Комплект ресурсов Windows Vista Глава 23. Поддержка пользователей с помощью удаленного помощника (часть 1)

Опубликовано: 23 Марта, 2023

Удаленный помощник (RA) в Windows Vista включает в себя ряд улучшений подключения, производительности, удобства использования и безопасности, а также усовершенствования функций, которые делают его еще более полезным, чем RA в Windows XP. Благодаря расширенной поддержке групповой политики, возможностям сценариев командной строки, регистрации сеансов, оптимизации полосы пропускания и т. д. удаленный помощник теперь является важным инструментом, позволяющим предприятиям поддерживать пользователей в сценариях службы поддержки. В этой главе рассматривается, как удаленный помощник работает в Vista, как использовать его для поддержки конечных пользователей и как управлять им с помощью групповой политики и сценариев.

Получите набор ресурсов для Windows Vista уже сегодня!

Общие сведения об удаленной помощи

Поддержка конечных пользователей — важная функция ИТ-отделов и корпоративной службы поддержки. К сожалению, обычная техническая поддержка, предоставляемая по телефону или с помощью чата, как правило, громоздка и неэффективна. В результате поддержка пользователей часто требует много времени и средств для крупных предприятий. Например, конечные пользователи часто испытывают трудности с описанием точной природы проблемы, с которой они столкнулись. Из-за своей общей неопытности и отсутствия технических знаний конечные пользователи могут попытаться описать свою проблему, используя нетехнический, неточный язык. В результате персонал службы поддержки обычно задает ряд простых вопросов, чтобы попытаться изолировать проблему, с которой сталкивается пользователь. Методический характер этих вопросов иногда заставляет пользователей чувствовать, что персонал службы поддержки ведет себя снисходительно, и такое непонимание может снизить эффективность поддержки и заставить пользователей избегать обращения к персоналу службы поддержки при возникновении проблем в будущем.

Конечные пользователи также часто испытывают трудности с выполнением инструкций, данных им сотрудниками службы поддержки, которые пытаются им помочь. Хорошо обученный персонал службы поддержки будет стараться избегать использования технического жаргона при общении с конечными пользователями, но, хотя использование простого языка может улучшить качество поддержки, это также может означать, что шаги по устранению неполадок становятся длинными и утомительными. Например, чтобы сообщить пользователю, как использовать очистку диска из системных инструментов в разделе «Аксессуары», может потребоваться несколько предложений или больше, и такой вид связи может увеличить время на поддержку инцидентов, что сделает их более дорогостоящими для компании.

Удаленный помощник (RA) решает эти проблемы, позволяя персоналу службы поддержки просматривать рабочий стол пользователя в режиме реального времени. Пользователь, обращающийся за помощью, может продемонстрировать характер проблемы специалисту службы поддержки. Это более быстрый и эффективный способ сообщить о проблеме, чем использование слов или электронной почты. При необходимости пользователь также может дать сотруднику службы поддержки разрешение на совместное интерактивное управление компьютером пользователя, чтобы показать пользователю, как решить проблему. Результатом использования удаленного помощника является более быстрое решение проблем, улучшенный опыт поддержки и более низкая совокупная стоимость владения (TCO) для поддержки конечных пользователей в крупных корпоративных средах.

Удаленный помощник и удаленный рабочий стол

Удаленный помощник и удаленный рабочий стол — это разные функции Vista, которые используются совершенно по-разному. Удаленный рабочий стол основан на службах терминалов Microsoft и представляет собой инструмент для удаленного входа на удаленные компьютеры. Когда вы используете удаленный рабочий стол для подключения к удаленному компьютеру, устанавливается новый сеанс пользователя. Удаленный рабочий стол также может устанавливать сеансы с компьютерами, на которых не запущены интерактивные сеансы (пользователи не вошли в систему локально), например с безголовыми серверами. Дополнительные сведения об удаленном рабочем столе см. в главе 28. «Подключение удаленных пользователей и сетей».

Удаленный помощник, с другой стороны, представляет собой инструмент для интерактивной помощи пользователям в устранении неполадок с их компьютерами. Чтобы использовать удаленный помощник, и пользователь (также называемый новичком), и помощник должны присутствовать на своих компьютерах. В отличие от удаленного рабочего стола, удаленный помощник не создает новый сеанс. Вместо этого удаленный помощник позволяет помощнику работать в существующем сеансе пользователя. Рабочий стол пользователя удаленно передается помощнику, который затем может просматривать рабочий стол пользователя и, с согласия пользователя, совместно использовать контроль над рабочим столом.

Вот еще один способ обобщить разницу между этими двумя функциями: в удаленном помощнике оба вовлеченных пользователя смотрят на один и тот же рабочий стол, используя одни и те же учетные данные для входа в систему (учетные данные пользователя, вошедшего в систему в интерактивном режиме), и могут совместно управлять этим рабочим столом; в удаленном рабочем столе, когда удаленный пользователь входит в систему, пользователь, вошедший в систему в интерактивном режиме (если он есть), выходит из системы.

Улучшения удаленного помощника в Windows Vista

Windows Vista включает ряд новых функций и улучшений для удаленного помощника по сравнению с удаленным помощником, доступным в Windows XP, в том числе:

Улучшения подключения благодаря прозрачному обходу NAT с использованием Teredo и IPv6.
Улучшенный пользовательский интерфейс, который легче запускать и использовать.
Автономный исполняемый файл (msra.exe), который принимает аргументы командной строки и может быть легко создан в сценарии.
Улучшена общая производительность за счет меньшей занимаемой площади, более быстрого запуска и времени подключения, а также оптимизированного использования пропускной способности для обновлений экрана.
Повышенная безопасность с обязательным паролем и интеграцией с UAC.
Новый сценарий Offer RA через IM и открытый API для интеграции с одноранговыми приложениями.
Дополнительные параметры групповой политики для улучшения управляемости.

Удаленный помощник в Vista не поддерживает следующие функции, которые были доступны в XP:

Больше не поддерживается метод MAILTO для запрошенной удаленной помощи.
Больше нет поддержки голосовых сессий

Для получения информации о взаимодействии между версиями удаленного помощника для XP и Vista см. раздел «Взаимодействие с удаленным помощником в Windows XP» далее в этой главе.

Как работает удаленный помощник

В удаленном помощнике лицо, которому требуется помощь, называется пользователем (или новичком ), а лицо, оказывающее помощь, называется помощником (или экспертом ). RA запускается из меню «Пуск» путем перехода к «Все программы», щелчка «Обслуживание» и выбора «Удаленный помощник Windows». Его также можно запустить из командной строки, набрав msra.exe.

У удаленного помощника есть два основных режима работы:

Запрошенный РА. В Запрошенном RA (также известном как Escalated RA ) Пользователь запрашивает помощь у Помощника, инициируя сеанс RA с помощью электронной почты, обмена мгновенными сообщениями или предоставляя Помощнику сохраненную копию файла приглашения (*.MsRcIncident). Каждый из этих методов использует другой базовый механизм:
- Запрашиваемый RA с использованием электронной почты. Этот метод требует, чтобы почтовые клиенты, используемые пользователем, поддерживали простой интерфейс программирования почтовых приложений (SMAPI). Примером почтового клиента, поддерживающего SMAPI, является Windows Mail, входящая в состав Windows Vista. Другими примерами SMAPI-совместимых почтовых клиентов являются Microsoft Outlook и другие сторонние клиенты. В этом подходе Пользователь запускает пользовательский интерфейс RA для создания сообщения электронной почты, к которому прикреплен файл приглашения RA (*.MsRcIncident). Пользователь должен ввести пароль для сеанса RA, который должен быть сообщен Помощнику с использованием внеполосного (OOB) метода, такого как вызов Помощника по телефону. Когда Помощник получает приглашение RA от Пользователя, она открывает прикрепленный билет, вводит пароль, переданный Пользователем, и начинается сеанс RA. Помощник должен ответить на приглашение Пользователя в течение установленного срока (по умолчанию 6 часов), иначе срок действия приглашения истечет и потребуется отправить новое. В доменной среде это время жизни билета также можно настроить с помощью групповой политики. См. раздел «Управление удаленным помощником с помощью групповой политики» далее в этой главе.
- Запрошенный RA с использованием передачи файлов. Этот метод требует, чтобы и пользователь, и помощник имели доступ к общей папке (например, к общему сетевому ресурсу на файловом сервере) или чтобы они использовали какой-либо другой метод для передачи файла (например, с помощью USB-ключа для ручной передачи файла). файл или загрузив файл на FTP-сайт). Пользователь создает файл приглашения RA и сохраняет его в общей папке. Пользователь должен предоставить пароль, который должен быть сообщен Помощнику с помощью внеполосного (OOB) метода, такого как телефонный звонок. Помощник извлекает билет из общей папки, открывает его, вводит пароль, и начинается сеанс RA. Опять же, помощник должен ответить на приглашение в течение указанного времени, иначе срок действия приглашения истечет и потребуется новое (время истечения срока действия настраивается с помощью групповой политики).
- Запрашиваемый RA с помощью обмена мгновенными сообщениями. Этот метод запроса помощи требует, чтобы приложения для обмена мгновенными сообщениями (IM), используемые как пользователем, так и помощником, поддерживали новый API Microsoft Rendezvous. Windows Live Messenger — это пример приложения для обмена мгновенными сообщениями, которое поддерживает Rendezvous. Windows Live Messenger доступен для загрузки. При таком подходе Пользователь запрашивает помощь у кого-то из своего списка друзей. Чтобы гарантировать, что удаленный человек действительно является приятелем пользователя (а не кем-то, маскирующимся под приятеля), удаленный помощник требует, чтобы пароль передавался от пользователя к помощнику другими способами (например, по телефону), прежде чем помощник сможет подключиться.. Дополнительные сведения о Rendezvous API см. в Windows SDK в MSDN по адресу http://windowssdk.msdn.microsoft.com/en-us/library/default.aspx.

Незапрошенный РА. В незапрашиваемом RA (также известном как RA Offer) помощник предлагает помощь пользователю, инициируя сеанс RA.

Предлагайте RA с помощью DCOM. Это типичный сценарий корпоративной службы поддержки, в котором все пользователи находятся в домене. Помощник вводит полное имя (FQDN) или IP-адрес компьютера пользователя для подключения к компьютеру пользователя. Этот метод требует, чтобы Помощник был ранее авторизован администратором домена, чтобы иметь возможность предлагать удаленную помощь пользователям. (Информацию о том, как авторизовать помощников для предоставления RA, см. в разделе «Управление удаленным помощником с помощью групповой политики» далее в этой главе.) Этот метод также требует, чтобы помощник либо знал имя (имя хоста в локальной подсети; в противном случае полное имя) или адрес (IPv4 или IPv6) компьютера Пользователя.
Предлагайте РА с помощью службы мгновенных сообщений. Этот метод запроса помощи требует, чтобы приложения для обмена мгновенными сообщениями (IM), используемые как Пользователем, так и Помощником, поддерживали Rendezvous API. В этом подходе Помощник предлагает помощь кому-то из своего списка друзей. Если приятель согласен, то он должен ввести пароль, который будет использоваться Помощником. Пароль должен передаваться механизмом OOB, чтобы гарантировать, что удаленный человек действительно является другом пользователя (а не кем-то, кто маскируется под друга). Дополнительные сведения о Rendezvous API см. в Windows SDK в MSDN по адресу http://windowssdk.msdn.microsoft.com/en-us/library/default.aspx.

Как это работает: файлы приглашений RA

Файлы приглашения удаленного помощника (.MsRcIncident) представляют собой файловые документы в формате XML, содержащие информацию, используемую компьютером помощника, который попытается подключиться. Эта информация о билете зашифрована, чтобы предотвратить доступ неавторизованных пользователей к информации, если для отправки приглашения по незащищенной сети используется электронная почта или передача файлов.

Если для отправки файла приглашения помощнику используется метод электронной почты, файл приглашения отправляется в виде вложения электронной почты с именем файла RATicket.MsRcIncident. Если вместо этого используется метод передачи файла, файл приглашения создается по умолчанию на рабочем столе компьютера Пользователя, а имя файла приглашения — Invitation.MsRcIncident.

Рабочие состояния удаленной помощи

У удаленного помощника есть три рабочих состояния:

Ожидание подключения. Это состояние возникает, когда:
- Помощник предложил Пользователю RA, но Пользователь еще не дал согласия на подключение Помощника к своему компьютеру.
- Пользователь отправил Помощнику приглашение, но Помощник еще не ответил, открыв приглашение, или Помощник открыл приглашение, а Пользователь еще не разрешил Помощнику подключиться к его компьютеру.
В состоянии «Ожидание соединения» помощник не может просматривать экран компьютера пользователя или управлять им до тех пор, пока не будет установлено соединение RA и оба компьютера не перейдут в состояние совместного использования экрана. После того как приложение RA было запущено и работает в состоянии «Ожидание подключения», его нельзя закрывать, пока другая сторона не ответит и не установит соединение. Например, если пользователь использует метод «Запросить RA с помощью электронной почты» и отправляет файл приглашения помощнику, приложение RA открывается на компьютере пользователя и ожидает, пока помощник примет приглашение. Если Пользователь закроет RA на своем компьютере до того, как Помощник примет приглашение, Помощник не сможет подключиться к компьютеру Пользователя, и Пользователю потребуется отправить новое приглашение.
Совместное использование экрана. Это состояние возникает, когда Пользователь дал согласие разрешить Помощнику подключиться к своему компьютеру — либо после того, как Пользователь отправил Помощнику приглашение, либо Помощник предложил Пользователю доступ к ресурсам. В состоянии совместного доступа к экрану сеанс RA был установлен, и помощник может просматривать экран компьютера пользователя, но не управлять им.
Когда у Пользователя запрашивается согласие разрешить Помощнику подключиться к его компьютеру, на компьютере Пользователя появляется предупреждающее сообщение о том, что Помощник хочет подключиться к своему компьютеру. Это предупреждающее сообщение можно настроить с помощью групповой политики. Дополнительные сведения см. в разделе «Управление удаленным помощником с помощью групповой политики» далее в этой главе.

Общий доступ к управлению. Это состояние возникает после состояния совместного использования экрана, когда Помощник запросил контроль над компьютером Пользователя, и Пользователь дал согласие на совместное управление своим компьютером Помощником. В состоянии совместного управления помощник имеет тот же уровень доступа к компьютеру пользователя, что и пользователь, и помощник может использовать свою собственную мышь и клавиатуру для удаленного выполнения действий на компьютере пользователя. Конкретно:

Если Пользователь является обычным пользователем на своем компьютере, Помощник сможет выполнять на компьютере Пользователя только те действия, которые может выполнять обычный пользователь на этом компьютере.
Если Пользователь является локальным администратором на своем компьютере, Помощник сможет выполнять на компьютере Пользователя любые действия, которые может выполнять локальный администратор на этом компьютере.

Дополнительную информацию об уровне контроля над компьютером пользователя у помощника см. в разделе «Удаленный помощник и безопасный рабочий стол» далее в этой главе.

Пользователь против вспомогательной функциональности

После того, как соединение RA установлено и оба компьютера перешли в состояние совместного использования экрана, пользователь и помощник могут выполнять задачи, перечисленные в таблице 23-1.

Описание задачи

Пользователь?

Помощник?

Чат

Да

Отправить файлы

Да

Сохраняйте журнал активности сеанса

Да (по умолчанию)

Настройка использования пропускной способности

Да

Нет

Пауза (временно скрыть экран)

Да

Нет

Запросить общий контроль

Нет

Да

Отказаться от общего контроля

Да

Отключить

Да

Отключить с помощью клавиши Esc

Да

Нет

Таблица 23-1: Задачи, которые могут выполняться пользователем и помощником во время сеанса RA

Удаленная помощь и обход NAT

Удаленный помощник работает путем установления однорангового соединения между компьютером пользователя и компьютером помощника. Одной из проблем, возникающих при этом, является то, что может быть сложно установить одноранговые соединения, если один или оба задействованных компьютера находятся за шлюзом или маршрутизатором, использующим преобразование сетевых адресов (NAT). NAT — это технология IP-маршрутизации, описанная в RFC 1631, которая используется для преобразования IP-адресов и номеров портов TCP/UDP пересылаемых пакетов. NAT обычно используется для сопоставления набора частных IP-адресов с одним общедоступным IP-адресом (или с несколькими общедоступными адресами). Домашние сети, использующие беспроводной или проводной маршрутизатор, также используют технологию NAT.

Чтобы преодолеть эту трудность, Vista включает встроенную поддержку Teredo, технологии перехода IPv6, описанной в RFC 4380, которая обеспечивает назначение адресов и автоматическое туннелирование для одноадресных подключений IPv6 через Интернет IPv4. Возможность обхода NAT, предоставляемая Teredo в Vista, позволяет подключаться к RA, когда один или оба пользователя, участвующие в сеансе RA, скрыты за NAT. Процесс RA прозрачен с точки зрения вовлеченных пользователей, независимо от того, используется ли NAT в сети любого из пользователей. В большинстве сред малого бизнеса и домашних пользователей RA Vista легко проходит через маршрутизатор с поддержкой NAT без дополнительной настройки маршрутизатора. Информацию о предприятиях, которым необходимо удаленно поддерживать пользователей, работающих дома, см. в разделе «Сценарии корпоративной удаленной помощи» далее в этой главе.

ПРИМЕЧАНИЕ. Предложение RA с использованием DCOM обычно не является сценарием Teredo, поскольку корпоративные пользователи находятся за корпоративным брандмауэром и не отделены друг от друга с помощью NAT.

Удаленный помощник не будет подключаться в определенных конфигурациях. Конкретно:

Teredo не может проходить через симметричный NAT. Удаленный помощник может подключаться только через ограниченные NAT и конусные NAT. В большинстве случаев это не является существенным ограничением, поскольку подавляющее большинство развернутых NAT являются либо ограниченным, либо конусным вариантом. Дополнительные сведения о поддержке обхода NAT в Vista см. в Главе 29, «Развертывание IPv6».
RA не будет работать, если маршрутизатор с поддержкой NAT настроен на блокировку определенных портов, используемых RA. Дополнительные сведения см. в разделе «Удаленный помощник и брандмауэр Windows» далее в этой главе.
Удаленный помощник не будет работать, если маршрутизатор пользователя с поддержкой NAT настроен на блокировку всего трафика UDP.

ПРИМЕЧАНИЕ. Чтобы определить тип NAT, который используется в сети, откройте командную строку с повышенными привилегиями и введите netsh interface teredo show state.

Дополнительные сведения о поддержке IPv6 в Windows Vista, включая встроенную клиентскую поддержку Teredo и других технологий перехода на IPv6, см. в главе 29 .

Удаленный помощник и используемые IP-порты

Порты, используемые сеансом удаленного помощника, зависят от того, находится ли сеанс между двумя компьютерами Vista или между компьютером Vista и компьютером с более ранней версией Windows XP. Конкретно:

Vista to Vista RA Session: динамические порты, выделенные системой в диапазоне TCP/UDP 49152–65535.
Сеанс RA между Vista и XP: TCP-порт 3389 (локальный/удаленный)

Кроме того, сценарий предложения RA через DCOM использует порт 135 (TCP).

Удаленный помощник и брандмауэр Windows

Брандмауэр Windows настроен с групповым исключением для удаленного помощника. Это групповое исключение имеет несколько свойств, сгруппированных вместе как часть исключения RA. Свойства исключений RA будут меняться в зависимости от сетевого расположения компьютера (частный, общедоступный или доменный). Например, исключение RA по умолчанию, когда компьютер находится в общедоступном месте, является более строгим, чем когда компьютер находится в частном месте. В общедоступных местах (например, в аэропорту) исключение RA отключено по умолчанию и не открывает порты для трафика Universal Plug-and-Play (UPnP) и Simple Service Discovery Protocol (SSDP). В частной сети (например, домашней или рабочей) исключение RA включено по умолчанию, а трафик uPnP и SSDP разрешен.

Табл. 23-2 обобщает состояние входящего исключения брандмауэра удаленного помощника для каждого типа сетевого расположения. Исключение RA также имеет исходящие свойства; однако брандмауэр Windows по умолчанию не настроен на включение исходящих свойств.

Сетевое расположение

Состояние исключения RA

Свойства исключения RA по умолчанию

Частный (дом или работа)

Включено по умолчанию

Исключение приложения Msra.exe
uPnP включен для связи с uPnP NAT
Edge Traversal включен для поддержки Teredo

Общественный

Отключено по умолчанию — должно быть включено пользователем с учетными данными администратора.

Исключение приложения Msra.exe
Edge Traversal включен для поддержки Teredo

Домен

Отключено по умолчанию — обычно включено групповой политикой.

Исключение приложения Msra.exe
Исключение приложения RAServer.exe (сервер COM RA)
DCOM-порт 135
uPnP включен для связи с uPnP NAT

Таблица 23-2: Исключение по умолчанию для входящих подключений брандмауэра удаленного помощника для каждого типа сетевого расположения

В других профилях брандмауэра Windows конфигурация исключения удаленного помощника по умолчанию выглядит следующим образом:

Частный профиль. Исключение RA в брандмауэре Windows включено по умолчанию, если местоположение компьютера установлено как «частное». Он настроен на обход NAT с использованием Teredo по умолчанию, поэтому пользователи в частной сетевой среде (например, в домашней среде) могут запрашивать помощь у других пользователей, которые также могут находиться за NAT. Частный профиль включает соответствующие исключения, необходимые для обеспечения связи с устройствами uPnP NAT. Если в этой среде есть uPnP NAT, удаленный помощник попытается использовать uPnP для обхода NAT. Предложение RA через DCOM в этом профиле не настроено.
Общедоступный профиль. Исключение RA отключено по умолчанию, и входящий трафик RA запрещен. Брандмауэр Windows настроен таким образом по умолчанию для лучшей защиты пользователей в общедоступной сетевой среде (например, в кафе или терминале аэропорта). Когда включено исключение RA, включается обход NAT с использованием Teredo. Однако трафик к устройствам uPnP не включен, а предложение RA через DCOM не включено.
Профиль домена. Исключение RA, когда компьютер находится в доменной среде, ориентировано на сценарий предложения RA. Это исключение отключено по умолчанию и обычно включается с помощью групповой политики. Teredo не включен в этом профиле, поскольку корпоративные сети обычно имеют корпоративный брандмауэр, который блокирует трафик Teredo UDP. Однако uPnP включен, чтобы можно было обмениваться данными с uPnP NAT.

Удаленный помощник и безопасный рабочий стол

Когда пользователь соглашается на то, чтобы помощник совместно управлял своим компьютером во время сеанса удаленного помощника, у пользователя есть возможность разрешить помощнику отвечать на запросы UAC (рис. 23-1). Как правило, запросы контроля учетных записей (UAC) появляются на защищенном рабочем столе (который не является удаленным), и, следовательно, помощник не может видеть или отвечать на запросы безопасного рабочего стола. Режим безопасного рабочего стола — это тот же режим, который видит пользователь, когда он входит в свой компьютер или нажимает комбинацию клавиш Secure Attention Sequence (SAS) (Ctrl+Alt+Delete). Запросы на повышение прав UAC отображаются на защищенном рабочем столе вместо обычного рабочего стола пользователя, чтобы защитить пользователя от непреднамеренного разрешения запуска вредоносных программ с повышенными привилегиями на своем компьютере. Пользователь должен дать согласие на запрос UAC, чтобы вернуться к своему обычному рабочему столу и продолжить работу. Для этого согласия необходимо либо нажать «Продолжить» (если пользователь является локальным администратором на своем компьютере), либо ввести учетные данные локального администратора (если он является обычным пользователем на своем компьютере).

Рис. 23-1. Пользователь может разрешить помощнику отвечать на запросы UAC, когда сеанс RA находится в состоянии совместного использования управления.

Важно понимать, что Безопасный рабочий стол на компьютере Пользователя не удален на компьютер Помощника. Другими словами, помощник может только отвечать на запросы UAC на компьютере пользователя, используя собственные учетные данные пользователя. Это означает, что если пользователь является обычным пользователем на своем компьютере, а помощник является локальным администратором на компьютере пользователя, помощник может иметь административные привилегии на компьютере пользователя только в том случае, если пользователь может сначала предоставить эти учетные данные.

Применение этого ограничения необходимо для обеспечения безопасности рабочих столов Vista. Причина такого дизайнерского решения заключается в том, что если бы RA был спроектирован так, чтобы позволить помощнику удаленно повышать привилегии пользователя, пользователь мог бы завершить сеанс RA и, таким образом, украсть учетные данные локального администратора у помощника.

Ведение журнала удаленного помощника

Удаленный помощник может создать журнал сеансов активности, связанной с RA. Ведение журнала сеансов включено по умолчанию и состоит из записей с отметками времени, которые определяют действия, связанные с RA, на каждом компьютере. Журналы сеансов содержат информацию только о действиях, которые конкретно относятся к функциям RA, например о том, кто инициировал сеанс, было ли дано согласие на запрос на совместное управление и т. д.

Журналы сеансов не содержат информации о реальных задачах, которые пользователь или помощник выполняли во время сеанса. Например, если помощнику предоставлены привилегии общего управления, он запускает командную строку администратора и выполняет действия по перенастройке конфигурации TCP/IP на компьютере пользователя во время сеанса RA, журналы сеанса не будут содержать записи об этом действии.

Журналы сеансов включают любые действия в чате, выполненные во время сеанса RA. Журнал, созданный во время сеанса, также отображается в окне чата, так что и пользователь, и помощник могут видеть, что регистрируется во время сеанса. Журналы сеансов также включают все действия по передаче файлов, происходящие во время сеанса, а также записывают, когда сеанс был приостановлен.

Назначение ведения журнала сеансов RA

Журналы сеансов для RA в основном предназначены для предприятий, которым необходимо вести учет активности системы и пользователей для целей учета. Они не предназначены для записи всех действий, выполняемых персоналом службы поддержки при устранении неполадок с компьютерами пользователей. Типичной средой, в которой может потребоваться ведение журнала сеансов, является банковская среда, где финансовое учреждение по закону обязано вести записи о том, кто и в какое время имел доступ к компьютеру.

Поскольку списки ACL для этих журналов сеансов предоставляют пользователю полный контроль над журналами, хранящимися на его собственном компьютере, по умолчанию журналы сеансов создаются как на компьютере пользователя, так и на компьютере помощника, чтобы помощник мог защитить и заархивировать их от подделки. Журналы, созданные на каждой стороне сеанса RA, похожи, но не идентичны. Это связано с тем, что журналы сеансов генерируются с точки зрения задействованного компьютера — будь то компьютер пользователя или компьютер помощника — и поэтому дополняют друг друга, а не идентичны.

В корпоративной среде групповая политика может использоваться для включения или отключения ведения журнала сеансов. Если ведение журнала сеансов не настроено с помощью групповой политики, и пользователь, и помощник могут отключить ведение журнала сеансов на своих компьютерах. Дополнительные сведения см. в разделе «Управление удаленным помощником с помощью групповой политики» в этой главе.

Путь к журналу сеанса и соглашение об именах

Журналы сеансов представляют собой документы в формате XML, поэтому их можно легко интегрировать в другие наборы данных, например, путем их импорта в базу данных, управляемую Microsoft SQL Server 2005. Все журналы сеансов хранятся в папке «Документы» каждого пользователя по следующему пути:

Пользователи имя_пользователя ДокументыЖурналы удаленного помощника

Для каждого сеанса RA на компьютере создается уникальный файл журнала сеансов. Файлы журналов, хранящиеся в этой папке, отформатированы с использованием XML и имеют имена в формате ГГГГММДДЧЧММСС.xml, где формат времени — 24-часовой. Например, журнал сеансов, созданный в 15:45:20 13 августа 2006 г., будет называться 20060813154520.xml.

XML-содержимое типичного журнала сеанса выглядит следующим образом:

Компьютерные сети