Адміністрування віддаленого помічника

• Вступ
• Використання Видаленого помічника в мережах з брандмауером
• Використання Видаленого помічника спільно з пристроями NAT
• Використання Груповий політики для Видаленого помічника
• Блокування Видаленого помічника на окремому комп'ютері
• Пропозиція Віддаленої допомоги
• висновок
• Інші ресурси

Віддалений помічник дозволяє довіреній особі (одному, фахівця технічної підтримки або ІТ адміністратору) віддалено в активному режимі допомогти кому-небудь в рішенні комп'ютерної проблеми. Помічник (надалі іменований "експерт") може бачити екран на комп'ютері користувача, що запросив допомогу, надавати консультації та пропонувати шляхи вирішення проблеми. З дозволу користувача експерт зможе управляти його комп'ютером, використовуючи мишу і клавіатуру на своєму комп'ютері. Для роботи Видаленого помічника потрібно, щоб обидва комп'ютери працювали під управлінням операційної системи Windows XP.

Типи підключень Видаленого помічника

Віддалений помічник може бути використаний в наступних ситуаціях:

• В межах локальної мережі (LAN).
• Через Інтернет.
• Між окремим комп'ютером в Інтернет і комп'ютером за брандмауером в Локальної мережі. З'єднання в мережах з брандмауером вимагають, щоб TCP порт 3389 був доступний.

Організація захисту Видаленого помічника

З дозволу користувача і при відповідних настройках Груповий політики експерт може управляти його комп'ютером і виконувати на ньому будь-які завдання, доступні користувачеві, включаючи роботу в мережі. Перераховані нижче настройки допоможуть зміцнити безпеку в Вашої організації:

• Брандмауер. Вирішуючи або забороняючи за допомогою брандмауера трафік через порт 3389, Ви можете визначити, чи зможуть службовці вашої організації робити запити за її межами. Для отримання додаткової інформації зверніться до розділу Використання Видаленого помічника в мережах з брандмауером далі в цій статті.
• Групова політика. Ви можете налаштувати Групову політику, щоб дозволити або заборонити користувачам запити допомоги з використанням Видаленого помічника. Також є можливість визначити, в яких випадках користувачі дозволять будь-кому контролювати їх комп'ютер або тільки спостерігати за ним. Крім того, Ви можете налаштувати Групову політику, щоб дозволити або, навпаки, заборонити експерту пропозиції віддаленої допомоги без попереднього запиту від користувача. Для отримання додаткової інформації зверніться до розділу Використання Груповий політики для Видаленого помічника далі в цій статті.
• Окремий комп'ютер. Адміністратор окремого комп'ютера може вимкнути запити віддаленого помічника, заблокувавши тим самим відправку запрошень віддаленого помічника будь-яким користувачем цього комп'ютера. Для отримання додаткової інформації зверніться до розділу Блокування Видаленого помічника на окремому комп'ютері далі в цій статті.

Як правило, робота з Вилученим помічником починається з запиту користувачем допомоги по електронній пошті або з використанням Windows Messenger. Проте, експерт може запропонувати допомогу без попереднього запиту від новачка. Для отримання додаткової інформації зверніться до розділу Пропозиція віддаленої допомоги далі в цій статті.

Використання віддаленого помічника в мережах з брандмауером

Для з'єднання між користувачем, робить запит допомогу, і експертом Віддалений помічник використовує протокол Remote Desktop Protocol (RDP). У цьому з'єднанні протокол RDP використовує TCP порт 3389. Отже, для того, щоб користувачі в Вашої організації могли робити запити за її межами, порт 3389 повинен бути відкритий на корпоративному брандмауері. Щоб заборонити користувачам запити допомоги за межами організації, даний порт повинен бути закритий. Зверніться до інструкції з адміністрування брандмауера, щоб дізнатися, як відкрити або закрити порт 3389.

• Закривши порт 3389, Ви забороните все не тільки всі з'єднання Видаленого робочого столу, але і з'єднання термінального служб. Якщо необхідно обмежити тільки запити Видаленого помічника, використовуйте Групову політику.
• Брандмауер підключення до Інтернету компанії Microsoft, розроблений для використання тільки на автономних комп'ютерах або комп'ютерах в робочих групах, не блокує з'єднання Видаленого помічника.

Використання Видаленого помічника спільно сNAT

Віддалений помічник підтримує стандарт UPnP, дозволяючи здійснювати з'єднання через NAT-пристрої, за винятком випадків, коли комп'ютери новачка та експерта знаходяться за NAT-пристроєм, що не підтримують UPnP. В даний час брандмауер підключення до Інтернету, що входить в поставку Windows XP, підтримує роботу з UPnP.

Нижче описано як Віддалений помічник працює з UPnP:

3. Запит на з'єднання Видаленого помічника буде перенаправлений клієнту NAT-пристроєм.

Таблиця 1. Підключення Видаленого помічника і устройстваNAT

Використання Груповий політики для Видаленого помічника

Малюнок 1. Управління Вилученим помічником з використанням Груповий політики

Запрошення Тимчасова допомога відбувається в разі, коли користувач комп'ютера посилає запрошення Віддаленої допомоги користувачеві іншого комп'ютера (експерту).

Блокування Видаленого помічника

Параметри політики Запрошення віддалена допомога (SolicitedRemoteAssistance) за замовчуванням не сконфігуровані, що дозволяє окремим користувачам налаштовувати запитаних віддалену допомогу, використовуючи Панель управління. За замовчуванням з Панелі управління доступні наступні настройки:

• Запрошення віддалена допомога (SolicitedRemoteAssistance) включена;
• Allow buddy support дозволена;
• Віддалене управління цим комп'ютером (Permitremotecontrol of this computer) включено;
• Граничний термін, який запрошення може залишатися відкритим (Maximumticket time), дорівнює 30 днів.

Отже, щоб заблокувати користувачам доступ до віддаленої допомоги, Ви повинні вимкнути політику Запрошення віддалена допомога (SolicitedRemoteAssistance). Це заборонить роботу віддаленого помічника для будь-якого комп'ютера або користувача, на якого поширюються дані параметри об'єкта Груповий політики (GPO). Наприклад, Ви можете захотіти заблокувати деяким групам доступ до віддаленої допомоги. Користувач, що належить до цільового Підрозділу (OU), для якої застосовано політика, не зможе використовувати Видаленого помічника.

Включення параметра Запрошення віддалена допомога (SolicitedRemoteAssistance) дозволяє встановлювати дозволи, відмінні від налаштувань за замовчуванням, доступні, коли ця політика не задана. Як було описано раніше, у Вас може виникнути необхідність визначити, які групи або користувачі зможуть використовувати Видаленого помічника. Користувач, який є членом заданого Підрозділи (OU), на яке поширюються параметри даної політики, зможе використовувати Видаленого помічника, відповідно заданим Вами дозволами.

Примітка: Відправлення запиту Видаленого помічника не дає явного дозволу експерту підключатися до комп'ютера і / або контролювати його. Коли експерт намагається підключитися, користувач може або прийняти, або відмовити в підключенні (тим самим, надаючи експерту можливість тільки спостереження за робочим столом користувача). Потім користувач повинен явно натиснути на кнопку, щоб підтвердити свою згоду експерту дистанційно керувати робочим столом, якщо віддалене управління дозволено. Якщо цей параметр включений, Ви можете встановити наступні настройки:

• Allowbuddysupport. Установка даного прапорця на увазі, що користувач може робити запити у інших користувачів (у друзів або колег з використанням електронної пошти або системи миттєвих повідомлень), також, як і через канал, встановлений виробником обладнання або програмного забезпечення, корпоративною службою технічної підтримки і так далі. Зняття цього прапорця на увазі, що користувачі зможу робити запити тільки за офіційним каналу.
• Дозволити віддалене управління. Даний параметр дозволяє вибирати, в яких випадках експерт зможе дистанційно керувати комп'ютером, а коли зможе тільки спостерігати за робочим столом користувача.
• Максімальноевремябілета. Цей параметр визначає максимальний час, протягом якого запит користувача на віддалену допомогу буде дійсний. Після закінчення часу квитка (запиту допомоги) користувач повинен послати новий запит для того, щоб експерт міг підключитися до його комп'ютера.

Блокування віддаленого помічника на окремому комп'ютері

Користувачі можуть заблокувати Видаленого помічника на своїх власних комп'ютерах, встановивши необхідні параметри на панелі керування. Для того щоб, заблокувати запити віддаленої допомоги на окремому комп'ютері

1. Відкрийте Панель управління (ControlPanel), клацніть Продуктивність і обслуговування (PerformanceandMaintenance), потім Система (System).
2. На вкладці Дистанційні сеанси, в панелі Віддалений помічник, зніміть прапорець Дозволити відправку запрошень віддаленого помічника. як показано нижче на рисунку 2.

Малюнок 2: Блокування віддаленого помічника

Щоб заборонити віддалене управління цим комп'ютером з використанням Видаленого помічника

1. Відкрийте Система в Панелі управління.
2. На закладці Дистанційні сеанси, в панелі Дозволити відправку запрошення віддаленого помічника, клацніть Додатково.
3. Зніміть прапорець Дозволити віддалене управління цим комп'ютером. як показано нижче, на рисунку 3.

Малюнок 3: Запобігання доступу до Вашого комп'ютера за допомогою віддаленого помічника

Пропозиція Віддаленої допомоги

Іноді кращим способом вирішення проблеми є наочна демонстрація того, як можна вирішувати проблеми подібного роду. Будучи експертом або професіоналом в області технічної підтримки, Ви можете ініціювати запит віддаленій допомоги без запрошення. Наприклад, Ви можете обговорювати з другом комп'ютерну проблему і вибрати використання Видаленого помічника для її вирішення. Після того, як підключення буде виконано, Ви побачите екран комп'ютера користувача і обговорювати те, що Ви обоє бачите на ньому. З дозволу користувача Ви можете використовувати Ваші миша і клавіатуру для управління його комп'ютером.

Щоб запропонувати віддалену допомогу без запрошення

Малюнок 4: Пропозиція віддаленої допомоги

Щоб запропонувати віддалену допомогу користувачеві, який не надіслав запрошення, включіть на комп'ютерах параметр Груповий політики Пропозиція віддаленої допомоги. як показано нижче на рисунку 5.

Малюнок 5: Включення Груповий політики для пропозиції віддаленої допомоги

Крім того, Ви повинні бути або членом групи Адміністратори на даному комп'ютері, або бути присутнім в списку Помічників в параметрі Дозволити пропозицію віддаленої допомоги. як показано нижче на рисунку 6.

Малюнок 6: Налаштування політики Запрошення віддалена допомога

Щоб включити Пропозиція віддаленої допомоги

Незважаючи на те, що експерт може пропонувати Вилучену допомогу без попереднього запиту, користувач повинен дати дозвіл на спостереження за своїм комп'ютером. Крім того, користувач повинен дати дозвіл на управління своїм комп'ютером у разі, якщо така можливість налаштована.

висновок

Управління Вилученим помічником може зажадати виконання налаштувань для порту 3389, об'єктів Груповий політики і виконання ряду інших адміністративних завдань. Для управління Вилученим помічником адміністраторам доступні наступні технології:

• Брандмауер. Відкриваючи або перекриваючи брандмауером з'єднання через порт 3389, адміністратори можуть визначати, чи може службовець Вашої організації робити запити за її межами.
• Групова політика. За допомогою Груповий політики Ви можете дозволяти або забороняти запити допомоги з використанням Видаленого помічника. Також Ви можете визначити, чи зможуть користувачі дозволяти експерту контролювати їх комп'ютер, або тільки спостерігати за ним. Крім того, Ви можете налаштувати Групову політику, щоб дозволити або заборонити експерту пропонувати віддалену допомогу без попереднього запиту від користувача.
• Окремий комп'ютер. Адміністратор окремо взятого комп'ютера може вимкнути на ньому можливість відправки запрошень віддаленого помічника, що запобіжить його використання ким би то не було.

Для отримання додаткової інформації зверніться до наступних ресурсів:

Для отримання актуальної інформації про Windows XP, відвідайте вузол Windows XP в Інтернет.