mardi 13 septembre 2011

Paramétrer l'assistance à distance par GPO sur Windows Serveur 2008

Testé sous Windows Serveur 2008 R2 et Windows 7

Non ! La mise en place d'une assistance à distance ne veut pas dire que l'informaticien est fainéant. Il s'agit juste de pouvoir aider l'utilisateur le plus rapidement possible (on économise le temps du déplacement).

Bien sûr il existe des outils tels que TeamViewer, LogMeIn, PCAnywhere, VNC ... pour prendre possession de l'ordinateur d'un utilisateur. Ces outils fonctionnent très bien mais sont la plupart du temps payants pour une utilisation professionnelle et/ou peuvent poser des problèmes de sécurité aux yeux de certains organismes de contrôle.

Dans le cas, où vous devez prendre possession d'un ordinateur dans un domaine, vous pouvez paramétrer l'assistance à distance par le biais des GPO's.

Très simple à configurer une fois qu'on sait comment ça fonctionne. Voici les différentes étapes de configuration.

1. Activer l'assistance à distance.

  • Ouvrez l'outil de configuration des GPO's.
  • Éditez ou créez la stratégie de groupes qui s'appliquera à tous les ordinateurs dont vous voulez pouvoir prendre possession.
  • Suivez le chemin : Computer Configuration >> Policies >> Administrative Templates >> System >> Remote Assistance.
  • Ouvrez la stratégie Offer Remote Assistance.
  • Indiquez Enabled et dans les options indiquez Allow helpers to remotely control the computer.
    Vous devez aussi indiquer le(s) groupe(s) et/ou le(s) utilisateur(s) qui auront le droit de prendre contrôle à distance des différents ordinateurs. Attention ! Veillez à indiquer convenablement le nom des groupes et/ou utilisateurs, aucune vérification n'est faite à ce niveau ! (DOMAIN\GROUP ou DOMAIN\USER)
  • Validez cette configuration.

2. Adapter le Firewall Windows pour vous permettre d'utiliser l'assistance à distance.

Vous ne devez faire cette partie que si vous utilisez le Firewall inclus dans Windows 7. Si vous utilisez un autre Firewall, il faudra y ouvrir les mêmes portes pour pouvoir utiliser l'assistance à distance.
  • Ouvrez l'outil de configuration des GPO's
  • Editez la stratégie de groupes qui s'appliquera à tous les ordinateurs dont vous voulez pouvoir prendre possession.
  • Suivez le chemin : Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Windows Firewall with Advanced Security >> Inbound Rules.
  • Créez une première règle.
  • Dans Rule Type sélectionnez Port. Cliquez sur Next.
  • Dans Protocol and Ports sélectionnez TCP et Specific local ports. Dans Sepecific local ports indiquez 135. Cliquez sur Next.

  • Dans Action sélectionnez Allow the connection. Cliquez sur Next.
  • Dans Profile, assurez vous que Domain soit coché. Cliquez sur Next.
  • Indiquez un nom et une description. Cliquez sur Finish.
  • Créez une deuxième règle.
  • Dans Rule Type sélectionnez Program. Cliquez sur Next.
  • Dans Program, sélectionnez This program path et indiquez %systemroot%\system32\Raserver.exe. Cliquez sur Next.
  • Dans Action sélectionnez Allow the connection. Cliquez sur Next.
  • Dans Profile, assurez vous que Domain soit coché. Cliquez sur Next.
  • Indiquez un nom et une description. Cliquez sur Finish.

Voilà c'est terminé. Avant de pouvoir prendre possession d'un ordinateur, il se peut qu'il faille le redémarrer pour que les nouvelles stratégies s'appliquent.

3. Créez un raccourci d'assistance à distance.

Sur votre PC, pour accéder le plus rapidement à la fenêtre d'assistance à distance, vous pouvez créez un raccourci où vous indiquez C:\Windows\System32\msra.exe /offerRA. Grâce à ce raccourci, vous n'aurez plus qu'à indiquer le nom ou l'adresse IP de l'ordinateur dont vous voulez prendre possession et cliquez sur Next.

4. Configurez l'affichage de demande d'élévation de privilège pour l'administrateur distant.

Par défaut, lorsque vous êtes en assistance et que vous faites une action qui nécessite une élévation de privilège, le système cache cette demande à l'administrateur qui assiste l'utilisateur. Très gênant dans la plupart des cas, vous allez me dire. La solution :

  • Toujours dans la même GPO, rendez-vous dans Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Local Policies >> Security Options
  • Activez l'option : User Account Control : Allow UIAccess applications to prompt for elevation without using the secure desktop

8 commentaires:

  1. Bonjour,
    J'ai pu tester ce tuto dans un environnement virtuel avec un dc sous 2008 R2 et 2 clients seven, tout fonctionne à merveille !
    Par contre, je viens de tester dans mon entreprise (environ 130 machines, 2 DCs, etc) dans une OU de test, j'y ai mis mes machines de tests avec les GPOs, la connexion se fait bien mais à l'affichage de l'écran distant c'est tout gris et illisible... j'ai changé de modes d'optimisation mais rien à faire, le problème persiste. Savez vous comment je pourrais résoudre ce problème ?
    Merci d'avance.
    Cdlt

    RépondreSupprimer
    Réponses
    1. Bonjour,

      A priori tout devrait fonctionner si vous avez bien suivi toutes les étapes de cette documentation. Si la connexion se fait bien c'est que le paramétrage de l'assistance à distance a été correctement exécuté.

      Ce n'est donc sans doute pas dû à ça. Je n'ai aucune idée de ce qui peut causer ce problème. Mais je vais chercher et je reviendrai vers vous si je trouve quelque chose.

      Pour info, j'ai ajouté un point 4 à la doc qui pourrait vous être utile (le jour où votre problème sera solutionné bien sûr).

      Premier commentaire et je ne sais pas répondre, j'ai honte !

      Bien à vous

      Supprimer
    2. tout d'abord merci pour votre réponse rapide !
      je vais ajouter la GPO du point 4, en effet ça peut être utile.
      Par rapport au problème que j'ai décrit plus haut, cela vient d'un soucis uniquement avec les ordinateurs distants qui ont une résolution de 1366*768 (portables 13" - dans mon test un DELL E6320) et le problème semble connu, j'ai parcouru plusieurs forums là-dessus et Microsoft a réagi en créant un fix, mais qui, évidemment, ne résout rien.
      Donc pour l'instant j'ai trouvé une "feinte de l'ours" : demander aux utilisateurs de faire un ctrl+alt+flèche_du_haut puis ctrl+alt+flèche_du_bas afin de "rafraichir" l'écran, et l'affichage redevient correcte.
      Mais bon c'est vraiment pas user-friendly...
      Je viendrai faire un tour ici au cas où vous trouvez une solution.
      Cdlt

      Supprimer
    3. J'oubliais, voici un screen décrivant le problème que je rencontre :
      http://deploywin.files.wordpress.com/2010/08/errorscreen2.jpg

      Supprimer
  2. Bonjour,

    Je cherche à mettre ne place sur une grande échelle l'assistance à distance de Windows 7 en environnement AD 2008

    J'ai fait des tests et tout fonctionne à première (sauf de WinXP vers Win7). Il me reste un cas à résoudre. Est-il possible de désactiver par GPO la boite de confirmation lorsqu'un administrateur prend la main ? Il y a des postes en libre service sur lesquels les admin doivent intervenir régulièrement et il n'y a pas toujours un utilisateur devant.


    RépondreSupprimer
  3. Bonjour,

    L'option d'assistance aux utilisateurs (Remote Assistance) ne permet pas, à ma connaissance, de prendre contrôle d'un ordinateur sans autorisation de l'utilisateur et donc sans la présence de quelqu'un physiquement devant l'écran. Cette contrainte est logique au vu de l'utilité première de cette possibilité.

    Si vous voulez vous connecter à une machine pour y faire une intervention (et non une assistance), il est possible d'ouvrir une session sur la machine distante par le biais du Remote Desktop. Dans ce cas, il n'y a pas de confirmation demandée étant donné que rien ne se passe sur l'écran de l'ordinateur distant. Attention si vous vous connectez avec le même compte utilisateur que celui qui est actuellement utilisé sur la machine distante, vous fermerez la session locale pour ouvrir la session à distance.

    A part cette possibilité, il vous est encore possible d'installer sur chacun des ordinateurs des applications tierces permettant de gérer les connexions à distance tels que RealVNC par exemple.

    En espérant que ma réponse vous aide.

    RépondreSupprimer
  4. Ce commentaire a été supprimé par l'auteur.

    RépondreSupprimer
    Réponses
    1. Bonjour,

      Avec un mois de retard...

      Attention, dans cet article nous parlons de l'assistance à distance (Remote Assistance) et non de la connexion Bureau à distance (Remote Desktop, RDP). Il ne s'agit pas du tout du même outil dans Windows.

      Donc jusqu'à preuve du contraire, je reste sur mes positions quant à la non possibilité de lancer l'assistance à distance sans l'autorisation de l'utilisateur.

      Supprimer