Hoje vou compartilhar com vocês a liberação de assistência remota na rede com a ferramenta do próprio Windows. Essa politica, permite ao administrador conectar a computadores ingressados no domínio sem solicitação prévia (via Sistema Operacional), porém não é invasivo como o VNC, por exemplo, pois as etapas de conexão dependem de aprovação do colaborador que utiliza a máquina a ser acessada.
* Utilizei o Windows Server 2016 para criar a politica, mas creio que desde o 2008 R2 as telas dessa são iguais, então sem problema.
GPO – Assistência Remota
O primeiro passo para criação da politica de grupo é criar o objeto, para isso, você deve acessar o Gerenciador de Politica de Grupo (Group Policy Management) e criar um nova politica, definindo seu nome. Após clicar com o botão direto e Editar.
Configuração no Windows Server 2016
Em seguida abrirá a janela de edição de politica. Para a configuração da assistência remota, devemos navegar por “Computer Configuration”, “Policies”, “Administrative Templates”, “System” e “Remote Assistance”, no painel da direita editar a opção “Configure Offer Remote Assistance”:
- Altere para Enabled e clique em Show para escolher os usuários ou grupos com acesso.
- No exemplo, adicionei o grupo Domain Admins da minha rede como o único que pode fazer esse tipo de assistência. É recomendável criar um grupo especifico para esta finalidade.
Agora vamos garantir que o UAC não bloqueie as tentativas de atribuir privilégios administrativos ao analista que estiver efetuando a assistência. Para isso, na mesma GPO, navegue no caminho “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Local Policies” e “Security Options”, no painel da direita vamos alterar a opção conforme a imagem abaixo:
- A politica deve ser definida como “Enabled”.
Agora vamos liberar no firewall do Windows tudo que é preciso para que a assistência funcione sem problemas, se você utiliza outro firewall na rede interna, pode ser necessário fazer as liberações nele.
Na mesma GPO, navegue por “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings” e “Windows Firewall with Advanced Security”, expanda essa chave até aparecer “Inbound Rules”, clique sobre ele com o botão direito e “New Rule”:
- Primeiro vamos liberar os programas necessários, são 3:
%systemroot%\system32\sessmgr.exe
%systemroot%\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
%systemroot%\system32\Raserver.exe
- Preencha o caminho do programa conforme passei acima (pode copiar e colar)
- Deixe setada a opção “Allow the connection”
- Aqui recomendo que fique liberado só na rede “Domain”
- Depois que adicionei os 3 programas na regra, vamos adicionar a porta necessária para a conexão, mesma coisa, botão direito e “Add rule”, mas dessa vez escolha “Port”:
- A porta é TCP 135
- Muito bem, as regras de firewall foram inseridas e a GPO está concluída.
Utilizando a Assistência Remota no Windows
Para acessar os computadores remotamente dentro da sua rede, abra o executar (tecla do Windows + R) e digite “msra.exe /offerra” (sem aspas). Agora é só digitar o nome do host ou o IP e clicar em avançar. Uma janela de notificação aparecerá no computador a ser acessado perguntando se ele permite o acesso. Caso aceito, você poderá apenas vizualizar o desktop do computador, para solicitar o controle, basta clicar no botão correspondente e aguardar o colaborador confirmar.
A GPO funciona em todas as versões do Windows com suporte ativo. Se tiver alguma duvida ou sugestão sobre esse post ou outro conteudo, por favor, deixe seu comentário.
Parabéns, já venho testando isso a algum tem sem exito, com suas informações consegui realizar essa demanda.
Olá,
muito boa explicação, só gostaria de saber se é possível eu conectar sem que a solicitação chegue ao usuário, assim facilita muito minha vida no suporte a rede local.
Obrigado.
Bom dia Rafael, obrigado pela visita. A assistência remota do Windows só é possível ser utilizada com aprovação do usuário. No meu ponto de vista, é muito importante para a equipe de TI a autorização de quem esta sendo atendido, primeiro porque ficam os logs (caso o usuário diga que você não atendeu) e também pra o solicitante ver que você esta atuando para resolver o incidente. É burocrático? É! Mas você fica com essas cartas na manga.
Abraço, Leandro.
Gostaria de saber se tem como desabilitar o aceite do usuário, pois eles dificultam muito a assistência remota.
bom dia, post bem legal, estou utilizando aqui já
mas tenho uma dúvida
aqui na rede possuo computadores conectados aos roteadores que entregam DHCP por eles, e configurei o DNS do domínio na WAN do roteador, para que eles possam se conectar ao servidor de domínio.
Mas quando tento acessar alguns desses computadores pelo nome da máquina, conectados ao wifi, não tenho acesso a eles.
o que posso fazer para resolver?
Olá Leonardo, obrigado pela visita. Como não sei exatamente a topologia da sua rede, vai uma resposta mais genérica.
A melhor prática em um rede de domínio é utilizar o DHCP do Windows Server e configurar o DNS dos computadores para o seu controlador de domínio (ou servidor DNS exclusivo), não esqueça de configurar o DNS reverso.
Boa sorte!