Централизованная настройка DameWare посредством GPO
Ситуация, которая привела к рассмотрению данного вопроса возникла совершенно неожиданно, знакомый использующий DAMEWARE в какой то момент времени обновился до версии 7.5 при запросе подключения простого пользователя (не администратора системы), и принятия запроса на подключение конечным пользователем, доступ предоставлялся «только для чтения» т.е. подключенный пользователь по факту никаких действий производить не мог, кроме того, как просматривать действия производимые на удаленном экране, данный вопрос решался, со стороны агента конечного пользователя в настройках которого ноебходимо снять флажок — Вкладка Access — View Only for these account types и доступ уже предоставлялся с привилегиями пользователя к машине которого данное подключение производится, тут же встал вопрос о глобальном переконфигурировании всех удаленных клиентов компании:
- Конфигурирование MRC и удаление «старых» и установка «новых» средствами самого MRC
- Создание преднастроенного MSI файла и распространение средствами GPO
- Распространение средствами GPO, REG файла с настройками
Но данные решения содержали ряд недостатков:
- Большое количество машин, распространение средствами MRC весьма затруднительно
- Создание MSI хорошо, но софт мог попросту не установиться по причине того, что уже подобный софт установлен и возиться с установкой данного пакета попросту не хотелось, да и время загрузки ОС бы увеличилось
- Импортирование настроек из REG уже другое дело — наличие установленного ПО можно было проверять скриптом и импортировать в зависимости от результатов, либо просто импортировать без всяких проверок, но время загрузки ОС так же бы было увеличено
Одним словом нужен был простой и в тоже время эффективный вариант, так как настройки все же применялись посредством реестра, было решено написать ADM файл, импортировать его в AD и «забыть» про REG, MSI навсегда…
Итак есть ключевые параметры которые хотелось бы как то контролировать, заблаговременно хотелось бы сказать, есть ДОКУМЕНТ в котором рассказывается про административные шаблоны, но он довольно велик и в подробности вдаваться не буду, кому интересно МОГУТ ПРОЧИТАТЬ, поэтому разберу ключевые параметры настроек данного ПО и применяемых параметров, и так нам нужно:
- Разрешения на доступ только Администраторам (Allow only administrators to connect) – по умолчанию (Админы подключаются без участия пользователя)
- Разрешения да доступ не администраторам только для чтения (View Only for these account types) – НЕТ (могут подключаться по Accept пользователя, и действовать в рамках системы от лица пользователя)
- Разрешения на доступ только членам определенных групп безопасности — ДА (подключаются только члены определенных групп)
- Возможность настройки IP фильтрации — добавление нескольких подсетей запрет \ разрешение работать из этих подсетей
- Возможность настройки номера порта и таймаута
- Отображение значка в системном трее и параметров отображения элементов его меню — НЕТ (отображение отключено)
- Отображение уведомлений о подключения — НЕТ (уведомления отключены)
Всеми этими настройками можно варьировать, при необходимости изменять и дополнять, ниже приведен текст самого административного шаблона в котором указаны настройки мне нужных параметров, данный текст можно скопировать, вставить в пустой файл, сохранить с расширением ADM, после чего данный ADM файл можно импортировать в AD и пользоваться выше приведенными настройками:
CLASS MACHINE
CATEGORY "DameWare MRC Server Settings"
POLICY "Connect"
KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
PART "Port Number" NUMERIC
VALUENAME "Port"
DEFAULT 6129
END PART
PART "Absolute Timeout" NUMERIC
VALUENAME "Absolute Timeout"
DEFAULT 0
MIN 0
END PART
END POLICY
POLICY "Access"
KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
PART "Allow Only Administrators To Connect" CHECKBOX
VALUENAME "Allow Only Administrators To Connect"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
PART "View Only non Administrators" CHECKBOX
VALUENAME "Permission Required for non Admin Force View Only"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
END POLICY
POLICY "Access Groups"
KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
PART "Must Be Member Of Group" CHECKBOX
VALUENAME "Must Be Member Of Group"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
PART "Group 0" EDITTEXT
VALUENAME "Group 0"
DEFAULT "Domain\Group1"
END PART
PART "Group 1" EDITTEXT
VALUENAME "Group 1"
DEFAULT "Domain\Group2"
END PART
END POLICY
POLICY "IP Filtering"
KEYNAME "Software\DameWare Development\Mini Remote Control Service\IP Filter"
PART "Enable Filter For Remote Control" CHECKBOX
VALUENAME "Enable Filter For Remote Control"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
PART "Access Granted" CHECKBOX
VALUENAME "Access Granted"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
PART "IP 0" EDITTEXT
VALUENAME "IP 0"
DEFAULT "192.168.2.*"
END PART
PART "IP 1" EDITTEXT
VALUENAME "IP 1"
DEFAULT "192.168.3.*"
END PART
PART "IP 2" EDITTEXT
VALUENAME "IP 2"
DEFAULT "192.168.4.*"
END PART
PART "IP 3" EDITTEXT
VALUENAME "IP 3"
DEFAULT "192.168.5.*"
END PART
END POLICY
POLICY "System Tray"
KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
PART "TrayIcon" CHECKBOX
VALUENAME "TrayIcon"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
PART "Enable Settings Menu" CHECKBOX
VALUENAME "Enable Settings Menu"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
PART "Enable Invitation Menu" CHECKBOX
VALUENAME "Enable Invitation Menu"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
PART "Enable Connect To Menu" CHECKBOX
VALUENAME "Enable Connect To Menu"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
END POLICY
POLICY "Notify"
KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
PART "Notify On New Connection" CHECKBOX
VALUENAME "Notify On New Connection"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
PART "Notify On Disconnection" CHECKBOX
VALUENAME "Notify On Disconnection"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
PART "No Notify Sound" CHECKBOX
VALUENAME "No Notify Sound"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
PART "Notify Dialog Caption" EDITTEXT
VALUENAME "Notify Dialog Caption"
DEFAULT "DameWare Mini Remote Control"
END PART
PART "Notify Dialog Text 1" EDITTEXT
VALUENAME "Notify Dialog Text 1"
DEFAULT "MRC Notification"
END PART
PART "Notify Dialog Text 2 Remote Control" EDITTEXT
VALUENAME "Notify Dialog Text 2 Remote Control"
DEFAULT "MRC Notification"
END PART
END POLICY
POLICY "File Transfer"
KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
PART "SFT: Upload Folder" EDITTEXT
VALUENAME "SFT: Upload Folder"
DEFAULT "%SYSTEMDRIVE%\DWRCS Uploads\"
END PART
END POLICY
END CATEGORY
После импорта в AD, настройки можно найти по Computer Configuration — Administrative Templates — Classic Administrative Templates (ADM) — DameWare MRC Server Settings, в окне настроек будет отображено несколько политик:
- Connect — настройки порта и таймаута
- Access — настройки касающиеся первых двух пунктов указанных выше
- Access Groups — включение опции доступа только указанным группам (можно добавить две)
- IP Filtering — включении фильтрации по IP, можно добавить 4 подсети, если не поставить галочку Access Granted доступ из указанных подсетей будет запрещен
- System Tray — отображение иконки MRC в системном трее, включение элементов меню Settings, Ivitation, Connect To
- Notify — Включение \ Отключение уведомлений о подключениях \ отключениях, возможность добавления текста уведомлений
- File Transfer — путь загрузки Simple File Transfer
В зависимости от требований, некоторые параметры можно отключать полностью, как например Notify выбрав в свойствах политики Disabled.
