Адміністрування Видаленого помічника

1. Вступ
2. Використання віддаленого помічника в мережах з брандмауером
3. Використання Видаленого помічника спільно з NAT
4. Використання Груповий політики для Видаленого помічника
5. Блокування віддаленого помічника на окремому комп'ютері
6. Пропозиція Віддаленої допомоги
7. висновок

В цій статті

• Вступ
• Використання Видаленого помічника в мережах з брандмауером
• Використання Видаленого помічника спільно з пристроями NAT
• Використання Груповий політики для Видаленого помічника
• Блокування Видаленого помічника на окремому комп'ютері
• Пропозиція Віддаленої допомоги
• висновок
• Інші ресурси

Вступ

Віддалений помічник дозволяє довіреній особі (одному, фахівця технічної підтримки або ІТ адміністратору) віддалено в активному режимі допомогти кому-небудь в рішенні комп'ютерної проблеми. Помічник (надалі іменований "експерт") може бачити екран на комп'ютері користувача, що запросив допомогу, надавати консультації та пропонувати шляхи вирішення проблеми. З дозволу користувача експерт зможе управляти його комп'ютером, використовуючи мишу і клавіатуру на своєму комп'ютері. Для роботи Видаленого помічника потрібно, щоб обидва комп'ютери працювали під управлінням операційної системи Windows XP.

Типи підключень Видаленого помічника

Віддалений помічник може бути використаний в наступних ситуаціях:

• В межах локальної мережі (LAN).
• Через Інтернет.
• Між окремим комп'ютером в Інтернет і комп'ютером за брандмауером в Локальної мережі. З'єднання в мережах з брандмауером вимагають, щоб TCP порт 3389 був доступний.

Організація захисту Видаленого помічника

З дозволу користувача і при відповідних настройках Груповий політики експерт може управляти його комп'ютером і виконувати на ньому будь-які завдання, доступні користувачеві, включаючи роботу в мережі. Перераховані нижче настройки допоможуть зміцнити безпеку в Вашої організації:

• Брандмауер. Вирішуючи або забороняючи за допомогою брандмауера трафік через порт 3389, Ви можете визначити, чи зможуть службовці вашої організації робити запити за її межами. Для отримання додаткової інформації зверніться до розділу Використання Видаленого помічника в мережах з брандмауером далі в цій статті.
• Групова політика. Ви можете налаштувати Групову політику, щоб дозволити або заборонити користувачам запити допомоги з використанням Видаленого помічника. Також є можливість визначити, в яких випадках користувачі дозволять будь-кому контролювати їх комп'ютер або тільки спостерігати за ним. Крім того, Ви можете налаштувати Групову політику, щоб дозволити або, навпаки, заборонити експерту пропозиції віддаленої допомоги без попереднього запиту від користувача. Для отримання додаткової інформації зверніться до розділу Використання Груповий політики для Видаленого помічника далі в цій статті.
• Окремий комп'ютер. Адміністратор окремого комп'ютера може вимкнути запити віддаленого помічника, заблокувавши тим самим відправку запрошень віддаленого помічника будь-яким користувачем цього комп'ютера. Для отримання додаткової інформації зверніться до розділу Блокування Видаленого помічника на окремому комп'ютері далі в цій статті.

Пропозиція Віддаленої допомоги

Як правило, робота з Вилученим помічником починається з запиту користувачем допомоги по електронній пошті або з використанням Windows Messenger. Проте, експерт може запропонувати допомогу без попереднього запиту від новачка. Для отримання додаткової інформації зверніться до розділу Пропозиція віддаленої допомоги далі в цій статті.

Використання віддаленого помічника в мережах з брандмауером

Для з'єднання між користувачем, робить запит допомогу, і експертом Віддалений помічник використовує протокол Remote Desktop Protocol (RDP). У цьому з'єднанні протокол RDP використовує TCP порт 3389. Отже, для того, щоб користувачі в Вашої організації могли робити запити за її межами, порт 3389 повинен бути відкритий на корпоративному брандмауері. Щоб заборонити користувачам запити допомоги за межами організації, даний порт повинен бути закритий. Зверніться до інструкції з адміністрування брандмауера, щоб дізнатися, як відкрити або закрити порт 3389.

Примітки:

• Закривши порт 3389, Ви забороните все не тільки всі з'єднання Видаленого робочого столу, але і з'єднання термінального служб. Якщо необхідно обмежити тільки запити Видаленого помічника, використовуйте Групову політику.
• Брандмауер підключення до Інтернету компанії Microsoft, розроблений для використання тільки на автономних комп'ютерах або комп'ютерах в робочих групах, не блокує з'єднання Видаленого помічника.

Використання Видаленого помічника спільно з NAT

Що таке NAT?

Перетворення мережевих адрес (Network Address Translation - NAT) - це стандарт інженерної групи з розвитку Інтернету (Internet Engineering Task Force - IETF). Він використовується у випадках, коли необхідно надати в загальний доступ одні глобальний маршрутизациї адресу IPv4 декількох комп'ютерів або мережевих пристроїв в приватній мережі (що використовують адресацію з приватних діапазонів, таких, як 10.0.xx, 192.168.xx, 172.xxx). Найбільш поширеною причиною розгортання NAT є недостатня кількість мережевих адрес поточного покоління IPv4. NAT використовується на пристроях, що виконують роль шлюзу на кордоні між публічною (Internet) і приватної локальною мережею (LAN). Коли IP-пакет з приватної локальної мережі проходить крізь шлюз, NAT перетворює приватний IP адреса і порт в публічний IP адреса і порт, відстежуючи дане перетворення, для підтримки цілісності кожного з'єднання. Загальний доступ до підключення Інтернету в операційних системах Windows XP і Windows Me сумісний з більшістю Інтернет шлюзів, які використовують NAT (особливо для підключення до широкосмугових мереж за допомогою технології DSL або кабельних модемів). Використання NAT найбільш популярно в більшості домашніх малих офісних мережах, де комп'ютери мають тільки одне підключення до мережі Інтернет.

Віддалений помічник і NAT

Віддалений помічник підтримує стандарт UPnP, дозволяючи здійснювати з'єднання через NAT-пристрої, за винятком випадків, коли комп'ютери новачка та експерта знаходяться за NAT-пристроєм, що не підтримують UPnP. В даний час брандмауер підключення до Інтернету, що входить в поставку Windows XP, підтримує роботу з UPnP.

Нижче описано як Віддалений помічник працює з UPnP:

1. Віддалений помічник визначить загальний Інтернет IP адреса і номер порту TCP на UPnP NAT-пристрої, і вставить його в квиток Видаленого помічника.

2. Загальний Інтернет адреса і номер TCP порту будуть використані для здійснення з'єднання через пристрій NAT робочою станцією новачка або експерта з метою встановлення з'єднання віддаленого помічника.

3. Запит на з'єднання Видаленого помічника буде перенаправлений клієнту NAT-пристроєм.

Примітка: Віддалений помічник не зможе встановити з'єднання, якщо новачок, в мережі якого встановлене не-UPnP NAT-пристрій, використовував для відправки запрошення електронну пошту. При відправці запрошення за допомогою Windows Messenger з'єднання віддаленого помічника буде працювати через NAT-пристрій, що не підтримує UPnP, навіть якщо експерт знаходиться за NAT пристроєм. Якщо обидва комп'ютера - новачка і експерта - знаходяться за NAT-пристроями, не підтримують UPnP, то з'єднання віддаленого помічника встановити не вдасться. Нижче в Таблиці 1 нижче показані з'єднання Видаленого помічника, який працює спільно з пристроями NAT. Примітка: брандмауер підключення до Інтернету Windows 2000 не підтримує UPnP.

Таблиця 1. Підключення Видаленого помічника і пристрої NAT

Брандмауер підключення до Інтернет Windows XP

Не- UPnP NAT пристрій

UPnP NAT пристрій

Зв'язок з Windows
Messenger

новачок

Так

Так

Так

експерт

Так

Так

Так

Новачок і Експерт разом

Так

немає

Так

Зв'язок по електронній пошті

новачок

Так

немає

Так

експерт

Так

Так

Так

Новачок і експерт разом

Так

немає

Так

Використання Груповий політики для Видаленого помічника

У мережевому оточенні Active Directory Windows 2000 Server для управління Вилученим помічником ви можете використовувати параметри Груповий політики - дозволяють або повністю блокують його використання. Використовуйте політику Запрошення віддалена допомога (Solicited Remote Assistance), розташовану в оснащенні Груповий політики (Конфігурація комп'ютера \ Адміністративні шаблони \ Система \ Віддалений помічник) (Computer
Configuration \ Administrative Templates \ System \ Remote Assistance), як показано на рисунку 1 нижче.

Малюнок 1: . Управління Вилученим помічником з використанням Груповий політики

Запрошення Тимчасова допомога відбувається в разі, коли користувач комп'ютера посилає запрошення Віддаленої допомоги користувачеві іншого комп'ютера (експерту).

Блокування Видаленого помічника

Параметри політики Запрошення віддалена допомога (Solicited Remote Assistance) за замовчуванням не сконфігуровані, що дозволяє окремим користувачам налаштовувати запитаних віддалену допомогу, використовуючи Панель управління. За замовчуванням з Панелі управління доступні наступні настройки:

• Запрошення віддалена допомога (Solicited Remote Assistance) включена;
• Allow buddy support дозволена;
• Віддалене управління цим комп'ютером (Permit remote control of this computer) включено;
• Граничний термін, який запрошення може залишатися відкритим (Maximum ticket time), дорівнює 30 днів.

Отже, щоб заблокувати користувачам доступ до віддаленої допомоги, Ви повинні вимкнути політику Запрошення віддалена допомога (Solicited Remote Assistance). Це заборонить роботу віддаленого помічника для будь-якого комп'ютера або користувача, на якого поширюються дані параметри об'єкта Груповий політики (GPO). Наприклад, Ви можете захотіти заблокувати деяким групам доступ до віддаленої допомоги. Користувач, що належить до цільового Підрозділу (OU), для якої застосовано політика, не зможе використовувати Видаленого помічника.

Управління віддаленим помічником

Включення параметра Запрошення віддалена допомога (Solicited Remote Assistance) дозволяє встановлювати дозволи, відмінні від налаштувань за замовчуванням, доступні, коли ця політика не задана. Як було описано раніше, у Вас може виникнути необхідність визначити, які групи або користувачі зможуть використовувати Видаленого помічника. Користувач, який є членом заданого Підрозділи (OU), на яке поширюються параметри даної політики, зможе використовувати Видаленого помічника, відповідно заданим Вами дозволами.

Примітка: Відправлення запиту Видаленого помічника не дає явного дозволу експерту підключатися до комп'ютера і / або контролювати його. Коли експерт намагається підключитися, користувач може або прийняти, або відмовити в підключенні (тим самим, надаючи експерту можливість тільки спостереження за робочим столом користувача). Потім користувач повинен явно натиснути на кнопку, щоб підтвердити свою згоду експерту дистанційно керувати робочим столом, якщо віддалене управління дозволено. Якщо цей параметр включений, Ви можете встановити наступні настройки:

• Allow buddy support. Установка даного прапорця на увазі, що користувач може робити запити у інших користувачів (у друзів або колег з використанням електронної пошти або системи миттєвих повідомлень), також, як і через канал, встановлений виробником обладнання або програмного забезпечення, корпоративною службою технічної підтримки і так далі. Зняття цього прапорця на увазі, що користувачі зможу робити запити тільки за офіційним каналу.
• Дозволити віддалене управління. Даний параметр дозволяє вибирати, в яких випадках експерт зможе дистанційно керувати комп'ютером, а коли зможе тільки спостерігати за робочим столом користувача.
• Максимальний час квитка. Цей параметр визначає максимальний час, протягом якого запит користувача на віддалену допомогу буде дійсний. Після закінчення часу квитка (запиту допомоги) користувач повинен послати новий запит для того, щоб експерт міг підключитися до його комп'ютера.

Блокування віддаленого помічника на окремому комп'ютері

Користувачі можуть заблокувати Видаленого помічника на своїх власних комп'ютерах, встановивши необхідні параметри на панелі керування. Для того щоб, заблокувати запити віддаленої допомоги на окремому комп'ютері

1. Відкрийте Панель управління (Control Panel), клацніть Продуктивність і обслуговування (Performance and Maintenance), потім Система (System).
2. На вкладці Дистанційні сеанси, в панелі Віддалений помічник, зніміть прапорець Дозволити відправку запрошень віддаленого помічника, як показано нижче на рисунку 2.

Малюнок 2: Блокування віддаленого помічника

Щоб заборонити віддалене управління цим комп'ютером з використанням Видаленого помічника

1. Відкрийте Система в Панелі управління.
2. На закладці Дистанційні сеанси, в панелі Дозволити відправку запрошення віддаленого помічника, клацніть Додатково.
3. Зніміть прапорець Дозволити віддалене управління цим комп'ютером, як показано нижче, на рисунку 3.

Малюнок 3: Запобігання доступу до Вашого комп'ютера за допомогою віддаленого помічника

Пропозиція Віддаленої допомоги

Іноді кращим способом вирішення проблеми є наочна демонстрація того, як можна вирішувати проблеми подібного роду. Будучи експертом або професіоналом в області технічної підтримки, Ви можете ініціювати запит віддаленій допомоги без запрошення. Наприклад, Ви можете обговорювати з другом комп'ютерну проблему і вибрати використання Видаленого помічника для її вирішення. Після того, як підключення буде виконано, Ви побачите екран комп'ютера користувача і обговорювати те, що Ви обоє бачите на ньому. З дозволу користувача Ви можете використовувати Ваші миша і клавіатуру для управління його комп'ютером.

Примітки:

• Брандмауери можуть блокувати з'єднання Видаленого помічника. Спробуйте використовувати Windows Messenger замість електронної пошти, щоб встановити з'єднання. Якщо і в цьому випадку невдалої спроби здійснити дзвінок, попросіть системного адміністратора відкрити для Вас порт 3389.
• Якщо на комп'ютері користувача параметр Груповий політики параметр Запрошення віддалена допомога включений, експерт може пропонувати Вилучену допомогу цьому користувачу без попереднього запрошення. У редакторі Груповий політики на цьому комп'ютері експерт повинен бути доданий в список Помічники або входити в локальну групу Адміністратори.
• Ви можете збільшити продуктивність роботи під час сеансу зв'язку Видаленого помічника, зменшивши якість передачі кольору на комп'ютері користувача. Під час налаштування Якість передачі кольору на вкладці Параметри, значок Екран в Панелі управління, щоб зменшити кількість кольорів, що відображаються на екрані користувача.

Щоб запропонувати віддалену допомогу без запрошення

1. Натисніть кнопку Пуск, потім клацніть Довідка та підтримка.
2. Під пунктом Вибір завдання, клацніть Використання Службових програм для перегляду інформації про комп'ютер і діагностики неполадок.
3. Під меню Сервіс в панелі зліва натисніть Пропозиція віддаленої допомоги.
4. Введіть ім'я або IP-адреса комп'ютера, до якого Ви хочете підключитися, після чого натисніть кнопку Підключитися, як показано нижче на рисунку 4.

Малюнок 4: Пропозиція віддаленої допомоги

Щоб запропонувати віддалену допомогу користувачеві, який не надіслав запрошення, включіть на комп'ютерах параметр Груповий політики Пропозиція віддаленої допомоги, як показано нижче на рисунку 5.

Малюнок 5: Включення Груповий політики для пропозиції віддаленої допомоги

Крім того, Ви повинні бути або членом групи Адміністратори на даному комп'ютері, або бути присутнім в списку Помічників в параметрі Дозволити пропозицію віддаленої допомоги, як показано нижче на рисунку 6.

Малюнок 6: Налаштування політики Запрошення віддалена допомога

Щоб включити Пропозиція віддаленої допомоги

1. Натисніть кнопку Пуск, виберіть команду Виконати, введіть gpedit. msc і натисніть OK.
2. У лівій панелі редактора Груповий політики під пунктом Конфігурація комп'ютера двічі клацніть Адміністративні шаблони, виберіть пункт Система, після чого клацніть Віддалений помічник.
3. У правій панелі двічі клацніть Пропозиція віддаленої допомоги і клацніть Включений. Включивши політику, Ви можете вибирати, чи дозволено експерту управління комп'ютером або тільки спостереження за ним.

Незважаючи на те, що експерт може пропонувати Вилучену допомогу без попереднього запиту, користувач повинен дати дозвіл на спостереження за своїм комп'ютером. Крім того, користувач повинен дати дозвіл на управління своїм комп'ютером у разі, якщо така можливість налаштована.

висновок

Управління Вилученим помічником може зажадати виконання налаштувань для порту 3389, об'єктів Груповий політики і виконання ряду інших адміністративних завдань. Для управління Вилученим помічником адміністраторам доступні наступні технології:

• Брандмауер. Відкріваючі або перекріваючі брандмауер з'єднання через порт 3389, адміністратори могут візначаті, чи мож службовець Вашої организации делать Предложения за ее межами.
• Групова політика. С помощью груповий політики Ви можете дозволяті або забороняті Предложения допомоги з Використання Відаленого помічника. Також Ви можете визначити, чи зможуть користувачі дозволяти експерту контролювати їх комп'ютер, або тільки спостерігати за ним. Крім того, Ви можете налаштувати Групову політику, щоб дозволити або заборонити експерту пропонувати віддалену допомогу без попереднього запиту від користувача.
• Окремий комп'ютер. Адміністратор окремо взятого комп'ютера може вимкнути на ньому можливість відправки запрошень віддаленого помічника, що запобіжить його використання ким би то не було.
  

  Подяки

  Mike Seamans, Технічний Письменник, Microsoft Corporation
  Alvin Loh, Менеджер програмних продуктів, Microsoft Corporation
  John Kaiser, Технічний Редактор, Microsoft Corporation
  

Автор: Станіслав Павелко aka Yampo
Іcточнік: (переведено з англ.) Microsoft Technet
взято з oszone.ru