567
dsmod succeeded:cn=test,ou=it,dc=polygon,dc=local
По умолчанию, создаваемые через командную строку пользователи помечаются, как блокируемые, разблокируем:
C:\Windows\system32>dsmod user "cn=test,ou=it,dc=polygon,dc=local" -disabled no
dsmod succeeded:cn=test,ou=it,dc=polygon,dc=local
Создаём группу:
C:\Windows\system32>dsadd group "CN=Remote_Assistance,ou=it,dc=polygon,dc=local"
dsadd succeeded:CN=Remote_Assistance,ou=it,dc=polygon,dc=local
Добавляем в созданную группу, созданную учётную запись:
C:\Windows\system32>dsmod group "CN=Remote_Assisntant,ou=it,dc=polygon,dc=local" -addmbr "CN=test,ou=it,dc=polygon,dc=local"
dsmod succeeded:CN= Remote_Assistance,ou=it,dc=polygon,dc=local
Предоставим созданной группе Remote_Assistance право на подключение к рабочим станциям пользователям:
Действия ниже включают политику для рабочих станций под управлением Windows 7:
Computer Configuration (Конфигурация компьютера) – Policies (Политики) – Administrative Templates (Административные шаблоны) – System(Система) – Remote Assistance (Удалённый помощник )
Offer Remote Assistance – Enable
Предлагать удалённую помощь – ВКЛЮЧЕНО (указываем, кому предоставляем доступ на подключение к другим рабочим станциям)
Открываем Show…, где прописываем домен (polygon.local)\Remote_Assistance
Действия ниже включают политику для рабочих станций под управлением Windows XP, нужно в эту же политику добавить внесение изменений в реестр, что я имею ввиду:
Создаём reg-файл следующего содержания и называем, его, к примеру, AllowToGetHelp.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fAllowToGetHelp"=dword:00000001
Данный файл следует поместить по адресу –
Computer Configuration – Policies – Windows Settings – Scripts (Startup / Shutdown) – Startup
Вы должны привести вот к такому виду –
Regedit
/s AllowToGetHelp.reg
На окне, свойств загрузки у Вас должно получиться вот так:
Нажимаем Apply, закрываем созданную политику. Политика настроена. Следует перезагрузить рабочие станции и удостовериться, что на рабочие станции применилась политика. В итоге должна быть установлена галочка, которая разрешает подключение к рабочей станции посредством функционала Windows, т.е. удалённого помощника. :::::Результат::::
На Windows 7:
Компьютер – Свойства – Дополнительные параметры системы – Удалённый доступ
На Windows XP:
Мой Компьютер – Свойства – Удалённые сеансы
Вот собственно и всё, в следующей заметке я рассмотрю, как пользоваться удалённым помощником. Следите за обновлениями на моём блоге.
Prerequisites
You will require the Group Policy Management Tools on Windows 7, Windows 8, Windows10, Windows Server 2008, Windows or Server 2012, Windows Server 2016 or Windows Server 2019. These are part of the Remote Server Administration Tools (RSAT) availabale form the Microsoft web site.
Instructions
To enable Remote Assistance and allow access through the Windows Firewall with Advanced Security using Group Policy (Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2012) please follow these instuctions.
Turning on Remote Access using Group Policy
-
- Edit an existing Group Policy object or create a new one using the Group Policy Management Tool.
- Expand the Computer Configuration/Policies/Software Settings/Administrative Templates/System/Remote Assistance node and open the Offer Remote Assistance rule.
- Check the Enabled radio button. Under Options: select Allow helpers to remotely control the computer from the drop down list. Click the Show… button.
- Enter the users or groups you want to have permissions to offer Remote Assistance, one per line. Then click OK.
- Click the OK button to exit and save the new setting.
- Make sure the Group Policy Object is applied to the relevant computers using the Group Policy Management Tool.
Allowing access through the Windows Firewall with Advanced Security using Group Policy
-
- Edit an existing Group Policy object or create a new one using the Group Policy Management Tool.
- Expand the Computer Configuration/Policies/Windows Settings/Security Settings/Windows Firewall with Advanced Security/Windows Firewall with Advanced Security/Inbound Rules node.
- Check the Predefined: radio button and select Remote Assistance from the drop down list. Click Next
- Check the Remote Assistance rules for the Domain Profile and click Next.
- Check the Allow the Connection radio botton and click Finish to exit and save the new rule.
- Make sure the Group Policy Object is applied to the relevant computers using the Group Policy Management Tool.
GPO – Disable the Remote Assistance feature
GPO – Disable the Remote Assistance feature
Would you like to learn how to use a group policy to disable the remote assistance feature on Windows? In this tutorial, we will show you how to create a group policy to disable the remote assistance on Windows.
• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Windows 11
Equipment list
Here you can find the list of equipment used to create this tutorial.
This link will also show the software list used to create this tutorial.
Windows Related Tutorial:
On this page, we offer quick access to a list of tutorials related to Windows.
Tutorial GPO – Disable remote assistance
On the domain controller, open the group policy management tool.
Create a new group policy.
Enter a name for the new group policy.
In our example, the new GPO was named: MY-GPO.
On the Group Policy Management screen, expand the folder named Group Policy Objects.
Right-click your new Group Policy Object and select the Edit option.
On the group policy editor screen, expand the Computer configuration folder and locate the following item.
Access the folder named Remote Assistance.
Disable the item named Configure offer remote assistance.
Disable the item named Configure solicited remote assistance.
To save the group policy configuration, you need to close the Group Policy editor.
Congratulations! You have finished the GPO creation.
Tutorial GPO – Disable remote assistance
On the Group policy management screen, you need to right-click the Organizational Unit desired and select the option to link an existent GPO.
In our example, we are going to link the group policy named MY-GPO to the root of the domain.
After applying the GPO you need to wait for 10 or 20 minutes.
During this time the GPO will be replicated to other domain controllers.
In our example, we disabled the remote assistance feature using a GPO.
VirtualCoin CISSP, PMP, CCNP, MCSE, LPIC22023-01-13T22:30:37-03:00
Related Posts
Page load link
Ok
В этой статье
- Введение
- Использование Удаленного помощника в сетях с брандмауэром
- Использование Удаленного помощника совместно с устройствами NAT
- Использование Групповой политики для Удаленного помощника
- Блокировка Удаленного помощника на отдельном компьютере
- Предложение Удаленной помощи
- Заключение
- Связанные ресурсы
Введение
Удаленный помощник позволяет доверенному лицу (другу, специалисту технической поддержки или ИТ администратору) удаленно в активном режиме помочь кому-либо в решении компьютерной проблемы. Помощник (в дальнейшем именуемый «эксперт») может видеть экран на компьютере пользователя, запросившего помощь, оказывать консультации и предлагать пути решения проблемы. С разрешения пользователя эксперт сможет управлять его компьютером, используя мышь и клавиатуру на своем компьютере. Для работы Удаленного помощника требуется, чтобы оба компьютера работали под управлением операционной системы Windows XP.
Типы подключений Удаленного помощника
Удаленный помощник может быть использован в следующих ситуациях:
- В пределах локальной сети (LAN).
- Через Интернет.
- Между отдельным компьютером в Интернет и компьютером за брандмауэром в Локальной сети. Соединения в сетях с брандмауэром требуют, чтобы TCP порт 3389 был доступен.
Организация защиты Удаленного помощника
С разрешения пользователя и при соответствующих настройках Групповой политики эксперт может управлять его компьютером и выполнять на нем любые задачи, доступные пользователю, включая работу в сети. Перечисленные ниже настройки помогут укрепить безопасность в Вашей организации:
-
Брандмауэр
. Разрешая или запрещая с помощью брандмауэра трафик через порт 3389, Вы можете определить, смогут ли служащие вашей организации запрашивать помощь за ее пределами. Для получения дополнительной информации обратитесь к разделу
Использование Удаленного помощника в сетях с брандмауэром далее в этой статье. -
Групповая политика
. Вы можете настроить Групповую политику, чтобы разрешить или запретить пользователям запросы помощи с использованием Удаленного помощника. Также есть возможность определить, в каких случаях пользователи разрешат кому-либо контролировать их компьютер или только наблюдать за ним. Кроме того, Вы можете настроить Групповую политику, чтобы разрешить или, наоборот, запретить эксперту предложения удаленной помощи без предварительного запроса от пользователя. Для получения дополнительной информации обратитесь к разделу
Использование Групповой политики для Удаленного помощника далее в этой статье. -
Отдельный компьютер
. Администратор отдельного компьютера может выключить запросы удаленного помощника, заблокировав тем самым отправку приглашений удаленного помощника любым пользователем этого компьютера. Для получения дополнительной информации обратитесь к разделу
Блокировка Удаленного помощника на отдельном компьютере далее в этой статье.
Предложение
Удаленной
помощи
Как правило, работа с Удаленным помощником начинается с запроса пользователем помощи по электронной почте или с использованием Windows Messenger. Тем не менее, эксперт может предложить помощь без предварительного запроса от новичка. Для получения дополнительной информации обратитесь к разделу
Предложение удаленной помощи далее в этой статье.
Использование удаленного помощника в сетях с брандмауэром
Для соединения между пользователем, запрашивающим помощь, и экспертом Удаленный помощник использует протокол Remote Desktop Protocol (RDP). В этом соединении протокол RDP использует TCP порт 3389. Следовательно, для того, чтобы пользователи в Вашей организации могли запрашивать помощь за ее пределами, порт 3389 должен быть открыт на корпоративном брандмауэре. Чтобы запретить пользователям запросы помощи за пределами организации, данный порт должен быть закрыт. Обратитесь к инструкции по администрированию брандмауэра, чтобы узнать, как открыть или закрыть порт 3389.
Примечания:
- Закрыв порт 3389, Вы запретите все не только все соединения Удаленного рабочего стола, но и соединения Терминальных служб. Если необходимо ограничить только запросы Удаленного помощника, используйте Групповую политику.
- Брандмауэр подключения к Интернету компании Microsoft, разработанный для использования только на автономных компьютерах или компьютерах в рабочих группах, не блокирует соединения Удаленного помощника.
Использование Удаленного помощника совместно с
NAT
Что
такое
NAT?
Преобразование сетевых адресов (Network Address Translation – NAT) – это стандарт инженерной группы по развитию Интернета (Internet Engineering Task Force — IETF). Он используется в случаях, когда необходимо предоставить в общий доступ одни глобальный маршрутизируемый адрес IPv4 нескольким компьютерам или сетевым устройствам в частной сети (использующих адресацию из частных диапазонов, таких, как 10.0.x.x, 192.168.x.x, 172.x.x.x). Наиболее распространенной причиной развертывания NAT является недостаточное количество сетевых адресов текущего поколения IPv4. NAT используется на устройствах, выполняющих роль шлюза на границе между публичной (Internet) и частной локальной сетью (LAN). Когда IP-пакет из частной локальной сети проходит сквозь шлюз, NAT преобразует частный IP адрес и порт в публичный IP адрес и порт, отслеживая данное преобразование, для поддержания целостности каждого соединения. Общий доступ к подключению Интернета в операционных системах Windows XP и Windows Me совместим с большинством Интернет шлюзов, использующих NAT (особенно для подключения к широкополосным сетям при помощи технологии DSL или кабельных модемов). Использование NAT наиболее популярно в большинстве домашних малых офисных сетях, где компьютеры имеют только одно подключение к сети Интернет.
Удаленный
помощник
и
NAT
Удаленный помощник поддерживает стандарт UPnP, позволяя осуществлять соединения через NAT-устройства, за исключением случаев, когда компьютеры новичка и эксперта находятся за NAT-устройством, не поддерживающим UPnP. В настоящее время брандмауэр подключения к Интернету, входящий в поставку Windows XP, поддерживает работу с UPnP.
Ниже описано как Удаленный помощник работает с UPnP:
1. Удаленный помощник определит общий Интернет IP адрес и номер порта TCP на UPnP NAT-устройстве, и вставит его в билет Удаленного помощника.
2. Общий Интернет адрес и номер TCP порта будут использованы для осуществления соединения через устройство NAT рабочей станцией новичка или эксперта с целью установки соединения удаленного помощника.
3. Запрос на соединение Удаленного помощника будет перенаправлен клиенту NAT-устройством.
Примечание:
Удаленный помощник не сможет установить соединение, если новичок, в сети которого установлено не-UPnP NAT-устройство, использовал для отправки приглашения электронную почту. При отправке приглашения посредством Windows Messenger соединение удаленного помощника будет работать через NAT-устройство, не поддерживающее UPnP, даже если эксперт находится за NAT устройством. Если оба компьютера — новичка и эксперта — находятся за NAT-устройствами, не поддерживающими UPnP, то соединение удаленного помощника установить не удастся. Ниже в Таблице 1 ниже показаны соединения Удаленного помощника, работающего совместно с устройствами NAT. Примечание: брандмауэр подключения к Интернету Windows 2000 не поддерживает UPnP.
Таблица 1. Подключения Удаленного помощника и устройства
NAT
|
Брандмауэр подключения к Интернет |
Не- |
UPnP NAT |
|
|
Связь по Messenger |
|||
|
Новичок |
Да |
Да |
Да |
|
Эксперт |
Да |
Да |
Да |
|
Новичок и Эксперт вместе |
Да |
Нет |
Да |
|
Связь по электронной почте |
|||
|
Новичок |
Да |
Нет |
Да |
|
Эксперт |
Да |
Да |
Да |
|
Новичок и эксперт вместе |
Да |
Нет |
Да |
Использование Групповой политики для Удаленного помощника
В сетевом окружении Active Directory Windows 2000 Server для управления Удаленным помощником вы можете использовать параметры Групповой политики – разрешающие или полностью блокирующие его использование. Используйте политику
Запрошенная удаленная помощь (
Solicited
Remote
Assistance), расположенную в оснастке Групповой политики (Конфигурация компьютера\Административные шаблоны\Система\Удаленный помощник) (Computer
Configuration\Administrative Templates\System\Remote Assistance), как показано на Рисунке 1 ниже.
Рисунок 1: . Управление Удаленным помощником с использованием Групповой политики
Запрошенная Удаленная помощь происходит в случае, когда пользователь компьютера посылает приглашение Удаленной помощи пользователю другого компьютера (эксперту).
Блокировка Удаленного помощника
Параметры политики
Запрошенная удаленная помощь (
Solicited
Remote
Assistance) по умолчанию не сконфигурированы, что позволяет отдельным пользователям настраивать Запрошенную удаленную помощь, используя Панель управления. По умолчанию из Панели управления доступны следующие настройки:
-
Запрошенная удаленная помощь (
Solicited
Remote
Assistance) включена; -
Allow buddy support
разрешена; -
Удаленное управление этим компьютером
(
Permit
remote
control of this computer) включено; -
Предельный срок, который приглашение может оставаться открытым (
Maximum
ticket time), равен 30 дней.
Следовательно, чтобы заблокировать пользователям доступ к Удаленному помощнику, Вы должны выключить политику
Запрошенная удаленная помощь (
Solicited
Remote
Assistance)
. Это запретит работу удаленного помощника для любого компьютера или пользователя, на которого распространяются данные параметры объекта Групповой политики (GPO). Например, Вы можете захотеть заблокировать некоторым группам доступ к Удаленному помощнику. Пользователь, принадлежащий к целевому Подразделению (OU), для которого применена политика, не сможет использовать Удаленного помощника.
Управление
удаленным
помощником
Включение параметра
Запрошенная удаленная помощь (
Solicited
Remote
Assistance)
позволяет Вам устанавливать разрешения, отличные от настроек по умолчанию, доступные, когда эта политика не задана. Как было описано ранее, у Вас может возникнуть необходимость определить, какие группы или пользователи смогут использовать Удаленного помощника. Пользователь, являющийся членом заданного Подразделения (OU), на которое распространяются параметры данной политики, сможет использовать Удаленного помощника, соответственно заданным Вами разрешениям.
Примечание:
Отправка приглашения Удаленного помощника не дает явного разрешения эксперту подключаться к компьютеру и/или контролировать его. Когда эксперт пытается подключиться, пользователь может либо принять, либо отказать в подключении (тем самым, предоставляя эксперту возможность только наблюдения за рабочим столом пользователя). Затем пользователь должен явно нажать на кнопку, чтобы разрешить эксперту удаленно управлять рабочим столом, если удаленное управление разрешено. Если этот параметр включен, Вы можете установить следующие настройки:
-
Allow
buddy
support
. Установка данного флажка подразумевает, что пользователь может запрашивать помощь у других пользователей (у друзей или коллег с использованием электронной почты или системы мгновенных сообщений), также, как и через канал, предустановленный производителем оборудования или программного обеспечения, корпоративной службой технической поддержки и так далее. Снятие данного флажка подразумевает, что пользователи смогу запрашивать помощь только по официальному каналу. -
Разрешить удаленное управление.
Данный параметр позволяет выбирать, в каких случаях эксперт сможет удаленно управлять компьютером, а когда сможет только наблюдать за рабочим столом пользователя. -
Максимальное
время
билета
.
Этот параметр определяет максимальное время, в течение которого запрос пользователя на удаленную помощь будет действителен. После истечения времени билета (запроса помощи) пользователь должен послать новый запрос для того, чтобы эксперт мог подключиться к его компьютеру.
Блокировка удаленного помощника на отдельном компьютере
Пользователи могут заблокировать Удаленного помощника на своих собственных компьютерах, установив необходимые параметры в Панели управления. Для того чтобы, заблокировать запросы удаленной помощи на отдельном компьютере
-
Откройте
Панель управления (
Control
Panel), щелкните
Производительность и обслуживание (
Performance
and
Maintenance), затем
Система (
System). -
На вкладке Удаленные сеансы, в панели Удаленный помощник, снимите флажок
Разрешить отправку приглашений удаленному помощнику, как показано ниже на Рисунке 2.
Рисунок 2: Блокировка удаленного помощника
Чтобы запретить удаленное управление этим компьютером с использованием Удаленного помощника
-
Откройте
Система в Панели управления. -
На закладке Удаленные сеансы, в панели Разрешить отправку приглашения удаленному помощнику, щелкните
Дополнительно. -
Снимите флажок
Разрешить удаленное управление этим компьютером, как показано ниже, на Рисунке 3.
Рисунок 3: Предотвращение доступа к Вашему компьютеру посредством удаленного помощника
Предложение Удаленной помощи
Иногда лучшим способом решения проблемы является наглядная демонстрация того, как можно решать проблемы подобного рода. Будучи экспертом или профессионалом в области технической поддержки, Вы можете инициировать запрос удаленной помощи без приглашения. Например, Вы можете обсуждать с другом компьютерную проблему и выбрать использование Удаленного помощника для ее решения. После того, как подключение будет выполнено, Вы увидите экран компьютера пользователя и обсуждать то, что Вы оба видите на нем. С разрешения пользователя Вы можете использовать Ваши мышь и клавиатуру для управления его компьютером.
Примечания
:
- Брандмауэры могут блокировать соединения Удаленного помощника. Попробуйте использовать Windows Messenger вместо электронной почты, чтобы установить соединение. Если и в этом случае не удается установить соединение, попросите системного администратора открыть для Вас порт 3389.
-
Если на пользовательском компьютере параметр Групповой политики параметр
Запрошенная удаленная помощь включен, эксперт может предлагать Удаленную помощь этому пользователю без предварительного приглашения. В редакторе Групповой политики на этом компьютере эксперт должен быть добавлен в список Помощники или входить в локальную группу Администраторы. -
Вы можете увеличить производительность работы во время сеанса связи Удаленного помощника, уменьшив качество цветопередачи на пользовательском компьютере. Используйте настройку
Качество цветопередачи на вкладке
Параметры, значок
Экран в
Панели управления, чтобы уменьшить количество цветов отображаемых на экране пользователя.
Чтобы предложить удаленную помощь без приглашения
-
Нажмите кнопку
Пуск, затем щелкните
Справка и поддержка. -
Под пунктом
Выбор задания, щелкните
Использование Служебных программ для просмотра информации о компьютере и диагностики неполадок. -
Под меню
Сервис в панели слева щелкните
Предложение удаленной помощи. -
Введите имя или IP-адрес компьютера, к которому Вы хотите подключиться, после чего нажмите кнопку
Подключиться, как показано ниже на Рисунке 4.
Рисунок 4: Предложение удаленной помощи
Чтобы предложить удаленную помощь пользователю, не приславшему приглашение, включите на компьютерах параметр Групповой политики
Предложение удаленной помощи, как показано ниже на Рисунке 5.
Рисунок 5: Включение Групповой политики для предложения удаленной помощи
Кроме того, Вы должны быть или членом группы Администраторы на данном компьютере, или присутствовать в списке Помощников в параметре
Разрешить предложение удаленной помощи, как показано ниже на Рисунке 6.
Рисунок 6: Настройка политики Запрошенная удаленная помощь
Чтобы включить Предложение удаленной помощи
-
Нажмите кнопку
Пуск, выберите
Выполнить, введите
gpedit
.
msc и нажмите
OK. -
В левой панели редактора Групповой политики под пунктом
Конфигурация компьютера дважды щелкните
Административные шаблоны, выберите пункт
Система, после чего щелкните
Удаленный помощник. -
В правой панели дважды щелкните
Предложение удаленной помощи и щелкните
Включен. Включив политику, Вы можете выбирать, позволено ли эксперту управление компьютером или только наблюдение за ним.
Несмотря на то, что эксперт может предлагать Удаленную помощь без предварительного запроса, пользователь должен дать разрешение на наблюдение за своим компьютером. Кроме того, пользователь должен дать разрешение на управление своим компьютером в случае, если такая возможность сконфигурирована.
Заключение
Управление Удаленным помощником может потребовать выполнения настроек для порта 3389, объектов Групповой политики и выполнения ряда других административных задач. Для управления Удаленным помощником администраторам доступны следующие технологии:
-
Брандмауэр
. Открывая или перекрывая брандмауэром соединения через порт 3389, администраторы могут определять, может ли служащий Вашей организации запрашивать помощь за ее пределами. -
Групповая политика
. С помощью Групповой политики Вы можете разрешать или запрещать запросы помощи с использованием Удаленного помощника. Также Вы можете определить, смогут ли пользователи разрешать эксперту контролировать их компьютер, или только наблюдать за ним. Кроме того, Вы можете настроить Групповую политику, чтобы разрешить или запретить эксперту предлагать удаленную помощь без предварительного запроса от пользователя. -
Отдельный компьютер
. Администратор отдельно взятого компьютера может выключить на нем возможность отправки приглашений удаленного помощника, что предотвратит его использование кем бы то ни было.Благодарности
Mike Seamans, Технический Писатель, Microsoft Corporation
Alvin Loh, Менеджер программных продуктов, Microsoft Corporation
John Kaiser, Технический Редактор, Microsoft Corporation
Автор: Станислав Павелко aka Yampo
Иcточник: (переведено с англ.) Microsoft Technet
Взято с oszone.ru
Оцените статью: Голосов