У цій статті ми розглянемо особливості налаштування і використання віддаленого підключення до робочого столу клієнтських комп'ютерів за допомогою System Center Configuration Manager 2012. Віддалене управління зазвичай використовується для віддаленого адміністрування, надання технічної підтримки користувачів службами HelpDesk за рахунок можливості бачити і взаємодіяти з його робочим столом.
зміст:
- Налаштування віддаленого підключення до клієнтів SCCM 2012
- Конфігурацій клієнта SCCM
- Використання Remote Control
- Журнали віддалених підключень
SCCM 2012 передбачає три інструменти для віддаленого підключення до робочих місць користувачів:
- Remote Control - функціонал SCCM, передбачає можливість підключення та взаємодії з сесією користувача. Можливо відключити оповіщення користувача про те, що його сесія проглядається адміністратором. Віддалене підключення до робочого столу комп'ютера можливо і при відсутності на комп'ютері користувача сесії (підключення безпосередньо до консолі). Клієнт - CmRcViewer.exe
- Remote Assistance - стандартна можливість Windows, користувач в обов'язковому порядку підтверджує віддалене підключення адміністратора до цих нарад. Якщо користувач на машині не залогінені, підключитися по RA не вдасться. клієнт msra.exe.
- клієнт RDP - підключення в окрему сесію по протоколу RDP. клієнт mstsc.exe
Налаштування віддаленого підключення до клієнтів SCCM 2012
Конфігурація параметрів віддаленого підключення до клієнтів SCCM здійснюється в налаштуваннях політики клієнтських пристроїв. Відредагуйте існуючу (наприклад, Default Settings) або нову клієнтську політику.
У вікні властивостей Client Settings перейдіть в розділ Remote Tools. За замовчуванням віддалені підключення відключені.
Щоб клієнти могли приймати вхідні віддалені підключення, потрібно включити опцію Enable Remote Control on client computer і вказати профілі брандмауера, для яких потрібно дозволити підключення через Remote Tools.
Розглянемо основні параметри, що налаштовуються:
- Users can change policy or notification settings in Software Center - чи можуть користувачі змінювати політики віддаленого підключення та повідомлень
- Allow Remote Control of an unattended computer - чи можна підключатися до комп'ютера із заблокованим екраном або без сесії користувача
- Prompt user for Remote Control permission - чи повинен користувач підтвердити дозвіл на віддалене підключення до совему комп'ютера
- Grant Remote Control permission to local Administrators group - чи потрібно надати права віддаленого підключення членам групи локальних адміністраторів
- Access level allowed - рівень доступу до сесії користувача (тільки перегляд або можливість повного управління)
- Permitted viewers - список користувачів і груп з правами віддаленого підключення
- Show session notification icon on taskbar - чи потрібно відображати в панелі повідомлень користувача іконку про активне підключення до його робочого столу
- Show session connection bar - більш яскраве повідомлення у вигляді окремої панелі про наявність активного підключення
- Play a sound on client - відтворення звукових сповіщень про підключення / відключення віддаленого користувача
- Manage unsolicited Remote Assistance settings - управління настройками RA, коли користувач не ініціював запит на підключення
- Manage Remote Desktop settings - управління настройками RDP
- Allow permitted viewers to connect by using Remote Desktop connection - чи можуть певні в цій політиці користувачі підключатися по RDP
- Require network level authentication on computers that run Windows Vista operating system and later versions - чи потрібно вимагати обов'язкової NLA аутентифікації для комп'ютерів з Vista і вище
Зазвичай настройки вибираються відповідно до прийнятої в компанії політикою віддаленого підключення до користувачів. Як правило, у користувача варто запросити дозвіл про віддаленому підключенні до нього, і отримувати сповіщення про наявність активної сесії.
- Prompt user for Remote Control permission: True
- Show session notification icon on taskbar: True
- Play a sound on client: Begging and end of session
Щоб дозволити певним користувачам і групам підключатися до робочих столів користувачів, потрібно натиснути на кнопку Set Viewers і додати імена груп / користувачів в список.
Конфігурацій клієнта SCCM
Після отримання політик (за замовчуванням протягом 60 хвилин), на клієнтах SCCM створюється локальна група безпеки ConfigMgr Remote Control Users і цій групі надаються відповідні DCOM дозволу. Параметри віддаленого підключення, визначені політикою SCCM знаходяться в розділі реєстру HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \SMS \Client \Client Components \Remote Control.
Якщо віддаленим користувачам дозволено підключатися по RDP, в політику Allow log on through Remote Desktop Services (Local Security Policy> User Rights Assignment) також додається група ConfigMgr Remote Control Users.
Також дозвіл виставляються у властивостях з'єднання RDP-tcp IP.
В політиках брандмауера з'являться відповідні правила:
У документації SCCM зазначено, що для можливості віддаленого підключення до комп'ютерів через Remote Control повинні бути відкриті такі порти:
- TCP - 135
- TCP - 2701
- TCP - 2702
- UDP - 2701
- UDP - 2702
Використання Remote Control
Отже, після того як політика віддаленого підключення SCCM налаштована, і клієнти її отримали, можна спробувати підключитися до комп'ютера користувача.
Для цього запускаємо консоль управління SCCM 2012 вибираємо комп'ютер, до якого хочемо підключитися і в контекстному меню вибираємо Start-> Remote Control.
З'явиться вікно Remote Control з відображенням балки підключення.
А на стороні користувача повинно з'явитися вікно, в якому вказується запит на підключення до його робочого столу службою технічної підтримки персоналом.
Журнали віддалених підключень
Інформацію про всі віддалених підключення зберігається з спеціальних балках, які зберігаються як на стороні сервера, так і на клієнті:
- SCCM Site сервер - [System Drive] \ Users \ [UserName] \ Documents \ Remote Application Logs
- Клієнт SCCM - [System Drive] \ Users \ [UserName] \ Documents \ Remote Application Logs
