Wie man einem einzelnen PC per RegEdit und “Netzwerkregistrierung” die Remote Desktop Aktivierung unterschiebt, habe ich schon in einem anderen Posting geschrieben.
Wie aber aktiviert man Remote Desktop auf allen PCs in einer Domain per Gruppenrichtlinie?
- Einfach die Richtlinie “Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – Terminaldienste – Remoteverbindungen für Benutzer mithilfe der Terminaldienste zulasssen” aktivieren.
Ein bisschen mehr Aufwand ist die Aktivierung der Remote Unterstützung:
- Erst mal die Richtlinie “Computerkonfiguration – Administrative Vorlagen – System/Remoteunterstützung – Remoteunterstützung anbieten” aktivieren und sinnigerweise die Gruppe “Domänen-Admins” als “Helfer” eintragen.
- Dann müssen noch Ausnahmen in die Windows-Firewall eingetragen werden. Im Beispiel wird der Zugriff nur für das lokale Netzwerk zugelassen, wenn der Zugriff ohne Einschränkungen erlaubt werden soll, dann in den 3 Ausnahmen jeweils das “localsubnet” durch “*” ersetzen.
- Zuerst die Richtlinie “Computerkonfiguration – Administrative Vorlagen – Netzwerk – Netzwerkverbindungen – Windows Firewall – Domänenprofil – Windows-Firewall: Ausnahmen für lokale Programme zulassen” aktivieren
- Dann die Richtlinie “Computerkonfiguration – Administrative Vorlagen – Netzwerk – Netzwerkverbindungen – Windows Firewall – Domänenprofil – Windows-Firewall: Programmausnahmen festlegen” aktivieren
- Wenn der Zielrechner unter XP oder Server 2003 läuft die beiden folgenden Zeilen hinzufügen:
- %systemroot%\PCHEALTH\HELPCTR\Binaries\helpsvc.exe:localsubnet:enabled:Remote Assistance 1
- %systemroot%\system32\sessmgr.exe:localsubnet:enabled:Remote Assistance 2
- Für Zielrechner unter Vista bzw. Server 2008 folgende Zeilen hinzufügen:
- %systemroot%\system32\msra.exe:localsubnet:enabled:Remote Assistance 1
- %systemroot%\system32\raserver.exe:localsubnet:enabled:Remote Assistance 2
- Wenn der Zielrechner unter XP oder Server 2003 läuft die beiden folgenden Zeilen hinzufügen:
- Analog dann zuerst die Richtlinie “Computerkonfiguration – Administrative Vorlagen – Netzwerk – Netzwerkverbindungen – Windows Firewall – Domänenprofil – Windows-Firewall: Ausnahmen für lokale Ports zulassen” aktivieren
- Und dann schließlich die Richtlinie “Computerkonfiguration – Administrative Vorlagen – Netzwerk – Netzwerkverbindungen – Windows Firewall – Domänenprofil – Windows-Firewall: Portausnahmen festlegen” aktivieren und die folgende Zeile hinzufügen (egal, ob XP/2003 oder Vista/2008)
- 135:TCP:localsubnet:enabled:Remote Assistance Port
- Um dann tatsächlich Remote Unterstützung anbieten zu können gibt es je nach Betriebssystem unterschiedliche Wege:
- XP oder Server 2003: Am besten auf dem Desktop eine neue Verknüpfung mit folgendem Ziel anlegen “hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/Unsolicited/Unsolicitedrcui.htm”
- Vista oder Server 2008: Einfach im Startmenü das Programm “Windows-Remoteunterstützung” aufrufen
- Nach Doppelklick öffnet sich ein Fenster, in das man den Rechnernamen des Zielrechners eintippt und auf “Verbinden” klickt. Auf dem Zielrechner erscheint dann ein Dialog mit der Frage, ob “Zugriff” gewährt wird. Wenn der User auf “Ja” klickt, sieht man als Helfer den Desktop des Zielrechners (read only) und kann mit dem User per Chat Nachrichten austauschen.
- Nach Klick auf den Button “Steuerung anfordern” in der Symbolleiste erscheint auf dem Zielrechner ein Dialog mit der Frage, ob “Steuerung” gewährt wird. Wenn der User auf “Ja” klickt, dann kann man als Helfer auf dem Zielrechner arbeiten.