Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einrichtung einer Fernwartung mit Bordmitteln unter Vista

Anleitung Microsoft Windows Userverwaltung

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

16.03.2009, aktualisiert 22.03.2009, 24067 Aufrufe, 10 Kommentare, 2 Danke

Hier eine Anleitung dazu, wie man ohne den Einsatz von VNC oder anderer Drittherstellersoftware eine Fernwartung recht einfach erstellt.

Vorweg sollte jeder klären, ob dies im Betrieb vom rechtlichen Standpunkt aus abgesichert ist oder ob nicht zuerst beispielsweise der Betriebsrat und/oder der Datenschutzbeauftragte dies abnicken muss.

Das Mittel der Wahl ist die Windows Remote Assistance (=Windows Remoteunterstützung) im folgenden RA genannt. RA beruht auf Remote Desktop, im Unterschied zu diesem kann mit RA jedoch die Konsolensitzung an Clients gesteuert werden - somit ist es für Fernwartung, bei der in die Benutzersitzung eingegriffen werden muss, geeignet. Meiner Ansicht nach bietet RA einige Vorteile gegenüber vielen VNC-Varianten, als da wären:

  • außerordentlich zuverlässiges Refreshing des Bildschirminhaltes (da hat zum Beispiel UltraVNC immer mal wieder Probleme), zudem sehr schnell
  • kein zusätzlich zu öffnender Port benötigt (vorausgesetzt 3389 [RDP] war schon offen)
  • gehört zu Vista, somit voll kompatibel, keine Installation nötig und auch keine Updates (gegen Sicherheitslücken) erforderlich abgesehen von Windows Update
  • Skalierung des Bildschirmes möglich, selbst, wenn der Gegenüber 2 Bildschirme nutzt [Anmerkung: Skalierung führt zu Interpolation und macht den Refresh träge!]
  • verschlüsselt
  • rolloutfähig, im Sinne von einer Einrichtung, die ohne manuelle Installationsschritte am Client auskommt

Zur Sache:
Der Ablauf nach Einrichtung in Kurzform: Benutzer ruft zunächst den Admin an. Benutzer klickt dann auf ein Icon (Schnellstartleiste/Desktop/Startmenü), startet somit eine Batch, welche eine Einladungsdatei erstellt und RA startet. Admin klickt seinerseits auf einen Button und stößt somit eine Batch an, die die Einladungsdatei startet und eine Verbindung aufbaut (Vorher Kennwort eingeben (6 Zeichen und mehr), hier 111111, Sicherheit völlig schnuppe da ohne Zustimmung des Benutzers eh nichts geht). Benutzer stimmt der Verbindungsaufnahme zu - die "Nur-Anschauen-Verbindung" steht. Der Admin kann nun bei Bedarf auch die Steuerung anfordern, was der Benutzer erneut abnicken muss.

Einrichtung:
1)Gegebenenfalls zunächst per GPO Remote Assistance erlauben (Computer Policy - adm. Vorlagen - Windowskomponenten - Remoteunterstützung/RA)
2)Anlegen einer Serverfreigabe \\server\ra, Ändernrechte für Jeder
3)Erstellen einer Batch \\server\ra\launch\Hilf.bat mit folgendem Inhalt:

01.
@echo off 
02.
rem Sorgt dafür, dass zunächst alte Einladungsdateien ohne Rückfrage überschrieben werden 
03.
del \\server\ra\*.* /q 
04.
rem Kosmetik, stellt bei hoher Bandbreite ein, dass der Fensterinhalt beim Ziehen angezeigt wird und dass der Desktophintergrund erhalten bleibt 
05.
reg ADD "HKEY_CURRENT_USER\Software\Microsoft\Remote Assistance" /v "BandWidth Usage" /t REG_DWORD /d 14 /f 
06.
rem startet RA, erzeugt eine Einladungsdatei und setzt das Kennwort 111111 
07.
start msra.exe /saveasfile \\server\ra\hilf.msrcincident 111111 
08.
rem startet den Task zum Deaktivieren des Secure Desktops ("Grauer Vorhang") von Vista - Ganz wichtig! Ohne diesen Task kann der Admin remote auf Vista keine UAC-Aufforderungen beantworten - er könnte nichts installieren usw.! Task siehe 5). 
09.
schtasks /run /tn Deaktiviere_SecureDesktop
Verknüpfung zu dieser Batch erstellen, nettes Icon dafür aussuchen und ab damit in die Schnellstartleiste/Desktops/Startmenüs der Benutzer - Verteilung zum Beispiel via Group policy preferences (GPP*) oder Anmeldeskript
4)Erstellen einer Verknüpfung beim Admin mit dem Ziel msra.exe /openfile \\server\ra\hilf.msrcincident
Diese Verknüpfung startet die vom Benutzer erzeugte Einladungsdatei
5)Erstellen eines Tasks auf den Benutzer-PCs mit Namen Deaktiviere_SecureDesktop. Deployment des Tasks wieder via GPP oder Startskript (letzteres über die schtasks.exe)
-ausführender Nutzer: leer lassen ("System")
-auszuführender Befehl: reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f
-Zeitplantyp: einmalig (Zeitpunkt kann beliebig gewählt werden, auch Vergangenheit)
-Edit - 6)Setzen von Rechten auf %windir%\system32\tasks\Deaktiviere_SecureDesktop - Benutzergruppe Jeder muss Rechte erhalten, diesen Task zu lesen und auszuführen, sonst nicht startbar. Rechte über Policy (Computer-Konfig - Windows Einst. - Sicherheitseinst. - Dateisystem. Auch möglich natürlich über Startupskript mit Cacls.exe/icacls.exe.
7)Policy erstellen, die den Secure Desktop nach Beendigung (und dem nächsten GPO-Refresh) wieder erzwingt: Computerkonfig - Windowseinstellungen - Sicherheit - Lok. Sicherheitsrichtlinie - Sicherheitsoptionen - Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln - aktivieren.

Fertig.
Wer jetzt fragt "Und für xp???" trifft den wunden Punkt. xp hat keine deratigen Kommandozeilenoptionen, soweit ich das sehen kann. Es gibt zwar rcimlby.exe -LaunchRA, aber ich habe noch keinen Weg gesehen, das Ganze so einfach wie unter Vista zu automatisieren.

*Infos zu GPP: http://www.microsoft.com/downloads/details.aspx?FamilyID=42e30e3f-6f01- ...
--
Edit1: 6) hinzugefügt
Edit: optisch aufpoliert - wer auch immer das war, ich war es nicht.
Mitglied: MttKrb
17.03.2009 um 09:37 Uhr
Hi,
nette anleitung.
Schön wäre allerdings noch wenn du die Bat-Datei als Code kennzeichnest, sowie die Übershriften etc übersichtshalber entsprechend formatierst.

Ansonsten ok.
Gruß
Jogibaer0411

<edit> sieht schon viel besser aus </edit>
Bitte warten ..
Mitglied: intuitiv
19.03.2009 um 11:50 Uhr
Hallo,

wir nutzen eine Version, die bei heise.de vorgestellt wurde und mit Ultra-VNC als single executable läuft.
Auch hier muss der Benutzer aktiv die Unterstützung anfordern.
Die exe ist wesentlich einfacher zu handhaben, zudem können fest definierte Verbindungen vorgegeben werden.
Die Verteilung geht dann über AD oder Batch beim Login.

Gruß,

Stefan / [int'ju(itiv]
Bitte warten ..
Mitglied: schmidtshauser
22.02.2012 um 12:20 Uhr
Hallo,

obwohl der Thread schon etwas älter ist, finde ich die Anleitung richtig gut, habe sie aber an einem Punkt noch etwas angepasst:

01.
@echo off 
02.
rem Sorgt dafür, dass zunächst alte Einladungsdateien ohne Rückfrage überschrieben werden 
03.
del \\server\ra\*.* /q 
04.
rem Kosmetik, stellt bei hoher Bandbreite ein, dass der Fensterinhalt beim Ziehen angezeigt wird und dass der Desktophintergrund erhalten bleibt 
05.
reg ADD "HKEY_CURRENT_USER\Software\Microsoft\Remote Assistance" /v "BandWidth Usage" /t REG_DWORD /d 14 /f 
06.
rem startet RA, erzeugt eine Einladungsdatei und setzt das Kennwort 111111 
07.
start msra.exe /saveasfile \\server\ra\hilf.msrcincident 111111 
08.
rem  Ganz wichtig! Ohne diesen Task kann der Admin remote auf Vista keine UAC-Aufforderungen beantworten - er könnte nichts installieren usw.! Task siehe 5). 
09.
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f
Bitte warten ..
Mitglied: schmidtshauser
22.03.2012 um 12:15 Uhr
So, ich hab es nochmal angepasst, da mir noch ein Fehler aufgefallen ist. Der letzte Regkey muss natürlich mit Adminrechten ausgeführt werden. Dazu benutze ich das Tool RunasSpc.

01.
  
02.
@echo off 
03.
rem Laufwerk mappen 
04.
net use /delete r: 
05.
net use r: \\server\ra 
06.
rem Sorgt dafür, dass zunächst alte Einladungsdateien ohne Rückfrage überschrieben werden 
07.
del r:\*.* /q 
08.
rem Kosmetik, stellt bei hoher Bandbreite ein, dass der Fensterinhalt beim Ziehen angezeigt wird und dass der Desktophintergrund erhalten bleibt 
09.
reg ADD "HKEY_CURRENT_USER\Software\Microsoft\Remote Assistance" /v "BandWidth Usage" /t REG_DWORD /d 14 /f 
10.
rem startet RA, erzeugt eine Einladungsdatei und setzt das Kennwort 589712 
11.
start msra.exe /saveasfile \\server\ra\hilf.msrcincident 589712 
12.
rem Ganz wichtig! Ohne diesen Task kann der Admin remote auf Vista keine UAC-Aufforderungen beantworten - er könnte nichts installieren usw.! Task siehe 5). 
13.
r:\launch\runasspc.exe /cryptfile:r:\launch\crypt.spc /quiet 
14.
net use /delete r:
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 20:52 Uhr
Oh Mann... und was haben die letzten beiden Anpassungen gebracht, wenn ich fragen darf? Irgend was Neues oder nur mehr Zeilen?
Bitte warten ..
Mitglied: schmidtshauser
23.03.2012 um 09:10 Uhr
Naja, ganz einfach! Ich habe gemerkt das folgende Zeile mit Userrechten nicht ausgeführt werden kann:

01.
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f
Daher der Umweg über Runspc.
Bitte warten ..
Mitglied: DerWoWusste
24.03.2012 um 14:32 Uhr
Das war nicht die Frage. Was haben Deine Anpassungen an meinem Skript gebracht? Da wurde schon über einen Task erreicht, dass dies ohne Adminrechte eingetragen werden konnte und wesentlich einfacher als mit runasspc
Bitte warten ..
Mitglied: schmidtshauser
26.03.2012 um 10:08 Uhr
Also nochmal zum mitmeißeln. Durch das Hinzufügen weniger Zeilen spart man sich folgendes (find ich persönlich einfacher):


Zitat von DerWoWusste:
5)Erstellen eines Tasks auf den Benutzer-PCs mit Namen Deaktiviere_SecureDesktop. Deployment des Tasks wieder via GPP oder
Startskript (letzteres über die schtasks.exe)
-ausführender Nutzer: leer lassen ("System")
-auszuführender Befehl: reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v
PromptOnSecureDesktop /t REG_DWORD /d 0 /f
-Zeitplantyp: einmalig (Zeitpunkt kann beliebig gewählt werden, auch Vergangenheit)
-Edit - 6)Setzen von Rechten auf %windir%\system32\tasks\Deaktiviere_SecureDesktop - Benutzergruppe Jeder muss Rechte erhalten,
diesen Task zu lesen und auszuführen, sonst nicht startbar. Rechte über Policy (Computer-Konfig - Windows Einst. -
Sicherheitseinst. - Dateisystem. Auch möglich natürlich über Startupskript mit Cacls.exe/icacls.exe.
Bitte warten ..
Mitglied: DerWoWusste
26.03.2012 um 13:22 Uhr
Das ist nicht wirklich einfacher (du machst die selbe Konfig ja mit runasspc beim Erstellen des Cryptfiles, einzig die ACL-Anpassung sparst Du), denn ich zielte ja auf ein Deployment ab mit Bordmitteln. Wie oben beschrieben kann man Tasks ja deployen - eine einmalige Sache. Mit runasspc bringst Du weitere Software mit rein, was nicht sein muss. [Ich hatte nebenbei bemerkt mit runasspc schon einigen Ärger: cryptfiles waren nach Windowsupdates wiederholt nicht mehr zu gebrauchen, da sie irgendwelche upgedateten Komponenten voraussetzten - sie mussten neu erstellt werden.]
Bitte warten ..
Mitglied: DerWoWusste
01.09.2014 um 20:49 Uhr
Kurzes Update: funktioniert auch noch mit win7 und 8 und 8.1.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Einrichtung von pfSense auf einem APU2C4 als Dual Wan Router (8)

Frage von Roland30 zum Thema Router & Routing ...

Netzwerkmanagement
VLAN Einrichtung für W-Lan Router (25)

Frage von Hendrik2586 zum Thema Netzwerkmanagement ...

Windows Vista
gelöst Vista Home Premium nur Basic Key (8)

Frage von Chonta zum Thema Windows Vista ...

Multimedia & Zubehör
Einrichtung Alarm DINION IP Bullet 5000 HD (1)

Frage von MartinL zum Thema Multimedia & Zubehör ...

Heiß diskutierte Inhalte
Router & Routing
Tipps für Router (ca. 100 clients, VPN) (18)

Frage von oel-auge zum Thema Router & Routing ...

Windows 7
BOOTMGR is missing (auch nach bootrec -RebuildBcd) (16)

Frage von Mipronimo zum Thema Windows 7 ...

TK-Netze & Geräte
gelöst Convert von TAPI auf CAPI gesucht (13)

Frage von StefanKittel zum Thema TK-Netze & Geräte ...