105

Развертывание приложений средствами групповых политик па примере TightVNC

Всем привет!


Сегодня я расскажу о развёртывании программы удаленного доступа TightVNC. Это свободно распространяемое программное обеспечение с открытым исходным кодом. Честно говоря, как программа удаленного доступа она используется достаточно редко. Чаще её применяют как программу для оказания удаленной помощи в локальной сети. Об этом и пойдет речь.


Планирование развертывания

Архитектура ПК


Нам следует определиться с архитектурой операционных систем. В нашем случае будем развёртывать 32-х и 64-х разрядные версии программ. Нам потребуется создать WMI фильтры для правильного назначения будущих групповых политик.


Открываем оснастку управление групповой политикой и переходим в раздел фильтров WMI. Там создаем два новых фильтра со следующим содержимым:


Для 32-разрядных клиентских операционных систем:

select * from Win32_OperatingSystem WHERE ProductType = "1" AND NOT (OSArchitecture = "64-bit") OR (OSArchitecture = "64-разрядная")

Для 64-разрядных клиентских операционных систем:

select * from Win32_OperatingSystem WHERE ProductType = "1" AND (OSArchitecture = "64-bit") OR (OSArchitecture = "64-разрядная")

Развертывание приложений средствами групповых политик па примере TightVNC Windows, Удаленный доступ, Gpo, Длиннопост

Размещение пакетов


Следует определить общедоступный каталог на сервере, откуда компьютеры будут брать дистрибутив. Предоставляем права на чтение для группы «Компьютеры домена». Можно использовать каталог Netlogon контроллера домена.


Загрузка программного обеспечения


Сначала требуется скачать TightVNC. Скачиваем под обе архитектуры и сохраняем в подготовленный каталог. Устанавливать пока ничего не нужно.


Далее нам требуется приложение Orca из Windows Installer SDK. Соответственно идем в интернет и скачиваем Пакет SDK для Windows 10. Запускаем и в выборе компонентов для установки снимаем все галочки кроме MSI Tools.

Развертывание приложений средствами групповых политик па примере TightVNC Windows, Удаленный доступ, Gpo, Длиннопост

Хочу заметить, Orca не установилась автоматически. Был только загружен установщик. Неприятно, но ничего: следуем по пути установки Windows Kit и устанавливаем её вручную.

C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86

Формирование пакета преобразования


Открываем Orca, в главном меню выбираем пункт Transform — New Transform. Далее через File — Open открываем наш скачанный MSI. В окне появляется список таблиц с обилием значений. Описание значений не составит труда найти в интернете. Опишу те, которыми пользовался лично.

Задаем пароль доступа


В поле SetDataForPasswordsActionSilently мы задаем пароль для удаленного управления. В поле SetDataForControlPasswordsActionSilently мы задаем пароль для редактирования настроек TightVNC. Это необязательное поле, ведь управлять настройками службы могут только администраторы.

Развертывание приложений средствами групповых политик па примере TightVNC Windows, Удаленный доступ, Gpo, Длиннопост

Выставляем значение 1 для полей, типов аутентификации, которым мы задали пароли.

SET_USECONTROLAUTHENTICATION

VALUE_OF_USECONTROLAUTHENTICATION

SET_CONTROLPASSWORD

SET_USEVNCAUTHENTICATION

SET_PASSWORD

Развертывание приложений средствами групповых политик па примере TightVNC Windows, Удаленный доступ, Gpo, Длиннопост

Ограничение доступа по IP адресам


При желании можем задать ограничение удаленного подключения по IP адресам. Для этого устанавливаем значение ниже в 1.

SET_IPACCESSCONTROL

Тогда в таблице Registry находим параметр

IpAccessControl_RegValue

Там указываем IP адреса или их диапозон и через двоеточие параметр доступа: 0 — разрешен, 1 — запрещен. IP адреса и диапозоны перечисляем через запятую. В примере ниже мы разрешаем удаленное управление только IP адресов 192.168.1.2 и 192.168.1.2. Очень важно кроме разрешения доступа добавить диапозон адресов для запрета доступа. Разрешение не запрещает!

192.168.1.2:0,192.168.1.3:0,0.0.0.0-255.255.255.255:1

Скрываем фоновый рисунок

SET_REMOVEWALLPAPER

VALUE_OF_REMOVEWALLPAPER

Отвечает за скрытие фоновой картинки рабочего стола при подключении. Полезно при плохом соединении. Для этого в обоих параметрах ставим 1.


Сохранение пакета модификации


После настроек всех параметров, выбираем пункт Transform — Generate transform. Полученный MST файл сохраняем в созданный ранее каталог.


Создание групповых политик


Последним этапом будет создание и настройка групповых политик. Как помните, их у нас две: для x86 и x64. Возвращаемся в оснастку управление групповой политикой и две новых политики. Каждой назначаем соответствующий WMI фильтр.

Развертывание приложений средствами групповых политик па примере TightVNC Windows, Удаленный доступ, Gpo, Длиннопост

Открываем созданную политику для редактирования и направляемся по пути: Конфигурация компьютера — политики — конфигурация программ — установка программ. Далее выбираем Действие — Создать пакет. Указываем наш MSI, метод развёртывания — особый.


Открывается окно свойств пакета. Нас интересует закладка Модификации, там мы указываем путь до MST файла, сохраненного ранее. Сохраняем настройки.

Развертывание приложений средствами групповых политик па примере TightVNC Windows, Удаленный доступ, Gpo, Длиннопост

На этом, пожалуй, всё. При следующей загрузки на компьютеры будет установлен TightVNC с заданными нами настройками.


Пост является копией заметки в моём блоге.

Дубликаты не найдены

Отредактировал mfc166 1 год назад
+4

Для 32-разрядных клиентских операционных систем:
select * from Win32_OperatingSystem WHERE ProductType = "1" AND NOT (OSArchitecture = "64-bit") OR (OSArchitecture = "64-разрядная")

Для 64-разрядных клиентских операционных систем:
select * from Win32_OperatingSystem WHERE ProductType = "1" AND (OSArchitecture = "64-bit") OR (OSArchitecture = "64-разрядная")

2 условия с OR надо в скобки, иначе условия после OR будет достаточно и выберется по нему:

OSArchitecture = "64-разрядная"


WHERE ProductType = "1" AND NOT (OSArchitecture = "64-bit" OR OSArchitecture = "64-разрядная")

WHERE ProductType = "1" AND (OSArchitecture = "64-bit" OR OSArchitecture = "64-разрядная")

+2

Жаль с GPO так много проблем в плане установки софта. Только MSI пакеты, никакой обратной связи, очень часто установка проходит некорректно, но записывается что GPO отработала. Потом целый квест накатить повторно.

С .exe геморрой, обновление версий геморрой. Раскатить софт который уже установлен на части рабочих станций - геморрой.

Установка только при ребутах.


При любой возможности лучше какой-то другой вариант использовать: SCCM, касперский endpoint security или еще что захочется.

раскрыть ветку 1
0

Когда давным давно админил, ставил ПО через задачу в планировщике, куда выкладывал скрипт (vbs/powershell). В скрипте проверялась версия установленного пакета через WMI, производилась установка с выгрузкой лога в случае неудачи на спец шару и прочими ништяками. Но это для нищебродских контор.

А сейчас актуальны VDI/доставка приложений, типа Citrix/VMwareHorizon. Все в разы упростилось.

+1

TightVnc ставится через msi без всяких проблем. А настройки - экспортируется реестр через gpo. Больше писанины. Зачем? Тем более можно в любое время поменять настройки.

раскрыть ветку 1
+1

Я так тоже делал, когда в gpo  не умел.

Экспорт реестра геморней

+1

Сейчас все переезжают на Intune в плане доставки пакетов. Для модификации MSI позвольте посоветовать бесплатную InstedIt. Скачивайте и сразу ставите и плюс супер мощный функционал: не чета орке.

0
Посоветуйте программу для удаленки, раньше пользовался тимвивером, но теперь уже она требует денег, немалых. Амиадмин исчерпал лимит времени на бесплатное подключение. Друзьям помогаю по удаленке, поэтому ничего сложного бы)
раскрыть ветку 11
+1

AnyDesk

+1

RealVNC. До 5 устройств на аккаунт в бесплатной версии.

раскрыть ветку 1
0
Спасибо, гляну.
+1

Я использую Быструю помощь в WIndows 10

https://pikabu.ru/story/udalennaya_podderzhka_udalennyikh_po...

раскрыть ветку 1
0
Почитаю.
0

Anydesk

раскрыть ветку 1
0
Спасибо, проверю
0
NoMachine
раскрыть ветку 3
0
Он хорош, но только в локальной или через vpn. Ну и для постоянного парка подключений. Как разовый вариант - увы.
раскрыть ветку 2
0

есть инфа как политиками через повершелл из репозитория ставить и обновлять пакеты?

раскрыть ветку 2
0

Из какого репозитория? Chocolately? OneGet?

раскрыть ветку 1
0
Бля чувак раньше не мог пост запилить )) пару недель назад искал , опробуем твою версию
-1

@mfc166, А может рассказать, что у тебя в политике “длинные пути WIN32" и зачем она нужна? Спасибо.

раскрыть ветку 4
+1

Эта политика отключает проверку MAX_PATH. Таким образом появляется возможность работы с файлами, путьи которых превышают 260 символов.

Возможность появилась ещё в Windows 10 1607.

https://habr.com/ru/post/307186/

раскрыть ветку 3
0
Спасибо. Но к сожалению у меня пользователи на Win 7.
раскрыть ветку 2
Похожие посты
94

Citrix WinFrame

В наше время все уже привыкли к протоколу RDP. Кому-то он даёт возможность удалённой работы, кому-то возможность удалённого администрирования. Как SSH в Linux, RDP стал чем-то стандартным и привычным в Windows среде. Но так было не всегда.


RDP был создан в 1998 году и вошёл в состав Windows NT 4.0 Terminal Server. Так вот, если в ней открыть окно «О программе» (winver.exe), то можно увидеть, что к разработке системы приложила руку Citrix Systems. Протокол RDP был основан на технологиях компании Citrix.


Citrix приобрела лицензию на исходные коды Windows NT 3.51 и выпустила её под названием WinFrame, прикрутив к ней сервер приложений. В остальном, это уже привычная нам Windows NT 3.51 Server. Замечу, что возможность быть контроллером домена в ней выпилили. Можете считать, что WinFrame — это лицензионная сборка Windows NT 3.51.

Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост

Winframe позволяет удалённо работать с приложениями в режиме удалённого рабочего стола и в режиме опубликованного приложения (типа RemoteApp).


Список поддерживаемых клиентских операционных систем огромен, так как используется протокол ICA. То есть можно удалённо работать в Microsoft Office с документами на сервере, используя для этого DOS или Macintosh.



Сервер приложений

Сервер предлагает множество настроек и по-настоящему огромный функционал. Ещё на стадии установки он предлагает сменить буквы дисков так, что-бы пользователи не путали свой системный диск с диском терминала.

Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост

В сервере есть балансировщик, но он требует отдельной лицензии. Возможность теневого подключения к пользовательской сессии позволяет увидеть содержимое сессии пользователя и оказать ему помощь при необходимости. Приложение Citrix Server Administration обеспечивает возможность управлять пользовательскими сеансами и процессами.

Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост

Сервер обеспечивает проброс дисков, принтеров, звука, портов и буфера обмена.

Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост

Я опубликовал блокнот, давайте посмотрим настройки, доступные для опубликованного приложения.

Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост
Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост
Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост
Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост
Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост

Клиент

Теперь создадим дискету с клиентом удалённого доступа, используя предназначенное для этого приложение.

Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост

Установка клиента ничем не примечательна — обычный дистрибутив на двух дискетах. Перейдём к клиенту. После непродолжительной настройки, авторизовавшись на сервере, я получил удалённо запущенный блокнот.


Режим бесшовного окна

Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост

Уже по заголовку окна понятно, что он не из этой системы — элементы управления окном явно указывают на принадлежность к Program manager. В диалоговом окне сохранения документа виден иной алгоритм именования дисков, более понятный пользователю.


Режим удалённого рабочего стола

Теперь попробуем войти на удалённый рабочий стол. Полноэкранный вход не так показателен, так как не понятно, откуда идёт подключение — войдём в оконном режиме 800х600.

Citrix WinFrame Windows, Citrix, Удаленный доступ, Длиннопост

Заключение

Технология, честно говоря, очень крутая. По функционалу не только не уступает службам терминалов, которые появятся несколько позже, но и превосходят их. Режим RemoteApp, появится в Windows Server 2008 девять лет спустя.


Этот пост - копия заметки из моего блога.


Очень хорошо про Citrix WinFrame написано тут.

Показать полностью 11
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: