Windows Server: Control Remoto para Soporte

He visto en muchas ocasiones a personal de soporte usar aplicaciones de terceros para hacer control remoto de máquinas de usuarios ¿sabe que esto se puede hacer utilizando solamente el sistema operativo?

Hay diferentes posibilidades, en esta nota veremos cómo, por ejemplo, personal que se dedica a hacer soporte a usuarios finales puede tomar control remoto de las máquinas de estos últimos

Se puede configurar por Directivas de Grupo (GPOs) para que ante un llamado telefónico, con sólo conocer la dirección IP, o nombre de máquina del usuario se pueda hacer la conexión

Es una opción no tan conocida por dos motivos, el primero porque Microsoft lo llama “Asistencia Remota”, y segundo porque la implementación por omisión requiere comunicación previa a través de correo, o lo que antes era el Mesenger. Pero se puede hacer en forma mucho más directa: sólo con dirección IP o nombre de máquina

La estructura que utilizaré para la demostración son 3 máquinas:

  • dc1.guillermod.com.ar
    Windows Server 2012 R2
    Controlador de Dominio
  • PC-Usuario
    Windows 8.1 que está utilizando un usuario (“User Uno” = u1)
    Parte del Dominio
  • PC-Soporte
    Windows 8.1 que está utilizando el soporte (“Soporte Uno” = s1)

Aunque puede adaptarse fácilmente, para que sea claro para esta demostración he creado tres Unidades Organizativas:

  • PCs-Usuarios
    Que contiene la cuenta de máquina PC-Usuario
  • PCs-Soporte
    Que contiene la cuenta de máquina PC-Soporte
  • Usuarios
    Que contiene la cuenta del usuario (“Usuario Uno” = u1), la cuenta del soporte (“Soporte Uno = s1) y un grupo global “Soporte-Usuarios” que incluye a la cuenta del soporte

La siguientes tres capturas de pantalla aclararán mejor

 

Comenzaré creando y editando una GPO que se aplicará a las máquinas de los usuarios para permitir que el soporte se conecte sabiendo sólo nombre o dirección IP de la máquina

Esta GPO la debemos enlazar a la Unidad Organizativa PCs-Usuarios

Pueden darle el nombre que prefieran, pero que sea claro

Y la editamos para hacer la configuración necesaria

Debemos acceder a “Computer Configuration / Policies / Administrative Templates / System / Remote Assistance” y editar “Configure Offer Remote Assistance”

Debemos marcar la opción “Enable”, e ingresar por el botón “Show” para agregar a la cuenta de usuario o grupo que podrá hacer la asistencia remota. En mi caso usaré al grupo Soporte-Usuarios creado a tal efecto

Y en la misma GPO debemos habilitar la reglas del cortafuego para permitir la conexión, para lo cual debemos llegar a “Computer Configuration / Policies / Windows Settings / Security Settings / Window Firewall with … / Windows Firewall … / Inbound Rules” y crear una nueva regla, como muestran las siguentes pantallas

Debemos seleccionar “%windir%\System32\msra.exe”

Permitiendo la conexión, y sólo cuando detecta una red de Dominio

Para no bajar la seguridad, podemos inclusive especificar que estos ejecutables se podrán conectar sólo a determinados puertos (TCP-135) para lo cual debemos ingresar a las propiedades y especificarlo como se muestra

Siguendo el mismo procedimiento anterior debemos permitir la conexión de “raserver.exe” incluyendo la configuración de TCP-135

Quedará finalmente así

 

Ahora nos falta crear y configurar la otra GPO, la que permite a los usuarios que hacen soporte puedan conectarse directamente
Así que crearé y enlazaré una GPO a la Unidad Organizativa llamada PCs-Soporte

Como siempre, darle un nombre descriptivo y editarla

Debemos llegar a “Computer Configuration / Policies / Administrative Templates / System / Remote Assistance” y habilitar “Configure Solicited Remote Assistance”

 

Ya tenemos todo listo, sólo falta probar y demostrar la funcionalidad

Debemos asegurarnos que estas nuevas GPOs se apliquen a las máquinas PC-USUARIO y PC-SOPORTE. Lo podemos hacer con GPUPDATE y si quieren verificar la aplicación con GPRESULT

Inciamos sesión con el usuario u1 en PC-USUARIO, y con s1 en PC-SOPORTE. Utilizando el comando WHOAMI muestro el usuario que tiene sesión abierta en cada máquina

Suponiendo que el usuario u1 ha llamado pidiendo soporte (ayuda …) entonces s1 comienza el proceso de conexión, utilizando MSRA.EXE

Y seguimos el asistente como se muestra

Ingresamos el nombre o dirección IP de la máquina a la cual nos conectaremos

Le quedará una pantalla negra, hasta que el usuario acepte el soporte

El usuario deberá aceptar que el soporte pueda ver su pantalla

A partir de lo anterior el usuario verá en su pantalla una ventana informativa

Y el soporte comenzará a ver la pantalla del usuario. Aclaración: he achicado la ventana para que se vea claramente que el sopore además de ver su propia pantalla puede ver la del usuario

Pudiendo ya ver la pantalla del usuario, el soporte puede pedir tomar control remoto de la máquina del usuario

Y el usuario debe autorizar al soporte para que tome control remoto de su máquina

Pudiendo el soporte tomar el control remoto de la máquina de usuario tal cual como si estuviera en el teclado de la misma

Esto es notificado al usuario que en cualquier momento puede interrumpirlo

El soporte puede abrir una ventana de “Chat” para poder dialogar con el usuario
Al tratarse de máquinas virtuales no puedo probar si en caso de disponer de micrófono y parlantes también podrían mantener una conversación en forma oral

 

Con esto último doy por finalizada la nota, que creo que se trata de un tema interesante, y que puede aliviar no sólo el trabajo de soporte, sino que además no es complicado, y que no son necesarias aplicaciones de terceros que a veces comprometen la seguridad

By Guillermo Delprato, on 16 junio, 2015 at 10:02, under Active Directory - Directorio Activo, How To - Step-by-step - Paso a paso, Soporte, Tips. Tags: , , , , , , , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *