Во всех современных Windows имеется инструмент, позволяющий получить помощь со стороны друга или доверенного лица в решении некоторых проблем с компьютером. Называется он «Удаленный помощник». Удалить эту службу, поскольку она является встроенным системным компонентом, невозможно. Но вот отключить ее по причине ненадобности очень просто.
Служба «Удаленный помощник»: что такое и для чего используется?
Это средство изначально разрабатывалось для того, чтобы пользователь, работающий за компьютерным терминалом, подключенным к локальной сети или интернету, мог в любой момент получить или оказать помощь другому юзеру при возникновении каких-либо проблем, которые невозможно устранить самостоятельно.
Технология оказания помощи строится на том, что после получения запроса лицо, которому пользователь полностью доверяет (друг, родственник, системный администратор, IT-консультант компании), могло подключиться к пользовательскому терминалу и уже со своего ПК или ноутбука управлять удаленным компьютером. Это так называемое подключение к удаленному «Рабочему столу». При использовании данной службы отпадает необходимость установки дополнительного Client).
Однако бывают довольно щекотливые ситуации, когда по каким-то причинам человек не хочет отвечать на запросы через службу «Удаленный помощник». Удалить его не получится, но отключить можно. Вообще, сразу стоит отметить, что постановка вопроса об исключении этого компонента системы в корне неправильна, поскольку ни одну составляющую Windows, как бы вы ни старались, обычным путем без вмешательства в программный код изъять из системы не получится. Но поговорим об отключении.
«Удаленный помощник»: как удалить? Настройка удаленного доступа
Поскольку соединение между двумя терминалами построено на технологии удаленного доступа, сначала нужно убедиться, что такое разрешение на подключение не установлено. Если будет видно, что оно находится в активном состоянии, его нужно просто деактивировать. Для этого на первом этапе следует войти в меню свойств компьютера или вызвать раздел из меню «Система» в «Панели управления».
Непосредственное отключение «Удаленного помощника»
На следующем этапе в том же окне жмем кнопку «Дополнительно», после чего в окне настроек убираем галочку со строки разрешения удаленного управления данным компьютером и подтверждаем изменения.
Теперь остается в предыдущем разделе деактивировать строку разрешения на подключение сервиса «Удаленный помощник» Windows XP или любой другой модификации операционной системы и снова сохранить изменения.
В некоторых случаях может появиться предупреждение о том, что нужно задействовать настройки исключений Это связано с настройкой порта 3389, который необходим для работы службы, о чем будет сказано ниже.
Использование раздела групповых политик
Итак, вроде бы мы и отключили службу «Удаленный помощник». Удалить ее, как известно, нельзя, но следующим шагом станет проверка ее активности. Нужно удостовериться, что служба не запущена.
Для этого используем раздел групповых политик, доступ к которому можно получить путем ввода команды gpedit.msc в консоли «Выполнить» (Win + R). Здесь в конфигурации компьютера нужно перейти к административным шаблонам и найти в разделе «Удаленный помощник». Удалить его естественно не получается. Но в правом окне параметров можно либо настроить разрешения по своему усмотрению, либо и вовсе изменить значение параметра разрешения подключения на «Отключено» или «Не задано». То же самое при желании можно сделать и в разделах настроек предлагаемой или запрашиваемой помощи.
Для отключения службы удаленного доступа также можно использовать и раздел, вызываемый командой services.msc, где для нее следует установить ручной тип запуска. Но, в принципе, двух первых шагов, описанных выше, достаточно для того, чтобы деактивировать удаленную помощь.
Нужно ли блокировать порт 3389?
Как уже было оговорено, программа «Удаленный помощник» использует порт 3389. Если разобраться, некоторые думают, что можно даже не заниматься отключением этой службы, а просто заблокировать данный порт в настройках брандмауэра, что и пытаются сделать.
Насколько это целесообразно? Если посмотреть на вопрос, так сказать, в глобальном смысле, блокировка порта 3389 иногда может привести не только к невозможности использования удаленной помощи, но и повлияет на другие компоненты системы, использующие эти настройки. Так, например, могут полностью отключиться соединения терминальных служб, и ни к чему хорошему это не приведет. Кроме того, как указывается в технической документации Microsoft, сам встроенный файрволл «Удаленный помощник» не блокирует по умолчанию.
Чтобы его деактивировать, нужно просто убрать галочку с сервиса удаленного доступа в списке разрешенных программ. Поэтому предпочтение в настройке ограничения входящих или исходящих запросов лучше всего отдавать параметрам групповых политик.
Заключение
Таковы параметры отключения службы «Удаленный помощник». Удалить ее по известным причинам невозможно, а отключение не должно вызвать сложностей даже у неподготовленного пользователя. Тут достаточно произвести несколько нехитрых действий, рассмотренных выше. Но если человек занимается администрированием компьютерных терминалов или локальных сетей, без настройки групповых политик не обойтись, тем более что там можно применить весьма специфичные настройки, благодаря которым сама служба заблокирована не будет, а все запросы будут осуществляться по строго установленным правилам. Плюс - полный контроль над входящими и исходящими приглашениями.
Если получение пользователем ПК сторонней помощи не предусматривается вообще, этот компонент можно даже не трогать, ведь нагрузку на системные ресурсы он оказывает нулевую и в других процессах, даже связанных с удаленным доступом к другим терминалам, не задействован.
Здесь не рассматривались вопросы, связанные с непосредственным использованием сеансов связи и отправкой или созданием приглашений, поскольку предпочтение было отдано исключительно теме отключения встроенной службы Windows. Точно так же не затрагивались и дополнительные сторонние программы вроде TeamViewer и Ammyy.
Для использования Удаленного помощника пользователь должен пригласить другого пользователя для совместного использования сеанса. Предварительно необходимо разрешить использование удаленного помощника (Remote Assistance).
Как только эта возможность будет включена, другого пользователя можно пригласить с помощью одного из нескольких методов. Самым популярным методом приглашения пользователей для удаленного помощника является использование электронной почты и MSN Messenger. Электронная почта чаще всего используется для отправки приглашений, поэтому стоит рассмотреть этот процесс более подробно.
Для отправки приглашения удаленного помощника выполните такую последовательность действий:
1. Выберите Пуск > Справка и поддержка (Start > Help and Support) .
2. В правой панели Запрос на поддержку кликните на ссылке Приглашение на подключение для Удаленного помощника .
4. На этом этапе можно или воспользоваться Windows Messenger или отправить запрос по электронной почте. Для использования электронной почты введите адрес электронной почты пользователя, который должен управлять системой. После этого кликните на кнопке Пригласить . Либо можно сохранить приглашение в файл и отправить его получателю любым другим способом.
5. Введите имя (которое будет показано в приглашении) и сообщение. Кликните на кнопке Далее .
6. Укажите время, в течение которого приглашение будет оставаться действительным (по умолчанию, приглашение остается действительным в течение одного часа). После этого введите и подтвердите ввод пароля для этого подключения. Наконец, кликните на кнопке Отправить приглашение . Пароль не отправляется вместе с уведомлением, поэтому передайте пароль другим способом, хотя бы посредством SMS.
7. После получения уведомления об успешной доставке приглашения закройте диалоговое окно Справка и Поддержка .
Как только получатель прочтет сообщение электронной почты, он увидит присоединенный к сообщению файл. Для инициации подключения удаленного помощника получатель должен дважды щелкнуть на присоединенном файле. Это приведет к открытию диалогового окна Удаленный помощник . На этом этапе от получателя требуется ввести пароль для соединения и щелкнуть на кнопке Да (Yes) .
После этого будет выдано сообщение с советом по подключению удаленного помощника. Для разрешения установки соединения кликните на кнопке Да (Yes) . На этом этапе пользователь уже подключен к удаленной системе. По умолчанию удаленное соединение поддерживает работу в режиме отображения, то есть, удаленный пользователь может видеть только содержимое экрана, а управление рабочим столом не предоставляется.
Как только удаленный пользователь захочет получить рабочий стол в управление, локальный пользователь получит сообщение, которое позволяет предоставить удаленному пользователю такую возможность. Как только локальный пользователь щелкнет на кнопке Да (Yes)
, он сможет наблюдать за тем, как удаленный пользователь управляет рабочим столом. Удаленный пользователь получает сообщение о передаче управления рабочим столом. Удаленный пользователь сохраняет за собой управление, пока один из пользователей не нажмет клавишу
Для завершения сеанса кликните на кнопке Отключить (Disconnect) в диалоговом окне Удаленный помощник .
Удаленный помощник предоставляет прекрасную возможность разобраться с проблемами операционной системы на компьютере родственника или знакомого прямо через интернет. В результате, семья или друзьям могут запросто спросить вашей помощи через интернет, не опасаясь, что система окажется полностью открытой для атаки.
Удаленный помощник обеспечивает соединение через тот же порт, что и служба терминалов (Terminal Services), поэтому если между точками соединения существует брандмауэр, необходимо удостоверится, что этот порт не заблокирован.
Работая системным администратором и не имея доступ к бюджету компании.
Печальная печаль (((
Появилась необходимость в удалённом подключении к пользователям сети. Домен рос, пользователей тьма. Закупать Radmin? Ставить AM? Windows, друг, приходи на помощь.
Разберём по этапам весь процесс, как настроить удалённый помощник Windows в домене для пользователей домена, где администраторы могут посылать запрос на просмотр, а далее второй запрос на управление (это очень важно, особенно для руководителей компании). В сети рассматриваем операционные системы: Windows XP, их ещё полно. Windows 7, 8х, 10.
Приступим к затее. Распишем этапы работ.
- Настроим групповую политику, где админам разрешим удалённый помощник и права на управление.
- Настроим фильтры для операционных систем, операционки разные, фильтры разные.
- Разрешим пользователям изменять поле «описание» в AD для удобства определения, кто залогинен за ПК.
- Создадим правильные ярлыки для работы.
Настраиваем групповую политику.
Win+R – mmc – файл — добавить или удалить оснастку – управление групповой политикой – ОК . Всё описанное делаем на контроллере домена.
Открываем наши имеющиеся политики в домене. Добавляем новую для Windows 7 и выше понятно её называем.
Нам потребуется добавить:
Конфигурация Windows.
Скрипт в автозагрузку, который будет проверять, включена ли возможность использования модели DCOM. Содержание самого скрипта EnableDCOM.vbs
" || EnableDCOM.vbs
" || Скрипт проверяет включена ли возможность использования модели DCOM, если выключено или значение отлично от Y, то он запишет нужный параметр в реестр.
Option Explicit
On Error Resume Next
Dim WshShell
Set WshShell = CreateObject(«WScript.Shell»)
WshShell.RegWrite «HKEY_LOCAL_MACHINE\Software\Microsoft\Ole\EnableDCOM», «Y», «REG_SZ»
Включаем — Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.
Включаем —Разрешать удаленное подключение с использованием служб удаленных рабочих столов.
Включаем
— Включить ведение журнала сеансов
Включаем
— Включить оптимизацию пропускной способности
Отключаем
— Запрос удаленной помощи. Посылки помощи не желательны, достаточно позвонить на SD.
Отключаем
— Настройка предупреждающих сообщений.
Включаем — предлагать удалённую помощь, и добавляем группу администраторов, которые могут править миром в части удалённых помощников в сети домена.
С политикой для Winodws 7 и выше закончено. Переходим к Windows XP. Единственное, что нам надо, добавить условие — если это XP, добавить в реестр строку. Добавляем файл RemoteAssistance.reg
Windows Registry Editor Version 5.00
«fAllowToGetHelp»=dword:00000001
Политики готовы, накладываем эти политики на наши доменные ПК.
Добавляем политику для администраторов. создаём политику RemDeskAdm можно назвать как угодно.
Включаем:
Всегда запрашивать пароль при подключении
Установить уровень шифрования для клиентских подключений
Привязываем данную политику либо администраторам домена, либо создаём группу и добавляем к политике.
Переходим к этапу 2.
Настраиваем фильтры для операционных систем.
В чём смысл? Всё дело в том, что для Windows XP требуется добавление в реестр строки, для всех остальных — нет. Следовательно, если система будет определять, что на удалёнке Windows XP, то прописывать в реестр строку, если нет, то просто игнорировать.
Добавляем фильтр с определением версии Windows и привязываем её к политике для winXP.
Пространство имён — добавляем root\CIMv2
Сам код с определением версии Windows:
select * from Win32_OperatingSystem where Version like «5.1» and ProductType = «1»
Привязываем наш фильтр к нашей политике для Windows XP.
Теперь про фильтр для политики Windows 7 и выше, вот его тело:
Select * from Win32_OperatingSystem where Version like «6.1» and ProductType = «1»
Она так же накладывается на политику Windows 7 и выше, как и предыдущая, но я её снял. Причина: она цепляется на все наши ПК. К ПК на Windows XP применяется только отдельный фильтр для добавления строки в реестр. А версии Windows-то уже не только 6.1. Следовательно, ставить её не будем, в противном случае придётся делать для всех отличных от 6.1 версий отдельные политики.
Разрешим пользователям изменять поле «описание» в AD
Спорное решение, но мне удобно. Я вижу, под какой учёткой на ПК сейчас коннект.
Делается это добавлением двух скриптов, один — при входе в систему, второй — при выходе из системы.
Сами скрипты в формате file.vbs:
On Error Resume Next
Dim adsinfo, ThisComp, oUser
Thiscomp.put «description», «Logged on: » + oUser.cn + » » + CStr(Now)
ThisComp.Setinfo
On Error Resume Next
Dim adsinfo, ThisComp, oUser
Set adsinfo = CreateObject(«adsysteminfo»)
Set ThisComp = GetObject(«LDAP://» & adsinfo.ComputerName)
Set oUser = GetObject(«LDAP://» & adsinfo.UserName)
Thiscomp.put «description», «>> Logged off: » + oUser.cn + » » + CStr(Now)
ThisComp.Setinfo
Накладываем данную политику уже на контейнер пользователей.
Создаём правильные ярлыки для удалённого подключения к пользователям.
Для работы через Удалённый помощник Windows в домене достаточно создать ярлык:
Windows 7
%windir%\system32\msra.exe /offerra
Windows XP
%windir%\pchealth\helpctr\binaries\helpctr.exe /url hcp://CN=Microsoft%20Corporation, L=Redmond, S=Washington, C=US/Remote%20Assistance/Escalation/unsolicited/unsolicitedrcui.htm
Всё!!! Перегружаем ПК пользователей, либо через cmd обнавляем политики домена.
Открываем помощника, вводим имя ПК пользователя и работаем.
Удачи в реализации удалённого помощника Windows в домене.
Related Posts:
Для того что бы использовать функцию Удаленного помощника, первым делом необходимо убедиться, что эта функция включена на обоих компьютерах (хотя по умолчанию она включена на всех компьютерах). Заходим в "Пуск"-"Панель управления"- "Система" (выбрав в Просмотре- Мелкие значки), нажимаете "Настройка удаленного доступа", еще один способ- нажать правой кнопкой мыши на "Компьютер" - "Свойства"- "Настройка удаленного доступа".
На вкладке Удаленный доступ убедитесь в том, что стоит галочка "Разрешить подключение удаленного помощника к этому компьютеру ".
Если нажать кнопку "Дополнительно " можно изменить срок, в течении которого приглашение может оставаться доступным.
Теперь необходимо запустить удаленный помощник на компьютере к которому будет подключаться пользователь. Что бы не запутаться первым компьютером будет называться компьютер к которому подключаются, вторым- который подключается, т.е. второй компьютер подключается к первому.
Нажимаем "Удаленный помощник "
В окне Удаленного помощника выбираем "Пригласить того, кому вы доверяете, для оказания помощи ".
После этого необходимо выбрать способ отправки приглашения. Начнем с конца:
Easy Connect - можно использовать только в локальной сети, при условии, что на локальном сервере Windows Server 2008 имеется протокол Peer Name Resolution Protocol, или для отправки запроса на помощь в Интернет (если ваш маршрутизатор поддерживает это).
Пригласить по электронной почте - подойдет, если на компьютере установлена совместимая программа электронной почты (например Outlook).
Сохранить приглашение как файл - наиболее универсальный способ, приглашение сохраняется в виде файла и ваша задача любыми способами передать его на второй компьютер (можно использовать- электронную почту, Skype, ftp сервер и т.д.). Поскольку этот метод наиболее универсален, в этом примере я буду использовать его.
Выбираем место сохранения и нажимаем "Сохранить ".
После этого откроется окно с паролем для подключения к этому компьютеру, его так же нужно передать на второй компьютер, посредством все той же почты, Skype, ICQ, телефонного звонка, СМС и т.д.
Переходим ко второму компьютеру с которого мы будем подключаться к первому. Запускаем Удаленный помощник Windows. Для этого нажимаем "Пуск"- "Все программы"- "Обслуживание"- "Удаленный помощник Windows" или в строке поиска программы введите "Удаленный помощник " и выберите его в найденных программах.
Выбираем "Помочь тому кто вас пригласил ".
На следующем шаге выбираем "Используйте файл приглашения ".
Указываем на файл переданный нам с первого компьютера.
Вводим пароль, опять же переданный с первого компьютера.
После этого на первом компьютере увидим сообщение о попытке подключиться к этому компьютеру. Нажимаем "Да ".
Теперь на втором компьютере откроется окно Удаленного помощника Windows в котором вы увидите экран рабочего стола компьютера. Но вы сможете только наблюдать за действия первого пользователя, для того что бы получить управление, необходимо нажать "Запросить управление ".
При этом шаге на первом компьютере появится окно о запросе на разрешение по управлению, нажимаем "Да ".
Теперь вы получили доступ к компьютеру. На первом компьютере появится окно Удаленного помощника в котором можно прекратить доступ к рабочему столу на время (кнопка Приостановить), обмениваться сообщениями (кнопка Разговор) или вообще прекратить сеанс (Прекратить удаленное управление).
Привет всем читателям моего совсем еще молодого блога!!!
Удалённый помощник в - это очень удобная вещь для любопытнейших пользователей-новичков, имеющих опытного знакомого-«компьютерщика», и прочих юзеров, частенько нуждающихся в помощи.
Удалённый помощник - стандартная программа, помогающая подключить к Вашему компьютеру стороннего, удалённого пользователя. После настройки и подключения помощник может видеть происходящее на Вашем экране и обмениваться информацией о проблеме. Эта утилита создана для упрощения связи и оказания помощи между «пострадавшим» и «исцеляющим».
Итак, в операционных системах и Windows Vista есть файл Msra.exe. Он и является «Удалённым помощником».
Вы, кстати, сможете запустить его при помощи консоли (командной строки). Сегодня мы рассмотрим параметры запуска именно в консоли.
Запустить «Удалённого помощника» с параметром очень легко:
1. Открываете командную строку,
2. Вводите «Msra.exe».
3. После «Msra.exe» ставите пробел и пишите параметр, не забыв о «/».
В итоге должно получиться:
C:UsersИмяПользователяmsra.exe /expert.
Наглядный результат можете увидеть на скриншоте:
*Скриншот*
Начнём с параметра /getcontacthelp address.
Этот параметр запускает «Помощника» в режиме запроса помощи с функцией «Easy Connect» и адресом из Вашей истории подключений помощника. Данные адреса располагаются в xml-файле RAContacthistory, что лежит в директории UsersИмя пользователяAppdataLocal. Выглядит он, как строка в 40 символов с постфиксом.RAContact.
Продолжаем параметром /saveasfile path password.
С данным параметром «Удалённый помощник» стартует в режиме просьбы о помощи, создаёт запароленный файл-приглашение в директории, написанной в path. Папка path может быть как сетевой, так и локальной. Пользователь должен иметь право для создания файла в path. Нужно назвать файл-приглашение и создать пароль, который будет состоять не менее, чем из 6 символов.
Теперь поговорим о параметре /novice.
Параметр запускает «Помощника» в режиме просьбы о помощи, предлагая выбор отправки приглашения через Windows Mail или сохранения Вашего приглашения в отдельный файл.
Перейдём к параметру /email password.
Также запускает «Удалённого помощника» в режиме просьбы и автоматически создаёт запароленное приглашение, прикреплённое к сообщению в почтовом клиенте, установленном по умолчанию. Пароль также не должен быть меньше 6 символов. После запуска в этом режиме, клиент откроет окно с письмом, куда юзер должен записать e-mail своего «целителя», а после отправить сообщение.
А теперь на очереди параметр /offercontacthelp address.
Запускает «Помощника» в режиме предложения услуг с «Easy Connect» и адресом из Вашей истории подключений помощника. Адрес находится в файле RAContacthistory, что находится в UsersИмя пользователяAppdataLocal.
Параметр /offereasyhelp address.
Данный параметр запускает «Удалённого помощника» в режиме предлога помощи с функцией «Easy Connect». После открытия, Вам предложат ввести пароль в 12 символов, использующийся для соединения с пользователем, нуждающимся в помощи.
Продолжаем параметром /geteasyhelp.
Он запускает «Помощника» в режиме просьбы о помощи с функцией «Easy Connect». После публикации приглашения пользователю, нуждающемуся в помощи, предоставят пароль в 12 символов, который нужен для удачного соединения с пользователем-помощником.
Параметр /openfile path password.
Этот параметр запускает «Удалённого помощника» в режиме предложения помощи и открывает уже заготовленный файл-приглашение. Пользователь должен иметь права для открытия файла. Этот файл может лежать в сетевой папке или на локальном компьютере.
И, наконец, параметр /offerRA computer.
Параметр запускает «Помощника» в режиме предложения помощи и использует DCOM для открытия «Помощника» на компьютере, к которому подключается. Создав подключение, устанавливает сессию. Имя компьютера может использоваться, как название хоста в локалке, DNS и прочим.
Все на этом пока пока и до новых встреч...
