Главная System Center, Без рубрики, Новое ConfigMgt, Remote Assistance, Remote Desktop, Remote Tools, SCCM
  • Remote Tools и Windows 7

    pc-remote-supportПервоначально я хотел в этой статье рассказать только о Remote Tools, но по мере написания статьи я понял, что нужно осветить и остальные способы удаленного управления клиентом в ConfigMgr 2007.

    В рамках статьи я буду придерживаться следующей терминологии:

    · Администратор – сотрудник, который подключается удаленно для выполнения каких-либо действий на компьютере пользователя, например сотрудник техподдержки. Не обязательно, чтобы этот человек обладал административными полномочиями на удаленной станции.

    · Пользователь – любой человек, который работает в локальном сеансе за компьютером и которому требуется оказать помощь.

    И так, в SCCM 2007 существует три варианта предоставления удаленного доступа к клиентской системе:

    · Remote Desktop

    · Remote Assistance

    · Remote Tools

    Первые два – штатные способы предоставления удаленного доступа в Windows. Механизм Remote Assistance рекомендуется использовать для оказания помощи пользователю. Например, необходимо понаблюдать за действиями пользователя, которые приводят к ошибке или наоборот показать пользователю что-то. Remote Desktop целесообразно использовать когда необходимо выполнить какие-либо административные задачи, не требующие участия пользователя. Например: установить приложение, обновление безопасности, изменить системные настройки Windows. Поскольку клиентские системы Windows могут быть использованы одновременно только одним пользователем, то подключение с помощью Remote Desktop вызовет отключение текущего пользователя. Рассмотрим, что же происходит при попытке подключения по RDP к машине, на которую выполнен локальный вход.

    В тот момент, когда администратор инициирует подключение к рабочей станции с помощью Remote Desktop, ему отображается уведомление о том, что обнаружен активный пользователь.

    clip_image001

    Если администратор выбирает вариант «Да», то на рабочей станции текущему пользователю отображает сообщение о попытке подключения к удаленному рабочему столу.

    clip_image002

    Скажу сразу, пользователь может отклонить подключение, выбрав вариант «Отмена» и тогда администратор увидит следующее сообщение:

    clip_image003

    Обойти данный механизм нельзя, и в таком случае правильнее всего будет прибегнуть к административно-организационным мерам.

    Если пользователь выбрал вариант «Да» или в течение 30 секунд не выбрал ни один из вариантов, происходит подключение удаленного сеанса, при этом сеанс текущего пользователя отходит в фон и пользователь видит экран приветствия Ctrl-Alt-Delete.

    clip_image004

    Пользователь может попробовать войти в свой сеанс, при этом он будет уведомлен о том, что с компьютером работает удаленный пользователь

    clip_image005

    Администратору в сеансе RDP отобразится запрос о подключении

    clip_image006

    Администратор, точно так же как и пользователь, может отклонить запрос.

    Еще раз хочу акцентировать внимание на том, что сеанс пользователя не завершается, а отходит в фон. Таким образом, все запущенные пользователем приложения будут продолжать работать.

    Remote Tools это механизм предоставления удаленного доступа в ConfigMgr 2007. Для работы Remote Tools могут использовать свой собственный видеодрайвер ConfigMgr. При использовании Windows 7 больше не требуется, чтобы служба Remote Desktop на клиентском компьютере была запущена. Кроме того, Remote Tools накладывает некоторые ограничения при своей работе. Во-первых, вы можете использовать Remote Tools только для подключения к активной сессии. Если вам нужно подключиться к рабочему столу, в тот момент, когда пользователь вышел из системы – используйте механизм Remote Desktop. Во-вторых, на клиентском компьютере сеанс работы Remote Tools запускается в контексте и с правами текущего пользователя, таким образом, пользователь может по своему желанию прервать сеанс Remote Tools. Сделать он это может двумя способами: штатным, если вы в настройках Remote Agent указали отображение клиента Remote Tools, либо завершив процесс RT.exe с помощью диспетчера задач. Рекомендую оставить значения по умолчанию и на клиенте отображать значок уведомления об использовании Remote Tools.

    clip_image007

    clip_image008

    По консоли в каждый дом!

    Подключение к клиентскому компьютеру с помощью всех трех методов (Remote Tools, Remote Assistance, Remote Desktop) возможно при использовании консоли администрирования ConfigMgr Management Console. Помимо доступа к удаленному управлению, при использовании консоли специалисты службы поддержки могут получать так же информацию инвентаризации через Resource Explorer. Конечно, если служба поддержки насчитывает большое количество сотрудников, которым необходим только функционал удаленного доступа, установка консоли администрирования SCCM в таком сценарии может показаться не совсем удобным решением. Есть несколько способ решения этой проблемы.

    Remote Desktop
    Я думаю, не секрет, что доступ к Remote Desktop вы можете получить, запустив штатное средство: Remote Desktop Connection или выполнив команду: mstsc. Подробнее о параметрах RDC можно узнать из статьи: Use command line parameters with Remote Desktop Connection.

    clip_image009

    Remote Assistance

    Доступ к Remote Assistance возможен при запуске мастера: Windows Remote Assistance (%windir%\system32\msra.exe)

    clip_image010

    Если перейти в режим расширенных настроек (Advance connection option for help desk), то будет запущен мастер выбора компьютера по IP адресу или имени компьютера.

    clip_image011

    Этот же мастер можно запустить, выполнив команду: %windir%\system32\msra.exe /offerra

    clip_image012

    Remote Tools

    Использование консоли администрирования ConfigMgr Management Console является единственным рекомендованным и поддерживаемым способом получения доступа через Remote Tools. Однако, если вы не хотите устанавливать консоль SCCM только для того, чтобы позволить сотрудникам поддержки подключаться к клиентам, вы можете вручную перенести файлы, необходимые для работы. Для запуска Remote Tools необходимы файлы: rdpencom.dll и rc.exe расположенные в папке %Console_Path%\AdminUI\bin\i386.

    clip_image013

    Права

    Для того чтобы средства удаленной помощи работали необходимо на межсетевом экране открыть определенных набор портов. Для простоты изложения, в таблице ниже, под сервером понимается любой компьютер, на котором администратор запускает средство удаленной помощи, а под клиентом – компьютер, к которому подключаются.

    Средство

    Порт

    Remote Desktop

    TCP port 135

    TCP port 3389

    Remote Assistance

    TCP port 135

    TCP port 3389

    Remote Tools

    TCP port 135

    TCP port 2701

    TCP port 2702

    Для того чтобы сотрудник поддержки мог подключиться к клиентскому компьютеру, его учетная запись должна быть членом одной из локальных групп на этом компьютере.

    Средство

    Локальная группа

    Remote Desktop

    «Remote Desktop Users»

    Remote Assistance

    «Offer Remote Assistance Helpers»

    Remote Tools

    «Remote Desktop Users»

    Если определенные сотрудники поддержки отвечают за поддержку клиентов только в определенных подразделениях или филиалах целесообразно добавлять учетные записи этих сотрудников в группы безопасности только на тех компьютерах, на которых это действительно необходимо. Для этого можно использовать групповые политики и в частности, механизм Restricted Groups.

    User Account Control (UAC)

    UAC впервые появился в Windows Vista, а затем был доработан в Windows 7. В идеале, UAC должен быть настроен таким образом, чтобы не позволять пользователю повышать свои права. К сожалению, реальность далека от идеала. Меньшим злом (по сравнению с отключением UAC) будет настройка UAC на запрос учетных данных. При этом желательно использовать Secure Desktop – это как раз то затенение, которое появляется при всплытии окна UAC с запросом учетных данных. Использование Security Desktop позволяет успешно защищаться от некоторого набора спуфинг-атак, поскольку сам вывод окна UAC при использовании Secure Desktop происходит с правами системы и в отдельном пространстве от программ пользователя.

    В групповой политике существует несколько параметров, которые задают поведение UAC (подробнее):

    · User Account Control: Admin Approval Mode for the built-in Administrator account

    · User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop

    · User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

    · User Account Control: Behavior of the elevation prompt for standard users

    · User Account Control: Detect application installations and prompt for elevation

    · User Account Control: Only elevate executables that are signed and validated

    · User Account Control: Only elevate UIAccess applications that are installed in secure locations

    · User Account Control: Run all administrators in Admin Approval Mode

    · User Account Control: Switch to the secure desktop when prompting for elevation

    · User Account Control: Virtualize file and registry write failures to per-user locations

    Выделены параметры, которые вам, возможно, придется изменить. Дело в том, что Remote Assistance и Remote Tools, в силу своих особенностей, не могут отобразить окно запроса UAC, если используется Secure Desktop.

    Если сотрудник поддержки попытается выполнить действия, которые требуют повышения прав и отображения UAC (в режиме Secure Desktop), то он увидит черный экран в случае с Remote Assistance и предложение, воспользоваться Remote Desktop, в случае использования Remote Tools.

    Правильным и безопасным способом решения этой проблемы будет использование Remote Desktop, для всех случаев, когда необходимы повышенные привилегии. Remote Desktop полностью поддерживает работу UAC во всех режимах. Кроме того, использование Remote Desktop является безопасным способом работы с повышением права на клиенте, с той точки зрения, что конечный пользователь не может отключить удаленный сеанс и таким образом, не сможет даже временно получить повышенные привилегии на компьютере. В случае использования Remote Assistance или Remote Tools пользователь в любой момент времени может отключить администратора от системы, и остаться один на один, например с запущенной с административными правами командной строкой. Поэтому старайтесь использовать Remote Desktop всегда, когда это возможно.

    Если вам все же необходимо использовать Remote Assistance\Remote Tools для работы с UAC существует два способа сделать это.

    Для Remote Tools

    Необходимо настроить следующие параметры

    Параметр

    Значение

    Описание

    Behavior of the elevation prompt for standard users

    Prompt for credentials

    Настраивает UAC на запрос учетных данных, при попытке повышения прав

    Switch to the secure desktop when prompting for elevation

    Enabled

    Указывает UAC, что необходимо переходить в режим Secure Desktop, перед запросом о повышении прав

    ConfigMgr Agent, при подключении по Remote Tools, самостоятельно временно отключает Secure Desktop. Таким образом, во время сеанса работы сотрудник технической поддержки может повышать права. После того, как сеанс Remote Tools завершен, ConfigMgr Agent снова включает Secure Desktop. Минус данного подхода состоит в том, что при нештатном завершении (пользователь завершил процесс через диспетчер задач) Secure Desktop останется выключенным до следующего применения политики.

    Для Remote Assistance

    В групповой политике есть параметр «Allow UIAccess applications to prompt for elevation without using the secure desktop», который в случае включения позволяет Remote Assistance временно отключать Secure Desktop. Плюс данного подхода в том, что даже если пользователь завершит процесс remote assistance на своем компьютере, система автоматически включит Secure Desktop.

    Собственно на этом все. Надеюсь, что эта статья поможет вам лучше понимать те способы оказания удаленной помощи, которые вы можете использовать.

    Alexey

  • Главная Virtualization, Windows, Без рубрики, Новое Citrix, Citrix XenApp, Hyper-V, RDP, Remote Desktop
    • Вторая встреча Citrix User Group + Geek Speak Local

      CitrixUSerGroupУважаемые коллеги,

      11 октября при поддержке компаний Citrix и Microsoft в Москве пройдет вторая встреча Citrix User Group. В этот раз встреча будет более масштабной и интересной и будет объединена с Geek Speak Local.

      Geek Speak Local – это неформальная “не конференция” на которой известные аналитики, технические эксперты и блоггеры сами выбирают тему для обсуждения и отвечают на вопросы зала. Geek Speak заменяет стандартные маркетинговые презентации на живые дебаты с участием признанных ИТ-гуру.
      Специально для участия в мероприятии к нам в гости приедут такие гуру в области виртуализации, доставки приложений и Server Based Computing как Brian Madden, Harry Labana, Rick Dehlinger, Robert Morris и Fabian Kienle.

    • Главная Windows, Без рубрики, Новое RemApp, Remote Desktop
      • TS RemoteApp

        219663_aumentopoblacionДостаточно часто работа пользователя на терминальном сервере ограничивается запуском одного или нескольких приложений и не требует полноэкранной сессии. Технология Terminal Services RemoteApp (удаленные приложения) упрощает работу по такому сценарию. Удаленные приложения могут распространяться с помощью msi-пакетов и интегрироваться с локальной операционной системой. В частности, ярлыки этих приложений будут находиться в меню "Пуск" или на рабочем столе локального компьютера, а также использоваться при открытии ассоциированных с ними типов файлов.

      • Главная Windows, Без рубрики, Новое Remote Desktop, Windows Server 2008
        • TS Session Broker

          images Terminal Services Session Broker (посредник сеансов служб терминалов) – служба, позволяющая объединить несколько терминальных серверов в ферму. В предыдущей версии операционной системы подобной функциональностью обладала служба Terminal Server Session Directory. Она позволяла восстанавливать незавершенные сеансы при повторном соединении пользователя. В Windows Server 2008 эта служба была переименована, а также в ней добавился функционал по балансировке подключений. С помощью TS Session Broker можно обеспечить не только равномерную (по числу сессий) нагрузку на терминальные сервера, но и задать удельный вес сервера в ферме. Это позволяет направить большее число сессий на более производительные серверы.