Работая системным администратором и не имея доступ к бюджету компании.

Печальная печаль (((

Появилась необходимость в удалённом подключении к пользователям сети. Домен рос, пользователей тьма. Закупать Radmin? Ставить AM? Windows, друг, приходи на помощь.

Разберём по этапам весь процесс, как настроить удалённый помощник Windows в домене для пользователей домена, где администраторы могут посылать запрос на просмотр, а далее второй запрос на управление (это очень важно, особенно для руководителей компании). В сети рассматриваем операционные системы: Windows XP, их ещё полно. Windows 7, 8х, 10.

Приступим к затее. Распишем этапы работ.

1. Настроим групповую политику, где админам разрешим удалённый помощник и права на управление.
2. Настроим фильтры для операционных систем, операционки разные, фильтры разные.
3. Разрешим пользователям изменять поле «описание» в AD для удобства определения, кто залогинен за ПК.
4. Создадим правильные ярлыки для работы.

Настраиваем групповую политику.

Win+R – mmc – файл — добавить или удалить оснастку – управление групповой политикой – ОК . Всё описанное делаем на контроллере домена.

Открываем наши имеющиеся политики в домене. Добавляем новую для Windows 7 и выше понятно её называем.

Нам потребуется добавить:

Конфигурация Windows.

Скрипт в автозагрузку, который будет проверять, включена ли возможность использования модели DCOM. Содержание самого скрипта EnableDCOM.vbs

" || EnableDCOM.vbs
" || Скрипт проверяет включена ли возможность использования модели DCOM, если выключено или значение отлично от Y, то он запишет нужный параметр в реестр.
Option Explicit
On Error Resume Next
Dim WshShell
Set WshShell = CreateObject(«WScript.Shell»)
WshShell.RegWrite «HKEY_LOCAL_MACHINE\Software\Microsoft\Ole\EnableDCOM», «Y», «REG_SZ»

Включаем — Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.

Включаем —Разрешать удаленное подключение с использованием служб удаленных рабочих столов.

Включаем — Включить ведение журнала сеансов
Включаем — Включить оптимизацию пропускной способности
Отключаем — Запрос удаленной помощи. Посылки помощи не желательны, достаточно позвонить на SD.
Отключаем — Настройка предупреждающих сообщений.

Включаем — предлагать удалённую помощь, и добавляем группу администраторов, которые могут править миром в части удалённых помощников в сети домена.

С политикой для Winodws 7 и выше закончено. Переходим к Windows XP. Единственное, что нам надо, добавить условие — если это XP, добавить в реестр строку. Добавляем файл RemoteAssistance.reg

Windows Registry Editor Version 5.00

«fAllowToGetHelp»=dword:00000001

Политики готовы, накладываем эти политики на наши доменные ПК.

Добавляем политику для администраторов. создаём политику RemDeskAdm можно назвать как угодно.

Включаем:
Всегда запрашивать пароль при подключении
Установить уровень шифрования для клиентских подключений

Привязываем данную политику либо администраторам домена, либо создаём группу и добавляем к политике.

Переходим к этапу 2.

Настраиваем фильтры для операционных систем.

В чём смысл? Всё дело в том, что для Windows XP требуется добавление в реестр строки, для всех остальных — нет. Следовательно, если система будет определять, что на удалёнке Windows XP, то прописывать в реестр строку, если нет, то просто игнорировать.

Добавляем фильтр с определением версии Windows и привязываем её к политике для winXP.

Пространство имён — добавляем root\CIMv2

Сам код с определением версии Windows:

select * from Win32_OperatingSystem where Version like «5.1» and ProductType = «1»

Привязываем наш фильтр к нашей политике для Windows XP.

Теперь про фильтр для политики Windows 7 и выше, вот его тело:

Select * from Win32_OperatingSystem where Version like «6.1» and ProductType = «1»

Она так же накладывается на политику Windows 7 и выше, как и предыдущая, но я её снял. Причина: она цепляется на все наши ПК. К ПК на Windows XP применяется только отдельный фильтр для добавления строки в реестр. А версии Windows-то уже не только 6.1. Следовательно, ставить её не будем, в противном случае придётся делать для всех отличных от 6.1 версий отдельные политики.

Разрешим пользователям изменять поле «описание» в AD

Спорное решение, но мне удобно. Я вижу, под какой учёткой на ПК сейчас коннект.

Делается это добавлением двух скриптов, один — при входе в систему, второй — при выходе из системы.

Сами скрипты в формате file.vbs:

On Error Resume Next
Dim adsinfo, ThisComp, oUser



Thiscomp.put «description», «Logged on: » + oUser.cn + » » + CStr(Now)
ThisComp.Setinfo

On Error Resume Next
Dim adsinfo, ThisComp, oUser
Set adsinfo = CreateObject(«adsysteminfo»)
Set ThisComp = GetObject(«LDAP://» & adsinfo.ComputerName)
Set oUser = GetObject(«LDAP://» & adsinfo.UserName)
Thiscomp.put «description», «>> Logged off: » + oUser.cn + » » + CStr(Now)
ThisComp.Setinfo

Накладываем данную политику уже на контейнер пользователей.

Создаём правильные ярлыки для удалённого подключения к пользователям.

Для работы через Удалённый помощник Windows в домене достаточно создать ярлык:

Windows 7

%windir%\system32\msra.exe /offerra

Windows XP

%windir%\pchealth\helpctr\binaries\helpctr.exe /url hcp://CN=Microsoft%20Corporation, L=Redmond, S=Washington, C=US/Remote%20Assistance/Escalation/unsolicited/unsolicitedrcui.htm

Всё!!! Перегружаем ПК пользователей, либо через cmd обнавляем политики домена.

Открываем помощника, вводим имя ПК пользователя и работаем.

Удачи в реализации удалённого помощника Windows в домене.

Related Posts:

Для того что бы использовать функцию Удаленного помощника, первым делом необходимо убедиться, что эта функция включена на обоих компьютерах (хотя по умолчанию она включена на всех компьютерах). Заходим в "Пуск"-"Панель управления"- "Система" (выбрав в Просмотре- Мелкие значки), нажимаете "Настройка удаленного доступа", еще один способ- нажать правой кнопкой мыши на "Компьютер" - "Свойства"- "Настройка удаленного доступа".

На вкладке Удаленный доступ убедитесь в том, что стоит галочка "Разрешить подключение удаленного помощника к этому компьютеру ".

Если нажать кнопку "Дополнительно " можно изменить срок, в течении которого приглашение может оставаться доступным.

Теперь необходимо запустить удаленный помощник на компьютере к которому будет подключаться пользователь. Что бы не запутаться первым компьютером будет называться компьютер к которому подключаются, вторым- который подключается, т.е. второй компьютер подключается к первому.

Нажимаем "Удаленный помощник "

В окне Удаленного помощника выбираем "Пригласить того, кому вы доверяете, для оказания помощи ".

После этого необходимо выбрать способ отправки приглашения. Начнем с конца:

Easy Connect - можно использовать только в локальной сети, при условии, что на локальном сервере Windows Server 2008 имеется протокол Peer Name Resolution Protocol, или для отправки запроса на помощь в Интернет (если ваш маршрутизатор поддерживает это).

Пригласить по электронной почте - подойдет, если на компьютере установлена совместимая программа электронной почты (например Outlook).

Сохранить приглашение как файл - наиболее универсальный способ, приглашение сохраняется в виде файла и ваша задача любыми способами передать его на второй компьютер (можно использовать- электронную почту, Skype, ftp сервер и т.д.). Поскольку этот метод наиболее универсален, в этом примере я буду использовать его.

Выбираем место сохранения и нажимаем "Сохранить ".

После этого откроется окно с паролем для подключения к этому компьютеру, его так же нужно передать на второй компьютер, посредством все той же почты, Skype, ICQ, телефонного звонка, СМС и т.д.

Переходим ко второму компьютеру с которого мы будем подключаться к первому. Запускаем Удаленный помощник Windows. Для этого нажимаем "Пуск"- "Все программы"- "Обслуживание"- "Удаленный помощник Windows" или в строке поиска программы введите "Удаленный помощник " и выберите его в найденных программах.

Выбираем "Помочь тому кто вас пригласил ".

На следующем шаге выбираем "Используйте файл приглашения ".

Указываем на файл переданный нам с первого компьютера.

Вводим пароль, опять же переданный с первого компьютера.

После этого на первом компьютере увидим сообщение о попытке подключиться к этому компьютеру. Нажимаем "Да ".

Теперь на втором компьютере откроется окно Удаленного помощника Windows в котором вы увидите экран рабочего стола компьютера. Но вы сможете только наблюдать за действия первого пользователя, для того что бы получить управление, необходимо нажать "Запросить управление ".

При этом шаге на первом компьютере появится окно о запросе на разрешение по управлению, нажимаем "Да ".

Теперь вы получили доступ к компьютеру. На первом компьютере появится окно Удаленного помощника в котором можно прекратить доступ к рабочему столу на время (кнопка Приостановить), обмениваться сообщениями (кнопка Разговор) или вообще прекратить сеанс (Прекратить удаленное управление).

В процессе освоения компьютера по каждому вопросу в сервисный центр не набегаешься, и, задавшись целью повысить свой уровень познания компьютерных технологий, важно позаботиться о том, чтобы более опытные в этом деле товарищи всегда могли прийти на помощь. Оказать помощь неофиту компьютерные гуру могут в режиме удалённого доступа.

Таковой позволяет одним пользователям через сеть подключаться к компьютеру других пользователей и управлять им. Безусловно, всех проблем с компьютером таким образом не решить, но, если тот запускается и подключён к Интернету, компьютерная помощь может быть оказана и в режиме онлайн .

Для оказания и получения компьютерной помощи в режиме удалённого доступа в операционной системе Windows чаще используются сторонние программы – например, , или Radmin . Но в Windows версий 7, 8, 8.1 имеется штатная функция удалённого помощника для оказания компьютерной помощи.

Как работать с удалённым помощником Windows – и получать помощь, и её оказывать – в этих вопросах и будем разбираться ниже.

Помимо того, что у обоих пользователей на компьютере должны быть установлены версии Windows 7 , 8 или 8.1 , в некоторых случаях, например, когда используется сторонний файервол (брандмауэр) с настройками усиленной безопасности, этот файервол потребуется временно отключить , чтобы он не препятствовал удалённому доступу.

Проверка активности удалённого помощника

В большинстве случаев функция удалённого помощника в операционной системе будет активной по умолчанию. Исключение могут составлять редкие случаи, когда отключение намеренно было произведено другими пользователями компьютера или изначально при сборке пиратских версий Windows. Потому прежде чем приступить к использованию удалённого помощника, удостоверимся, что он активен.

Заходим в панель управления системы. Для Windows 8.1 это соответствующая опция в контекстном меню на кнопке «Пуск» .

В Windows 7 переход в панель управления доступен в классическом меню «Пуск» .

В панели управления заходим в раздел .

Выбираем .

И проверяем, выставлена ли галочка разрешения функционирования удалённого помощника .

Теперь можем приступать непосредственно к работе с ним.

Запуск удалённого помощника

В Windows 8.1 можем вернуться в раздел панели управления и нажать опцию запуска удалённого помощника.

Более простой способ открыть окно удалённого помощника – с помощью системного поиска .

В Windows 7 эту функцию проще всего запустить, прописав запрос в строке поиска меню «Пуск» .

Удалённый помощник откроется в отдельном окошке, где необходимо выбрать дальнейшие шаги – либо просить оказания компьютерной помощи, либо её оказывать самому.

Приглашение для оказания компьютерной помощи

Для начала рассмотрим процесс, когда помощь требуется. К этому компьютеру и будет открыт удалённый доступ. В окне удалённого помощника выбираем приглашение того, кто будет оказывать помощь .

Далее увидим несколько предлагаемых действий. С помощью системы Easy Connect , несмотря на её название, на самом деле не так-то уж и легко установить соединение. Оба компьютера – и пользователя, просящего помощь, и эту помощь оказывающего, должны быть под управлением Windows 8.1 . Но даже в этом случае установить соединение получится не всегда. В большинстве случаев придётся использовать два других способа с созданием файла приглашения для того, кто будет оказывать помощь. Впрочем, особо сложными эти действия назвать нельзя. Выбираем сохранение приглашения в файл .

Сохраняем файл этого приглашения.

Затем на экране появится форма удалённого помощника с паролем, который будет необходим пользователю, оказывающему компьютерную помощь. Можем сразу скопировать пароль в буфер обмена единственной возможной опцией в контекстном меню, вызванном на этом пароле.

Теперь и файл приглашения, и скопированный пароль для удалённого доступа нужно передать тому, кто будет оказывать компьютерную помощь. Передать файл приглашения можно любым из доступных способов передачи данных по сети – ICQ , Skype , электронная почта , соцсети , публичный доступ к файлам в облачных хранилищах .

После того, как пользователь, оказывающий помощь, получит и запустит файл приглашения, введёт пароль, всё, что останется сделать, так это разрешить удалённый доступ , доверившись этому человеку.

Для того, чтобы человек, получивший удалённо доступ к компьютеру, имел право управлять системой, необходимо дополнительно дать ему это право .

Прекратить внешний доступ к компьютеру можно с помощью соответствующей опции в окошке удалённого помощника, которое будет активно всё время соединения.

В окне запуска удалённого помощника Windows доступен упрощённый вариант передачи файла приглашения с помощью электронной почты для тех случаев, когда в системе установлен почтовый клиент.

В этом случае Windows создаст файл приглашения и автоматически подготовит в почтовом клиенте новое электронное письмо с шаблонной просьбой об оказании компьютерной помощи и файлом приглашения во вложении.

Оказание компьютерной помощи

Процесс оказания компьютерной помощи несколько проще. В окне запуска удалённого помощника жмём, соответственно, опцию оказания помощи .

Выбираем способ с использованием файла приглашения .

В появившемся окне проводника указываем этот файл.

Начать процесс оказания компьютерной помощи можно и более простым способом, просто запустив двойным кликом, полученный файл приглашения.

Вводим пароль и ждём установки соединения.

После того, как соединение установится, в окне удаленного помощника увидим экран компьютера пользователя, которому нужна помощь. Для экономии системных ресурсов будут временно отменены некоторые эффекты оформления Windows, а обои рабочего стола примут чёрный цвет. Чтобы управлять удалённым компьютером, нужно запросить эту возможность у пользователя, просящего помощь, дополнительно.

Для удобства работы можно адаптировать отображение удалённого компьютера под разрешение своего экрана.

Удалённый помощник в числе немногих своих функций предусматривает обмен текстовыми сообщениями , и пользователи могут обсудить насущные вопросы, не отвлекаясь на поиск других способов связи.

Подытоживая…

Штатный удалённый помощник Windows, конечно, менее функционален в отличие от своих альтернатив, предлагаемых сторонними разработчиками, тем не менее, его возможностей хватит для разовых случаев, когда компьютерная помощь нужна срочно. Чуть большие возможности предусмотрены в штатной функции удалённого рабочего стола. Эта функция используется опытными пользователями для постоянного доступа, например, к домашнему компьютеру с рабочего или профессионалами, работающими с серверами.

Но даже бесплатная версия , предназначенная для некоммерческого использования, может предложить и большую функциональность.

И более простую организацию работы программы.

Удаленный помощник — это встроенное в Windows средство для оказания удаленной помощи. Начиная с Windows XP все операционные системы Микрософт имеют эту функцию. Правда используется она довольно редко и во многом потому, что стандартный режим подключения не очень удобен: пользователь (у которого проблемы) должен отправить приглашение эксперту по электронной почте (специальный файл), либо через микрософтовский мессенджер. Правда существует более удобный вариант: когда эксперт сам инициирует подключение к компьютеру пользователя — удаленный помощник в режиме предложения помощи. О его настройке и пойдет речь.

Изначально этот тип подключения затачивался под сети с Active Directory (домен), но и для обычной рабочей группы его можно использовать.

Основное требование при настройке предложения помощи в рабочей группе: на компьютере пользователя должна быть создана точно такая же учетная запись, как и на компьютере эксперта.
Например эксперт на своем компьютере работает под учетной записью с логином expert и паролем 123, принадлежащей группе администраторов. На удаленном компьютере также должна быть создана учетная запись с логином expert и паролем 123, при этом единственная группа к которой она должна принадлежать — «Группа удаленных помощников» (она создается автоматически после включения режима предложения удаленной помощи).

Теперь подробнее о настройке удаленного компьютера:

• В командной строке выполняем команду mmc.
  Откроется окно консоли управления.
  Открываем меню Консоль -> Добавить или удалить оснастку -> в открывшемся окне нажимаем кнопку Добавить -> в списке выбираем «редактор объекта групповой политики»:

  Нажимаем кнопку Добавить. В следующем окне ничего не меняем и нажимаем Готово. Затем закрываем список оснасток и нажимаем Ок.

• Раскрываем Политика «Локальный компьютер» и открываем следующий путь:
  Конфигурация компьютера -> Административные шаблоны -> Система -> Удаленный помощник

  

• Сначала включаем опцию :

  

• Затем открываем опцию . Здесь необходимо установить переключатель в положение Включить, а также внизу в разделе Параметры установить опцию «Помощники могут управлять компьютером»:

  

  

  После этого нажимаем Ок, затем Применить и снова Ок.

• Настройка брандмауэра. В Vista и Windows 7 встроенный брандмауэр настраивается автоматически после включения удаленного помощника. В XP нужно вручную добавить в исключения брандмауэра (Панель управления -> Брандмауэр Windows -> Исключения) следующие три программы:
  C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
  C:\WINDOWS\pchealth\helpctr\binaries\helpsvc.exe
  C:\WINDOWS\system32\sessmgr.exe (правда для этой уже было создано правило под названием «Удаленный помощник»)
  А также открыть порт TCP 135 для входящих подключений. Подробнее о настройке брандмауэра читайте в KB301527 .
• На этом настройка удаленного компьютера завершена.

Компьютер эксперта. Запуск удаленного помощника в режиме предложения помощи:

• Windows XP: C:\Windows\pchealth\helpctr\binaries\helpctr.exe /url hcp://CN=Microsoft%20Corporation, L=Redmond, S=Washington, C=US/Remote%20Assistance/Escalation/unsolicited/unsolicitedrcui.htm
• Windows Vista: C:\Windows\System32\msra.exe /expert
• Windows 7: C:\Windows\System32\msra.exe /offerra

Вот как это выглядит в Семерке:

После отправки запроса экспертом, пользователь обязательно должен разрешить подключение. Далее открывается сеанс удаленного помощника:

По умолчанию эксперт подключается в режиме просмотра. Чтобы получить управление над компьютером пользователя, эксперт сначала должен запросить разрешение. Во время сеанса можно устроить чат. Также эксперту доступна возможность передачи файлов. А вот настройки качества/скорости подключения доступны только на стороне пользователя:

По сравнению с XP в Vista и Win 7 настройки качества более гибкие (4 уровня вместо двух).

Проблемы с подключением.

• Лучше всего использовать удаленного помощника, когда все компьютеры находятся в одной локальной сети. Подключение к компьютерам из другой сети (если между сетями настроена маршрутизация), думаю, возможно, но пока на практике не проверял.
• Подключение к Vista или Windows 7 обычно проходит без проблем, а вот при подключении к XP бывают ошибки типа «Доступ запрещен». В этом случае проверьте запущены ли на удаленном компьютере службы «Центр справки и поддержки», «Диспетчер сеанса справки для удаленного рабочего стола», «Служба терминалов». Также рекомендуется (KB310629). Ну и конечно еще раз проверить все настройки, особенно брандмауэра.

Аннотация

В этой статье описано управление Удаленным помощником для пользователей в корпоративной среде. Статья предназначена для администраторов, знакомых с работой службы каталогов Windows 2000 Active Directory™ и Групповыми политиками.

Благодарности

Mike Seamans, Технический Писатель, Microsoft Corporation
Alvin Loh, Менеджер программных продуктов, Microsoft Corporation
John Kaiser, Технический Редактор, Microsoft Corporation

В этой статье

• Введение
• Использование Удаленного помощника в сетях с брандмауэром
• Использование Удаленного помощника совместно с устройствами NAT
• Использование Групповой политики для Удаленного помощника
• Блокировка Удаленного помощника на отдельном компьютере
• Предложение Удаленной помощи
• Заключение
• Связанные ресурсы

Введение

Удаленный помощник позволяет доверенному лицу (другу, специалисту технической поддержки или ИТ администратору) удаленно в активном режиме помочь кому-либо в решении компьютерной проблемы. Помощник (в дальнейшем именуемый "эксперт") может видеть экран на компьютере пользователя, запросившего помощь, оказывать консультации и предлагать пути решения проблемы. С разрешения пользователя эксперт сможет управлять его компьютером, используя мышь и клавиатуру на своем компьютере. Для работы Удаленного помощника требуется, чтобы оба компьютера работали под управлением операционной системы Windows XP.

Типы подключений Удаленного помощника

Удаленный помощник может быть использован в следующих ситуациях:

• В пределах локальной сети (LAN).
• Через Интернет.
• Между отдельным компьютером в Интернет и компьютером за брандмауэром в Локальной сети. Соединения в сетях с брандмауэром требуют, чтобы TCP порт 3389 был доступен.

Организация защиты Удаленного помощника

С разрешения пользователя и при соответствующих настройках Групповой политики эксперт может управлять его компьютером и выполнять на нем любые задачи, доступные пользователю, включая работу в сети. Перечисленные ниже настройки помогут укрепить безопасность в Вашей организации:

• Брандмауэр . Разрешая или запрещая с помощью брандмауэра трафик через порт 3389, Вы можете определить, смогут ли служащие вашей организации запрашивать помощь за ее пределами. Для получения дополнительной информации обратитесь к разделу Использование Удаленного помощника в сетях с брандмауэром далее в этой статье.
• Групповая политика . Вы можете настроить Групповую политику, чтобы разрешить или запретить пользователям запросы помощи с использованием Удаленного помощника. Также есть возможность определить, в каких случаях пользователи разрешат кому-либо контролировать их компьютер или только наблюдать за ним. Кроме того, Вы можете настроить Групповую политику, чтобы разрешить или, наоборот, запретить эксперту предложения удаленной помощи без предварительного запроса от пользователя. Для получения дополнительной информации обратитесь к разделу далее в этой статье.
• Отдельный компьютер . Администратор отдельного компьютера может выключить запросы удаленного помощника, заблокировав тем самым отправку приглашений удаленного помощника любым пользователем этого компьютера. Для получения дополнительной информации обратитесь к разделу на отдельном компьютере далее в этой статье.

Предложение Удаленной помощи

Как правило, работа с Удаленным помощником начинается с запроса пользователем помощи по электронной почте или с использованием Windows Messenger. Тем не менее, эксперт может предложить помощь без предварительного запроса от новичка. Для получения дополнительной информации обратитесь к разделу Предложение удаленной помощи далее в этой статье.

Использование удаленного помощника в сетях с брандмауэром

Для соединения между пользователем, запрашивающим помощь, и экспертом Удаленный помощник использует протокол Remote Desktop Protocol (RDP). В этом соединении протокол RDP использует TCP порт 3389. Следовательно, для того, чтобы пользователи в Вашей организации могли запрашивать помощь за ее пределами, порт 3389 должен быть открыт на корпоративном брандмауэре. Чтобы запретить пользователям запросы помощи за пределами организации, данный порт должен быть закрыт. Обратитесь к инструкции по администрированию брандмауэра, чтобы узнать, как открыть или закрыть порт 3389.

Примечания:

• Закрыв порт 3389, Вы запретите все не только все соединения Удаленного рабочего стола, но и соединения Терминальных служб. Если необходимо ограничить только запросы Удаленного помощника, используйте Групповую политику.
• Брандмауэр подключения к Интернету компании Microsoft, разработанный для использования только на автономных компьютерах или компьютерах в рабочих группах, не блокирует соединения Удаленного помощника.

Использование Удаленного помощника совместно с NAT

Что такое NAT?

Преобразование сетевых адресов (Network Address Translation – NAT) – это стандарт инженерной группы по развитию Интернета (Internet Engineering Task Force - IETF). Он используется в случаях, когда необходимо предоставить в общий доступ одни глобальный маршрутизируемый адрес IPv4 нескольким компьютерам или сетевым устройствам в частной сети (использующих адресацию из частных диапазонов, таких, как 10.0.x.x, 192.168.x.x, 172.x.x.x). Наиболее распространенной причиной развертывания NAT является недостаточное количество сетевых адресов текущего поколения IPv4. NAT используется на устройствах, выполняющих роль шлюза на границе между публичной (Internet) и частной локальной сетью (LAN). Когда IP-пакет из частной локальной сети проходит сквозь шлюз, NAT преобразует частный IP адрес и порт в публичный IP адрес и порт, отслеживая данное преобразование, для поддержания целостности каждого соединения. Общий доступ к подключению Интернета в операционных системах Windows XP и Windows Me совместим с большинством Интернет шлюзов, использующих NAT (особенно для подключения к широкополосным сетям при помощи технологии DSL или кабельных модемов). Использование NAT наиболее популярно в большинстве домашних малых офисных сетях, где компьютеры имеют только одно подключение к сети Интернет.

Удаленный помощник и NAT

Удаленный помощник поддерживает стандарт UPnP, позволяя осуществлять соединения через NAT-устройства, за исключением случаев, когда компьютеры новичка и эксперта находятся за NAT-устройством, не поддерживающим UPnP. В настоящее время брандмауэр подключения к Интернету, входящий в поставку Windows XP, поддерживает работу с UPnP.

Ниже описано как Удаленный помощник работает с UPnP:

1. Удаленный помощник определит общий Интернет IP адрес и номер порта TCP на UPnP NAT-устройстве, и вставит его в билет Удаленного помощника.

2. Общий Интернет адрес и номер TCP порта будут использованы для осуществления соединения через устройство NAT рабочей станцией новичка или эксперта с целью установки соединения удаленного помощника.

Примечание: Удаленный помощник не сможет установить соединение, если новичок, в сети которого установлено не-UPnP NAT-устройство, использовал для отправки приглашения электронную почту. При отправке приглашения посредством Windows Messenger соединение удаленного помощника будет работать через NAT-устройство, не поддерживающее UPnP, даже если эксперт находится за NAT устройством. Если оба компьютера - новичка и эксперта - находятся за NAT-устройствами, не поддерживающими UPnP, то соединение удаленного помощника установить не удастся. Ниже в Таблице 1 ниже показаны соединения Удаленного помощника, работающего совместно с устройствами NAT. Примечание: брандмауэр подключения к Интернету Windows 2000 не поддерживает UPnP.

Таблица 1. Подключения Удаленного помощника и устройства NAT

	Брандмауэр подключения к Интернет Windows XP	Не- UPnP NAT устройство	UPnP NAT устройство
Связь по Windows Messenger
Новичок
Эксперт
Новичок и Эксперт вместе
Связь по электронной почте
Новичок
Эксперт
Новичок и эксперт вместе

Использование Групповой политики для Удаленного помощника

В сетевом окружении Active Directory Windows 2000 Server для управления Удаленным помощником вы можете использовать параметры Групповой политики – разрешающие или полностью блокирующие его использование. Используйте политику Запрошенная удаленная помощь (Solicited Remote Assistance ), расположенную в оснастке Групповой политики (Конфигурация компьютера\Административные шаблоны\Система\Удаленный помощник) (Computer
Configuration\Administrative Templates\System\Remote Assistance), как показано на Рисунке 1 ниже.

Рисунок 1: . Управление Удаленным помощником с использованием Групповой политики

Запрошенная Удаленная помощь происходит в случае, когда пользователь компьютера посылает приглашение Удаленной помощи пользователю другого компьютера (эксперту).

Блокировка Удаленного помощника

Параметры политики Запрошенная удаленная помощь (Solicited Remote Assistance ) по умолчанию не сконфигурированы, что позволяет отдельным пользователям настраивать Запрошенную удаленную помощь, используя Панель управления. По умолчанию из Панели управления доступны следующие настройки:

• Запрошенная удаленная помощь (Solicited Remote Assistance ) включена;
• Allow buddy support разрешена;
• Удаленное управление этим компьютером (Permit remote control of this computer ) включено;
• Предельный срок, который приглашение может оставаться открытым (Maximum ticket time ), равен 30 дней.

Следовательно, чтобы заблокировать пользователям доступ к Удаленному помощнику, Вы должны выключить политику Запрошенная удаленная помощь (Solicited Remote Assistance ). Это запретит работу удаленного помощника для любого компьютера или пользователя, на которого распространяются данные параметры объекта Групповой политики (GPO). Например, Вы можете захотеть заблокировать некоторым группам доступ к Удаленному помощнику. Пользователь, принадлежащий к целевому Подразделению (OU), для которого применена политика, не сможет использовать Удаленного помощника.

Управление удаленным помощником

Включение параметра Запрошенная удаленная помощь (Solicited Remote Assistance )позволяет Вам устанавливать разрешения, отличные от настроек по умолчанию, доступные, когда эта политика не задана. Как было описано ранее, у Вас может возникнуть необходимость определить, какие группы или пользователи смогут использовать Удаленного помощника. Пользователь, являющийся членом заданного Подразделения (OU), на которое распространяются параметры данной политики, сможет использовать Удаленного помощника, соответственно заданным Вами разрешениям.

Примечание: Отправка приглашения Удаленного помощника не дает явного разрешения эксперту подключаться к компьютеру и/или контролировать его. Когда эксперт пытается подключиться, пользователь может либо принять, либо отказать в подключении (тем самым, предоставляя эксперту возможность только наблюдения за рабочим столом пользователя). Затем пользователь должен явно нажать на кнопку, чтобы разрешить эксперту удаленно управлять рабочим столом, если удаленное управление разрешено. Если этот параметр включен, Вы можете установить следующие настройки:

• Allow buddy support . Установка данного флажка подразумевает, что пользователь может запрашивать помощь у других пользователей (у друзей или коллег с использованием электронной почты или системы мгновенных сообщений), также, как и через канал, предустановленный производителем оборудования или программного обеспечения, корпоративной службой технической поддержки и так далее. Снятие данного флажка подразумевает, что пользователи смогу запрашивать помощь только по официальному каналу.
• Разрешить удаленное управление. Данный параметр позволяет выбирать, в каких случаях эксперт сможет удаленно управлять компьютером, а когда сможет только наблюдать за рабочим столом пользователя.
• Максимальное время билета . Этот параметр определяет максимальное время, в течение которого запрос пользователя на удаленную помощь будет действителен. После истечения времени билета (запроса помощи) пользователь должен послать новый запрос для того, чтобы эксперт мог подключиться к его компьютеру.

Блокировка удаленного помощника на отдельном компьютере

Пользователи могут заблокировать Удаленного помощника на своих собственных компьютерах, установив необходимые параметры в Панели управления. Для того чтобы, заблокировать запросы удаленной помощи на отдельном компьютере

1. Откройте Панель управления (Control Panel ), щелкните Производительность и обслуживание (Performance and Maintenance ), затем Система (System ).
2. На вкладке Удаленные сеансы, в панели Удаленный помощник, снимите флажок Разрешить отправку приглашений удаленному помощнику , как показано ниже на Рисунке 2.

Рисунок 2: Блокировка удаленного помощника

Чтобы запретить удаленное управление этим компьютером с использованием Удаленного помощника

1. Откройте Система в Панели управления.
2. На закладке Удаленные сеансы, в панели Разрешить отправку приглашения удаленному помощнику, щелкните Дополнительно .
3. Снимите флажок Разрешить удаленное управление этим компьютером , как показано ниже, на Рисунке 3.

Рисунок 3: Предотвращение доступа к Вашему компьютеру посредством удаленного помощника

Предложение Удаленной помощи

Иногда лучшим способом решения проблемы является наглядная демонстрация того, как можно решать проблемы подобного рода. Будучи экспертом или профессионалом в области технической поддержки, Вы можете инициировать запрос удаленной помощи без приглашения. Например, Вы можете обсуждать с другом компьютерную проблему и выбрать использование Удаленного помощника для ее решения. После того, как подключение будет выполнено, Вы увидите экран компьютера пользователя и обсуждать то, что Вы оба видите на нем. С разрешения пользователя Вы можете использовать Ваши мышь и клавиатуру для управления его компьютером.

Примечания :

• Брандмауэры могут блокировать соединения Удаленного помощника. Попробуйте использовать Windows Messenger вместо электронной почты, чтобы установить соединение. Если и в этом случае не удается установить соединение, попросите системного администратора открыть для Вас порт 3389.
• Если на пользовательском компьютере параметр Групповой политики параметр Запрошенная удаленная помощь включен , эксперт может предлагать Удаленную помощь этому пользователю без предварительного приглашения. В редакторе Групповой политики на этом компьютере эксперт должен быть добавлен в список Помощники или входить в локальную группу Администраторы.
• Вы можете увеличить производительность работы во время сеанса связи Удаленного помощника, уменьшив качество цветопередачи на пользовательском компьютере. Используйте настройку Качество цветопередачи на вкладке Параметры , значок Экран в Панели управления , чтобы уменьшить количество цветов отображаемых на экране пользователя.

Чтобы предложить удаленную помощь без приглашения

1. Нажмите кнопку Пуск , затем щелкните Справка и поддержка .
2. Под пунктом Выбор задания , щелкните Использование Служебных программ для просмотра информации о компьютере и диагностики неполадок.
3. Под меню Сервис в панели слева щелкните Предложение удаленной помощи .
4. Введите имя или IP-адрес компьютера, к которому Вы хотите подключиться, после чего нажмите кнопку Подключиться , как показано ниже на Рисунке 4.

Рисунок 4: Предложение удаленной помощи

Чтобы предложить удаленную помощь пользователю, не приславшему приглашение, включите на компьютерах параметр Групповой политики Предложение удаленной помощи , как показано ниже на Рисунке 5.

Рисунок 5: Включение Групповой политики для предложения удаленной помощи

Кроме того, Вы должны быть или членом группы Администраторы на данном компьютере, или присутствовать в списке Помощников в параметре Разрешить предложение удаленной помощи , как показано ниже на Рисунке 6.

Рисунок 6: Настройка политики Запрошенная удаленная помощь

Чтобы включить Предложение удаленной помощи

1. Нажмите кнопку Пуск , выберите Выполнить , введите gpedit . msc и нажмите OK .
2. В левой панели редактора Групповой политики под пунктом Конфигурация компьютера дважды щелкните Административные шаблоны , выберите пункт Система , после чего щелкните Удаленный помощник .
3. В правой панели дважды щелкните Предложение удаленной помощи и щелкните Включен . Включив политику, Вы можете выбирать, позволено ли эксперту управление компьютером или только наблюдение за ним.

Несмотря на то, что эксперт может предлагать Удаленную помощь без предварительного запроса, пользователь должен дать разрешение на наблюдение за своим компьютером. Кроме того, пользователь должен дать разрешение на управление своим компьютером в случае, если такая возможность сконфигурирована.

Заключение

Управление Удаленным помощником может потребовать выполнения настроек для порта 3389, объектов Групповой политики и выполнения ряда других административных задач. Для управления Удаленным помощником администраторам доступны следующие технологии:

• Брандмауэр . Открывая или перекрывая брандмауэром соединения через порт 3389, администраторы могут определять, может ли служащий Вашей организации запрашивать помощь за ее пределами.
• Групповая политика . С помощью Групповой политики Вы можете разрешать или запрещать запросы помощи с использованием Удаленного помощника. Также Вы можете определить, смогут ли пользователи разрешать эксперту контролировать их компьютер, или только наблюдать за ним. Кроме того, Вы можете настроить Групповую политику, чтобы разрешить или запретить эксперту предлагать удаленную помощь без предварительного запроса от пользователя.
• Отдельный компьютер . Администратор отдельно взятого компьютера может выключить на нем возможность отправки приглашений удаленного помощника, что предотвратит его использование кем бы то ни было.

Связанные ресурсы

Для получения дополнительной информации обратитесь к следующим ресурсам:

• Администрирование Windows XP в сетевом окружении Windows 2000 Managing Windows XP in a Windows 2000 Server Environment (EN).
• Пошаговое руководство по Удаленному помощнику Step-by-Step Guide to Remote Assistance (EN).
• Использование Удаленного помощника Using Remote Assistance to Get Help When You Need It (EN).

Для получения актуальной информации о Windows XP, посетите