(с) Peter Gubarevich, 2010

    1. Remote Desktop и оказание удалённой помощи.

    Одна из типовых задач системного администратора – оказание помощи пользователям, работая удалённо. Действительно, ездить между филиалами компании (или даже бегать между этажами одного здания) лишь ради того, чтобы прочесть непонятное пользователю окошко и нажать нужный Yes/No/Cancel, было бы крайне неэффективной идеей.

    Технология Remote Desktop, поставляемая с Microsoft Windows XP, Windows Vista и Windows 7 (кроме версий Home), позволяет через сеть подключаться к рабочему столу удалённого компьютера, запускать все программы и настраивать систему, как будто сидя прямо перед ним. Но что получится при попытке соединиться с помощью Remote Desktop с рабочей станцией, на которой уже вошёл и работает пользователь? Обычно мы видим вопрос системы: «Желаете ли отключить пользователя Peter от компьютера?»




    Вот же незадача — если мы выберем принудительное завершение сессии Peter, оказать ему помощь не удастся. Мы даже не сможем посмотреть, как выглядит собственно проблема. И технологию Remote Assistance также не засчитываем, так как для её работы от пользователя требуется проявление инициативы, на которое он зачастую просто неспособен. Поэтому, как правило, большинство администраторов для просмотра удалённого экрана рабочей станции применяют различные сторонние программы — платные и не очень, хорошие и «так себе».




    2. А можно ли как-то решить вопрос встроенными средствами?

    Одно из свойств Remote Desktop, называемое Remote Shadowing, позволяет подключиться к экрану удалённого пользователя и оказать ему помощь. Для её применения полноценный терминальный сервер не требуется, достаточно наличия в удалённом филиале одной незанятой рабочей станции на базе Windows Professional/Business (или выше), с которой можно установить Remote Desktop-соединение. Впрочем, если это будет Windows Server, никто не обидится!

    Схема применения Remote Shadowing выглядит следующим образом:




    Сначала специалист технической поддержки, работающий на компьютере ALPHA, устанавливает Remote Desktop-соединение (RDP) с выделенным (или просто свободным в настоящий момент) компьютером BRAVO. Это инициализирует RDP-протокол, с помощью которого реализуется Remote Shadowing. Внутри окна компьютера BRAVO специалист выполняет команду подключения к компьютеру CHARLIE, на котором работает нуждающийся в поддержке пользователь:



    Console в данном выражении означает название сессии пользователя. Если на компьютере CHARLIE установлена Windows XP, вместо console можно использовать номер сессии 0; на более новых системах номера сессий начинаются с 1 и продолжают увеличиваться по мере параллельного входа в систему нескольких пользователей.

    В то время как экран компьютера BRAVO остаётся заблокированным и недоступным для всех других пользователей, специалист на дисплее компьютера ALPHA получает изображение экрана CHARLIE и может оказать техническую поддержку:






    3. Какие настройки необходимо выполнить, чтобы всё это заработало?

    – Включите Remote Desktop на компьютерах в удалённом филиале. Это нужно сделать как на BRAVO, с которым будет устанавливаться первоначальное соединение, так и на всех остальных CHARLIE, пользователям которых потребуется помогать.

    – В случае, если сеть REMOTE OFFICE отделена от интернета NAT-маршрутизатором, настройте пропускание порта 3389 снаружи на компьютер BRAVO. Также убедитесь, что настройки межсетевого экрана (firewall) BRAVO и CHARLIE позволяют соединяться с ними с помощью Remote Desktop.

    – Компьютер CHARLIE производит опознание (аутентифицирует) человека, который пытается удалённо перехватить экран пользователя. Для этого компьютер BRAVO высылает имя и пароль инициатора соединения — работника техподдержки — через службу Client for Microsoft Networks. Чтобы эти коммуникации произошли успешно, убедитесь, что межсетевой экран (firewall) компьютера CHARLIE не блокирует порты службы File and Printer Sharing для локальной сети.

    – Перехват чужих экранов — операция, требующая определённых привилегий. Убедитесь, что учётная запись работника технической поддержки является членом группы Administrators на компьютере CHARLIE. Если компьютеры организованы в рабочую группу, лучше всего создать идентичную учётную запись для техподдержки на всех BRAVO и CHARLIE, если в домене — используйте единую доменную учётную запись.

    – Также, начиная с Windows XP Service Pack 2, Remote Shadowing требует наличия в реестре компьютера CHARLIE определённого значения. Если его нет, создайте его вручную и перезагрузите систему:


    – Зачастую, требуется исполнять определённые законодательные требования. Например, пользователь должен получать уведомление о том, что к его экрану кто-то подключается; к тому же, следует определить, намерены мы подключаться только для просмотра экрана, либо для полного контроля, управления. Для этого настройте Group Policy на машине CHARLIE:



    На системах Windows XP и Windows Server 2003:
    В контейнере Administrative Templates → Windows Components → Terminal Services настройте параметр Set Rules for Remote Control.. согласно организационным требованиям доступа.

    В случае, если внутри Windows Components нет папки Terminal Services, щёлкните правой кнопкой мыши по папке Administrative Templates и выберите команду Add/Remove Templates. Добавьте шаблон System.adm из папки WINDOWS\Inf, и контейнер Terminal Services появится.

    На системах Windows Vista, Windows 7 и Windows Server 2008:
    В контейнере Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Connections настройте параметр Set Rules for Remote Control.. согласно организационным требованиям доступа.




    Технология Remote Shadowing не является идеальной с точки зрения удобства использования или богатого выбора возможностей, но обладает своими преимуществами — это довольно быстрый, безопасный и не требующий дополнительного лицензирования инструмент удалённого управления. Возможно, именно такой, как вы искали!