Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einrichtung einer Fernwartung mit Bordmitteln unter Vista

Anleitung Microsoft Windows Userverwaltung

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

16.03.2009, aktualisiert 22.03.2009, 23690 Aufrufe, 10 Kommentare, 2 Danke

Hier eine Anleitung dazu, wie man ohne den Einsatz von VNC oder anderer Drittherstellersoftware eine Fernwartung recht einfach erstellt.

Vorweg sollte jeder klären, ob dies im Betrieb vom rechtlichen Standpunkt aus abgesichert ist oder ob nicht zuerst beispielsweise der Betriebsrat und/oder der Datenschutzbeauftragte dies abnicken muss.

Das Mittel der Wahl ist die Windows Remote Assistance (=Windows Remoteunterstützung) im folgenden RA genannt. RA beruht auf Remote Desktop, im Unterschied zu diesem kann mit RA jedoch die Konsolensitzung an Clients gesteuert werden - somit ist es für Fernwartung, bei der in die Benutzersitzung eingegriffen werden muss, geeignet. Meiner Ansicht nach bietet RA einige Vorteile gegenüber vielen VNC-Varianten, als da wären:

  • außerordentlich zuverlässiges Refreshing des Bildschirminhaltes (da hat zum Beispiel UltraVNC immer mal wieder Probleme), zudem sehr schnell
  • kein zusätzlich zu öffnender Port benötigt (vorausgesetzt 3389 [RDP] war schon offen)
  • gehört zu Vista, somit voll kompatibel, keine Installation nötig und auch keine Updates (gegen Sicherheitslücken) erforderlich abgesehen von Windows Update
  • Skalierung des Bildschirmes möglich, selbst, wenn der Gegenüber 2 Bildschirme nutzt [Anmerkung: Skalierung führt zu Interpolation und macht den Refresh träge!]
  • verschlüsselt
  • rolloutfähig, im Sinne von einer Einrichtung, die ohne manuelle Installationsschritte am Client auskommt

Zur Sache:
Der Ablauf nach Einrichtung in Kurzform: Benutzer ruft zunächst den Admin an. Benutzer klickt dann auf ein Icon (Schnellstartleiste/Desktop/Startmenü), startet somit eine Batch, welche eine Einladungsdatei erstellt und RA startet. Admin klickt seinerseits auf einen Button und stößt somit eine Batch an, die die Einladungsdatei startet und eine Verbindung aufbaut (Vorher Kennwort eingeben (6 Zeichen und mehr), hier 111111, Sicherheit völlig schnuppe da ohne Zustimmung des Benutzers eh nichts geht). Benutzer stimmt der Verbindungsaufnahme zu - die "Nur-Anschauen-Verbindung" steht. Der Admin kann nun bei Bedarf auch die Steuerung anfordern, was der Benutzer erneut abnicken muss.

Einrichtung:
1)Gegebenenfalls zunächst per GPO Remote Assistance erlauben (Computer Policy - adm. Vorlagen - Windowskomponenten - Remoteunterstützung/RA)
2)Anlegen einer Serverfreigabe \\server\ra, Ändernrechte für Jeder
3)Erstellen einer Batch \\server\ra\launch\Hilf.bat mit folgendem Inhalt:

01.
@echo off 
02.
rem Sorgt dafür, dass zunächst alte Einladungsdateien ohne Rückfrage überschrieben werden 
03.
del \\server\ra\*.* /q 
04.
rem Kosmetik, stellt bei hoher Bandbreite ein, dass der Fensterinhalt beim Ziehen angezeigt wird und dass der Desktophintergrund erhalten bleibt 
05.
reg ADD "HKEY_CURRENT_USER\Software\Microsoft\Remote Assistance" /v "BandWidth Usage" /t REG_DWORD /d 14 /f 
06.
rem startet RA, erzeugt eine Einladungsdatei und setzt das Kennwort 111111 
07.
start msra.exe /saveasfile \\server\ra\hilf.msrcincident 111111 
08.
rem startet den Task zum Deaktivieren des Secure Desktops ("Grauer Vorhang") von Vista - Ganz wichtig! Ohne diesen Task kann der Admin remote auf Vista keine UAC-Aufforderungen beantworten - er könnte nichts installieren usw.! Task siehe 5). 
09.
schtasks /run /tn Deaktiviere_SecureDesktop
Verknüpfung zu dieser Batch erstellen, nettes Icon dafür aussuchen und ab damit in die Schnellstartleiste/Desktops/Startmenüs der Benutzer - Verteilung zum Beispiel via Group policy preferences (GPP*) oder Anmeldeskript
4)Erstellen einer Verknüpfung beim Admin mit dem Ziel msra.exe /openfile \\server\ra\hilf.msrcincident
Diese Verknüpfung startet die vom Benutzer erzeugte Einladungsdatei
5)Erstellen eines Tasks auf den Benutzer-PCs mit Namen Deaktiviere_SecureDesktop. Deployment des Tasks wieder via GPP oder Startskript (letzteres über die schtasks.exe)
-ausführender Nutzer: leer lassen ("System")
-auszuführender Befehl: reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f
-Zeitplantyp: einmalig (Zeitpunkt kann beliebig gewählt werden, auch Vergangenheit)
-Edit - 6)Setzen von Rechten auf %windir%\system32\tasks\Deaktiviere_SecureDesktop - Benutzergruppe Jeder muss Rechte erhalten, diesen Task zu lesen und auszuführen, sonst nicht startbar. Rechte über Policy (Computer-Konfig - Windows Einst. - Sicherheitseinst. - Dateisystem. Auch möglich natürlich über Startupskript mit Cacls.exe/icacls.exe.
7)Policy erstellen, die den Secure Desktop nach Beendigung (und dem nächsten GPO-Refresh) wieder erzwingt: Computerkonfig - Windowseinstellungen - Sicherheit - Lok. Sicherheitsrichtlinie - Sicherheitsoptionen - Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln - aktivieren.

Fertig.
Wer jetzt fragt "Und für xp???" trifft den wunden Punkt. xp hat keine deratigen Kommandozeilenoptionen, soweit ich das sehen kann. Es gibt zwar rcimlby.exe -LaunchRA, aber ich habe noch keinen Weg gesehen, das Ganze so einfach wie unter Vista zu automatisieren.

*Infos zu GPP: http://www.microsoft.com/downloads/details.aspx?FamilyID=42e30e3f-6f01- ...
--
Edit1: 6) hinzugefügt
Edit: optisch aufpoliert - wer auch immer das war, ich war es nicht.
Mitglied: MttKrb
17.03.2009 um 09:37 Uhr
Hi,
nette anleitung.
Schön wäre allerdings noch wenn du die Bat-Datei als Code kennzeichnest, sowie die Übershriften etc übersichtshalber entsprechend formatierst.

Ansonsten ok.
Gruß
Jogibaer0411

<edit> sieht schon viel besser aus </edit>
Bitte warten ..
Mitglied: intuitiv
19.03.2009 um 11:50 Uhr
Hallo,

wir nutzen eine Version, die bei heise.de vorgestellt wurde und mit Ultra-VNC als single executable läuft.
Auch hier muss der Benutzer aktiv die Unterstützung anfordern.
Die exe ist wesentlich einfacher zu handhaben, zudem können fest definierte Verbindungen vorgegeben werden.
Die Verteilung geht dann über AD oder Batch beim Login.

Gruß,

Stefan / [int'ju(itiv]
Bitte warten ..
Mitglied: schmidtshauser
22.02.2012 um 12:20 Uhr
Hallo,

obwohl der Thread schon etwas älter ist, finde ich die Anleitung richtig gut, habe sie aber an einem Punkt noch etwas angepasst:

01.
@echo off 
02.
rem Sorgt dafür, dass zunächst alte Einladungsdateien ohne Rückfrage überschrieben werden 
03.
del \\server\ra\*.* /q 
04.
rem Kosmetik, stellt bei hoher Bandbreite ein, dass der Fensterinhalt beim Ziehen angezeigt wird und dass der Desktophintergrund erhalten bleibt 
05.
reg ADD "HKEY_CURRENT_USER\Software\Microsoft\Remote Assistance" /v "BandWidth Usage" /t REG_DWORD /d 14 /f 
06.
rem startet RA, erzeugt eine Einladungsdatei und setzt das Kennwort 111111 
07.
start msra.exe /saveasfile \\server\ra\hilf.msrcincident 111111 
08.
rem  Ganz wichtig! Ohne diesen Task kann der Admin remote auf Vista keine UAC-Aufforderungen beantworten - er könnte nichts installieren usw.! Task siehe 5). 
09.
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f
Bitte warten ..
Mitglied: schmidtshauser
22.03.2012 um 12:15 Uhr
So, ich hab es nochmal angepasst, da mir noch ein Fehler aufgefallen ist. Der letzte Regkey muss natürlich mit Adminrechten ausgeführt werden. Dazu benutze ich das Tool RunasSpc.

01.
  
02.
@echo off 
03.
rem Laufwerk mappen 
04.
net use /delete r: 
05.
net use r: \\server\ra 
06.
rem Sorgt dafür, dass zunächst alte Einladungsdateien ohne Rückfrage überschrieben werden 
07.
del r:\*.* /q 
08.
rem Kosmetik, stellt bei hoher Bandbreite ein, dass der Fensterinhalt beim Ziehen angezeigt wird und dass der Desktophintergrund erhalten bleibt 
09.
reg ADD "HKEY_CURRENT_USER\Software\Microsoft\Remote Assistance" /v "BandWidth Usage" /t REG_DWORD /d 14 /f 
10.
rem startet RA, erzeugt eine Einladungsdatei und setzt das Kennwort 589712 
11.
start msra.exe /saveasfile \\server\ra\hilf.msrcincident 589712 
12.
rem Ganz wichtig! Ohne diesen Task kann der Admin remote auf Vista keine UAC-Aufforderungen beantworten - er könnte nichts installieren usw.! Task siehe 5). 
13.
r:\launch\runasspc.exe /cryptfile:r:\launch\crypt.spc /quiet 
14.
net use /delete r:
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 20:52 Uhr
Oh Mann... und was haben die letzten beiden Anpassungen gebracht, wenn ich fragen darf? Irgend was Neues oder nur mehr Zeilen?
Bitte warten ..
Mitglied: schmidtshauser
23.03.2012 um 09:10 Uhr
Naja, ganz einfach! Ich habe gemerkt das folgende Zeile mit Userrechten nicht ausgeführt werden kann:

01.
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f
Daher der Umweg über Runspc.
Bitte warten ..
Mitglied: DerWoWusste
24.03.2012 um 14:32 Uhr
Das war nicht die Frage. Was haben Deine Anpassungen an meinem Skript gebracht? Da wurde schon über einen Task erreicht, dass dies ohne Adminrechte eingetragen werden konnte und wesentlich einfacher als mit runasspc
Bitte warten ..
Mitglied: schmidtshauser
26.03.2012 um 10:08 Uhr
Also nochmal zum mitmeißeln. Durch das Hinzufügen weniger Zeilen spart man sich folgendes (find ich persönlich einfacher):


Zitat von DerWoWusste:
5)Erstellen eines Tasks auf den Benutzer-PCs mit Namen Deaktiviere_SecureDesktop. Deployment des Tasks wieder via GPP oder
Startskript (letzteres über die schtasks.exe)
-ausführender Nutzer: leer lassen ("System")
-auszuführender Befehl: reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v
PromptOnSecureDesktop /t REG_DWORD /d 0 /f
-Zeitplantyp: einmalig (Zeitpunkt kann beliebig gewählt werden, auch Vergangenheit)
-Edit - 6)Setzen von Rechten auf %windir%\system32\tasks\Deaktiviere_SecureDesktop - Benutzergruppe Jeder muss Rechte erhalten,
diesen Task zu lesen und auszuführen, sonst nicht startbar. Rechte über Policy (Computer-Konfig - Windows Einst. -
Sicherheitseinst. - Dateisystem. Auch möglich natürlich über Startupskript mit Cacls.exe/icacls.exe.
Bitte warten ..
Mitglied: DerWoWusste
26.03.2012 um 13:22 Uhr
Das ist nicht wirklich einfacher (du machst die selbe Konfig ja mit runasspc beim Erstellen des Cryptfiles, einzig die ACL-Anpassung sparst Du), denn ich zielte ja auf ein Deployment ab mit Bordmitteln. Wie oben beschrieben kann man Tasks ja deployen - eine einmalige Sache. Mit runasspc bringst Du weitere Software mit rein, was nicht sein muss. [Ich hatte nebenbei bemerkt mit runasspc schon einigen Ärger: cryptfiles waren nach Windowsupdates wiederholt nicht mehr zu gebrauchen, da sie irgendwelche upgedateten Komponenten voraussetzten - sie mussten neu erstellt werden.]
Bitte warten ..
Mitglied: DerWoWusste
01.09.2014 um 20:49 Uhr
Kurzes Update: funktioniert auch noch mit win7 und 8 und 8.1.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Vista
gelöst Vista Home Premium nur Basic Key (8)

Frage von Chonta zum Thema Windows Vista ...

Multimedia & Zubehör
Einrichtung Alarm DINION IP Bullet 5000 HD (1)

Frage von MartinL zum Thema Multimedia & Zubehör ...

Voice over IP
Fax over IP Einrichtung Gateway Call Manager (1)

Frage von mellon zum Thema Voice over IP ...

E-Mail
gelöst GMail: Einrichtung einer Alias-Mailadresse (3)

Frage von honeybee zum Thema E-Mail ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...