Wsparcie użytkowników w dużych sieciach firmowych jest bardzo istotną kwestią. W czasach, gdy komputer jest głównym narzędziem pracy, nie można dopuścić do sytuacji, w której na skutek problemów z komputerem, awarii czy też zwykłej niewiedzy, pracownik traci możliwość wykonywania własnych obowiązków. Za tą właśnie część obsługi infrastruktury informatycznej przedsiębiorstw odpowiadają pracownicy zespołów Helpdesk funkcjonujących niemal w każdej firmie. Sprawna obsługa i dostarczanie wsparcia do użytkowników dużych sieci, rozmieszczonych niejednokrotnie w wielopiętrowych budynkach, biurowcach a nawet oddalonych kilometrami lokalizacjach wymagało jeszcze do niedawna dużej mobilności pracowników supportu. W sytuacji tej wielką rewolucją okazała się funkcjonalność Pomocy Zdalnej (Remote Assistance) wprowadzona w systemach Windows XP.

Artykuł ten nie ma na celu wyjaśnienia zasad funkcjonowania tego elementu systemu, który najprawdopodobniej jest znany i wykorzystywany na co dzień zarówno przez użytkowników jak i ekspertów wsparcia technicznego. Chciałbym przedstawić kilka rozwiązań, które mogą znacznie ułatwić i usprawnić wykorzystywanie i zarządzanie RA w środowiskach opartych o Windows Server 2003 i Active Directory.

Domyśle ustawienia Remote Assistance

Na początku przedstawmy po krotce mechanizm funkcjonowania Remote Assistance w swojej domyślnej konfiguracji. Każdy użytkownik posiadający system Windows XP (w którym domyślnie włączona jest opcja wysyłania zaproszeń pomocy zdalnej) korzystając z dowolnej aplikacji obsługującej MAPI (Microsoft Outlook, Windows Messenger) ma możliwość "zaproszenia" dowolnego użytkownika do wyświetlenia, lub przejęcia kontroli nad jego sesją w celu rozwiązania konkretnego problemu lub wyjaśnienia jakiegoś zagadnienia.

Jakich problemów może nastręczyć tak funkcjonujący mechanizm w firmach, organizacjach o ściśle określonych procedurach i politykach bezpieczeństwa? Na myśl nasuwają się potencjalne trzy z nich:

• Już samo wysłanie zaproszenia Pomocy Zdalnej może stanowić dla początkujących użytkowników duży problem.
• Pomoc zdalna może być oferowana przez dowolne, często niekompetentne i nieuprawnione osoby.
• Pomimo faktu, iż Pomoc Zdalna dynamicznie kontroluje blokadę portów połączeń zdalnych i otwiera je podczas połączenia, to doświadczenie podpowiada mi, iż skuteczniej i bezpieczniej skonfigurować jest wyjątki Zapory Systemu Windows ręcznie.

Domyślne ustawienia RA zatem sprawdzają się w domu lub kilkustanowiskowych środowiskach. W dużych sieciach na pewno warto pomyśleć o racjonalizacji tych zasad. Jak zatem konkretnie administratorzy domen mogą optymalnie skonfigurować środowiska tak, aby ułatwić i usprawnić pracę Helpdesku, jak również uchronić użytkowników końcowych przed niekompetentnym wsparciem i problemami technicznymi z obsługą RA?

Ogólnie można odpowiedzieć następująco: zabronić zwykłym użytkownikom na zdalne łączenie się z komputerami innych pracowników, stworzyć odpowiednią grupę ekspertów uprawnionych do udzielania pomocy, umożliwić im wywoływanie sesji bez konieczności wysłania ticketu przez użytkownika, skonfigurować zasady Zapory Systemu Windows umożliwiając bezproblemowe funkcjonowanie RA. Założenia te w środowisku Windows Server 2003 i systemów Windows XP można szybko i skutecznie osiągnąć bez konieczności konfiguracji każdego klienta oddzielnie.

Przykładowa procedura wdrożenia opisanego rozwiązania

Przed przystąpieniem do wykonania opisanych poniżej kroków zalecam instalację konsoli MMC Group Policy Management Console ze stron Microsoft Download Center.

Tworzenie grupy użytkowników uprawnionych do udzielania Pomocy Zdalnej:

• W Administrative Tools wybieramy przystawkę Active Directory Users and Computers
• Tworzymy nową Security Group o nazwie np. HelpdeskRA w odpowiadającym nam kontenerze
• Wyświetlamy właściwości stworzonej grupy i na zakładce Members dodajemy właściwych użytkowników

Tworzenie Group Policy Object dla grupy HelpdeskRA pozwalającej wywoływać im sesje pomocy:

• W Administrative Tools wybieramy przystawkę Group Policy Management
• Rozwijamy nasz las i odpowiednią domenę
• Klikamy prawym klawiszem na Group Policy Objects i wybieramy New
• Nadajemy odpowiednią nazwę, np. HelpdeskRA Policy i potwierdzamy OK
• Klikamy prawym klawiszem na nowo stworzonym obiekcie i wybieramy Edit
• W edytorze rozwijamy Computer Configuration -> Administrative Templates -> System -> Remote Assistance
• W prawej części okna klikamy dwukrotnie w polisę Offer Remote Assistance, wybieramy Enabled, upewniamy się, że z listy rozwijanej została wybrana pozycja Allow helpers to remotly control the computers
• W sekcji Helpers wybieramy Show, a następnie Add i wpisujemy nazwę wcześniej stworzonej grupy (w naszym przypadku HelpdeskRA)
• Potwierdzamy dokonane zmiany, zamykamy okno edytora
• W lewej części okna GPM klikamy prawym klawiszem nazwę naszej domeny i wybieramy z menu kontekstowego Link an Existing GPO
• Wybieramy stworzoną Helpdesk RA Policy, potwierdzamy OK

Konfiguracja klientów uniemożliwiająca wyłączenie Remote Assistance we właściwościach systemu:

• Powtarzamy wykonane wcześniej kroki 3, 4 i 5, zmieniając jedynie nazwę polisy np. na UsersRA Policy
• W edytorze nawigujemy do Computer Configuration -> Administrative Templates -> System -> Remote Assistance
• Konfigurujemy jako Enabled polisę Solicited Remote Assistance pozostawiając domyślne ustawienia
• Wykonujemy analogicznie krok 10

Określenie grup użytkowników, którzy będą mogli logować się za pomocą Remote Assistance:

• Z narzędzi administracyjnych wybieramy Default Domain Security Settings
• Rozwijamy Local Policies -> User Rights Assignment
• Klikamy dwa razy w prawym oknie na polisie Allow log on through Terminal Services, zaznaczamy Define these policy settings i za pomocą przycisku Add User or Group wskazujemy HelpdeskRA (dodatkowo Domain Admins)
• Analogicznie za pomocą Deny log on through Terminal Services określamy grupy użytkowników, którym możliwość oferowania Pomocy Zdalnej ma być zabrana

Zmiany, które wprowadzimy w ten sposób należy racjonalnie dostosować do danego środowiska, zwłaszcza w przypadku korzystania z usług terminalowych w sieci. Na potrzeby artykułu konfiguracja została uproszczona i może nie spełniać wytycznych z tzw. dobrych praktyk. W środowiskach produkcyjnych sugeruję linkować GPO do odpowiednich OU, a nie do całej domeny.

Konfiguracja Windows Firewall/ICF dla przepuszczania ruchu na porcie 3389:

• Wykonujemy opisane już kroki tworząc odpowiedni GPO
• W edytorze rozwijamy Computer Configuration -> Administrative Templates -> Network -> Network Connections (uwaga: dla systemów XP SP1 można włączyć lub wyłączyć zaporę poprzez GPO, tylko systemom XP SP2 można centralnie zdefiniować wyjątki blokowania portów dodając odpowiednie szablony adm; tego tematu nie bedę rozwijał na potrzeby tego artykułu)

Zainteresowanych odsyłamy do lektury dokumentu Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2.

Co udało się osiągnąć?

W ten sposób udało nam się osiągnąć wszystkie zamierzone cele. Kontrolujemy kto może, a kto nie może udzielać pomocy. Mamy pewność, ze użytkownicy nie będą mogli sami wyłączyć tej opcji, za pomocą polisy Offer Remote Assistance umożliwiliśmy działowi Helpdesk inicjowanie sesji bez konieczności wysłania zaproszenia ze strony użytkownika (użytkownik wciąż jednak musi wyrazić zgodę na wyświetlenie lub przejęcie kontroli nad sesją i w każdej chwili może ją przerwać), zabezpieczyliśmy się przed problemami z blokowaniem połączenia przez Windows Firewall.

Autor: Roch Norwa

Spis treści

• Domyślne ustawienia
• Tworzenie grupy ekspertów
• GPO dla grupy ekspertów
• Konfiguracja klientów
• Określenie uprawnień
• Konfiguracja Windows Firewall

Roch jest pracownikiem działu pomocy technicznej Microsoft