Централизованная настройка DameWare посредством GPO

11117

Централизованная настройка DameWare посредством GPO

Централизованная настройка DameWare посредством GPO
Централизованная настройка DameWare посредством GPO

Ситуация, которая привела к рассмотрению данного вопроса возникла совершенно неожиданно, знакомый использующий DAMEWARE в какой то момент времени обновился до версии 7.5 при запросе подключения простого пользователя (не администратора системы), и принятия запроса на подключение конечным пользователем, доступ предоставлялся «только для чтения» т.е. подключенный пользователь по факту никаких действий производить не мог, кроме того, как просматривать действия производимые на удаленном экране, данный вопрос решался, со стороны агента конечного пользователя в настройках которого ноебходимо снять флажок — Вкладка Access — View Only for these account types и доступ уже предоставлялся с привилегиями пользователя к машине которого данное подключение производится, тут же встал вопрос о глобальном переконфигурировании всех удаленных клиентов компании:

Системный администратор

  • Конфигурирование MRC и удаление «старых» и установка «новых» средствами самого MRC
  • Создание преднастроенного MSI файла и распространение средствами GPO
  • Распространение средствами GPO, REG файла с настройками

Но данные решения содержали ряд недостатков:

  • Большое количество машин, распространение средствами MRC весьма затруднительно
  • Создание MSI хорошо, но софт мог попросту не установиться по причине того, что уже подобный софт установлен и возиться с установкой данного пакета попросту не хотелось, да и время загрузки ОС бы увеличилось
  • Импортирование настроек из REG уже другое дело — наличие установленного ПО можно было проверять скриптом и импортировать в зависимости от результатов, либо просто импортировать без всяких проверок, но время загрузки ОС так же бы было увеличено

Одним словом нужен был простой и в тоже время эффективный вариант, так как настройки все же применялись посредством реестра, было решено написать ADM файл, импортировать его в AD и «забыть» про REG, MSI навсегда…

Итак есть ключевые параметры которые хотелось бы как то контролировать, заблаговременно хотелось бы сказать, есть ДОКУМЕНТ в котором рассказывается про административные шаблоны, но он довольно велик и в подробности вдаваться не буду, кому интересно МОГУТ ПРОЧИТАТЬ, поэтому разберу ключевые параметры настроек данного ПО и применяемых параметров, и так нам нужно:

  1. Разрешения на доступ только Администраторам (Allow only administrators to connect) – по умолчанию (Админы подключаются без участия пользователя)
  2. Разрешения да доступ не администраторам только для чтения (View Only for these account types) – НЕТ (могут подключаться по Accept пользователя, и действовать в рамках системы от лица пользователя)
  3. Разрешения на доступ только членам определенных групп безопасности — ДА (подключаются только члены определенных групп)
  4. Возможность настройки IP фильтрации — добавление нескольких подсетей запрет \ разрешение работать из этих подсетей
  5. Возможность настройки номера порта и таймаута
  6. Отображение значка в системном трее и параметров отображения элементов его меню — НЕТ (отображение отключено)
  7. Отображение уведомлений о подключения — НЕТ (уведомления отключены)

Всеми этими настройками можно варьировать, при необходимости изменять и дополнять, ниже приведен текст самого административного шаблона в котором указаны настройки мне нужных параметров, данный текст можно скопировать, вставить в пустой файл, сохранить с расширением ADM, после чего данный ADM файл можно импортировать в AD и пользоваться выше приведенными настройками:

CLASS MACHINE
CATEGORY "DameWare MRC Server Settings"
    POLICY "Connect"
        KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
        PART "Port Number" NUMERIC
         VALUENAME "Port"
         DEFAULT 6129
        END PART
        PART "Absolute Timeout" NUMERIC
         VALUENAME "Absolute Timeout"
         DEFAULT 0
         MIN 0
      END PART
    END POLICY
    POLICY "Access"
        KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
        PART "Allow Only Administrators To Connect" CHECKBOX
         VALUENAME "Allow Only Administrators To Connect"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "View Only non Administrators" CHECKBOX
         VALUENAME "Permission Required for non Admin Force View Only"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
    END POLICY
    POLICY "Access Groups"
        KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
        PART "Must Be Member Of Group" CHECKBOX
         VALUENAME "Must Be Member Of Group"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Group 0" EDITTEXT
         VALUENAME "Group 0"
            DEFAULT "Domain\Group1"
        END PART
        PART "Group 1" EDITTEXT
         VALUENAME "Group 1"
            DEFAULT "Domain\Group2"
        END PART
    END POLICY
        POLICY "IP Filtering"
        KEYNAME "Software\DameWare Development\Mini Remote Control Service\IP Filter"
        PART "Enable Filter For Remote Control" CHECKBOX
         VALUENAME "Enable Filter For Remote Control"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Access Granted" CHECKBOX
         VALUENAME "Access Granted"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "IP 0" EDITTEXT
         VALUENAME "IP 0"
            DEFAULT "192.168.2.*"
        END PART
        PART "IP 1" EDITTEXT
         VALUENAME "IP 1"
            DEFAULT "192.168.3.*"
        END PART
        PART "IP 2" EDITTEXT
         VALUENAME "IP 2"
            DEFAULT "192.168.4.*"
        END PART
        PART "IP 3" EDITTEXT
         VALUENAME "IP 3"
            DEFAULT "192.168.5.*"
        END PART
    END POLICY
    POLICY "System Tray"
        KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
        PART "TrayIcon" CHECKBOX
         VALUENAME "TrayIcon"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable Settings Menu" CHECKBOX
         VALUENAME "Enable Settings Menu"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable Invitation Menu" CHECKBOX
         VALUENAME "Enable Invitation Menu"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Enable Connect To Menu" CHECKBOX
         VALUENAME "Enable Connect To Menu"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
    END POLICY
    POLICY "Notify"
        KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
        PART "Notify On New Connection" CHECKBOX
         VALUENAME "Notify On New Connection"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Notify On Disconnection" CHECKBOX
         VALUENAME "Notify On Disconnection"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "No Notify Sound" CHECKBOX
         VALUENAME "No Notify Sound"
            VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
        END PART
        PART "Notify Dialog Caption" EDITTEXT
         VALUENAME "Notify Dialog Caption"
            DEFAULT "DameWare Mini Remote Control"
        END PART
        PART "Notify Dialog Text 1" EDITTEXT
         VALUENAME "Notify Dialog Text 1"
            DEFAULT "MRC Notification"
        END PART
        PART "Notify Dialog Text 2 Remote Control" EDITTEXT
         VALUENAME "Notify Dialog Text 2 Remote Control"
            DEFAULT "MRC Notification"
        END PART
    END POLICY
    POLICY "File Transfer"
        KEYNAME "Software\DameWare Development\Mini Remote Control Service\Settings"
        PART "SFT: Upload Folder" EDITTEXT
         VALUENAME "SFT: Upload Folder"
            DEFAULT "%SYSTEMDRIVE%\DWRCS Uploads\"
        END PART
    END POLICY
END CATEGORY

После импорта в AD, настройки можно найти по Computer Configuration — Administrative Templates — Classic Administrative Templates (ADM) — DameWare MRC Server Settings, в окне настроек будет отображено несколько политик:

  • Connect — настройки порта и таймаута
  • Access — настройки касающиеся первых двух пунктов указанных выше
  • Access Groups — включение опции доступа только указанным группам (можно добавить две)
  • IP Filtering — включении фильтрации по IP, можно добавить 4 подсети, если не поставить галочку Access Granted доступ из указанных подсетей будет запрещен
  • System Tray — отображение иконки MRC в системном трее, включение элементов меню Settings, Ivitation, Connect To
  • Notify — Включение \ Отключение уведомлений о подключениях \ отключениях, возможность добавления текста уведомлений
  • File Transfer — путь загрузки Simple File Transfer

В зависимости от требований, некоторые параметры можно отключать полностью, как например Notify выбрав в свойствах политики Disabled.

источник