Задача: Оказывать удаленную помощь пользователям домена не используя сторонние программы(teamviewer, ammyy admin, VNC итд).
Пишу опять для себя ибо постоянно забываю какие групповые политики редактировать!
Допустим имя домена у нас DOMEN.LAN
Создаем политику FW and Remote Assistance (назыаем по своему вкусу)
- Конфигурация компьютера — Политики — АДМ Шаблоны — Система — Удаленный помощник
Включить оптимизацию пропускной способности (Полная оптимизация)
Настроить запрашиваемую удаленную помощь — Разрешить помощникам управлять компьютером(5 часов, SIMPLE MAPI)
Настроить предлагаемую удаленную помощь — Разрешить помощникам управлять компьютером(DOMEN.LAN\admin_name) - Конфигурация компьютера — Политики — Конфигурация Windows — АДМ Шаблоны — Система — Сеть — Сетевые подключения — Брандмауэр — Профиль домена
Брандмауэр Windows:Разрешить локальные исключения программ(Включено)
Брандмауэр Windows:Определение входящих исключений програм
a) %windir%\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Remote Assistance — Messenger
b) %windir%\pchealth\helpctr\binaries\HelpSvc.exe:*:Enabled:Offer Remote Assistance
c) %windir%\system32\sessmgr.exe:*:Enabled:Remote Assistance
Брандмауэр Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам (Указываем подсети)
Брандмауэр Windows:Разрешаем локальные исключения портов (Включено)
Брандмауэр Windows: Определение Входящих исключений портов (135:TCP:*:Enabled:Offer Remote Assistance )
Брандмауэр Windows: Разрешить исключения для входящих сообщений удаленного управления рабочим столом(Указываем подсети) - Конфигурация компьютера — Политики — Конфигурация Windows — Параметры Безопасности — Брандмауэр Windows в режиме повышенной безопасности — Правила входящих подключений
Создаем правило — выбираем предопределенные — Удаленный помощник
Создаем правило — выбираем предопределенные — Доступ к сети COM+ - В оснастке «Active Directory — пользователи и компьютеры» создаем группу «Удаленные помощники» и добавляем туда нужных пользователей.
- Конфигурация компьютера — Политики — Конфигурация Windows — Параметры Безопасности — Группы с ограниченным доступом
Добавляем группу — И выбираем ранее созданную группу «Удаленные помощники»,членов группы можно не добавлять. - На windows 7,8,8,1 windows server 2008R2,2012R2 создаем ярлык и вписываем туда C:\Windows\System32\msra.exe /offerra
Для того, чтобы на компьютерах с Windows 7 или Windows Vista «Удаленный помощник» мог ввести логин и пароль администратора при запросе UAC, можно включить следующий параметр групповой политики:конфигурация компьютера—политики—конфигурация windows—параметры безопасности—локальные политики—параметры безопасности:
1)Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав — отключен (если конечно он где то включался)
2)Контроль учетных записей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол. — включенЭти параметры позволяют UIA-приложениям, к которым относится и «Удаленный помощник», не использовать безопасный рабочий стол (secure desktop) при выводе запроса логина и пароля для повышения прав.