Главная System Center, Без рубрики, Новое Remote Tools и Windows 7
  • Remote Tools и Windows 7

    pc-remote-supportПервоначально я хотел в этой статье рассказать только о Remote Tools, но по мере написания статьи я понял, что нужно осветить и остальные способы удаленного управления клиентом в ConfigMgr 2007.

    В рамках статьи я буду придерживаться следующей терминологии:

    · Администратор – сотрудник, который подключается удаленно для выполнения каких-либо действий на компьютере пользователя, например сотрудник техподдержки. Не обязательно, чтобы этот человек обладал административными полномочиями на удаленной станции.

    · Пользователь – любой человек, который работает в локальном сеансе за компьютером и которому требуется оказать помощь.

    И так, в SCCM 2007 существует три варианта предоставления удаленного доступа к клиентской системе:

    · Remote Desktop

    · Remote Assistance

    · Remote Tools

    Первые два – штатные способы предоставления удаленного доступа в Windows. Механизм Remote Assistance рекомендуется использовать для оказания помощи пользователю. Например, необходимо понаблюдать за действиями пользователя, которые приводят к ошибке или наоборот показать пользователю что-то. Remote Desktop целесообразно использовать когда необходимо выполнить какие-либо административные задачи, не требующие участия пользователя. Например: установить приложение, обновление безопасности, изменить системные настройки Windows. Поскольку клиентские системы Windows могут быть использованы одновременно только одним пользователем, то подключение с помощью Remote Desktop вызовет отключение текущего пользователя. Рассмотрим, что же происходит при попытке подключения по RDP к машине, на которую выполнен локальный вход.

    В тот момент, когда администратор инициирует подключение к рабочей станции с помощью Remote Desktop, ему отображается уведомление о том, что обнаружен активный пользователь.

    clip_image001

    Если администратор выбирает вариант «Да», то на рабочей станции текущему пользователю отображает сообщение о попытке подключения к удаленному рабочему столу.

    clip_image002

    Скажу сразу, пользователь может отклонить подключение, выбрав вариант «Отмена» и тогда администратор увидит следующее сообщение:

    clip_image003

    Обойти данный механизм нельзя, и в таком случае правильнее всего будет прибегнуть к административно-организационным мерам.

    Если пользователь выбрал вариант «Да» или в течение 30 секунд не выбрал ни один из вариантов, происходит подключение удаленного сеанса, при этом сеанс текущего пользователя отходит в фон и пользователь видит экран приветствия Ctrl-Alt-Delete.

    clip_image004

    Пользователь может попробовать войти в свой сеанс, при этом он будет уведомлен о том, что с компьютером работает удаленный пользователь

    clip_image005

    Администратору в сеансе RDP отобразится запрос о подключении

    clip_image006

    Администратор, точно так же как и пользователь, может отклонить запрос.

    Еще раз хочу акцентировать внимание на том, что сеанс пользователя не завершается, а отходит в фон. Таким образом, все запущенные пользователем приложения будут продолжать работать.

    Remote Tools это механизм предоставления удаленного доступа в ConfigMgr 2007. Для работы Remote Tools могут использовать свой собственный видеодрайвер ConfigMgr. При использовании Windows 7 больше не требуется, чтобы служба Remote Desktop на клиентском компьютере была запущена. Кроме того, Remote Tools накладывает некоторые ограничения при своей работе. Во-первых, вы можете использовать Remote Tools только для подключения к активной сессии. Если вам нужно подключиться к рабочему столу, в тот момент, когда пользователь вышел из системы – используйте механизм Remote Desktop. Во-вторых, на клиентском компьютере сеанс работы Remote Tools запускается в контексте и с правами текущего пользователя, таким образом, пользователь может по своему желанию прервать сеанс Remote Tools. Сделать он это может двумя способами: штатным, если вы в настройках Remote Agent указали отображение клиента Remote Tools, либо завершив процесс RT.exe с помощью диспетчера задач. Рекомендую оставить значения по умолчанию и на клиенте отображать значок уведомления об использовании Remote Tools.

    clip_image007

    clip_image008

    По консоли в каждый дом!

    Подключение к клиентскому компьютеру с помощью всех трех методов (Remote Tools, Remote Assistance, Remote Desktop) возможно при использовании консоли администрирования ConfigMgr Management Console. Помимо доступа к удаленному управлению, при использовании консоли специалисты службы поддержки могут получать так же информацию инвентаризации через Resource Explorer. Конечно, если служба поддержки насчитывает большое количество сотрудников, которым необходим только функционал удаленного доступа, установка консоли администрирования SCCM в таком сценарии может показаться не совсем удобным решением. Есть несколько способ решения этой проблемы.

    Remote Desktop
    Я думаю, не секрет, что доступ к Remote Desktop вы можете получить, запустив штатное средство: Remote Desktop Connection или выполнив команду: mstsc. Подробнее о параметрах RDC можно узнать из статьи: Use command line parameters with Remote Desktop Connection.

    clip_image009

    Remote Assistance

    Доступ к Remote Assistance возможен при запуске мастера: Windows Remote Assistance (%windir%\system32\msra.exe)

    clip_image010

    Если перейти в режим расширенных настроек (Advance connection option for help desk), то будет запущен мастер выбора компьютера по IP адресу или имени компьютера.

    clip_image011

    Этот же мастер можно запустить, выполнив команду: %windir%\system32\msra.exe /offerra

    clip_image012

    Remote Tools

    Использование консоли администрирования ConfigMgr Management Console является единственным рекомендованным и поддерживаемым способом получения доступа через Remote Tools. Однако, если вы не хотите устанавливать консоль SCCM только для того, чтобы позволить сотрудникам поддержки подключаться к клиентам, вы можете вручную перенести файлы, необходимые для работы. Для запуска Remote Tools необходимы файлы: rdpencom.dll и rc.exe расположенные в папке %Console_Path%\AdminUI\bin\i386.

    clip_image013

    Права

    Для того чтобы средства удаленной помощи работали необходимо на межсетевом экране открыть определенных набор портов. Для простоты изложения, в таблице ниже, под сервером понимается любой компьютер, на котором администратор запускает средство удаленной помощи, а под клиентом – компьютер, к которому подключаются.

    Средство

    Порт

    Remote Desktop

    TCP port 135

    TCP port 3389

    Remote Assistance

    TCP port 135

    TCP port 3389

    Remote Tools

    TCP port 135

    TCP port 2701

    TCP port 2702

    Для того чтобы сотрудник поддержки мог подключиться к клиентскому компьютеру, его учетная запись должна быть членом одной из локальных групп на этом компьютере.

    Средство

    Локальная группа

    Remote Desktop

    «Remote Desktop Users»

    Remote Assistance

    «Offer Remote Assistance Helpers»

    Remote Tools

    «Remote Desktop Users»

    Если определенные сотрудники поддержки отвечают за поддержку клиентов только в определенных подразделениях или филиалах целесообразно добавлять учетные записи этих сотрудников в группы безопасности только на тех компьютерах, на которых это действительно необходимо. Для этого можно использовать групповые политики и в частности, механизм Restricted Groups.

    User Account Control (UAC)

    UAC впервые появился в Windows Vista, а затем был доработан в Windows 7. В идеале, UAC должен быть настроен таким образом, чтобы не позволять пользователю повышать свои права. К сожалению, реальность далека от идеала. Меньшим злом (по сравнению с отключением UAC) будет настройка UAC на запрос учетных данных. При этом желательно использовать Secure Desktop – это как раз то затенение, которое появляется при всплытии окна UAC с запросом учетных данных. Использование Security Desktop позволяет успешно защищаться от некоторого набора спуфинг-атак, поскольку сам вывод окна UAC при использовании Secure Desktop происходит с правами системы и в отдельном пространстве от программ пользователя.

    В групповой политике существует несколько параметров, которые задают поведение UAC (подробнее):

    · User Account Control: Admin Approval Mode for the built-in Administrator account

    · User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop

    · User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

    · User Account Control: Behavior of the elevation prompt for standard users

    · User Account Control: Detect application installations and prompt for elevation

    · User Account Control: Only elevate executables that are signed and validated

    · User Account Control: Only elevate UIAccess applications that are installed in secure locations

    · User Account Control: Run all administrators in Admin Approval Mode

    · User Account Control: Switch to the secure desktop when prompting for elevation

    · User Account Control: Virtualize file and registry write failures to per-user locations

    Выделены параметры, которые вам, возможно, придется изменить. Дело в том, что Remote Assistance и Remote Tools, в силу своих особенностей, не могут отобразить окно запроса UAC, если используется Secure Desktop.

    Если сотрудник поддержки попытается выполнить действия, которые требуют повышения прав и отображения UAC (в режиме Secure Desktop), то он увидит черный экран в случае с Remote Assistance и предложение, воспользоваться Remote Desktop, в случае использования Remote Tools.

    Правильным и безопасным способом решения этой проблемы будет использование Remote Desktop, для всех случаев, когда необходимы повышенные привилегии. Remote Desktop полностью поддерживает работу UAC во всех режимах. Кроме того, использование Remote Desktop является безопасным способом работы с повышением права на клиенте, с той точки зрения, что конечный пользователь не может отключить удаленный сеанс и таким образом, не сможет даже временно получить повышенные привилегии на компьютере. В случае использования Remote Assistance или Remote Tools пользователь в любой момент времени может отключить администратора от системы, и остаться один на один, например с запущенной с административными правами командной строкой. Поэтому старайтесь использовать Remote Desktop всегда, когда это возможно.

    Если вам все же необходимо использовать Remote Assistance\Remote Tools для работы с UAC существует два способа сделать это.

    Для Remote Tools

    Необходимо настроить следующие параметры

    Параметр

    Значение

    Описание

    Behavior of the elevation prompt for standard users

    Prompt for credentials

    Настраивает UAC на запрос учетных данных, при попытке повышения прав

    Switch to the secure desktop when prompting for elevation

    Enabled

    Указывает UAC, что необходимо переходить в режим Secure Desktop, перед запросом о повышении прав

    ConfigMgr Agent, при подключении по Remote Tools, самостоятельно временно отключает Secure Desktop. Таким образом, во время сеанса работы сотрудник технической поддержки может повышать права. После того, как сеанс Remote Tools завершен, ConfigMgr Agent снова включает Secure Desktop. Минус данного подхода состоит в том, что при нештатном завершении (пользователь завершил процесс через диспетчер задач) Secure Desktop останется выключенным до следующего применения политики.

    Для Remote Assistance

    В групповой политике есть параметр «Allow UIAccess applications to prompt for elevation without using the secure desktop», который в случае включения позволяет Remote Assistance временно отключать Secure Desktop. Плюс данного подхода в том, что даже если пользователь завершит процесс remote assistance на своем компьютере, система автоматически включит Secure Desktop.

    Собственно на этом все. Надеюсь, что эта статья поможет вам лучше понимать те способы оказания удаленной помощи, которые вы можете использовать.

    Alexey

Комментарии

  1. Здравствуйте!
    Я что-то не очень понял, чем Remote Assistance по сути отличаются от Remote Tools?
    За статью спасибо.

  2. Remote Tools – встроенная “фича” ConfigMgr. И в некоторых сценариях, ее удобнее использовать чем RA.

  3. Ясно,спасибо

  4. хорошая статья, можено было бы ещё дополнить
    Windows Remote Management Service

  5. WinRM всеже не для этого нужен, тем более что Василий Гусев делал неплохой обзор: http://itband.ru/2009/11/remote-execution/

  6. Remote Assistance отличается от Remote Tools еще тем, что для RA нельзя убрать запрос разрешения пользователя, в RT он прекрасно убирается.

    Спасибо за статью, очень кратко, но при этом очень подробно.

  7. “Поскольку клиентские системы Windows могут быть использованы одновременно только одним пользователем, то подключение с помощью Remote Desktop вызовет отключение текущего пользователя.” – вторая предложения часть неточна, описан частный случай.
    “Обойти данный механизм нельзя, и в таком случае правильнее всего будет прибегнуть к административно-организационным мерам.” – не соответствует действительности.
    “Если пользователь выбрал вариант «Да» или в течение 30 секунд не выбрал ни один из вариантов, происходит подключение удаленного сеанса, при этом сеанс текущего пользователя отходит в фон и пользователь видит экран приветствия Ctrl-Alt-Delete.” – также описан частный случай.

    Большинство действительно не знает, что через Remote Desktop, можно подключиться к сессии пользователя на любом компьютере в домене и сделать это можно и без разрешения пользователя.

  8. New, не откроете данный способ большинству? ) Хотелось бы предметно услышать.

  9. 1. В статье описаны настройки по умолчанию.
    2. Remote Desktop в Windows 7 не может использоваться для подключения и одновременной работы в активном сеансе пользователя. Подключение через RDC всегда будет вызывать отключение текущего пользователя.
    3. Если вам нужно подключаться к текущей сессии пользователя и при этом не отключать его – используйте Remote Assistance или Remote Tools

  10. Дя, я смотрю тут настоящие эксперты собрались =))))))))))))

  11. “Обойти данный механизм нельзя”
    Крайне неудачное нововведение. Более 90% пользователей не понимают разницу между выходом из системы и перезагрузкой, поэтому я всегда говорю – сохраните данные и сидите на жопе смирно, а я вас выкину из системы. На ХР это все работало отлично, с 7 грабли – пока пользователь не тыкнет ДА и не разрешит вход ничего не выйдет.
    ситуацию по идее должна решать групповая политика на уровне домена, но вот у меня она не решает – возможно, потому что в домене есть 2003 и 2008 контроллеры одновремененно, и на 2003 конечно adm файлы не имеют таких записей, которые требуются семерке