Удаленное управление в Configuration Manager 2012

В этой статье мы рассмотрим особенности настройки и использования удаленного подключения к рабочему столу клиентских компьютеров с помощью System Center Configuration Manager 2012 . Удаленное управление обычно используется для удаленного администрирования, оказания технической поддержки пользователей службами HelpDesk за счет возможности видеть и взаимодействовать с его рабочим столом.

SCCM 2012 предполагает три инструмента для удаленного подключения к рабочим местам пользователей:

  • Remote Control – функционал SCCM, предполагает возможность подключения и взаимодействия с сессией пользователя. Возможно отключить оповещение пользователя о том, что его сессия просматривается администратором. Удаленное подключение к рабочему столу компьютера возможно и при отсутствии на компьютере пользовательских сессии (подключение напрямую к консоли). Клиент — CmRcViewer.exe
  • Remote Assistance – стандартная возможность Windows, пользователь в обязательном порядке подтверждает удаленное подключение администратора к своей сессии. Если пользователь на машине не залогинен, подключиться по RA не удастся. Клиент msra.exe.
  • Клиент RDP – подключение в отдельную сессию по протоколу RDP. Клиент mstsc.exe
Примечание . Сессия Remote Assistance в Configuration Manager не может быть установлена с компьютером клиента, не состоящем в этом же домене.

Настройка удаленного подключения к клиентам SCCM 2012

Конфигурирование параметров удаленного подключения к клиентам SCCM осуществляется в настройках политики клиентских устройств. Отредактируйте существующую (например, Default Settings) или новую клиентскую политику.

SCCM 2012 client settings В окне свойств Client Settings перейдите в раздел Remote Tools . По умолчанию удаленные подключения отключены.

Чтобы клиенты могли принимать входящие удаленные подключения, нужно включить опцию Enable Remote Control on client computer и указать профили файервола, для которых нужно разрешить подключение через Remote Tools.

Включить удаленное управление в SCCM 2012

Рассмотрим основные настраиваемые параметры:

  • Users can change policy or notification settings in Software Center – могут ли пользователи изменять политики удаленного подключения и уведомлений
  • Allow Remote Control of an unattended computer – можно ли подключаться к компьютеру с заблокированным экраном или без сессии пользователя
  • Prompt user for Remote Control permission – должен ли пользователь подтвердить разрешение на удаленное подключение к совему компьютеру
  • Grant Remote Control permission to local Administrators group – нужно ли предоставить права удаленного подключения членам группы локальных администраторов
  • Access level allowed – уровень доступа к сессии пользователя (только просмотр или возможность полного управления)
  • Permitted viewers – список пользователей и групп с правами удаленного подключения
  • Show session notification icon on taskbar – нужно ли отображать в панели уведомлений пользователя иконку об активном подключении к его рабочему столу
  • Show session connection bar – более яркое уведомление в виде отдельной панели о наличии активного подключения
  • Play a sound on client – воспроизведение звуковых уведомлений о подключении/отключении удаленного пользователя
  • Manage unsolicited Remote Assistance settings – управление настройками RA, когда пользователь не инициировал запрос на подключение
  • Manage Remote Desktop settings – управление настройками RDP
  • Allow permitted viewers to connect by using Remote Desktop connection – могут ли определенные в этой политике пользователи подключаться по RDP
  • Require network level authentication on computers that run Windows Vista operating system and later versions – нужно ли требовать обязательной NLA аутентификации для компьютеров с Vista и выше

SCCM 2012 - настройки Remote Tools Обычно настройки выбираются в соответствии с принятой в компании политикой удаленного подключения к пользователям. Как правило, у пользователя стоит запросить разрешение об удалённом подключении к нему, и выводить уведомление о наличии активной сессии.

  • Prompt user for Remote Control permission: True
  • Show session notification icon on taskbar: True
  • Play a sound on client: Begging and end of session

Чтобы разрешить определенным пользователям и группам подключаться к рабочим столам пользователей, нужно нажать на кнопку Set Viewers и добавить имена групп/пользователей в список.

Set Viewers

Конфигурациям клиента SCCM

После получения политик (по умолчанию в течении 60 минут), на клиентах SCCM создается локальная группа безопасности ConfigMgr Remote Control Users и этой группе предоставляются соответствующие DCOM разрешения. Параметры удаленного подключения, определенные политикой SCCM находятся в разделе реестра HKEY_ LOCAL_ MACHINE SOFTWARE Microsoft SMS Client Client Components Remote Control .

Группа ConfigMgr Remote Control Users Если удаленным пользователям разрешено подключаться по RDP, в политику Allow log on through Remote Desktop Services (Local Security Policy > User Rights Assignment) также добавляется группа ConfigMgr Remote Control Users.

политику Allow log on through Remote Desktop Services Также разрешение выставляются в свойствах соединения RDP-tcp IP.

RDP-tcp-IP разрешения В политиках файервола появятся соответствующие правила:

8-sccm2012-firewall-rules 9-smrcservice

В документации SCCM указано, что для возможности удаленного подключения к компьютерам через Remote Control должны быть открыты следующие порты:

  • TCP – 135
  • TCP – 2701
  • TCP – 2702
  • UDP – 2701
  • UDP – 2702
Примечание . Из практики достаточно разрешить только порт TCP 2701.

Использование Remote Control

Итак, после того как политика удаленного подключения SCCM настроена, и клиенты ее получили, можно попробовать подключиться к компьютеру пользователя.

Для этого запускаем консоль управления SCCM 2012, выбираем компьютер, к которому хотим подключиться и в контекстном меню выбираем Start -> Remote Control .

SCCM - подключиться к пользователю Появится окно Remote Control с отображением лога подключения.

Окно утилиты Remote Control А на стороне пользователя должно появиться окно, в котором указывается запрос на подключение к его рабочему столу службой тех поддержки персоналом.

Пользователь должен одобрить удаленое подключение к своему экрану

Журналы удаленных подключений

Информация обо всех удаленных подключения сохраняется с специальных логах, которые хранятся как на стороне сервера, так и на клиенте:

  • SCCM Site сервер — [System Drive]Users[UserName]DocumentsRemote Application Logs
  • Клиент SCCM — [System Drive]Users[UserName]DocumentsRemote Application Logs
EnglishRussianUkrainian