В этой статье мы рассмотрим особенности настройки и использования удаленного подключения к рабочему столу клиентских компьютеров с помощью System Center Configuration Manager 2012 . Удаленное управление обычно используется для удаленного администрирования, оказания технической поддержки пользователей службами HelpDesk за счет возможности видеть и взаимодействовать с его рабочим столом.
SCCM 2012 предполагает три инструмента для удаленного подключения к рабочим местам пользователей:
- Remote Control – функционал SCCM, предполагает возможность подключения и взаимодействия с сессией пользователя. Возможно отключить оповещение пользователя о том, что его сессия просматривается администратором. Удаленное подключение к рабочему столу компьютера возможно и при отсутствии на компьютере пользовательских сессии (подключение напрямую к консоли). Клиент — CmRcViewer.exe
- Remote Assistance – стандартная возможность Windows, пользователь в обязательном порядке подтверждает удаленное подключение администратора к своей сессии. Если пользователь на машине не залогинен, подключиться по RA не удастся. Клиент msra.exe.
- Клиент RDP – подключение в отдельную сессию по протоколу RDP. Клиент mstsc.exe
Настройка удаленного подключения к клиентам SCCM 2012
Конфигурирование параметров удаленного подключения к клиентам SCCM осуществляется в настройках политики клиентских устройств. Отредактируйте существующую (например, Default Settings) или новую клиентскую политику.
В окне свойств Client Settings перейдите в раздел Remote Tools . По умолчанию удаленные подключения отключены.
Чтобы клиенты могли принимать входящие удаленные подключения, нужно включить опцию Enable Remote Control on client computer и указать профили файервола, для которых нужно разрешить подключение через Remote Tools.
Рассмотрим основные настраиваемые параметры:
- Users can change policy or notification settings in Software Center – могут ли пользователи изменять политики удаленного подключения и уведомлений
- Allow Remote Control of an unattended computer – можно ли подключаться к компьютеру с заблокированным экраном или без сессии пользователя
- Prompt user for Remote Control permission – должен ли пользователь подтвердить разрешение на удаленное подключение к совему компьютеру
- Grant Remote Control permission to local Administrators group – нужно ли предоставить права удаленного подключения членам группы локальных администраторов
- Access level allowed – уровень доступа к сессии пользователя (только просмотр или возможность полного управления)
- Permitted viewers – список пользователей и групп с правами удаленного подключения
- Show session notification icon on taskbar – нужно ли отображать в панели уведомлений пользователя иконку об активном подключении к его рабочему столу
- Show session connection bar – более яркое уведомление в виде отдельной панели о наличии активного подключения
- Play a sound on client – воспроизведение звуковых уведомлений о подключении/отключении удаленного пользователя
- Manage unsolicited Remote Assistance settings – управление настройками RA, когда пользователь не инициировал запрос на подключение
- Manage Remote Desktop settings – управление настройками RDP
- Allow permitted viewers to connect by using Remote Desktop connection – могут ли определенные в этой политике пользователи подключаться по RDP
- Require network level authentication on computers that run Windows Vista operating system and later versions – нужно ли требовать обязательной NLA аутентификации для компьютеров с Vista и выше
Обычно настройки выбираются в соответствии с принятой в компании политикой удаленного подключения к пользователям. Как правило, у пользователя стоит запросить разрешение об удалённом подключении к нему, и выводить уведомление о наличии активной сессии.
- Prompt user for Remote Control permission: True
- Show session notification icon on taskbar: True
- Play a sound on client: Begging and end of session
Чтобы разрешить определенным пользователям и группам подключаться к рабочим столам пользователей, нужно нажать на кнопку Set Viewers и добавить имена групп/пользователей в список.
Конфигурациям клиента SCCM
После получения политик (по умолчанию в течении 60 минут), на клиентах SCCM создается локальная группа безопасности ConfigMgr Remote Control Users и этой группе предоставляются соответствующие DCOM разрешения. Параметры удаленного подключения, определенные политикой SCCM находятся в разделе реестра HKEY_ LOCAL_ MACHINE SOFTWARE Microsoft SMS Client Client Components Remote Control .
Если удаленным пользователям разрешено подключаться по RDP, в политику Allow log on through Remote Desktop Services (Local Security Policy > User Rights Assignment) также добавляется группа ConfigMgr Remote Control Users.
Также разрешение выставляются в свойствах соединения RDP-tcp IP.
В политиках файервола появятся соответствующие правила:
В документации SCCM указано, что для возможности удаленного подключения к компьютерам через Remote Control должны быть открыты следующие порты:
- TCP – 135
- TCP – 2701
- TCP – 2702
- UDP – 2701
- UDP – 2702
Использование Remote Control
Итак, после того как политика удаленного подключения SCCM настроена, и клиенты ее получили, можно попробовать подключиться к компьютеру пользователя.
Для этого запускаем консоль управления SCCM 2012, выбираем компьютер, к которому хотим подключиться и в контекстном меню выбираем Start -> Remote Control .
Появится окно Remote Control с отображением лога подключения.
А на стороне пользователя должно появиться окно, в котором указывается запрос на подключение к его рабочему столу службой тех поддержки персоналом.
Журналы удаленных подключений
Информация обо всех удаленных подключения сохраняется с специальных логах, которые хранятся как на стороне сервера, так и на клиенте:
- SCCM Site сервер — [System Drive]Users[UserName]DocumentsRemote Application Logs
- Клиент SCCM — [System Drive]Users[UserName]DocumentsRemote Application Logs