Удаленное управление в Configuration Manager 2012

В этой статье мы рассмотрим особенности настройки и использования удаленного подключения к рабочему столу клиентских компьютеров с помощью System Center Configuration Manager 2012. Удаленное управление обычно используется для удаленного администрирования, оказания технической поддержки пользователей службами HelpDesk за счет возможности видеть и взаимодействовать с его рабочим столом.

SCCM 2012 предполагает три инструмента для удаленного подключения к рабочим местам пользователей:

• Remote Control – функционал SCCM, предполагает возможность подключения и взаимодействия с сессией пользователя. Возможно отключить оповещение пользователя о том, что его сессия просматривается администратором. Удаленное подключение к рабочему столу компьютера возможно и при отсутствии на компьютере пользовательских сессии (подключение напрямую к консоли). Клиент — CmRcViewer.exe
• Remote Assistance – стандартная возможность Windows, пользователь в обязательном порядке подтверждает удаленное подключение администратора к своей сессии. Если пользователь на машине не залогинен, подключиться по RA не удастся. Клиент msra.exe.
• Клиент RDP – подключение в отдельную сессию по протоколу RDP. Клиент mstsc.exe

Настройка удаленного подключения к клиентам SCCM 2012

Конфигурирование параметров удаленного подключения к клиентам SCCM осуществляется в настройках политики клиентских устройств. Отредактируйте существующую (например, Default Settings) или новую клиентскую политику.

В окне свойств Client Settings перейдите в раздел Remote Tools. По умолчанию удаленные подключения отключены.

Чтобы клиенты могли принимать входящие удаленные подключения, нужно включить опцию Enable Remote Control on client computer и указать профили файервола, для которых нужно разрешить подключение через Remote Tools.

Рассмотрим основные настраиваемые параметры:

• Users can change policy or notification settings in Software Center – могут ли пользователи изменять политики удаленного подключения и уведомлений
• Allow Remote Control of an unattended computer – можно ли подключаться к компьютеру с заблокированным экраном или без сессии пользователя
• Prompt user for Remote Control permission – должен ли пользователь подтвердить разрешение на удаленное подключение к совему компьютеру
• Grant Remote Control permission to local Administrators group – нужно ли предоставить права удаленного подключения членам группы локальных администраторов
• Access level allowed – уровень доступа к сессии пользователя (только просмотр или возможность полного управления)
• Permitted viewers – список пользователей и групп с правами удаленного подключения
• Show session notification icon on taskbar – нужно ли отображать в панели уведомлений пользователя иконку об активном подключении к его рабочему столу
• Show session connection bar – более яркое уведомление в виде отдельной панели о наличии активного подключения
• Play a sound on client – воспроизведение звуковых уведомлений о подключении/отключении удаленного пользователя
• Manage unsolicited Remote Assistance settings – управление настройками RA, когда пользователь не инициировал запрос на подключение
• Manage Remote Desktop settings – управление настройками RDP
• Allow permitted viewers to connect by using Remote Desktop connection – могут ли определенные в этой политике пользователи подключаться по RDP
• Require network level authentication on computers that run Windows Vista operating system and later versions – нужно ли требовать обязательной NLA аутентификации для компьютеров с Vista и выше

Обычно настройки выбираются в соответствии с принятой в компании политикой удаленного подключения к пользователям. Как правило, у пользователя стоит запросить разрешение об удалённом подключении к нему, и выводить уведомление о наличии активной сессии.

• Prompt user for Remote Control permission: True
• Show session notification icon on taskbar: True
• Play a sound on client: Begging and end of session

Чтобы разрешить определенным пользователям и группам подключаться к рабочим столам пользователей, нужно нажать на кнопку Set Viewers и добавить имена групп/пользователей в список.

Конфигурациям клиента SCCM

После получения политик (по умолчанию в течении 60 минут), на клиентах SCCM создается локальная группа безопасности ConfigMgr Remote Control Users и этой группе предоставляются соответствующие DCOM разрешения. Параметры удаленного подключения, определенные политикой SCCM находятся в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\Client\Client Components\Remote Control.

Если удаленным пользователям разрешено подключаться по RDP, в политику Allow log on through Remote Desktop Services (Local Security Policy > User Rights Assignment) также добавляется группа ConfigMgr Remote Control Users.

Также разрешение выставляются в свойствах соединения RDP-tcp IP.

В политиках файервола появятся соответствующие правила:

В документации SCCM указано, что для возможности удаленного подключения к компьютерам через Remote Control должны быть открыты следующие порты:

• TCP – 135
• TCP – 2701
• TCP – 2702
• UDP – 2701
• UDP – 2702

Использование Remote Control

Итак, после того как политика удаленного подключения SCCM настроена, и клиенты ее получили, можно попробовать подключиться к компьютеру пользователя.

Для этого запускаем консоль управления SCCM 2012, выбираем компьютер, к которому хотим подключиться и в контекстном меню выбираем Start-> Remote Control.

Появится окно Remote Control с отображением лога подключения.

А на стороне пользователя должно появиться окно, в котором указывается запрос на подключение к его рабочему столу службой тех поддержки персоналом.

Журналы удаленных подключений

Информация обо всех удаленных подключения сохраняется с специальных логах, которые хранятся как на стороне сервера, так и на клиенте:

• SCCM Site сервер — [System Drive]\Users\[UserName]\Documents\Remote Application Logs
• Клиент SCCM — [System Drive]\Users\[UserName]\Documents\Remote Application Logs