Настройка удаленного помощника windows server 2016

Обновлено: 06.07.2024

в Windows Server можно использовать диспетчер сервера для выполнения задач управления на удаленных серверах. удаленное управление включено по умолчанию на серверах под управлением Windows Server 2016. Чтобы удаленно управлять сервером с помощью диспетчер сервера, необходимо добавить сервер в пул серверов диспетчер сервера.

диспетчер сервера можно использовать для управления удаленными серверами, на которых работают более старые версии Windows Server, но для полного управления этими старыми операционными системами необходимо выполнить следующие обновления.

для управления серверами, работающими под управлением Windows server, более ранних, чем Windows Server 2016, установите следующее программное обеспечение и обновления, чтобы обеспечить управляемость старых выпусков Windows сервера с помощью диспетчер сервера в Windows Server 2016.

Операционная система	Необходимое программное обеспечение	Управляемость
Windows Server 2012 R2 или Windows Server 2012	- - - Windows Management Framework 5,0. пакет Windows Management Framework 5,0 downloads updates инструментарий управления Windows (WMI) (WMI) providers on Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 r2. Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. до применения обновления серверы, работающие Windows Server 2012 r2, Windows Server 2012 или Windows Server 2008 r2, имеют состояние управляемости недоступно. — обновление производительности, связанное с статьей базы знаний 2682011 , больше не требуется на серверах под управлением Windows Server 2012 R2 или Windows Server 2012.
Windows Server 2008 R2	- - - Windows Management Framework 4,0. пакет Windows Management Framework 4,0 downloads updates инструментарий управления Windows (WMI) (WMI) providers on Windows Server 2008 R2. Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. до применения обновления серверы, работающие под управлением Windows Server 2008 R2, имеют состояние управляемости недоступно. — обновление производительности, связанное с статьей базы знаний 2682011 , позволяет диспетчер сервера собираются данные производительности с Windows Server 2008 R2.
Windows Server 2008	- - - Windows Management Framework 3,0 Windows Management Framework 3,0 загрузка пакета обновления инструментарий управления Windows (WMI) (WMI) на сервере Windows Server 2008. Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. до применения обновления серверы, работающие под управлением Windows Server 2008, имеют состояние управляемости недоступно — проверьте предыдущие версии, выполнив Windows Management Framework 3,0. — обновление производительности, связанное с статьей базы знаний 2682011 , позволяет диспетчер сервера собираются данные производительности с Windows Server 2008.

подробные сведения о добавлении серверов в рабочих группах для управления и управления удаленными серверами с компьютера рабочей группы, на котором работает диспетчер сервера, см. в разделе Добавление серверов в Диспетчер сервера.

Включение и отключение удаленного управления

в Windows Server 2016 удаленное управление включено по умолчанию. прежде чем можно будет подключиться к компьютеру, на котором запущена Windows Server 2016 удаленно с помощью диспетчер сервера, диспетчер сервера удаленное управление должно быть включено на конечном компьютере, если он был отключен. В процедурах данного раздела описано, как отключить удаленное управление и как его вновь включить, если оно было отключено. В консоли диспетчер сервера состояние удаленного управления для локального сервера отображается в области Свойства на странице локальный сервер .

Локальные учетные записи с правами администратора, за исключением встроенной учетной записи администратора, могут не иметь права на удаленное управление сервером, даже если удаленное управление включено. Параметр реестра LocalAccountTokenFilterPolicy удаленного контроля учетных записей (UAC) должен быть настроен на разрешение локальных учетных записей группы администраторов, отличной от встроенной учетной записи администратора, для удаленного управления сервером.

в Windows Server 2016 диспетчер сервера полагается на Windows удаленное управление (WinRM) и распределенную модель объектов (DCOM) для удаленного взаимодействия. параметры, которые управляются диалоговым окном настройка удаленного управления , влияют только на части диспетчер сервера и Windows PowerShell, которые используют WinRM для удаленного взаимодействия. Они не влияют на части диспетчер сервера, использующие DCOM для удаленного взаимодействия. например, диспетчер сервера использует WinRM для взаимодействия с удаленными серверами, работающими Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, но использует DCOM для связи с серверами, на которых выполняется Windows server 2008 и Windows server 2008 R2 , но не имеют применимых обновлений Windows Management Framework 4,0 или Windows Management Framework 3,0 . Консоль управления Microsoft (MMC) и другие средства управления прежними версиями используют DCOM. Дополнительные сведения об изменении этих параметров см. в разделе Настройка MMC или другого средства удаленное управление по протоколу DCOM этой статьи.

Процедуры этого раздела можно выполнить только на компьютерах, работающих под управлением Windows Server. вы не можете включить или отключить удаленное управление на компьютере, на котором выполняется Windows 10, с помощью этих процедур, так как клиентскую операционную систему нельзя управлять с помощью диспетчер сервера.

Чтобы включить удаленное управление WinRM, выберите одну из следующих процедур.

RemoteApp — это часть роли служб терминального сервера Windows Server 2016 и эта служба даёт доступ к приложениям, работающих на терминальном сервере, таким образом, что как будто вы их запускаете у себя на локальном компьютере. Служба терминального сервера, которая берёт на себя все вычислительные ресурсы приложения, а пользователю отправляет только результат. Ещё и называют удалённым приложением RemoteApp.

Установка ролей и служб RemoteApp

Для установки RemoteApp запускаем Мастер добавления ролей и компонентов и выбираем Тип установки Установка служб удалённых рабочих столов как на скриншоте ниже

Далее выбираем Стандартное обёртывание xD. И после выбираем Развёртывание рабочих столов на основе сеансов.

На пункте Посредник подключения выбираем наш сервер из пула серверов и добавляем его в правое поле.

На следующем пункте, обратите внимание, необходимо отметить чекбксом Установить службу роли веб-доступа к удалённым рабочим столам на сервере посредника подключений к удалённому рабочему столу

Так же выбираем наш сервер из пула серверов и прожимаем Далее / Развернуть

Процесс развёртывания будет отображаться на экране, а по окончанию мы с вами выходим из мастера по нажатию кнопки Закрыть

Настройка коллекции и добавление удалённых приложений

Далее в Диспетчере серверов переходим в Службы удалённых рабочих столов и добавляем коллекцию, присваиваем имя и заполняем описание. Далее

Выбираем сервер из пула. Далее

На данном шаге нам необходимо Добавить Группы пользователей, которые будут иметь доступ к данному приложению remoteapp.

Теперь переходим к завершению настройки удалённого приложения remoteapp, нам нужно зайти в только что созданную нами коллекцию и через Задачи выбрать из выпадающего меню выбрать пункт Опубликовать удалённые приложения RemoteApp

Добавляем нужные нам приложения и финализируем Закрыть

Натсройка подключения к RemoteApp приложению

Открывается меню Удалённые приложения RemoteApp и рабочие столы, где нам буду доступны только те приложения к которым у нас есть доступ (настраивали ранее). Нажимая на значок приложения начнётся процесс скачивания. После того как вы запустите его вам будет предложено авторизоваться, а уже после чего перед вами откроется уже само приложение 1С RemoteApp или Outlook 2016 RemoteApp.

Приложение RemoteApp будет помечено соответствующим значком

Если Вам надо администрировать рабочие станции пользователей в Вашей сети, к примеру, подключиться к пользователю, посмотреть что у него не, получается, посмотреть последовательность действий приводящих к ошибке да многое чего. Для этих целей существует много разного стороннего софта, номы воспользуемся тем, что предоставляет сама операционная система Windows. Это удалённый помощник. Далее я покажу, как на базе домена polygon.local настроить групповую политику и распространить её на компьютеры в домене.

Итак, у нас есть домен polygon.local на базе операционной системы Windows Server 2008 R2 Standard SP1.

Политика будет применять на компьютеры находящиеся в определённом контейнере.

Создадим групповую политику , на контейнер IT:

Запускаем «Start – Control Panel – Administrative Tools – Group Policy Management и после на контейнер IT создадим групповую политику.

Проверяем пока созданный шаблон групповой политики, которую будем настраивать.

На контейнер IT и на кого применять, т.е. в фильтры безопасности лучше добавить все аутентифицированные пользователи (Прошедшие проверку или Authenticated Users).

Теперь перейдем к редактированию созданной политики “GPO_RemoteAssistant”, следует

Отключаем политикой встроенный брандмауэр и включаем в свойствах компьютера подключение с использование удалённого помощника.

Computer Configuration (Конфигурация компьютера) – Policies ( Политики) – Administrative Templates (Административные шаблоны ) – Network (Сеть) – Network Connections (Сетевые подключения ) – Windows Firewall (Брандмауэр Windows ) – Domain Profile (Профили домена) :

Брандмауэр Windows: Защита всех сетевых подключений – ОТКЛЮЧЕНО.

Включаем ведение журналов подключения с использованием удалённого помощника :

Computer Configuration (Конфигурация компьютера) – Policies (Политики) – Administrative Templates (Административные шаблоны) – System(Система) – Remote Assistance (Удалённый помощник ) :

Включить ведение журналов сеансов – ВКЛЮЧЕНО.

Удалённый помощник можно настроить в двух вариантах ( разрешить взаимодействие с удалённой рабочей станцией и разрешить только просмотр выполняемых действий), но я покажу на примере первого варианта:

Solicited Remote Assistance (Allow helpers to remotely control the computer, 6 Hours, Simple MAPI)

Запрос удалённой помощи – ВКЛЮЧЕНО . (Помощники могут управлять компьютером, 6 часов, Simple MAPI)

А теперь делегируем определённым сотрудникам использование функции удалённого помощника .

Создадим пользователя и группу которая будет заниматься обслуживание рабочих станций и добавим туда этого пользователя .

Создание пользователя через командную строку, но можно и через GUI интерфейс оснастки Active Directory Users and Computers.

Создаём учётную запись test в контейнере IT :

C:\Windows\system32>dsadd user "cn=test,ou=it,dc=polygon,dc=local"

Назначаем пароль для созданной учётной записи :

C:\Windows\system32>dsmod user "cn=test,ou=it,dc=polygon,dc=local" -pwd Aa1234567

По умолчанию, создаваемые через командную строку пользователи помечаются, как блокируемые, разблокируем :

C:\Windows\system32>dsmod user "cn=test,ou=it,dc=polygon,dc=local" -disabled no

C:\Windows\system32>dsadd group "CN=Remote_Assistance,ou=it,dc=polygon,dc=local"

Добавляем в созданную группу, созданную учётную запись :

C:\Windows\system32>dsmod group "CN=Remote_Assisntant,ou=it,dc=polygon,dc=local" -addmbr "CN=test,ou=it,dc=polygon,dc=local"

dsmod succeeded:CN= Remote_Assistance,ou=it,dc=polygon,dc=local

Предоставим созданной группе Remote_ Assistance право на подключение к рабочим станциям пользователям :

Действия ниже включают политику для рабочих станций под управлением Windows 7:

Offer Remote Assistance – Enable

Предлагать удалённую помощь – ВКЛЮЧЕНО (указываем, кому предоставляем доступ на подключение к другим рабочим станциям)

Открываем Show…, где прописываем домен (polygon.local)\Remote_Assistance

$Прописываем домен и группу (polygon.local)\Remote_Assistance кто будет иметь возможность пользоваться удалённым помощником.$

Действия ниже включают политику для рабочих станций под управлением Windows XP , нужно в эту же политику добавить внесение изменений в реестр, что я имею ввиду:

Создаём reg-файл следующего содержания и называем, его, к примеру, AllowToGetHelp.reg

Windows Registry Editor Version 5.00

Данный файл следует поместить по адресу –

Computer Configuration – Policies – Windows Settings – Scripts (Startup / Shutdown) – Startup

На окне, свойств загрузки у Вас должно получиться вот так:

Нажимаем Apply, закрываем созданную политику. Политика настроена. Следует перезагрузить рабочие станции и удостовериться, что на рабочие станции применилась политика. В итоге должна быть установлена галочка, которая разрешает подключение к рабочей станции посредством функционала Windows, т.е. удалённого помощника. . Результат.

Компьютер – Свойства – Дополнительные параметры системы – Удалённый доступ

Мой Компьютер – Свойства – Удалённые сеансы

Вот собственно и всё, в следующей заметке я рассмотрю, как пользоваться удалённым помощником. Следите за обновлениями на моём блоге.

Работая системным администратором и не имея доступ к бюджету компании.

Появилась необходимость в удалённом подключении к пользователям сети. Домен рос, пользователей тьма. Закупать Radmin? Ставить AM? Windows, друг, приходи на помощь.

Разберём по этапам весь процесс, как настроить удалённый помощник Windows в домене для пользователей домена, где администраторы могут посылать запрос на просмотр, а далее второй запрос на управление (это очень важно, особенно для руководителей компании). В сети рассматриваем операционные системы: Windows XP, их ещё полно. Windows 7, 8х, 10.

Приступим к затее. Распишем этапы работ.

Открываем наши имеющиеся политики в домене. Добавляем новую для Windows 7 и выше понятно её называем.

Нам потребуется добавить:

Конфигурация Windows.

Скрипт в автозагрузку, который будет проверять, включена ли возможность использования модели DCOM. Содержание самого скрипта EnableDCOM.vbs

Содержание RemoteAssistance.reg добавляем с параметром /s RemoteAssistance.reg

Политики готовы, накладываем эти политики на наши доменные ПК.

Добавляем политику для администраторов. создаём политику RemDeskAdm можно назвать как угодно.

Включаем:
Всегда запрашивать пароль при подключении
Установить уровень шифрования для клиентских подключений

Привязываем данную политику либо администраторам домена, либо создаём группу и добавляем к политике.

Переходим к этапу 2.

Добавляем фильтр с определением версии Windows и привязываем её к политике для winXP.

Сам код с определением версии Windows:

Привязываем наш фильтр к нашей политике для Windows XP.

Теперь про фильтр для политики Windows 7 и выше, вот его тело :

Она так же накладывается на политику Windows 7 и выше, как и предыдущая, но я её снял. Причина: она цепляется на все наши ПК. К ПК на Windows XP применяется только отдельный фильтр для добавления строки в реестр. А версии Windows-то уже не только 6.1. Следовательно, ставить её не будем, в противном случае придётся делать для всех отличных от 6.1 версий отдельные политики.

Спорное решение, но мне удобно. Я вижу, под какой учёткой на ПК сейчас коннект.

Сами скрипты в формате file.vbs:

Накладываем данную политику уже на контейнер пользователей.

Создаём правильные ярлыки для удалённого подключения к пользователям.

Для работы через Удалённый помощник Windows в домене достаточно создать ярлык:

Windows 7

%windir%\system32\msra.exe /offerra

Windows XP

%windir%\pchealth\helpctr\binaries\helpctr.exe /url hcp://CN=Microsoft%20Corporation, L=Redmond, S=Washington, C=US/Remote%20Assistance/Escalation/unsolicited/unsolicitedrcui.htm

Всё. Перегружаем ПК пользователей, либо через cmd обнавляем политики домена.

Читайте также: