GPO – Assistência Remota

Só 1000 anos depois do primeiro post de GPOs, finalmente estou publicando o segundo. Hoje vou compartilhar com vocês a liberação de assistência remota na rede com a ferramenta do próprio Windows. Essa politica, permite ao administrador conectar a computadores ingressados no domínio sem solicitação prévia (via Sistema Operacional), porém não é invasivo como o VNC, por exemplo, pois as etapas de conexão dependem de aprovação do colaborador que utiliza a máquina a ser acessada.
* Utilizei o Windows Server 2016 para criar a politica, mas creio que desde o 2008 R2 as telas dessa são iguais, então sem problema.

GPO – Assistência Remota

O primeiro passo para criação da politica de grupo é criar o objeto, para isso, você deve acessar o Gerenciador de Politica de Grupo (Group Policy Management) e criar um nova politica, definindo seu nome. Após clicar com o botão direto e Editar.

Configuração no Windows Server 2016

Em seguida abrirá a janela de edição de politica. Para a configuração da assistência remota, devemos navegar por “Computer Configuration”, “Policies”, “Administrative Templates”, “System” e “Remote Assistance”, no painel da direita editar a opção “Configure Offer Remote Assistance”:

  • Altere para Enabled e clique em Show para escolher os usuários ou grupos com acesso.

  • No exemplo, adicionei o grupo Domain Admins da minha rede como o único que pode fazer esse tipo de assistência. É recomendável criar um grupo especifico para esta finalidade.

Agora vamos garantir que o UAC não bloqueie as tentativas de atribuir privilégios administrativos ao analista que estiver efetuando a assistência. Para isso, na mesma GPO, navegue no caminho “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings” e “Security Options”, no painel da direita vamos alterar a opção conforme a imagem abaixo:

  • A politica deve ser definida como “Enabled”.

Agora vamos liberar no firewall do Windows tudo que é preciso para que a assistência funcione sem problemas, se você utiliza outro firewall na rede interna, pode ser necessário fazer as liberações nele.
Na mesma GPO, navegue por “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings” e “Windows Firewall with Advanced Security”, expanda essa chave até aparecer “Inbound Rules”, clique sobre ele com o botão direito e “New Rule”:

  • Primeiro vamos liberar os programas necessários, são 3:
    %systemroot%\system32\sessmgr.exe
    %systemroot%\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
    %systemroot%\system32\Raserver.exe

  • Preencha o caminho do programa conforme passei acima (pode copiar e colar)

  • Deixe setada a opção “Allow the connection”

  • Aqui recomendo que fique liberado só na rede “Domain”

  • Depois que adicionei os 3 programas na regra, vamos adicionar a porta necessária para a conexão, mesma coisa, botão direito e “Add rule”, mas dessa vez escolha “Port”:

  • A porta é TCP 135

  • Muito bem, as regras de firewall foram inseridas e a GPO está concluída.

Utilizando a Assistência Remota no Windows

Para acessar os computadores remotamente dentro da sua rede, abra o executar (tecla do Windows + R) e digite “msra.exe /offerra” (sem aspas). Agora é só digitar o nome do host ou o IP e clicar em avançar. Uma janela de notificação aparecerá no computador a ser acessado perguntando se ele permite o acesso. Caso aceito, você poderá apenas vizualizar o desktop do computador, para solicitar o controle, basta clicar no botão correspondente e aguardar o colaborador confirmar.

GPO - Assistência Remota

A GPO funciona em todas as versões do Windows com suporte ativo. Se tiver alguma duvida ou sugestão sobre esse post ou outro conteudo, por favor, deixe seu comentário.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *