главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Microsoft Edge - еще более безопасный!
  • ActiveCloud - надежный провайдер облачных услуг для вашей компании
  • ANYSERVER - ваш поставщик б/у серверов из Европы
  • Настройка контекстной рекламы в Yandex и Google: Эффективный путь к росту вашего бизнеса
  • Коммутаторы с функцией PoE: Обеспечение эффективной передачи данных и питания
  • Очередное обновление сломало выключатель компьютеров на Windows 11
  • В этой статье

    • Введение
    • Использование Удаленного помощника в сетях с брандмауэром
    • Использование Удаленного помощника совместно с устройствами NAT
    • Использование Групповой политики для Удаленного помощника
    • Блокировка Удаленного помощника на отдельном компьютере
    • Предложение Удаленной помощи
    • Заключение
    • Связанные ресурсы

    Введение

    Удаленный помощник позволяет доверенному лицу (другу, специалисту технической поддержки или ИТ администратору) удаленно в активном режиме помочь кому-либо в решении компьютерной проблемы. Помощник (в дальнейшем именуемый "эксперт") может видеть экран на компьютере пользователя, запросившего помощь, оказывать консультации и предлагать пути решения проблемы. С разрешения пользователя эксперт сможет управлять его компьютером, используя мышь и клавиатуру на своем компьютере. Для работы Удаленного помощника требуется, чтобы оба компьютера работали под управлением операционной системы Windows XP.

    Типы подключений Удаленного помощника

    Удаленный помощник может быть использован в следующих ситуациях:

    • В пределах локальной сети (LAN).
    • Через Интернет.
    • Между отдельным компьютером в Интернет и компьютером за брандмауэром в Локальной сети. Соединения в сетях с брандмауэром требуют, чтобы TCP порт 3389 был доступен.

    Организация защиты Удаленного помощника

    С разрешения пользователя и при соответствующих настройках Групповой политики эксперт может управлять его компьютером и выполнять на нем любые задачи, доступные пользователю, включая работу в сети. Перечисленные ниже настройки помогут укрепить безопасность в Вашей организации:

    • Брандмауэр . Разрешая или запрещая с помощью брандмауэра трафик через порт 3389, Вы можете определить, смогут ли служащие вашей организации запрашивать помощь за ее пределами. Для получения дополнительной информации обратитесь к разделу Использование Удаленного помощника в сетях с брандмауэром далее в этой статье.
    • Групповая политика . Вы можете настроить Групповую политику, чтобы разрешить или запретить пользователям запросы помощи с использованием Удаленного помощника. Также есть возможность определить, в каких случаях пользователи разрешат кому-либо контролировать их компьютер или только наблюдать за ним. Кроме того, Вы можете настроить Групповую политику, чтобы разрешить или, наоборот, запретить эксперту предложения удаленной помощи без предварительного запроса от пользователя. Для получения дополнительной информации обратитесь к разделу Использование Групповой политики для Удаленного помощника далее в этой статье.
    • Отдельный компьютер . Администратор отдельного компьютера может выключить запросы удаленного помощника, заблокировав тем самым отправку приглашений удаленного помощника любым пользователем этого компьютера. Для получения дополнительной информации обратитесь к разделу Блокировка Удаленного помощника на отдельном компьютере далее в этой статье.

    Предложение Удаленной помощи

    Как правило, работа с Удаленным помощником начинается с запроса пользователем помощи по электронной почте или с использованием Windows Messenger. Тем не менее, эксперт может предложить помощь без предварительного запроса от новичка. Для получения дополнительной информации обратитесь к разделу Предложение удаленной помощи далее в этой статье.

    Использование удаленного помощника в сетях с брандмауэром

    Для соединения между пользователем, запрашивающим помощь, и экспертом Удаленный помощник использует протокол Remote Desktop Protocol (RDP). В этом соединении протокол RDP использует TCP порт 3389. Следовательно, для того, чтобы пользователи в Вашей организации могли запрашивать помощь за ее пределами, порт 3389 должен быть открыт на корпоративном брандмауэре. Чтобы запретить пользователям запросы помощи за пределами организации, данный порт должен быть закрыт. Обратитесь к инструкции по администрированию брандмауэра, чтобы узнать, как открыть или закрыть порт 3389.

    Примечания:

    • Закрыв порт 3389, Вы запретите все не только все соединения Удаленного рабочего стола, но и соединения Терминальных служб. Если необходимо ограничить только запросы Удаленного помощника, используйте Групповую политику.
    • Брандмауэр подключения к Интернету компании Microsoft, разработанный для использования только на автономных компьютерах или компьютерах в рабочих группах, не блокирует соединения Удаленного помощника.

    Использование Удаленного помощника совместно с NAT

    Что такое NAT?

    Преобразование сетевых адресов (Network Address Translation – NAT) – это стандарт инженерной группы по развитию Интернета (Internet Engineering Task Force - IETF). Он используется в случаях, когда необходимо предоставить в общий доступ одни глобальный маршрутизируемый адрес IPv4 нескольким компьютерам или сетевым устройствам в частной сети (использующих адресацию из частных диапазонов, таких, как 10.0.x.x, 192.168.x.x, 172.x.x.x). Наиболее распространенной причиной развертывания NAT является недостаточное количество сетевых адресов текущего поколения IPv4. NAT используется на устройствах, выполняющих роль шлюза на границе между публичной (Internet) и частной локальной сетью (LAN). Когда IP-пакет из частной локальной сети проходит сквозь шлюз, NAT преобразует частный IP адрес и порт в публичный IP адрес и порт, отслеживая данное преобразование, для поддержания целостности каждого соединения. Общий доступ к подключению Интернета в операционных системах Windows XP и Windows Me совместим с большинством Интернет шлюзов, использующих NAT (особенно для подключения к широкополосным сетям при помощи технологии DSL или кабельных модемов). Использование NAT наиболее популярно в большинстве домашних малых офисных сетях, где компьютеры имеют только одно подключение к сети Интернет.

    Удаленный помощник и NAT

    Удаленный помощник поддерживает стандарт UPnP, позволяя осуществлять соединения через NAT-устройства, за исключением случаев, когда компьютеры новичка и эксперта находятся за NAT-устройством, не поддерживающим UPnP. В настоящее время брандмауэр подключения к Интернету, входящий в поставку Windows XP, поддерживает работу с UPnP.

    Ниже описано как Удаленный помощник работает с UPnP:

    1. Удаленный помощник определит общий Интернет IP адрес и номер порта TCP на UPnP NAT-устройстве, и вставит его в билет Удаленного помощника.

    2. Общий Интернет адрес и номер TCP порта будут использованы для осуществления соединения через устройство NAT рабочей станцией новичка или эксперта с целью установки соединения удаленного помощника.

    3. Запрос на соединение Удаленного помощника будет перенаправлен клиенту NAT-устройством.

    Примечание: Удаленный помощник не сможет установить соединение, если новичок, в сети которого установлено не-UPnP NAT-устройство, использовал для отправки приглашения электронную почту. При отправке приглашения посредством Windows Messenger соединение удаленного помощника будет работать через NAT-устройство, не поддерживающее UPnP, даже если эксперт находится за NAT устройством. Если оба компьютера - новичка и эксперта - находятся за NAT-устройствами, не поддерживающими UPnP, то соединение удаленного помощника установить не удастся. Ниже в Таблице 1 ниже показаны соединения Удаленного помощника, работающего совместно с устройствами NAT. Примечание: брандмауэр подключения к Интернету Windows 2000 не поддерживает UPnP.

    Таблица 1. Подключения Удаленного помощника и устройства NAT

     

    Брандмауэр подключения к Интернет Windows XP

    Не- UPnP NAT устройство

    UPnP NAT устройство

    Связь по Windows
    Messenger

     

     

     

    Новичок

    Да

    Да

    Да

    Эксперт

    Да

    Да

    Да

    Новичок и Эксперт вместе

    Да

    Нет

    Да

    Связь по электронной почте

     

     

     

    Новичок

    Да

    Нет

    Да

    Эксперт

    Да

    Да

    Да

    Новичок и эксперт вместе

    Да

    Нет

    Да

    Использование Групповой политики для Удаленного помощника

    В сетевом окружении Active Directory Windows 2000 Server для управления Удаленным помощником вы можете использовать параметры Групповой политики – разрешающие или полностью блокирующие его использование. Используйте политику Запрошенная удаленная помощь ( Solicited Remote Assistance), расположенную в оснастке Групповой политики (Конфигурация компьютера\Административные шаблоны\Система\Удаленный помощник) (Computer
    Configuration\Administrative Templates\System\Remote Assistance), как показано на Рисунке 1 ниже.

    Рисунок 1: . Управление Удаленным помощником с использованием Групповой политики

    Запрошенная Удаленная помощь происходит в случае, когда пользователь компьютера посылает приглашение Удаленной помощи пользователю другого компьютера (эксперту).

    Блокировка Удаленного помощника

    Параметры политики Запрошенная удаленная помощь ( Solicited Remote Assistance) по умолчанию не сконфигурированы, что позволяет отдельным пользователям настраивать Запрошенную удаленную помощь, используя Панель управления. По умолчанию из Панели управления доступны следующие настройки:

    • Запрошенная удаленная помощь ( Solicited Remote Assistance) включена;
    • Allow buddy support разрешена;
    • Удаленное управление этим компьютером ( Permit remote control of this computer) включено;
    • Предельный срок, который приглашение может оставаться открытым ( Maximum ticket time), равен 30 дней.

    Следовательно, чтобы заблокировать пользователям доступ к Удаленному помощнику, Вы должны выключить политику Запрошенная удаленная помощь ( Solicited Remote Assistance) . Это запретит работу удаленного помощника для любого компьютера или пользователя, на которого распространяются данные параметры объекта Групповой политики (GPO). Например, Вы можете захотеть заблокировать некоторым группам доступ к Удаленному помощнику. Пользователь, принадлежащий к целевому Подразделению (OU), для которого применена политика, не сможет использовать Удаленного помощника.

    Управление удаленным помощником

    Включение параметра Запрошенная удаленная помощь ( Solicited Remote Assistance) позволяет Вам устанавливать разрешения, отличные от настроек по умолчанию, доступные, когда эта политика не задана. Как было описано ранее, у Вас может возникнуть необходимость определить, какие группы или пользователи смогут использовать Удаленного помощника. Пользователь, являющийся членом заданного Подразделения (OU), на которое распространяются параметры данной политики, сможет использовать Удаленного помощника, соответственно заданным Вами разрешениям.

    Примечание: Отправка приглашения Удаленного помощника не дает явного разрешения эксперту подключаться к компьютеру и/или контролировать его. Когда эксперт пытается подключиться, пользователь может либо принять, либо отказать в подключении (тем самым, предоставляя эксперту возможность только наблюдения за рабочим столом пользователя). Затем пользователь должен явно нажать на кнопку, чтобы разрешить эксперту удаленно управлять рабочим столом, если удаленное управление разрешено. Если этот параметр включен, Вы можете установить следующие настройки:

    • Allow buddy support . Установка данного флажка подразумевает, что пользователь может запрашивать помощь у других пользователей (у друзей или коллег с использованием электронной почты или системы мгновенных сообщений), также, как и через канал, предустановленный производителем оборудования или программного обеспечения, корпоративной службой технической поддержки и так далее. Снятие данного флажка подразумевает, что пользователи смогу запрашивать помощь только по официальному каналу.
    • Разрешить удаленное управление. Данный параметр позволяет выбирать, в каких случаях эксперт сможет удаленно управлять компьютером, а когда сможет только наблюдать за рабочим столом пользователя.
    • Максимальное время билета . Этот параметр определяет максимальное время, в течение которого запрос пользователя на удаленную помощь будет действителен. После истечения времени билета (запроса помощи) пользователь должен послать новый запрос для того, чтобы эксперт мог подключиться к его компьютеру.

    Блокировка удаленного помощника на отдельном компьютере

    Пользователи могут заблокировать Удаленного помощника на своих собственных компьютерах, установив необходимые параметры в Панели управления. Для того чтобы, заблокировать запросы удаленной помощи на отдельном компьютере

    1. Откройте Панель управления ( Control Panel), щелкните Производительность и обслуживание ( Performance and Maintenance), затем Система ( System).
    2. На вкладке Удаленные сеансы, в панели Удаленный помощник, снимите флажок Разрешить отправку приглашений удаленному помощнику, как показано ниже на Рисунке 2.

    Рисунок 2: Блокировка удаленного помощника

    Чтобы запретить удаленное управление этим компьютером с использованием Удаленного помощника

    1. Откройте Система в Панели управления.
    2. На закладке Удаленные сеансы, в панели Разрешить отправку приглашения удаленному помощнику, щелкните Дополнительно.
    3. Снимите флажок Разрешить удаленное управление этим компьютером, как показано ниже, на Рисунке 3.

    Рисунок 3: Предотвращение доступа к Вашему компьютеру посредством удаленного помощника

    Предложение Удаленной помощи

    Иногда лучшим способом решения проблемы является наглядная демонстрация того, как можно решать проблемы подобного рода. Будучи экспертом или профессионалом в области технической поддержки, Вы можете инициировать запрос удаленной помощи без приглашения. Например, Вы можете обсуждать с другом компьютерную проблему и выбрать использование Удаленного помощника для ее решения. После того, как подключение будет выполнено, Вы увидите экран компьютера пользователя и обсуждать то, что Вы оба видите на нем. С разрешения пользователя Вы можете использовать Ваши мышь и клавиатуру для управления его компьютером.

    Примечания :

    • Брандмауэры могут блокировать соединения Удаленного помощника. Попробуйте использовать Windows Messenger вместо электронной почты, чтобы установить соединение. Если и в этом случае не удается установить соединение, попросите системного администратора открыть для Вас порт 3389.
    • Если на пользовательском компьютере параметр Групповой политики параметр Запрошенная удаленная помощь включен, эксперт может предлагать Удаленную помощь этому пользователю без предварительного приглашения. В редакторе Групповой политики на этом компьютере эксперт должен быть добавлен в список Помощники или входить в локальную группу Администраторы.
    • Вы можете увеличить производительность работы во время сеанса связи Удаленного помощника, уменьшив качество цветопередачи на пользовательском компьютере. Используйте настройку Качество цветопередачи на вкладке Параметры, значок Экран в Панели управления, чтобы уменьшить количество цветов отображаемых на экране пользователя.

    Чтобы предложить удаленную помощь без приглашения

    1. Нажмите кнопку Пуск, затем щелкните Справка и поддержка.
    2. Под пунктом Выбор задания, щелкните Использование Служебных программ для просмотра информации о компьютере и диагностики неполадок.
    3. Под меню Сервис в панели слева щелкните Предложение удаленной помощи.
    4. Введите имя или IP-адрес компьютера, к которому Вы хотите подключиться, после чего нажмите кнопку Подключиться, как показано ниже на Рисунке 4.

    Рисунок 4: Предложение удаленной помощи

    Чтобы предложить удаленную помощь пользователю, не приславшему приглашение, включите на компьютерах параметр Групповой политики Предложение удаленной помощи, как показано ниже на Рисунке 5.

    Рисунок 5: Включение Групповой политики для предложения удаленной помощи

    Кроме того, Вы должны быть или членом группы Администраторы на данном компьютере, или присутствовать в списке Помощников в параметре Разрешить предложение удаленной помощи, как показано ниже на Рисунке 6.

    Рисунок 6: Настройка политики Запрошенная удаленная помощь

    Чтобы включить Предложение удаленной помощи

    1. Нажмите кнопку Пуск, выберите Выполнить, введите gpedit . msc и нажмите OK.
    2. В левой панели редактора Групповой политики под пунктом Конфигурация компьютера дважды щелкните Административные шаблоны, выберите пункт Система, после чего щелкните Удаленный помощник.
    3. В правой панели дважды щелкните Предложение удаленной помощи и щелкните Включен. Включив политику, Вы можете выбирать, позволено ли эксперту управление компьютером или только наблюдение за ним.

    Несмотря на то, что эксперт может предлагать Удаленную помощь без предварительного запроса, пользователь должен дать разрешение на наблюдение за своим компьютером. Кроме того, пользователь должен дать разрешение на управление своим компьютером в случае, если такая возможность сконфигурирована.

    Заключение

    Управление Удаленным помощником может потребовать выполнения настроек для порта 3389, объектов Групповой политики и выполнения ряда других административных задач. Для управления Удаленным помощником администраторам доступны следующие технологии:

    • Брандмауэр . Открывая или перекрывая брандмауэром соединения через порт 3389, администраторы могут определять, может ли служащий Вашей организации запрашивать помощь за ее пределами.
    • Групповая политика . С помощью Групповой политики Вы можете разрешать или запрещать запросы помощи с использованием Удаленного помощника. Также Вы можете определить, смогут ли пользователи разрешать эксперту контролировать их компьютер, или только наблюдать за ним. Кроме того, Вы можете настроить Групповую политику, чтобы разрешить или запретить эксперту предлагать удаленную помощь без предварительного запроса от пользователя.
    • Отдельный компьютер . Администратор отдельно взятого компьютера может выключить на нем возможность отправки приглашений удаленного помощника, что предотвратит его использование кем бы то ни было.

      Благодарности

      Mike Seamans, Технический Писатель, Microsoft Corporation
      Alvin Loh, Менеджер программных продуктов, Microsoft Corporation
      John Kaiser, Технический Редактор, Microsoft Corporation

    Автор: Станислав Павелко aka Yampo
    Иcточник: (переведено с англ.) Microsoft Technet
    Взято с oszone.ru


    Оцените статью: Голосов

    Материалы по теме:
  • Диагностика групповой политики с помощью команды gpresult
  • Как удаленно управлять компьютером с помощью смартфона вместо мыши и клавиатуры
  • Выключаем Desktop Cleanup Wizard через logon script
  • Недостатки резервного копирования в режиме онлайн
  • Документы о рабочей среде. Знакомство с RDP.



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет восемь минус четыре?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+