Профили удаленного подключения в Configuration Manager
Относится к Configuration Manager (Current Branch)
Используйте Configuration Manager профили удаленного подключения, чтобы разрешить пользователям удаленно подключаться к рабочим компьютерам. Эти профили позволяют развертывать параметры подключения к удаленному рабочему столу для пользователей в иерархии. Пользователи могут получить доступ к любому из своих основных рабочих компьютеров через удаленный рабочий стол через VPN-подключение.
Важно!
При указании параметров профиля удаленного подключения с помощью Configuration Manager клиент сохраняет параметры в локальной политике Windows. Эти параметры могут переопределять параметры удаленного рабочего стола, настроенные в другом приложении. Кроме того, если вы используете windows групповая политика для настройки параметров удаленного рабочего стола, параметры, указанные в групповая политика, переопределяют Configuration Manager параметры.
Configuration Manager создает на клиентах группу безопасности Remote PC Connect. При развертывании профиля удаленного подключения клиент добавляет в эту группу основных пользователей компьютера. Локальный администратор может вручную добавлять или удалять пользователей в эту группу, но Configuration Manager обновляет членство при следующей оценке соответствия профиля.
Важно!
Если отношение сопоставления между пользователем и устройством изменяется, Configuration Manager отключает профиль удаленного подключения и параметры брандмауэра Windows, чтобы предотвратить подключения к компьютеру.
Предварительные требования
Внешние зависимости
Если вы хотите разрешить пользователям подключаться из Интернета, установите и настройте сервер шлюза удаленных рабочих столов. Дополнительные сведения об установке и настройке сервера шлюза удаленных рабочих столов см. в статье Службы удаленных рабочих столов — доступ из любого места.
Если клиенты запускают брандмауэр на основе узла, он должен включить программу mstsc.exe. При настройке профиля удаленного подключения включите параметр Разрешить исключение брандмауэра Windows для подключений в доменах Windows и частных сетях. Этот параметр позволяет Configuration Manager автоматически настраивать брандмауэр Windows.
Совет
групповая политика параметры для настройки брандмауэра Windows могут переопределить конфигурацию, заданную в Configuration Manager. Если для настройки брандмауэра Windows используется групповая политика, убедитесь, что параметры групповая политика не блокируют mstsc.exe.
Если клиенты запускают другой брандмауэр на основе узла, настройте эту зависимость брандмауэра вручную.
зависимости Configuration Manager
Для подключения пользователя к рабочему компьютеру этот компьютер должен быть основным устройством пользователя. Дополнительные сведения см. в разделе Связывание пользователей и устройств с сопоставлением пользователей и устройств.
Для управления профилями удаленных подключений учетной записи пользователя требуются определенные разрешения в Configuration Manager. Встроенная роль диспетчера параметров соответствия включает разрешения, необходимые для управления этими профилями. Дополнительные сведения см. в разделе Настройка ролевого администрирования.
Вопросы безопасности и конфиденциальности
Рекомендации по безопасности
Вручную укажите сходство пользователей с устройствами вместо того, чтобы разрешить пользователям идентифицировать свое основное устройство. Не включайте конфигурацию на основе использования.
Перед развертыванием профиля удаленного подключения необходимо включить параметр Разрешить удаленное подключение всем основным пользователям рабочего компьютера. В этой конфигурации всегда следует вручную указывать сходство пользователей и устройств. Не учитывайте, что сведения, собираемые Configuration Manager от пользователей или устройства, не считаются достоверными. Если вы развертываете профиль, а доверенный администратор не указывает сходство пользователей с устройствами, несанкционированные пользователи могут получить повышенные привилегии и удаленно подключаться к компьютерам.
Configuration Manager собирает сведения об использовании через сообщения о состоянии, что является быстрым, но небезопасным каналом связи. Чтобы устранить эту угрозу, используйте подписывание SMB или протокол IPsec между клиентскими компьютерами и точкой управления.
Ограничьте права локального администратора на компьютере сервера сайта. Локальный администратор на сервере сайта может вручную добавить участников в группу безопасности Remote PC Connect, которая Configuration Manager автоматически создает и обслуживает. Это действие может привести к повышению привилегий, так как участники получают разрешения на удаленный рабочий стол.
Вопросы конфиденциальности
Когда пользователь удаленно подключается к рабочему компьютеру, он скачивает WSRDP-файл. Этот файл содержит имя устройства и имя сервера шлюза удаленных рабочих столов. Эти значения необходимы для создания сеанса удаленного рабочего стола. WSRDP-файл загружается и автоматически сохраняется локально. Этот файл перезаписывается при следующем запуске сеанса удаленного рабочего стола.
Создание профиля
В консоли Configuration Manager перейдите в рабочую область Активы и соответствие, разверните узел Параметры соответствия и выберите Профили удаленных подключений.
На вкладке Главная ленты в группе Создать выберите Создать профиль удаленного подключения.
На странице Общиемастера создания профиля удаленного подключения укажите имя и необязательное описание профиля. Оба значения имеют максимальное ограничение в 256 символов.
На странице Параметры профиля укажите следующие параметры:
Полное имя и порт сервера шлюза удаленных рабочих столов (необязательно). Укажите имя сервера шлюза удаленных рабочих столов, который будет использоваться для подключений. Это значение имеет следующие требования:
- Имя сервера не может превышать 256 символов.
- Он может содержать прописные, строчные и числовые символы.
- Помимо периодов (
.
) между сегментами и двоеточия (:
) перед портом, единственными специальными символами являются дефис (–
) и символ подчеркивания (_
). - Configuration Manager не поддерживает использование международного доменного имени для этого значения.
Разрешить подключения только с компьютеров, на которые запущен удаленный рабочий стол с проверкой подлинности на уровне сети. Этот параметр включен по умолчанию, этот параметр добавляет дополнительный уровень безопасности для подключения. Дополнительные сведения см. в статье Предоставление доступа к удаленному рабочему столу.
Включите следующие параметры подключения:
Разрешить удаленные подключения к рабочим компьютерам
Разрешить удаленное подключение всем основным пользователям рабочего компьютера
Разрешить исключение брандмауэра Windows для подключений в доменах Windows и в частных сетях
Важно!
Все три параметра должны быть одинаковыми, прежде чем продолжить.
Отключите эти параметры только при развертывании профиля для отключения удаленных подключений.
Завершите работу мастера.
Новый профиль отображается в узле Профили удаленных подключений рабочей области Активы и соответствие .
Развертывание
В консоли Configuration Manager перейдите в рабочую область Активы и соответствие, разверните узел Параметры соответствия и выберите Профили удаленных подключений.
В списке Профили удаленных подключений выберите профиль, который требуется развернуть. На вкладке Главная ленты в группе Развертывание выберите Развернуть.
В окне Развертывание профиля удаленного подключения укажите следующие сведения:
Коллекция. Выберите коллекцию устройств, в которой вы хотите развернуть профиль.
Исправление несоответствующих правил при поддержке. Включите этот параметр, чтобы автоматически исправлять параметры профиля, если они не отвечают требованиям на устройстве. Профиль может быть несоответствующим, если он не существует.
Разрешить исправление за пределами периода обслуживания. Если вы настроили период обслуживания для коллекции, в которой развертывается профиль, включите этот параметр, чтобы Configuration Manager исправлять его за пределами периода обслуживания. Дополнительные сведения см. в разделе Использование периодов обслуживания.
Создать оповещение. Включите этот параметр, чтобы настроить оповещение о соответствии.
Укажите расписание оценки соответствия для этого базового плана конфигурации. Укажите простое или настраиваемое расписание, по которому клиент оценивает профиль.
Нажмите кнопку ОК , чтобы закрыть окно и создать развертывание.
Оценка клиента
Клиент оценивает профиль при входе пользователя.
Если устройство покидает коллекцию, в которой развертывается профиль удаленного подключения, Configuration Manager отключает параметры на устройстве. Однако для правильного выполнения этого процесса необходимо развернуть по крайней мере один элемент конфигурации или базовый план конфигурации, содержащий элемент конфигурации с сайта.
Разрешение конфликтов
Не развертывайте несколько профилей удаленного подключения с конфликтующими параметрами на одном устройстве. Например, вы развертываете два профиля с разными параметрами в одной коллекции. Вы настраиваете только одно развертывание профиля для исправления несоответствующих правил, если они поддерживаются. Это развертывание может переопределить параметры в другом профиле. Configuration Manager не поддерживает этот тип развертывания профиля удаленного подключения.
Отслеживать
В консоли Configuration Manager перейдите в рабочую область Мониторинг и выберите Развертывания. В списке Развертывания выберите развертывание профиля удаленного подключения.
Сводные сведения о соответствии развертывания профиля удаленного подключения можно просмотреть на главной странице. Чтобы просмотреть более подробные сведения, выберите развертывание профиля. Затем на вкладке Главная на ленте в группе Развертывание выберите Просмотреть состояние. Это действие открывает страницу Состояние развертывания .
Страница Состояние развертывания содержит следующие вкладки:
Соответствует. Отображает соответствие профиля удаленного подключения в зависимости от количества затронутых ресурсов.
Важно!
Клиент не оценивает профиль удаленного подключения, если он неприменим. Тем не менее, он по-прежнему сообщает о соответствии.
Ошибка. Отображает список всех ошибок для выбранного развертывания профиля удаленного подключения в зависимости от количества затронутых ресурсов.
Несоответствующие. Отображает список всех несоответствующих правил в профиле удаленного подключения на основе количества затронутых ресурсов.
Неизвестно: отображает список всех устройств, которые не сообщают о соответствии для выбранного развертывания профиля удаленного подключения, а также текущее состояние клиента устройств.
На любой вкладке откройте правило для создания временного субноды в узле Пользователи рабочей области Активы и соответствие . Этот поднодер содержит все устройства с состоянием соответствия выбранной вкладки.
В области Сведения об активе отображаются устройства с выбранным состоянием соответствия для этого профиля. Откройте устройство в списке, чтобы отобразить дополнительные сведения.
Отчеты
Configuration Manager включает встроенные отчеты, которые можно использовать для мониторинга сведений о профилях удаленных подключений. Эти отчеты имеют категорию отчетов Управление соответствием и параметрами.
Важно!
Используйте подстановочный знак (%
) при использовании параметров Фильтр устройств и Фильтр пользователя в отчетах для параметров соответствия.
Дополнительные сведения о настройке отчетов в Configuration Manager см. в статье Общие сведения о отчетах.