Monday, November 20th, 2017

Windows Vista Resource Kit Глава 23: Поддержка пользователей с помощью Remote Assistance (Часть 1)

Published on Февраль 19, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Удаленный помощник Remote Assistance (RA) в операционной системе Windows Vista претерпел некоторые изменения, касающиеся соединения, производительности, простоты использования, а также безопасности, благодаря которым он стал еще более полезным, чем RA в операционной системе Windows XP. С улучшением поддержки политики групп Group Policy, поддержки возможностей сценариев, выполняемых из командной строки, журнализации сессии, оптимизации пропускной способности и много другого, удаленный помощник (Remote Assistance) теперь является основным инструментом, позволяющим обеспечивать поддержку для корпоративных пользователей. В этой главе рассказывается о том, как удаленный помощник (Remote Assistance) работает в операционной системе Vista, как его использовать для поддержки пользователей, и как им управлять с помощью политик групп (Group Policy) и сценариев.

Описание Remote Assistance (Удаленный помощник)

Поддержка конечных пользователей является очень важной функцией для управлений, связанных с информационными технологиями. К несчастью, обычно техническая поддержка осуществляется по телефону или с использованием чатов, что очень обременительно и неудобно. Как результат, поддержка пользователей часто занимает много времени, и ее очень дорого реализовывать для больших корпораций. Например, у конечных пользователей часто возникают проблемы с описанием точной природы возникшей у них проблемы. Из-за нехватки у них опыта и технических знаний, конечные пользователи могут пытаться описать свою проблему с использованием неточного и нетехнического языка. В результате чего сотрудники службы помощи вынуждены задавать серию простых вопросов, чтобы попытаться изолировать проблему, возникшую у пользователя. Такой методический подход иногда приводит к тому, что пользователю кажется, что сотрудники службы помощи важничают, в результате такого недопонимания снижается эффективность поддержки, и пользователи стараются избегать связи с сотрудниками службы помощи при возникновении новых проблем.

У конечных пользователей также часто возникают сложности с выполнением инструкций, которые дают им сотрудники службы помощи, которые пытаются им помочь. Хорошо обученный технический персонал пытается избегать использования технического жаргона при общении с пользователями, но хотя использование обычного языка увеличивает эффективность поддержки, это может также быть очень долгим и утомительным. Например, объяснение того, как использовать инструмент Disk Cleanup (очистка диски) из System Tools в Accessories может потребовать несколько минут, и такая трата времени на различные инциденты выливается в затраты денег для компании.

Удаленный помощник (Remote Assistance или RA) позволяет решить эти проблемы. Он позволяет сотрудникам службы помощи видеть рабочий стол пользователя в режиме реального времени. Пользователь, которому требуется помощь может продемонстрировать природу проблемы, сотрудника службы помощи. Это гораздо более быстрый и эффективный способ для обсуждения проблемы, чем при использовании слов или электронной почты. Если это необходимо, пользователь может также предоставить сотруднику службы помощи доступ к своему компьютеру, чтобы тот смог показать, как решить проблему. В результате использования удаленного помощника (Remote Assistance) проблема решается гораздо быстрее, а также снижается общая стоимость Total Cost of Ownership (TCO) поддержки пользователей в крупных корпорациях.

Remote Assistance против Remote Desktop
Remote Assistance и Remote Desktop – это различные инструменты операционной системы Vista, которые имеют совершенно различные назначения. Remote Desktop основан на терминальных службах Microsoft Terminal Services и является инструментом для удаленного входа на удаленные компьютеры. Если вы используете Remote Desktop для подключения к удаленному компьютеру, создается новая пользовательская сессия. Remote Desktop может также устанавливать сессии с компьютерами, на которых не запущены интерактивные сессии, т.е. на которых нет пользователей в настоящий момент. За более подробной информации, относительно Remote Desktop, вы можете обратиться к главе 28, “Connecting Remote Users and Networks.”

С другой стороны удаленный помощник (Remote Assistance) – это инструмент для интерактивной помощи пользователям в устранении проблем, возникших на их компьютерах. Чтобы использовать удаленный помощник и пользователь, также называемый Новичком и Помощник, должны находится у своих компьютеров. В отличие от Remote Desktop, удаленный помощник Remote Assistance не создает новую сессию. Вместо этого удаленный помощник позволяет помощнику работать в сессии, созданной пользователем. Рабочий стол пользователя становится удаленным для помощника, который может его просматривать.

Ниже представлен еще один способ объединить все различия между этими двумя инструментами: в удаленном помощнике Remote Assistance оба пользователя смотрят на один и тот же рабочий стол с одними и теми же полномочиями (с которыми вошел в систему пользователь) и могут совместно управлять этим рабочим столом; в Remote Desktop, если заходит удаленный человек, то все остальные сессии закрываются.

Улучшения в Remote Assistance (Удаленный помощник) в операционной системе Windows Vista

Операционная система Windows Vista содержит ряд новых возможностей и улучшений в удаленном помощнике (Remote Assistance) по сравнению с уделанным помощником (Remote Assistance), который был в операционной системе Windows XP, включая:

  • Улучшения во взаимодействии с прозрачными NAT traversal с помощью Teredo и IPv6.
  • Улучшенный пользовательский интерфейс, который проще в запуски и использовании.
  • Отдельный исполняемый файл (msra.exe), который может принимать аргументы из командной строки, и который удобен для использования в сценариях.
  • Улучшенная производительность, быстрый запуск и быстрое время подключения, оптимизированная полоса пропускания.
  • Улучшенная безопасность с обязательным паролем и интеграцией с UAC.
  • Новые предложения Offer RA для сценария с IM и открытый API для интеграции с приложениями.
  • Дополнительные настройки политики групп (Group Policy) для улучшения управляемостью.

Из удаленного помощника (Remote Assistance) в операционной системе Vista пропали следующие возможности, которые присутствовали в операционной системе XP:

  • Больше не поддерживается метод MAILTO по требованию Remote Assistance
  • Больше не поддерживаются голосовые сессии

За информацией по взаимодействию между версиями удаленного помощника (Remote Assistance) для операционной системы XP и Vista, вы можете обратиться к разделу под названием “Interoperability with Remote Assistance in Windows XP” ниже в этой главе.

Как работает удаленный помощник (Remote Assistance)

В удаленном помощнике (Remote Assistance), человек, который обращается за помощью называется User или Novice (пользователь или новичок), а человек, который предоставляет помощь, называется Helper или Expert (помощник или эксперт). RA запускается из меню Start Menu (Пуск), далее переходим к All Programs (все программы), нажимаем на Maintenance (поддержка), а затем выбираем Windows Remote Assistance (удаленный помощник). Его также можно запустить из командной строки, набрав команду msra.exe.

В удаленном помощнике Remote Assistance есть два основных режима работы:

  • Solicited RA (вызываемый). В вызываемом режиме Solicited RA (также известный, как Escalated RA) пользователь (User) запрашивает помощь у помощника (Helper), инициируя RA сессию с помощью электронной почты, мгновенного сообщения, или предоставив помощнику сохраненную копию файла приглашения (*.MsRcIncident). Каждый из этих методов использует различный внутренний механизм:
    • Solicited RA Using E-mail (вызываемый режим с помощью электронной почты). Для этого метода необходимо, чтобы клиент отправил электронное письмо в службу помощи по интерфейсу Simple Mail Application Programming Interface (SMAPI). Примером такого письма, которое поддерживает SMAPI, может служить письмо Windows Mail, которое входит в состав Windows Vista. Другим примером клиентов, совместимых с SMAPI, может служить Microsoft Outlook, а также клиенты сторонних производителей. При таком подходе пользователь запускает, пользовательский интерфейс RA для создания электронного сообщения, к которому присоединен файл приглашения RA (*.MsRcIncident). Пользователь должен ввести пароль для сессии RA, который соединяется с помощником с помощью метода (OOB), т.е. например, позвонить помощнику по телефону. Когда помощник получает приглашение (RA invitation), то он открывает билет, присоединенный к письму, вводит пароль, который задал пользователь, и начинается сессия (RA session). Помощник должен ответить на приглашение от пользователя в течение определенного промежутка времени (по умолчанию он равен 6 часов) или приглашение устареет, и необходимо будет отправить новое приглашение. В домене время жизни билета также можно настроить с помощью политики группы (Group Policy). Смотри раздел под названием “Managing Remote Assistance Using Group Policy” далее в этой главе.
    • Solicited RA Using File Transfer (вызываемый режим с использованием передачи файла). Для этого метода необходимо, чтобы и пользователь и помощник имели доступ к общей папке (например, сетевой общей папке на файловом сервере) или они должны иметь некоторым другим способом для передачи файла (например, использовать USB накопитель для ручного переноса файла или загрузки файла на или с FTP сайта). Пользователь создает файл приглашения (RA invitation file) и сохраняет его в общей папке. Пользователь должен защитить файл паролем, который должен затем сообщен помощнику, например, с помощью телефона. Помощник получает билет из общей папки, открывает его, вводит пароль и начинает сессию (RA session). И снова, помощник должен ответить на файл приглашения в течение определенного промежутка времени, или приглашение устареет, и необходимо будет создать новое (время действия приглашения задается с помощью политики групп Group Policy).
    • Solicited RA Using Instant Messaging (вызываемый режим с помощью мгновенных сообщений). Такой метод вызываемой помощи требует использования приложений для обмена мгновенными сообщениями (instant messaging applications) с поддержкой рандеву, как пользователем, так и помощником. Windows Live Messenger является примером приложения для обмена мгновенными сообщениями, которое поддерживает рандеву. Windows Live Messenger доступен для загрузки. При таком подходе, пользователь запрашивает помощи у кого-то из списка. Чтобы убедиться, что удаленный пользователь является действительно тем, за кого он себя выдает, удаленный помощник Remote Assistance требует, чтобы пароль передавался от пользователя к помощнику каким-либо другим образом (например, по телефону). За более подробной информацией, касающейся рандеву Rendezvous API, смотрите Windows SDK в MSDN по адресу http://windowssdk.msdn.microsoft.com/en-us/library/default.aspx.
  • Unsolicited RA (невызываемый режим). В невызываемом RA (также известном, как предлагаемый или Offer RA) помощник предлагает пользователю помощь с помощью инициации сессии RA session.
    • Предложение с помощью DCOM. Это типичный корпоративный сценарий для помощи, когда все пользователи являются членами домена. Помощник вводит либо полное название (FQDN) или IP адрес компьютера пользователя, для того чтобы к нему подключиться. В этом методе помощнику необходимо сперва авторизоваться от имени администратора домена (domain administrator), чтобы иметь возможность предлагать удаленную помощь пользователям. (Для более подробной информации относительно того, как авторизовать помощников для предложения помощи, смотрите раздел под названием “Managing Remote Assistance Using Group Policy” ниже в этой главе). Для этого метода также необходимо, чтобы помощник либо знал имя (имя компьютера в локальной подсети; либо полной название) или адрес (IPv4 или IPv6) компьютера пользователя.
    • Предложение помощи с помощью мгновенных сообщений. Этот метод предложения помощи требует, чтобы и помощник и пользователь использовали приложения для обмена мгновенными сообщениями с поддержкой рандеву. При таком подходе помощник предлагает помощь человеку, который присутствует у него в списке. Если этот человек соглашается принять помощь, то он должен ввести пароль, который будет использовать помощник. Пароль должен быть передан с помощью механизма OOB, чтобы убедиться, что удаленный человек, в действительности является тем, кем он представляется. Для более подробной информации, относительно рандеву, смотрите Windows SDK в MSDN по адресу http://windowssdk.msdn.microsoft.com/en-us/library/default.aspx.
Как это работает: Файлы приглашения (RA Invitation File)
Файлы приглашения (invitation file) удаленного помощника (Remote Assistance) (.MsRcIncident) – это документы в формате XML, в которых содержится информация, используемая компьютером помощника для подключения. Эта информация закодирована, чтобы защититься от несанкционированного доступа при передаче этой информации по электронной почте по незащищенной сети.

Если используется способ передачи файла приглашения (invitation file) помощника с помощью вложения к электронному письму с именем файла RATicket.MsRcIncident. Если используется метод передачи файла, то по умолчанию файл приглашения создается на рабочем столе на компьютере пользователя и название файла приглашения в этом случае Invitation.MsRcIncident.

Операционные состояния удаленного помощника

У удаленного помощника (Remote Assistance) есть три операционных состояния:

  • Ожидание соединения. Это состояние возникает, когда:
    • Помощник предложил свою помощь пользователю, но пользователь еще не согласился разрешить помощнику подключиться к своему компьютеру.
    • Пользователь послал приглашение помощнику, но помощник еще не ответил на приглашение, либо помощник ответил на приглашение, но пользователь еще не разрешил ему подключиться к своему компьютеру.

    В режиме ожидания соединения (Waiting For Connect) помощник не может просматривать или контролировать экран компьютера пользователя до тех пор, пока не будет установлено RA соединение между двумя компьютерами, которые вошли в режим Screen Sharing (режим разделения экрана). После того, как приложение RA было запущено и приведено в состояние ожидания соединения (Waiting For Connect), приложение не должно быть закрыто до тех пор, пока другая сторона не ответит и не установит соединение. Например, если пользователь использует вызываемый режим (Solicit RA) с использованием электронной почты и посылает файл приглашения помощнику, то на компьютере запускается приложение RA и ждет до тех пор, пока помощник не ответит на приглашение. Если пользователь закроет удаленный помощник на своем компьютере до того, как помощник примет приглашение, то помощник не сможет подключиться к компьютеру пользователя, и пользователю необходимо будет послать новое приглашение.

  • Разделение экрана (Screen Sharing). Такое состояние возникает, когда пользователь разрешил помощнику подключиться к своему компьютеру, либо после того, как пользователь послал приглашение помощнику, либо после того, как помощник предложил помощь пользователю. В режиме разделения экрана (Screen Sharing) устанавливается сессия RA, и помощник может просматривать, но не контролировать, экран компьютера пользователя.Если пользователь подтвердил свое согласие на разрешение подключиться к своему компьютеру, то на экране компьютера пользователя появится предупреждение, сообщающее о том, что помощник хочет подключиться к его компьютеру. Это сообщение можно настроить при помощи политики группы (Group Policy). Смотрите раздел под названием “Managing Remote Assistance Using Group Policy” ниже в этой главе.
  • Контроль экрана (Control Sharing). Такое состояние возникает после состояния разделения экрана (Screen Sharing), когда помощник запрашивает у пользователя разрешение на контроль, а пользователь разрешает помощнику управлять своим компьютером. В состоянии контроля экрана (Control Sharing) помощник обладает таким же уровнем доступа на компьютере пользователя, что и сам пользователь, и помощник может использовать свою собственную мышь и клавиатуру, чтобы удаленно выполнять различные действия на компьютере пользователя. А именно:
    • Если пользователь является стандартным пользователем на своем компьютере, то помощник сможет выполнять лишь те действия, которые разрешены стандартному пользователю на этом компьютере.
    • Если пользователь является локальным администратором на своем компьютере, то помощник сможет выполнять любые действия на компьютере, которые может выполнять локальный администратор.

    За более подробной информацией относительно уровня доступа, которым обладает помощник на компьютере пользователя, вы можете обратиться к разделу под названием “Remote Assistance and the Secure Desktop” ниже в этой главе.

Пользователь против функциональности помощника

После того, как соединение RA было установлено, и оба компьютера вошли в режим разделения экрана (Screen Sharing state), пользователь и помощник могут выполнять действия, представленные в таблице 23-1.

Таблица 23-1: Задачи, которые могут выполнять пользователь и помощник во время сессии RA session
Описание действия Пользователь? Помощник?
Общение (Chat) Да Да
Отправка файлов Да Да
Сохранение журнала сессии Да (по умолчанию) Да (по умолчанию)
Настройка пропускной способности Да Нет
Прерывание (временно скрывать экран) Да Нет
Запрашивать контроль Нет Да
Давать разрешение на контроль Да Да
Отключение Да Да
Отключение по клавише Esc Да Нет

Remote Assistance (удаленный помощник) и NAT Traversal

Удаленный помощник (Remote Assistance) работает благодаря установлению соединения между компьютером пользователя и компьютером помощника. Но при установлении соединения могут возникнуть трудности, если один или оба компьютера, участвующих во взаимодействии, располагаются за шлюзом (gateway) или маршрутизатором (router), который использует Network Address Translation (NAT). NAT – это технология маршрутизации IP, описанная в RFC 1631, которая используется для передачи IP адресов и номеров портов TCP/UDP. NAT обычно используется для отображения нескольких частных IP адресов в единый общий IP адрес (или несколько общих адресов). Домашние сети, которые используют беспроводные или проводные маршрутизаторы, также используют технологию NAT.

Чтобы преодолеть такую сложность в операционную систему Vista включена встроенная поддержка Teredo, IPv6 технология перемещения, которая описана в RFC 4380, которая обеспечивает назначение адресов и автоматическую туннелизацию соединений IPv6 в IPv4 Internet. Возможности NAT, предоставляемые Teredo в операционной системе Vista, позволяют установить соединение RA, когда один или оба пользователя, участвующие в сессии RA, находятся за NAT. В большинстве средах для малого бизнеса и домашний сетей Vista RA замечательно преодолевают NAT-маршрутизатор, при этом не требуется никакой дополнительной настройки. Более подробно о корпорациях, которым необходимо удаленно поддерживать своих сотрудников, работающих дома, вы можете узнать из раздела под названием “Enterprise Remote Assistance Scenarios” ниже в этой главе.

Примечание: Предложение помощи (Offering RA) с использованием DCOM обычно не используется в сценарии Teredo, т.к. корпоративные пользователи находятся за корпоративным брандмауэром и не отделены друг от друга NAT.

Удаленный помощник (Remote Assistance) не сможет установить соединение в определенных условиях. А именно:

  • Teredo не может преодолеет симметричный NAT. Удаленный помощник может подключиться через ограниченный (restricted) NAT и конический (cone) NAT. В большинстве случаев, это не является значительным ограничением, т.к. большинству установленных NAT являются, либо ограниченными, либо коническими. Более подробно о поддержке NAT в операционной системе Vista вы можете узнать из главы 29, “Deploying IPv6.”
  • RA не работает, если NAT-маршрутизатор настроен на блокирование определенных портов, которые используются RA. Смотрите раздел под названием “Remote Assistance and Windows Firewall” ниже в этой главе.
  • Удаленный помощник не работает, если NAT-маршрутизатор пользователя настроен на блокировку всего трафика UDP.

Примечание: Чтобы узнать, какой тип NAT сети используется у вас, откройте командную строку и наберите команду netsh interface teredo show state.

Более подробно о поддержке IPv6 в операционной системе Windows Vista, включая встроенную клиентскую поддержку Teredo и других технологий передачи IPv6, читайте в главе 29.

Удаленный помощник и используемые IP порты

Порты, используемые сессией удаленного помощника зависят от того, установлена ли эта сессия между двум компьютерами с операционной системой Vista или же, между компьютером с операционной системой Vista и компьютером с операционной системой Windows XP. А именно:

  • Vista to Vista RA Session: Динамические порты назначаются системой в интервале TCP/UDP 49152–65535
  • Vista to XP RA Session: Порт 3389 TCP (локально/удаленно)

Дополнительно, сценарий Offer RA с использованием DCOM использует порт 135 (TCP).

Remote Assistance (Удаленный помощник) и брандмауэр Windows Firewall

На брандмауэре Windows Firewall настраивает исключение для удаленного помощника (Remote Assistance). У этого группового исключения есть много свойств, которые объединены в одно исключение для RA. Свойства исключения (RA exception) изменяются в зависимости от расположения компьютера в сети (частный, общий или домен). Например, исключение (RA exception) по умолчанию, когда компьютер находится в общей сети более строгое, чем когда он располагается в частной. В частной месте (например, в аэропорту), исключение RA exception отключено по умолчанию и не открывает порты Universal Plug-and-Play (UPnP) и Simple Service Discovery Protocol (SSDP). В частной сети (например, домашняя или рабочая сеть) исключение для RA включено по умолчанию и трафик uPnP и SSDP разрешен по умолчанию.

В таблице 23-2 приводятся состояния исключения на брандмауэре для Remote Assistance для каждого типа сети. Исключение (RA exception) также обладает внешними свойствами. Однако, брандмауэр Windows Firewall по умолчанию не настроен для разрешения внешних свойств.

Таблица 23-2: Состояния исключения на брандмауэре для каждого типа сетевого расположения
Сетевое расположение (Network Location) Состояние исключения RA Exception Свойства по умолчанию для исключения RA Exception
Частная (Private) Включено по умолчанию
  • Исключение для приложения Msra.exe
  • uPnP enabled for communications with uPnP NATs
  • Edge traversal enabled to support Teredo
Общая (Public) Отключено по умолчанию—должно быть включено пользователем с правами администратора
  • Исключения для приложения Msra.exe
  • Edge traversal enabled to support Teredo
Домен (Domain) Отключено по умолчанию—обычно включается с помощью политики группы
  • Исключение для приложения Msra.exe
  • Исключение для приложения RAServer.exe (RA COM server) DCOM Port 135
  • uPnP enabled for communications with uPnP NATs

В других профилях брандмауэра Windows Firewall конфигурация по умолчанию для исключения для удаленного помощника следующая:

  • Частный профиль (Private profile). Исключение для RA на брандмауэре Windows Firewall включено по умолчанию, если расположение компьютера установлено в “private.” Это настроено для прохождения через NAT с использованием Teredo по умолчанию, поэтому пользователи в частной сети (например, в домашней сети) могут принять помощь от других пользователей, которые также находятся за NAT. Частный профиль содержит все необходимые исключения для взаимодействия с устройствами uPnP NAT. Если есть uPnP NAT в такой среде, то удаленный помощник Remote Assistance попытается использовать uPnP для прохода NAT. Метод предложения Offer RA с использованием DCOM не настроен в этом профиле.
  • Общий профиль (Public profile). Исключение для RA по умолчанию отключено, и запрещен весь входящий трафик. Брандмауэр Windows Firewall по умолчанию настроен таким образом, чтобы лучше защитить пользователей в общей сетевой среде (например, магазин или терминал аэропорта). Если включено исключение для RA, то NAT traversal с помощью Teredo также включен. Однако, трафик к устройствам uPnP выключен, и не разрешен метод Offer RA с помощью DCOM.
  • Доменный профиль (Domain Profile). Исключение для RA, когда компьютер находится в доменной среде принадлежит к сценарию Offer RA. Это исключение отключено по умолчанию и обычно включается с помощью политики группы (Group Policy). Teredo выключен в этом профиле, т.к. корпоративный сети обычно используют корпоративный брандмауэр, который блокируют трафик Teredo UDP. Однако, uPnP разрешены, поэтому можно взаимодействовать с uPnP NATs.

Remote Assistance (удаленный помощник) и Secure Desktop (безопасный рабочий стол)

Когда пользователь разрешает помощнику контроль над своим компьютером во время сессии (Remote Assistance session), то у пользователя есть возможность разрешить помощнику отвечать на запросы UAC (Рисунок 23-1). Обычно, запросы User Account Control (UAC или контроль над учетной записью пользователя) возникают на Secure Desktop (который не удален), и, следовательно, помощник не может видеть, или отвечать на запросы Secure Desktop. Режим Secure Desktop (безопасный рабочий стол) возникает, когда пользователь входит на свой компьютер, или когда нажимает последовательность клавиш Secure Attention Sequence (SAS) (Ctrl+Alt+Delete). UAC запросы возникают на безопасном рабочем столе (Secure Desktop), а не на обычном рабочем столе, чтобы защитить пользователя от запуска неизвестного программного обеспечения с высокими правами. Пользователь должен ответить на запросы UAC, чтобы вернуться обычному рабочему столу и продолжить работу. Для этого необходимо нажать на Continue (если пользователь обладает правами локального администратора на компьютере) или войти под учетной записью локального администратора (если он является обычным пользователем на компьютере).

Удаленный помощник nat

Рисунок 23-1: У пользователя есть возможность разрешить помощнику отвечать на запросы UAC во время сессии RA в состоянии Control Sharing State.

Очень важно понять, что безопасный стол (Secure Desktop) на компьютере пользователя не является удаленным на компьютере помощника. Другими словами, помощник может только отвечать на запросы UAC на компьютере пользователя, используя учетную запись самого пользователя. Это значит, что если пользователь является стандартным пользователем на своем компьютере, а помощнику необходимы права локального администратора на компьютере пользователя, то помощник может иметь административные права лишь в том случае, если пользователь может ему передать эти права.

Появление такого ограничения обязательно для безопасности компьютеров с операционной системой Vista. Причина такого проектного решения заключается в том, что если бы RA был спроектирован разрешать помощнику удаленно превосходить права пользователя, то пользователь смог бы уничтожить сессию RA и в результате этого украсть права локального администратора у помощника.

Журнализация в Удаленном помощнике (Remote Assistance)

Удаленный помощник (Remote Assistance) может формировать журнал сессии (session log). Журнализация сессии (Session logging) включена по умолчанию и состоит из записей, отсортированных по времени, которые фиксируют действия, связанные с RA на каждом компьютере. Журналы сессии лишь содержат информацию, касающуюся действий, связанных с функциональностью RA, например, такие, как кто инициировал сессию, было ли получено согласие на запрос на контроль и т.д. и т.п.

Журналы сессии (Session log) не содержат информации о реальных действиях, которые были произведены пользователем или помощником во время сессии. Например, если помощник получил право контроля (Shared Control), запустил командную строку от имени администратора, и выполнил какие-то действия по изменению параметров конфигурации TCP/IP, на компьютере пользователя во время сессии RA, то в журнале сессии (session log) не будет содержаться информации об этих действиях.

Журналы сессии не содержать никакой информации об общении во время сессии RA. Журнал, сформированный во время сессии, также отображается в окне чата, поэтому и пользователь и помощник могут увидеть, что попало в журнал во время сессии. Журналы сессии также содержат все действия по передаче файлов, которые произошли во время сессии, а также запись о том, когда сессия была приостановлена.

Назначение журнализации сессии RA Session

Журналы сессии (Session log) для RA в основном необходимы крупным корпорациям, которым нужны записи об активности системы и пользователей. Они не используются для того, чтобы записывать все действия, выполняемый сотрудниками службы помощи при устранении проблем на компьютере пользователя. Типичным примером, когда необходимо использовать журнализацию сессии (session logging), может служить банковская среда, т.к. финансовый институт по закону должен вести записи о доступе к компьютеру.

Т.к. списки контроля доступа ACL для этих журналов сессии открывают пользователю полный контроль к журналам, хранящимся на его собственном компьютере, по умолчанию журналы сессии формируются, как на компьютере пользователя, так и на компьютере помощника, чтобы помощник смог защитить их и сохранить от различных махинаций. Журналы, созданные на каждой стороне, участвующей в сессии RA похожи, но не идентичны. Это происходит из-за того, что журналы сессии формируются с точки зрения компьютера, участвующего во взаимодействии, и поэтому дополняют друг друга, вместо того, чтобы быть идентичными.

В корпоративной среде можно использовать политики группы (Group Policy) для включения или отключения журнализации сессии (session logging). Если журнализация сессии не настроена для использования политик групп (Group Policy), то и пользователь и помощник могут отключить журнализацию сессии на своих компьютерах. Более подробно вы можете узнать из раздела под названием “Managing Remote Assistance Using Group Policy” в этой главе.

Путь к сессионному журналу и соглашение по наименованию

Журналы сессии – это документы в формате XML, поэтому их легко можно преобразовать в другие наборы данных, например, их можно импортировать в базу данных, управляемую Microsoft SQL Server 2005. Все журналы сессии хранятся в папке Documents (документы) пользователя по следующему пути:

Users\user_name\Documents\Remote Assistance Logs

Уникальный файл журнала сессии (session log file) создается для каждой сессии (RA session) на компьютере. Файлы с журналами хранятся внутри этой папки в формате XML и имеют название, удовлетворяющее шаблону YYYYMMDDHHMMSS.xml, где формат времени — 24-часа. Например, сессионный журнал (session log), созданный в 3:45:20 p.m. 13 августа 2006, будет иметь название 20060813154520.xml.

Содержимое XML типичного журнала сессии будет выглядеть так:


<?xml version="1.0" ?>
<SESSION>
<INVITATION_OPENED TIME="3:24 PM" DATE="Wednesday, August 09, 2006" EVENT="A Remote Assistance invitation has been opened." />
<INCOMING_IP_ADDRESS TIME="3:26 PM" DATE="Wednesday, August 09, 2006">fe80::2856:e5b0:fc18:143b%10</INCOMING_IP_ADDRESS>
<CONNECTION_ESTABLISHED TIME="3:26 PM" DATE="Wednesday, August 09, 2006" EVENT="A Remote Assistance connection has been
established.">jdow</CONNECTION_ESTABLISHED>
<EXPERT_REQUEST_CONTROL TIME="3:27 PM" DATE="Wednesday, August 09, 2006" EVENT="jdow has requested to share control of the computer." />
<EXPERT_GRANTED_CONTROL TIME="3:27 PM" DATE="Wednesday, August 09, 2006" EVENT="jdow has been granted permission to share control of the computer." />
<EXPERT_CONTROL_STARTED TIME="3:27 PM" DATE="Wednesday, August 09, 2006" EVENT="jdow is sharing control of the computer." />
<EXPERT_CONTROL_ENDED TIME="3:27 PM" DATE="Wednesday, August 09, 2006" EVENT="jdow is not sharing control of the computer." />
<CHAT_MESSAGE TIME="3:30 PM" DATE="Wednesday, August 09, 2006">jdow: test</CHAT_MESSAGE>
<CHAT_MESSAGE TIME="3:30 PM" DATE="Wednesday, August 09, 2006">jchen: ok</CHAT_MESSAGE>
<CONNECTION_ENDED TIME="3:30 PM" DATE="Wednesday, August 09, 2006" EVENT="The Remote Assistance connection has ended." />
<INVITATION_CLOSED TIME="3:30 PM" DATE="Wednesday, August 09, 2006" EVENT="A Remote Assistance invitation has been closed." />

Смотрите также:

Tags: , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]