Windows Vista: Hỗ trợ người dùng sử dụng Remote Assistance (Phần 3)

Windows Vista: Hỗ trợ người dùng sử dụng Remote Assistance (Phần 1)
Windows Vista: Hỗ trợ người dùng sử dụng Remote Assistance (Phần 2)

Mitch Tulloch

Quản lý Remote Assistance bằng Group Policy

Trong môi trường doanh nghiệp, Remote Assistance có thể được quản lý bằng Group Policy. Các thiết lập chính sách cho RA là tất cả thiết lập của máy có trong location của chính sách dưới đây:

Computer Configuration\Administrative Templates\System\Remote Assistance

Khi các thiết lập của chính sách này được viết vào registry trên các máy tính mục tiêu thì chúng sẽ được lưu dưới khóa registry dưới đây:

HKLM\SOFTWARE\Policies\Microsoft\WindowsNT\Terminal Services

Các thiết lập chính sách RA được tổng hợp trong bảng 4 dưới.

Chính sách

Mô tả

Solicited Remote Assistance

Kích hoạt chính sách này sẽ cho phép người dùng máy tính mục tiêu sử dụng Solicited RA để yêu cầu sự hỗ trợ bằng email, các file hay tin nhắn IM. Vô hiệu hóa chính sách này sẽ ngăn không cho người dùng sử dụng Solicited RA. Thiết lập mặc định của nó là Not Configured, có nghĩa là cho phép người dùng có thể thay đổi các thiết lập RA của họ bằng tab Remote của System CPL trong Control Panel.

Nếu chính sách được cho phép Enabled, thì bạn có thể cấu hình người trợ giúp có thể bị ngăn cấm chia sẻ dữ liệu trong máy tính người dùng, thời gian tồn tại của thẻ lớn nhất, và phương pháp đã sử dụng để gửi lời mời. (Windows Vista không hỗ trợ phương pháp MAILTO – chọn SMAP thay vì nếu các máy tính mục tiêu đang chạy Windows Vista.) Thời gian tồn tại của thẻ chỉ áp dụng các RA invitation bằng gửi email hoặc trao đổi file. Thời gian tồn tại của thẻ mặc định khi Group Policy không được sử dụng trong 6 giờ.

Nếu chính sách này được cho phép, bạn phải enable ngoại lệ RA (Remote Assistance) trong Windows Firewall để cho phép Solicited RA làm việc.

Trong môi trường không quản lý, thiết lập này có thể được cấu hình bằng sử dụng tab Remote của System CPL trong Control Panel.

Chính sách này cũng được hỗ trợ trên Windows XP Professional và Windows Server 2003.

Offer Remote Assistance

Chính sách này sẽ cho phép người trợ giúp được chỉ định sử dụng Offer RA trong việc hỗ trợ người dùng máy tính mục tiêu. Vô hiệu hóa chính sách này hoặc tích Not Configured sẽ ngăn không cho Offer RA được sử dụng để cung cấp sự hỗ trợ cho người dùng của các máy tính mục tiêu.

Nếu chính sách này là được sử dụng (Enabled), bạn có thể cấu hình trong các trường hợp: người trợ giúp có thể quan sát hoặc điều khiển máy tính của người dùng, bạn phải chỉ định một danh sách người trợ giúp, những người được cho phép sử dụng Offer RA để hỗ trợ người dùng. Các thành viên trong đội trợ giúp có thể là người dùng hoặc nhóm và phải được chỉ định trong biểu mẫu domain_name\username or domain_name\groupname.

Sử dụng chính sách này bạn phải kích hoạt ngoại lệ RA (Remote Assistance exception) trong Windows Firewall để Offer RA làm việc.

Chính sách này cũng được hỗ trợ trong Windows XP Professional và Windows Server 2003. Bạn có thể xem tab Explain của các thiết lập để có thông tin chi tiết.

Allow Only Vista Or Later Connections

File mời mặc định trong Vista gồm có một nút đặc trưng kiểu XP cho việc tương thích backward. Nút này không được mã hóa và cho máy các máy tính XP kết nối đến máy tính Vista đã tạo thẻ. Kích hoạt chính sách này có thể làm cho tất cả các RA invitation được tạo ra bởi người dùng máy tính mục tiêu không bao gồm nút XP, do đó cho phép nâng cao độ bảo mật và sự riêng tư. Vô hiệu hóa chính sách này hoặc chọn Not Configured sẽ làm cho các thông tin như địa chỉ IP và số cổng không được mã hóa trong RA invitation. Thiết lập chính sách này chỉ áp dụng cho RA invitation được gửi bằng email hoặc truyền file, không có hiệu quả trên Instant Message đối với sự thu hút hỗ trợ hoặc bằng việc sử dụng Offer RA cho cung cấp hỗ trợ.

Trong môi trường không quản lý, thiết lập này cũng có thể được cấu hình bằng việc kích Advanced từ tab Remote trong hộp thoại System Properties.

Chính sách này chỉ được hỗ trợ trên Windows Vista và các platform sau nó.

Customize Warning Messages

Chính sách này tạo một cảnh báo cụ thể để hiển thị trên các máy tính mục tiêu khi người trợ giúp muốn vào Screen Sharing State hoặc Control Sharing State trong suốt một session RA. Vô hiệu hóa nó hoặc Not Configured sẽ làm chỉ hiển thị cảnh báo mặc định trong mỗi trường hợp.

Nếu sử dụng chính sách này, bạn có thể chỉ định thông báo báo cảnh sẽ được hiển thị trong mỗi trường hợp.

Chính sách này chỉ được hỗ trợ trong Windows Vista và các platform sau nó.

Turn On Session Logging

Chính sách này ghi hoạt động của session RA trên các máy tính mục tiêu. Để có thêm thông tin bạn có thể xem thêm ở phần “Việc ghi chép trong RA”. Vô hiệu hóa nó sẽ làm cho việc kiểm định RA bị vô hiệu hóa trên các máy tính mục tiêu. Thiết lập mặc định là Not Configured, trong trường hợp này, việc kiểm định RA tự động được bật.

Chính sách này chỉ được hỗ trợ trong Windows Vista và các platform sau nó.

Turn On Bandwidth Optimization

Chính sách này sẽ chỉ định mức cụ thể trong việc tối ưu băng thông được sử dụng để cải thiện hiệu quả RA trên các kết nối mạng có băng tần hẹp, tốc độ thấp. Vô hiệu hóa nó hoặc chọn Not Configured sẽ làm cho hệ thống được sử dụng mặc định.

Sử dụng chính sách này, bạn phải chỉ định mức tối ưu băng thông muốn sử dụng từ các tùy chọn dưới đây:

  • No Optimization
  • No Full Window Drag
  • Turn Off Background
  • Full Optimization (Use 8-Bit Color)

Nếu bạn chọn tùy chọn No Optimization, máy tính của người dùng sẽ sử dụng Windows Basic với đầy đủ các sử dụng khác, trong suốt quá trình của một session chia sẻ điều khiển, người trợ giúp có thể kéo cửa sổ trong màn hình của người dùng.

Chính sách này chỉ được hỗ trợ trong Windows Vista và các platform sau nó.

Bảng 4: Các thiết lập Group Policy cho Remote Assistance

Lưu ý: trong Windows XP, các thành viên của nhóm quản trị miền Domain Admin hoàn toàn được công nhận như với quyền của người trợ giúp ngay cho họ không có trong danh sách những người trợ giúp của thiết lập chính sách Offer Remote Assistance. Điều này không xuất hiện trong Windows Vista, ở đây nhóm Domain Admin phải được bổ sung rõ ràng vào danh sách những người trợ giúp để họ có quyền như người trợ giúp cho Offer RA.

Cấu hình Remote Assistance trong môi trường không quản lý

Người dùng của các máy tính không quản lý có thể kích hoạt và cấu hình RA bằng tab Remote của System CPL trong Control Panel (Hình 4). Việc kích hoạt hoặc vô hiệu hóa RA và việc cấu hình thiết lập của nó theo cách này yêu cầu đến các thông tin của quản trị viên nội bộ trên máy tính, vì vậy một cửa sổ User Account Control sẽ xuất hiện khi người dùng thực hiện việc cấu hình này.


Hình 4: Cấu hình RA từ tab Remote của System CPL trong Control Panel.

Lưu ý rằng các thay đổi theo cách này sẽ ảnh hưởng đến tất cả người dùng trên hệ thống. Các thiết lập registry của máy ngang hàng cho RA có thể tìm dưới khóa sau:

HKLM\SYSTEM\CurrentControlSet\Control\Remote Assistance

Trong môi trường không quản lý, khi thiết lập Group Policy dưới đây được kích hoạt Enabled, thì các thiết lập Control Panel cho việc cấu hình RA sẽ bị mất.

Computer Configuration\Administrative Templates\System\Remote Assistance\Solicited Remote Assistance

Lưu ý: Các thiết lập Group Policy luôn luôn chiếm ưu thế hơn thiết lập được cấu hình cục bộ khi chúng cùng xuất hiện.

Các thiết lập Registry thêm cho việc cấu hình RA

Hành vi bổ sung cho Ra có thể được cấu hình bằng việc thay đổi một số thiết lập registry. Các thiết lập registry của người dùng ngang hàng cho RA được tìm tại key dưới đây:

HKCU\Sofware\Microsoft\Remote Assistance

Các thiết lập này có thể thay đổi trong chế độ “Waiting To Connect” hoặc trong chế độ đã kết nối từ nút Settings

Chú ý: Nếu Group Policy được sử dụng để quản lý các thiết lập RA và bất kỳ thiết lập chính sách nào đã được cấu hình chồng chéo với thiết lập registry thì các thiết lập chính sách sẽ thắng thế.

Kết luận

RA đã được nâng cao trong Windows Vista để cung cấp hiệu suất tốt hơn cho người dùng, khả năng sử dụng được nâng cao, khả năng linh hoạt của NAT-traversal và độ bảo mật cao. Trong toàn bài này chúng tôi đã giới thiệu được cho các bạn về các thực hành đối với việc bổ sung RA trong môi trường doanh nghiệp:

  • Sử dụng Group Policy để cho phép người dùng máy tính mục tiêu trong một miền hoặc OU nhận được các cung cấp của RA từ người trợ giúp.

  • Sử dụng Group Policy để kích hoạt ngoại lệ RA (RA exception) trong Windows Firewall.

  • Sử dụng Group Policy để triển khai các kịch bản cho phép người dùng chạy file thực thi msra.exe nếu muốn tùy chinh cách khởi chạy các RA session – ví dụ để upload lời mời đến một mạng chia sẻ được kiểm tra với các thành viên hỗ trợ.

  • Nếu tất cả các máy tính hỗ trợ chạy Windows Vista, sử dụng Group Policy để mã hóa thẻ RA để ẩn đi các thông tin nhạy cảm như địa chỉ IP và tên máy tính.

  • Nếu chính sách công ty yêu cầu đến các bản ghi RA cho việc kiểm định, sử dụng Group Policy để kích hoạt việc ghi lại trong RA trên máy tính và chạy kịch bản để chuyển một cách có định kỳ cho cả người trợ giúp và bản ghi người dùng User RA sang một nơi an toàn.

  • Để thỏa mãn chính sách công ty và các yêu cầu bảo mật, sử dụng Group Policy để tùy chỉnh thông báo văn bản mà người dùng nhìn thấy trước khi họ cho phép người trợ giúp quan sát được màn hình hoặc các điều khiển chia sẻ.

Thứ Hai, 06/08/2007 10:13
31 👨 506
0 Bình luận
Sắp xếp theo