Настройка Remote Assistance удаленный помощник на терминальном RDS RDP сервере Windows Server 2016 в домене

Как обеспечить удаленное управление в RDP сессиях на терминальном сервере Windows Server 2012R2 /2016/2019 в доменной сети

1)В консоли ADUC и выберем пользователя, которому будет разрешено подключение к сессиям. Создаём группу TS-RDP-RemoteAssistance

2)На терминальном сервер RDP RDS устанавливаем Features — Remote Assistance (Возможности — Удаленный помощник)

3)После успешной установки, нам нужно настроить несколько локальных политик на сервере.
Очевидно, что если количество терминальных серверов достаточно большое, настройку политик лучше производить в консоли Group Policy Object Editor GPO.
Если один терминальный сервер, как в моем примере, то достаточно редактора локальных групповых политик.

Нажимаем сочетание клавиш «Windows»+»X» -> Run -> gpedit.msc ,либо на котроллере домена если серверов несколько.

4)Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections — Allow users to connect remotely by using Remote Desktop Services (Enabled)
Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections — Set rules for remote control of Remote Desktop Services user sessions (Enabled)

Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \ Соединения
Разрешить пользователям удаленно подключаться с помощью служб удаленных рабочих столов

Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \ Соединения — Установить правила для дистанционного управления сеансами пользователей Remote Desktop Services

5)Computer Configuration\Administrative Templates\System\Remote Assistance — Configure Offer Remote Assistance (Enabled)
Конфигурация компьютера \ Административные шаблоны \ Система \ Удаленный помощник — Настройка удаленного доступа к службе (включено)

No remote contol allowed — удаленное управление не разрешено (значение ключа реестра Shadow = 0);
Full Control with users’s permission — полный контроль с разрешения пользователя (1);
Full Control without users’s permission — полный контроль без разрешения пользователя (2);
View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (3);
View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (4).

6)Включаем политику, разрешаем удаленное управление.
Нажимаем кнопку «Show«, здесь мы добавляем пользователей или группы домена, которым будет разрешено подключаться без приглашения.

7)Computer Configuration\Administrative Templates\System\Remote Assistance — Configure Solicited Remote Assistance (Enabled)

Этой политикой включается возможность отправки приглашений пользователями.
Так же включаем политику, разрешаем удаленное управление, выбираем способ доставки и время действия.
На этом настройка завершена. После настройки политик необходимо выполнить gpupdate /force или перезагрузить сервер.

8)Исполняемый файл Remote Assistance называется msra.exe. Достаточно выполнить Start -> Run -> msra.exe

Подключение выглядит следующим образом.

msra /offerRA MSK01-RDP01.5house.win

9)После того, как пользователь дает разрешение на подключение к сессии и управление, все в Ваших руках!

RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2016 9 / 2012 R2
Windows 8, 10

Использование Remote Desktop Shadow из графического GUI
Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection [Создадим коллекцию со списком подключения через powershell
New-RDSessionCollection –CollectionName SessionCollection –SessionHost MSK01-RDS.5house.win –CollectionDescription “This Collection is for Desktop Sessions” –ConnectionBroker MSK01-RDS.5house.win]
Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow (Теневая копия).
Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).

Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).

Как настроить приложение “Быстрая помощь” (Quick Assist) доступное в Windows 10 версии 1607 (Anniversary Update) и выше ,работает через интернет (аналог TeamViewer тим вивер anydesk эни деск)

Если вы оказываете помощь
Щелкните правой кнопкой мыши по значку меню “Пуск”.
Выберите пункт меню “Найти”.
Введите фразу Быстрая помощь и нажмите Enter.
Выберите ссылку “Оказать помощь”.
Введите имя учетной записи Microsoft.

Нажмите кнопку “Далее”.
Введите пароль.
Нажмите кнопку “Вход”.

Затем отобразится шестизначный код безопасности, который надо сообщить пользователю, который получает помощь. В окне предлагается отправить код по электронной почте, но на самом деле вы можете использовать любой удобный способ, чтобы передать код.

Если вы получаете помощь
Для получения помощи не нужно регистрировать учетную запись Microsoft
Щелкните правой кнопкой мыши по значку меню “Пуск”.
Выберите пункт меню “Найти”.
Введите фразу “Быстрая помощь” и нажмите Enter.
Выберите ссылку “Получить помощь”.

Введите шестизначный код, полученный от лица, оказывающего помощь.
Нажмите кнопку “Отправить”.

Нажмите кнопку “Разрешить”, если имя учетной записи соответствует лицу, оказывающему помощь.

Со своей стороны, пользователь к которому подключились, может либо поставить сеанс «помощи» на паузу, либо закрыть приложение, если вдруг потребовалось резко прервать сеанс удаленного управления компьютером.
Среди незаметных возможностей — передача файлов на удаленный компьютер и с него: для этого просто скопируйте файл в одном расположении, например, на своём компьютере (Ctrl+C) и вставьте (Ctrl+V) в другом, например, на удаленном компьютере.

windows 10 1607 и выше Управление дополнительными компонентами — Быстрая поддержка , quickassist.exe

Настройка Remote Assistance удаленный помощник на терминальном RDS RDP сервере Windows Server 2016 в домене : 1 комментарий

Конструкция «Windows»+«X» -> Run успешно упрощается «Windows»+«R»

Как установить Windows 10

• Просмотров: 77 829
• Автор: admin
• Дата: 8-10-2016

Удалённый помощник Windows

Удалённый помощник Windows

Выбираем «Пригласить того, кому вы доверяете, для оказания помощи», то есть меня.

У вас может выйти ошибка «Этот компьютер не настроен на отправку приглашений». Не беда, жмём на кнопку «Исправить »

Получаем «Исправлено ». Жмём «Закрыть »

Опять нажимаем кнопку «Поиск Windows» и вводим команду MsrA , затем щёлкаем правой мышью и жмём «Запустить от имени администратора». Выбираем «Пригласить того, кому вы доверяете, для оказания помощи». Далее жмём «Сохранить приложение как файл».

В открывшемся проводнике выбираем, куда именно сохранить файл-приглашение удалённого помощника. Я выбираю рабочий стол и жму «Сохранить».

На данном этапе мне нужно передать удалённому пользователю файл-приглашение и пароль.

Открываем почтовый ящик и пишем письмо удалённому пользователю, к которому прикрепляем файл-п риглашение.

Приглашение прикреплено к письму. Теперь пишем пароль и жмём «Отправить».

Удалённый пользователь получает письмо с файлом-приглашением и паролем. Скачивает файл-приглашение себе на компьютер, копирует пароль.

И запускает файл-приглашение.

Вводит пароль и жмёт «Ок».

На удалённом компьютере возникает окно с запросов разрешения удалённому помощнику подключиться к компьютеру. Удалённый пользователь отвечает утвердительно «Да».

И на его рабочем столе появляется небольшое окно с информацией о том, что удалённый помощник видит его рабочий стол.

В данный момент на моём компьютере появляется рабочий стол удалённого компьютера моего приятеля, но пока я могу только наблюдать за удалённым рабочим столом.

Чтобы управлять удалённым компьютером с помощью своей клавиатуры и мыши, я должен запросить управление удалённым компьютером.

Жму кнопку «Запросить управление».

На удалённом компьютере мой приятель соглашается передать мне управление своим компьютером, нажимая в появившемся окне «Да».

Теперь я полностью могу управлять удалённым компьютером.

Удалённый помощник Windows в домене

Удалённый помощник Windows в домене.

Работая системным администратором и не имея доступ к бюджету компании.

Появилась необходимость в удалённом подключении к пользователям сети. Домен рос, пользователей тьма. Закупать Radmin? Ставить AM? Windows, друг, приходи на помощь.

Разберём по этапам весь процесс, как настроить удалённый помощник Windows в домене для пользователей домена, где администраторы могут посылать запрос на просмотр, а далее второй запрос на управление (это очень важно, особенно для руководителей компании). В сети рассматриваем операционные системы: Windows XP, их ещё полно. Windows 7, 8х, 10.

Приступим к затее. Распишем этапы работ.

1. Настроим групповую политику, где админам разрешим удалённый помощник и права на управление.
2. Настроим фильтры для операционных систем, операционки разные, фильтры разные.
3. Разрешим пользователям изменять поле «описание» в AD для удобства определения, кто залогинен за ПК.
4. Создадим правильные ярлыки для работы.

Настраиваем групповую политику.

Win+R – mmc – файл — добавить или удалить оснастку – управление групповой политикой – ОК . Всё описанное делаем на контроллере домена.

Открываем наши имеющиеся политики в домене. Добавляем новую для Windows 7 и выше понятно её называем.

Нам потребуется добавить:

Конфигурация Windows.

Скрипт в автозагрузку, который будет проверять, включена ли возможность использования модели DCOM. Содержание самого скрипта EnableDCOM.vbs

‘ || EnableDCOM.vbs
‘ || Скрипт проверяет включена ли возможность использования модели DCOM, если выключено или значение отлично от Y, то он запишет нужный параметр в реестр.
Option Explicit
On Error Resume Next
Dim WshShell
Set WshShell = CreateObject(«WScript.Shell»)
WshShell.RegWrite «HKEY_LOCAL_MACHINE\Software\Microsoft\Ole\EnableDCOM», «Y», «REG_SZ»

Включаем — Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.

Включаем — Разрешать удаленное подключение с использованием служб удаленных рабочих столов.

Включаем — Включить ведение журнала сеансов
Включаем — Включить оптимизацию пропускной способности
Отключаем — Запрос удаленной помощи. Посылки помощи не желательны, достаточно позвонить на SD.
Отключаем — Настройка предупреждающих сообщений.

Включаем — предлагать удалённую помощь, и добавляем группу администраторов , которые могут править миром в части удалённых помощников в сети домена.

С политикой для Winodws 7 и выше закончено. Переходим к Windows XP. Единственное, что нам надо, добавить условие — если это XP, добавить в реестр строку. Добавляем файл RemoteAssistance.reg

Содержание RemoteAssistance.reg добавляем с параметром /s RemoteAssistance.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
«fAllowToGetHelp»=dword:00000001

Политики готовы, накладываем эти политики на наши доменные ПК.

Добавляем политику для администраторов. создаём политику RemDeskAdm можно назвать как угодно.

Включаем:
Всегда запрашивать пароль при подключении
Установить уровень шифрования для клиентских подключений

Привязываем данную политику либо администраторам домена, либо создаём группу и добавляем к политике.

Переходим к этапу 2.

Настраиваем фильтры для операционных систем.

В чём смысл? Всё дело в том, что для Windows XP требуется добавление в реестр строки, для всех остальных — нет. Следовательно, если система будет определять, что на удалёнке Windows XP, то прописывать в реестр строку, если нет, то просто игнорировать.

Добавляем фильтр с определением версии Windows и привязываем её к политике для winXP.

Пространство имён — добавляем root\CIMv2

Сам код с определением версии Windows:

select * from Win32_OperatingSystem where Version like «5.1» and ProductType = «1»

Привязываем наш фильтр к нашей политике для Windows XP.

Теперь про фильтр для политики Windows 7 и выше, вот его тело :

Select * from Win32_OperatingSystem where Version like «6.1» and ProductType = «1»

Она так же накладывается на политику Windows 7 и выше, как и предыдущая, но я её снял. Причина: она цепляется на все наши ПК. К ПК на Windows XP применяется только отдельный фильтр для добавления строки в реестр. А версии Windows-то уже не только 6.1. Следовательно, ставить её не будем, в противном случае придётся делать для всех отличных от 6.1 версий отдельные политики.

Разрешим пользователям изменять поле «описание» в AD

Спорное решение, но мне удобно. Я вижу, под какой учёткой на ПК сейчас коннект.

Делается это добавлением двух скриптов , один — при входе в систему, второй — при выходе из системы.

Сами скрипты в формате file.vbs:

On Error Resume Next
Dim adsinfo, ThisComp, oUser
Set adsinfo = CreateObject(«adsysteminfo»)
Set ThisComp = GetObject(«LDAP://» & adsinfo.ComputerName)
Set oUser = GetObject(«LDAP://» & adsinfo.UserName)
Thiscomp.put «description», «Logged on: » + oUser.cn + » » + CStr(Now)
ThisComp.Setinfo

On Error Resume Next
Dim adsinfo, ThisComp, oUser
Set adsinfo = CreateObject(«adsysteminfo»)
Set ThisComp = GetObject(«LDAP://» & adsinfo.ComputerName)
Set oUser = GetObject(«LDAP://» & adsinfo.UserName)
Thiscomp.put «description», «>> Logged off: » + oUser.cn + » » + CStr(Now)
ThisComp.Setinfo

Накладываем данную политику уже на контейнер пользователей.

Создаём правильные ярлыки для удалённого подключения к пользователям.

Для работы через Удалённый помощник Windows в домене достаточно создать ярлык:

Windows XP

%windir%\pchealth\helpctr\binaries\helpctr.exe /url hcp://CN=Microsoft%20Corporation, L=Redmond, S=Washington, C=US/Remote%20Assistance/Escalation/unsolicited/unsolicitedrcui.htm

Всё. Перегружаем ПК пользователей, либо через cmd обнавляем политики домена.

Открываем помощника, вводим имя ПК пользователя и работаем.

Удачи в реализации удалённого помощника Windows в домене.