Администраторы сетей на базе Windows лучше других знакомы с недостатками встроенных средств удаленного управления операционной системы. Несмотря на определенный прогресс в их развитии с точки зрения усовершенствования утилит командной строки и обеспечения удаленного доступа к серверам через графический интерфейс (Windows 2000 Server Terminal Services), ограниченная функциональность и степень безопасности, предоставляемые ими, оставляют широкий простор для деятельности независимых разработчиков.

В свою очередь, пакеты удаленного управления, такие, как Timbuktu компании Netopia или pcAnywhere компании Symantec, предъявляют сравнительно высокие требования к аппаратному обеспечению, чтобы поддержать необходимый уровень производительности. Известно, что в процессе обмена информацией с удаленной машиной львиная доля полосы пропускания канала расходуется на передачу трафика, связанного с функционированием графической оболочки Windows. К тому же подобные программы стоят достаточно дорого, а с увеличением количества рабочих мест цена растет. В этих условиях программа Remote Administrator (RAdmin) компании Famatech представляется настоящей находкой.

Начало работы

Программа на удивление нетребовательна к аппаратному обеспечению - в качестве минимальной конфигурации заявлены компьютеры на базе процессора Intel 386, оснащенные оперативной памятью объемом 8 Мбайт, с установленной Windows 95. В сети должен функционировать протокол TCP/IP. В случае использования Windows NT 4.0 следует установить SP4 или более поздний пакет исправлений. Для установки пользователю необходимо иметь права администратора (Windows NT/2000).

Программа состоит из двух компонентов - серверной части на каждом управляемом компьютере и модуля управления на машине администратора. Предусмотрена работа программы в режиме службы Windows NT, Windows 2000 и Windows 9x. Для установки нужно распаковать архив, запустить файл Setup.exe и следовать инструкции. По окончании установки в меню кнопки «Пуск» (Start) появится группа с элементами для запуска серверной и клиентской частей, доступа к настройкам и файлу помощи.

Нужно иметь в виду, что одновременное обращение к драйверу видеозахвата из нескольких программ может привести к разрушению системы в процессе загрузки. Поэтому пользователям Windows NT, которые хотят задействовать RAdmin-сервер с драйвером видеозахвата, следует отключить другие программы удаленного доступа, использующие эту технологию (NetMeeting 3.0+, SMS, Timbuktu). Альтернативным решением может стать отключение драйвера из командной строки при помощи ключа, а именно: r_server.exe /uninstalldrv.

Удаленная установка RAdmin

Администратору большой сети, безусловно, необходимо иметь возможность установки серверной части программы по сети. Этот процесс легко автоматизировать при помощи сценария (пример приведен в Листинге 1). Сценарий создает временный сетевой диск, копирует файлы сервера RAdmin в системную папку Windows, устанавливает RAdmin в качестве службы, сохраняет настройки в реестре и удаляет сетевой диск.

Листинг 1. Сценарий для установки RAdmin по сети.

net use z: serverd copy "z:install admin _server.exe" "c:winntsystem32 _server.exe" copy "z:install admin addrv.dll" "c:winntsystem32 addrv.dll" copy "z:install adminadmdll.dll" "c:winntsystem32admdll.dll" c:winntsystem32 _server.exe /install /silence regedit.exe /s z:installsettings.reg net use z: /delete

Для конкретного применения достаточно подставить реальные значения путей к файлам. При запуске этого сценария под Windows NT пользователь должен обладать правами администратора. Файл settings.reg содержит необходимые настройки. Чтобы сформировать такой файл, требуется проделать следующее: установить необходимые значения настроек на одном из компьютеров (подробнее о настройках будет рассказано ниже), воспользовавшись пунктом «Настройки RAdmin сервера» меню «Пуск», а затем экспортировать их при помощи regedit.exe в файл settings.reg для дальнейшего использования. Настройки располагаются в разделе HKEY_LOCAL_MACHINESYSTEMRAdminv2.1Server, а их точное назначение описано в документации к программе.

Варианты подключения

Если используется протокол TCP/IP, то не имеет значения, соединены ли компьютеры высокоскоростной локальной сетью, подсоединены к локальной сети по модему или через Internet. Во втором случае RAdmin работает не с модемом, а с TCP/IP-соединением, которое настраивается через модуль «Удаленный доступ». На серверной стороне устанавливается сервер удаленного доступа, а на стороне клиента - подключение к сети через удаленное соединение, настроенное на работу по протоколу TCP/IP. Когда соединение установлено, IP-адрес удаленного сервера из свойств подключения (или из «Монитора подключения» в «Панели управления») используется для RAdmin-клиента. Чтобы установить соединение через Internet, достаточно знать IP-адрес удаленного компьютера. Если провайдером выделен статический адрес, можно использовать его. Если адрес назначается динамически, то есть два варианта: неудобный - определить адрес после подключения к Internet (следует использовать ipcofig.exe или всплывающую подсказку пиктограммы RAdmin) и передать на компьютер-клиент, и удобный - прибегнуть к помощи динамических служб DNS (например, dns2go.com). Принцип действия этих служб заключается в привязке изменяющегося ip к выделяемому службой фиксированному имени dns.

Установление соединения

Установить соединение не составляет труда. Нужно запустить сервер RAdmin на удаленном компьютере; в системной области панели задач появится пиктограмма (если ее хочется скрыть, следует выбрать в настройках соответствующий режим, как показано на Экране 1). Помимо того, что пиктограмма позволяет узнать, загружен ли RAdmin, двойной щелчок по ней открывает список текущих соединений, а всплывающая подсказка показывает IP-адрес компьютера.

Наконец настал тот миг, ради которого была написана предыдущая часть статьи: с локального компьютера можно управлять удаленной машиной. Какие возможности открываются перед нами?

Можно просматривать экран удаленного компьютера в окне (см. Экран 3 ) или развернуть его на весь экран. Размеры окна можно менять, что позволяет расположить на экране несколько окон так, чтобы они не перекрывались, и управлять несколькими компьютерами практически одновременно. Признаюсь, наибольшее удивление в этот момент вызывает скорость работы. Даже без каких-либо ухищрений, с установками по умолчанию, работа с программой в полноэкранном режиме способна ввести в заблуждение, поскольку возникает полное ощущение работы за локальным компьютером (при использовании технологии видеоперехвата под Windows NT частота обновления экрана может достигать нескольких сотен кадров в секунду). Высокая скорость работы - конечно, не самоцель, но она, бесспорно, повышает производительность труда.

Определенное удобство кроется в возможности переключать режим вывода между полноэкранным и оконным режимами прямо по ходу работы. Для циклического переключения между нормальным, масштабируемым и полноэкранным режимами работы используется клавиша F12. Очевидно, что, когда экран удаленного компьютера больше, чем локального, режим нормального просмотра (в масштабе 1:1) не подходит - следует использовать вывод в окно или на весь экран локального компьютера. В том случае, когда режимы, установленные в настройках экрана локальной и удаленной машин, совпадают, уменьшенное изображение в окне выглядит хуже, чем полноэкранная «картинка». К тому же отсутствие необходимости масштабировать изображение положительно сказывается на скорости работы. Влияние других факторов, от которых зависит скорость, описано во врезке «В плену у скорости».

RAdmin позволяет обмениваться файлами с удаленным компьютером с помощью интерфейса, аналогичного Windows Explorer (см. Экран 4 ). Окно передачи файлов поддерживает приемы «перетаскивания» и все основные манипуляции с файлами. Можно переименовать или удалить файл, создать папку, просмотреть свойства объекта. Пользователи, которым приходится часто принимать и передавать файлы, оценят функцию автоматического возобновления передачи (которая появилась в версии 2.1). Процесс передачи больших объемов данных удобно отслеживать по индикатору выполнения. Предусмотрен выбор привычных режимов сортировки и вида.

Если сконфигурировать локальный принтер для общего использования в сети Microsoft и установить его на удаленном компьютере, то можно посылать туда задания на печать с удаленного компьютера из приложений, запущенных при помощи RAdmin.

Предусмотрена дистанционная перезагрузка и выключение компьютера, завершение и начало нового сеанса работы (два последних варианта возможны, если сервер RAdmin запущен в качестве службы).

Еще одно достоинство клиента RAdmin состоит в том, что с его помощью можно без проблем передавать на удаленный компьютер «горячие» клавиши, включая системные. Например, если требуется передать удаленному компьютеру последовательность Ctrl-Alt-Del, следует воспользоваться пунктом меню окна соединения «Послать Ctrl-Alt-Del». Только нужно иметь в виду, что эта возможность будет работать лишь при подключении в режиме полного контроля и при работе RAdmin-сервера в режиме системной службы под Windows NT.

Помимо операций с файлами существует еще одна процедура, которая может пригодиться во время работы с удаленным компьютером, - это обмен данными между приложениями локальной и удаленной машины через буфер обмена. Чтобы выполнить подобную операцию, нужно выделить интересующий фрагмент в окне локального или удаленного компьютера и скопировать его содержимое в буфер обмена обычным способом (например, нажать Ctrl+C или воспользоваться соответствующим пунктом меню редактирования). Затем в зависимости от того, в каком направлении необходимо передать данные, следует выбрать команду «Установить буфер» (передаем данные на удаленный компьютер) или «Получить буфер» (принимаем данные от удаленного компьютера). Содержимое буфера обмена передано. Теперь можно использовать его как обычно, т. е. перейти в нужное приложение и вставить (например, с помощью команды Ctrl+V).

В случае использования на сервере Windows NT или 2000 возможен доступ по telnet (к сожалению, из-за ограничений самой системы невозможно получить доступ по telnet к компьютеру, работающему под Windows 95/98).

Другие случаи подключения

Если нет возможности напрямую соединиться с нужным компьютером, можно прибегнуть к режиму «Соединение через...» в том же окне подключения (см. Экран 2). Требуется включить режим и выбрать из списка адрес хоста, который имеет TCP/IP-соединение с нужным компьютером. Конечно, на промежуточном компьютере должен быть установлен и запущен сервер RAdmin. Описанный прием можно использовать, если подключение к сети осуществляется через один компьютер, а администрировать предстоит другую машину. Еще один пример - локальная сеть, в которой только один компьютер имеет прямой выход в Internet. Достаточно установить сервер RAdmin на этом компьютере и можно подключиться через Internet и к другим компьютерам локальной сети. В случае работы через proxy-сервер или брандмауэр следует открыть порт для запросов RAdmin (по умолчанию - порт 4899). Если по какой-либо причине открыть его нельзя, нужно попробовать выбрать для соединения другой номера порта, который открыт на proxy-сервере. Адреса, номера портов и режимы, которые можно указать в качестве параметров командной строки, описаны во врезке «Некоторые ключи командной строки».

Безопасность - тема дня

Самая лучшая программа удаленного управления не тронет сердце опытного администратора, если ее использование пробивает брешь в системе сетевой безопасности. Как обстоит дело в случае с RAdmin? Разработчики отдавали себе отчет в том, что предоставляющая широкие возможности работы с удаленным компьютером программа автоматически может сделать систему более уязвимой. Вот почему RAdmin 2.1 поддерживает систему безопасности Windows NT/2000. Можно явно присвоить права удаленного доступа только одному пользователю или группе пользователей. Чтобы активизировать систему безопасности Windows NT/2000, необходимо включить режим «Использовать безопасность NT» в окне «Настройка Remote Administrator server», а затем нажать кнопку «Разрешения». В окне «Разрешения пользователей» задаются права доступа

к RAdmin-соединению. Вы можете разрешать или запрещать соединения различных типов, основываясь на политике безопасности NT. На выбор предоставляется пять вариантов доступа: «Редирект», telnet, «Перепись файлов», «Полный контроль» и «Обзор» (разрешен только просмотр).

Если поддержка системы безопасности Windows NT выключена, то доступ к удаленному компьютеру защищается паролем. Аутентификация выполняется по схеме запроса с подтверждением (аналогичный метод используется и в Windows NT, но длина ключа, применяемого в RAdmin, больше). Все данные, передаваемые между компьютерами (картинки экранов, движение мыши, нажатие клавиши), шифруются случайно генерируемым ключом. Благодаря высокой скорости работы этого алгоритма снижение скорости передачи практически незаметно (разработчики оценивают его в 5%). Если включить журнал, все действия пользователя будут записаны в файл журнала. Для ограничения доступа извне предусмотрено использование сервером RAdmin таблицы IP-адресов. В этой таблице нужно указать только те адреса хостов или подсетей, для которых требуется разрешить доступ. И, наконец, последний штрих - программные модули RAdmin снабжены защитой от модификации (заражения), основанной на самотестировании кода.

Параллельным курсом

Когда эта статья еще не была закончена, на завершающую стадию разработки вышла новая, усовершенствованная версия Remote Administrator 3.0. По планам разработчиков, в нее будет включен драйвер видеозахвата для Windows 2000/XP и другие новинки: например, функция блокировки клавиатуры и отключения экрана, а также звуковой чат. Зарегистрированные пользователи прежних версий смогут обновить свои копии программы бесплатно.

Георгий Филягин - разработчик программного обеспечения, пишет статьи и обзоры для компьютерных журналов. С ним можно связаться по адресу: [email protected] .

В плену у скорости

Скорость работы программы удаленного администрирования - один из объективных показателей, отражающих удобство ее повседневного использования. Очевидно, что программа, вносящая минимальную задержку между действиями на локальной машине и их реализацией на удаленном компьютере, воспринимается как более быстрая. Именно поэтому использование утилит командной строки для администрирования предпочтительно по сравнению с привычными в других областях инструментами с графическим интерфейсом. Я хочу дать несколько советов на тот случай, если кто-то будет неудовлетворен скоростью работы RAdmin в конкретных условиях.

Наибольшая скорость достигается, если удаленный компьютер работает под управлением Windows NT с установленным драйвером видеозахвата. В качестве дополнительного преимущества в этом случае можно отметить значительное снижение загрузки процессора удаленной машины. Если драйвер видеозахвата по какой-либо причине не используется, следует выполнить оптимизацию. Для начала нужно установить значение обновлений в минуту, скажем 30-40 (для модемного соединения - 10). Затем следует убрать обои с рабочего стола удаленной машины, установить минимальное количество цветов - 16 для окна, в котором отображается удаленный рабочий стол. Поможет снижение разрешения, выбранного на удаленной машине. Следует переключиться (хотя бы на время интенсивной работы) в пониженный режим, скажем 800х600х16. Нужно иметь в виду, что многие современные видеоадаптеры работают быстрее при 16-разрядной глубине цвета, чем при 8-разрядной, т. е. режим 800х600х16, вероятно, даст лучший результат, чем 800х600х8.

Некоторые ключи командной строки

/copyphonebook - конвертирование адресной книги старой версии

/connect:xxxxx:nnnn - подключиться к серверу xxxxx, порт nnnn

/through:xxxxx:nnnn - подключиться через промежуточный сервер xxxxx, порт nnnn

По умолчанию используется режим соединения "Полный контроль" (видеть удаленный экран, управлять мышью и клавиатурой).

Для установки других режимов соединения используются команды:

/noinput - режим просмотра

/shutdown - режим удаленного выключения компьютера

/file - режим пересылки файлов

/telnet - режим telnet

В режимах "Полный контроль" и "Просмотр" имеют значение ключи:

/fullscreen - выбрать полноэкранный режим просмотра;

/hicolor - выбрать режим 16-разрядного цвета;

/locolor - выбрать режим 4-разрядного цвета;

/updates:nn - установить максимальное количество обновлений в минуту.

/unregister - удалить все ранее введенные ключи RAdmin;

/? - показать окно помощи.

Помимо перечисленных существуют ключи для управления сервером RAdmin из командной строки, которые можно найти в документации к программе.

Официальное название:

Remote Administrator

Версия: 2.1

Компания-производитель: ООО "Фаматек".

Цена: 750 руб. на два компьютера (для граждан СНГ).

Начну с определения понятия «Системное администрирование» - это, в двух словах, управление компьютерными системами. Так с развитием технологий это направление приобрело массу узких и широких профильных направлений.

В первом приближении информационные технологии можно разделить на физическое оборудование и программное обеспечение. Администрирование обеспечивает управление взаимодействием этих составляющих. Обычно процесс сводился к работе специалиста непосредственно в месте размещения компьютерной системы, нуждающейся в поддержке. Но проблема стала разрешимой с появлением удаленных методов администрирования - выполнения задач поддержки функционирования компьютерных систем на расстоянии с использованием возможностей сети Интернет без прямого «физического» контакта с аппаратным обеспечением системы: т.е. географическое местоположение компьютерных ресурсов не имеет значения. Данный способ администрирования позволяет выполнять до 95% работ удаленным способом.

Возможность удаленного администрирования была заложена более 10 лет назад в связи с появлением новых сетевых возможностей первой версии операционной системы Windows NT, а также развитием операционных систем Unix и Linux. Но как услуга, удаленное администрирование стало использоваться гораздо позднее, так как важным фактором для нее является скорость и стабильность Интернет-соединения, что не везде в России в середине 90-х было на должном уровне. Сейчас эта проблема целиком ушла в прошлое: с массовым подключением офисных компьютерных сетей к Интернет появилась возможность удаленного администрирования компьютеров, серверов и комплексных ИТ-инфраструктур. Новейшие технологии шифрования трафика и соединения компьютеров в распределенную «виртуальную сеть», а также использование специальных протоколов удаленного доступа сделали эту услугу надежной и безопасной не только для широкого круга операционных систем, но и для активного сетевого оборудования, например CISCO, SonicWALL.

Если представить абстрактно процесс удаленного администрирования, то это картина выглядит очень просто: администратор с помощью сети Интернет с использованием специальных программ подключается к удаленному компьютеру (серверу), который может быть расположен в любой точке земного шара. Специальное ПО, используемое в работе, позволяет наблюдать копию рабочего стола сервера на экране собственного монитора. При этом, если исключить расстояние между рабочей станцией администратора и удаленным сервером, то работа осуществляется точно так же, как будто весь процесс происходит в одном помещении на одном компьютере.

К сожалению, многие потенциальные клиенты и даже те, кто осознает необходимость данного вида услуг, до сих пор не понимают: как может быть обеспечена бесперебойная работа их оборудования удаленными сотрудниками и каковы преимущества методов удаленного администрирования. Столкнувшись с проблемой и наглядно убедившись в ее наличии, я и несколько моих партнеров решили провести анализ потребностей данной услуги в настоящее время и, как основная цель, донести данную информацию в понятном виде до конечных потребителей.

Услуги удаленного администрирования включают в себя:

1. Администрирование веб-сервера: установка, настройка и обслуживание программного обеспечения веб-серверов хостинговой компании. Услуги такого вида используются в основном для клиентов, которые размещают сайты своей и дружественных компаний, интернет системы на собственных серверах или купленных виртуальных серверах хостингов. Это могут быть госучреждения, вузы, коммерческие образовательные учреждения, коммерческие компании с любым направлением деятельности.
2. Администрирование баз данных: установка, настройка и обслуживание баз данных. Данная услуга может быть полезна организациям, автоматизация бизнес-процессов которых организована в рамках собственного технопарка с наличием 2–3 серверов.
3. Администрирование сети: разработка и обслуживание сетей с применением знаний в области сетевых протоколов и их реализации, маршрутизации, реализации виртуальных частных сетей, систем биллинга, активного сетевого оборудования (как правило, Cisco).
4. Администрирование сетевой безопасности: широкий спектр анализа проблем информационной безопасности с применением знаний в протоколах шифрования и аутентификации и их практическом применении, планировании инфраструктуры открытых ключей, систем контроля доступа (брандмауэры, прокси-серверы, смарт-карты), инцидентном анализе, резервном копировании, задачах аудита и организации политик безопасности. Данная услуга очень актуально для широкого спектра клиентской базы, т.к. затрагивает ежедневно проводимые мероприятия, которые нужны и выполняются на любом компьютере, сервере, системе.

Как показывает опыт раньше, примерно лет 7–8 назад, услуги удаленного администрирования не были востребованы, до них еще не дошел прогресс. Лишь небольшой процент крупных компаний могли прийти к такой организации работы IT отделов, что было вызвано наличием нескольких филиальных фирм, серверные станции которых также нуждались в ежедневной системной поддержке.

На данный момент на рынке Информационных технологий услуги удаленного администрирования, аутсорсинга являются альтернативным, а в большинстве случаев и более выгодным решением поддержки серверов компаний. Особенно это экономит деньги, время и место для начинающих организаций. Например, опытным путем удалось выяснить, что около 65% среди клиентов, пользующихся услугами удаленного администрирования, составляют стартап-организации. В таких ситуациях приходится очень нагружено работать не только по техническим аспектам, но и в вопросах организации рабочих мест, серверных площадок. Клиенты, которые располагают определенными идеями и финансовыми средствами, желающие как можно быстрее внедрить свой бизнес проект, чтобы своевременно и эффективно занять определенную позицию на целевом рынке, относятся к небольшой доле лиц, понимающих необходимость помощи технических специалистов и услуг удаленных сервисов. Более того, не побоюсь сказать, что такая организация услуг стала в последнее время еще актуальнее, когда сталкиваешься с необходимостью распределения офисов компаний в международных масштабах: одна и та же группа специалистов может осуществлять 24-часовую поддержку 7 дней в неделю в любой точке мира.

Практика показывает, что на ознакомление с системой, а тем более на изучение ее особенностей уходит значительное количество времени, и становится очевидным, что использование одной и той же группы специалистов даже в международных масштабах является более эффективным и правильным подходом для успешного и стремительного развития бизнеса.

В наше время даже для собак придумали удаленное управление .

Возвращаясь к циклу «Конспект Админа», мне хотелось бы рассказать о вариантах запуска исполняемых программ на удаленных компьютерах. Эта статья будет интересна тем, у кого еще нет систем централизованного управления, но уже есть понимание утомительности ручного обхода рабочих станций и серверов. Либо тем, кому решения «под ключ» не интересны ввиду неспортивности.

В качестве того, зачем нужен такой запуск программ, можно привести недавнюю истерию с Петей\Не-Петей, когда все бросились проверять\отключать и загружать обновления. Да и провести инвентаризацию или установить срочный патч таким методом тоже можно.

Когда-то давно я устроился работать в организацию в период эпидемии Kido\Conficker . Наиболее простым способом выяснить, все ли хорошо в ИС компании, была славная утилита от Касперского под названием Kido Killer , которая проверяла наличие вируса и устраняла его. Запускать программу на доброй сотне машин руками было невесело, поэтому пришлось знакомиться с автоматизацией.

Если в операционных системах *nix для удаленного запуска, как правило, используется SSH, то у Windows способов запуска программ и скриптов воистину как песка в пустыне. Я разберу основные варианты, как общеизвестные, так и экзотические. Таких очевидных вещей как telnet-сервер касаться не буду, тем более Microsoft уже убрала его из современных ОС.

Способы старые, временем проверенные

Psexec

Пожалуй, это первое, что приходит на ум, когда идет речь об удаленном запуске программ. Утилита от Марка Руссиновича используется еще со времен Windows NT и до сих пор применяется. Помимо основной функции, можно использовать ее и как Runas, и для запуска программ в пользовательской сессии терминального сервера. Psexec также позволяет задавать ядра процессора, на которых будет запускаться программа, и ее приоритет в системе.

В качестве примера посмотрим, установлено ли обновление, закрывающее нашумевшую уязвимость SMB на списке компьютеров:

psexec @computers.txt /u USER /p PASS cmd.exe /v /c ""systeminfo | find "KB4012212" || echo !computername! >> \\server\share\log.txt"""

В файле computers.txt находится список компьютеров. Для запуска по всему домену можно использовать \\*. В файле \\server\share\log.txt будут появляться имена рабочих станций или серверов без обновления. Если в домене существуют компьютеры с *nix на борту или нет доступа к административному сетевому ресурсу Admin$ ― команда на этой машине не выполнится, но обработка продолжится. Чтобы скрипт не зависал при каждой попытке подключения, можно задать тайм-аут с помощью ключа -n .

Если компьютер выключен ― мы об этом не узнаем. Поэтому лучше предварительно проверять доступность машин или собирать в файле информацию об успешном или неудачном выполнении.

К минусам Psexec можно отнести то, что она из-за своего удобства и популярности часто используется вирусописателями. Поэтому антивирусные системы могут обнаруживать утилиту как опасность вида remote admin.

По умолчанию процесс на удаленной машине выполняется от имени пользователя, запустившего Psexec. При необходимости логин и пароль можно задать явно или же использовать аккаунт SYSTEM.

WMIC

Для управления системами Windows с помощью разных графических утилит часто используется WMI (Windows Management Instrumentation) ― реализация объектно-ориентированного стандарта управления WBEM. В качестве утилиты с графическим интерфейсом для работы с WMI можно использовать wbemtest.exe.

Для работы с WMI из консоли создана wmic.exe . Например, для проверки установленных обновлений вместо жутковатой конструкции из предыдущего примера можно использовать простую команду:

wmic /node:"servername" qfe get hotfixid | find "KB4012212"

Использовать список компьютеров также можно командой /node:"@computers.txt".

Еще при помощи WMI можно запускать программы – синтаксис предельно прост:

wmic /node:"servername" process call create "cmd /c somecommands"

К сожалению, в отличие от Psexec, получить вывод в консоли не получится ― придется выводить результаты команды в файл.

По умолчанию процесс на удаленной машине выполняется от имени пользователя, запустившего wmic. При необходимости логин и пароль можно задать явно.

Групповые политики и скрипты

Если предыдущие варианты не требовали доменной среды, то в этом случае потребуется домен. Поддерживаются скрипты при входе и выходе пользователя из системы, а также при ее включении и выключении. Поскольку каждый администратор Windows сталкивался с ними, я не буду подробно расписывать как ими пользоваться ― лишь напомню, где их искать.

Скрипты, выполняющиеся при старте и завершении системы.

Скрипты, выполняющиеся при входе и выходе пользователя из системы.

Скрипты, настраиваемые в пользовательском разделе, выполняются от имени пользователя, а в разделе компьютера ― под аккаунтом SYSTEM.

Назначенные задания

Довольно интересный способ, заслуживающий право на жизнь. Назначенные задания можно создавать из командной строки при помощи утилиты schtasks.exe , выполнять их, затем удалять. Подробнее с синтаксисом можно ознакомиться в документации , я же разберу пример использования назначенных заданий в доменной среде. Предположим, нам нужно выполнить команду как можно быстрее вне зависимости от того, выключен компьютер или нет. Для этого используются так называемые предпочтения групповых политик (Group Policy Preference).

Искать установку назначенных заданий следует в конфигурации компьютера или пользователя ― «Настройка ― Параметры панели управления ― Назначенные задания».

Создание нового назначенного задания.

Для выполнения команды или скрипта ASAP понадобится создать «Немедленную задачу (Windows 7 и выше)». Если вдруг в инфраструктуре остались машины под управлением Windows XP, то подойдет «Очередное задание (Windows XP)».

Стоит сделать несколько политик с соответствующими WMI-фильтрами или создать два разных назначенных задания в одной политике с нацеливанием ― например, при помощи того же WMI-фильтра. Это поможет избежать конфликтов в разнородной среде со старыми и новыми Windows.

Пример WMI-фильтра для применения политики только на компьютерах с Windows XP:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "5.1%" AND ProductType = "1"

В остальном процедура создания назначенного задания тривиальна. Единственное, не забывайте отметить пункт «Применить один раз и не применять повторно», если задача не требует повторного запуска.

Запускаем немедленную задачу только один раз.

При использовании таких назначенных заданий программа запустится, как только компьютер получит обновление групповой политики. Это удобно: не нужно проверять доступность компьютеров в случае Psexec и wmic и заставлять пользователей перезагружать машины, как в случае скриптов групповых политик. При необходимости можно скопировать файл скрипта локально в разделе «Настройка ― Конфигурация Windows ― Файлы».

Назначенные задания позволяют явно задать имя пользователя для запуска программы, в том числе и для SYSTEM.

Через реестр

Модификация реестра на пользовательских машинах ― странный вариант, лишь на случай крайней необходимости. Можно использовать ветки Run или RunOnce. Подробнее о них ― в документации . Сама модификация реестра может проводиться через групповые политики или из командной строки ― например, такой командой:

reg add \\COMPUTER\HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce /v script /t Reg_SZ /d "script.cmd"

В зависимости от ветки реестра, процесс будет выполняться или под пользователем, выполнившим вход в систему, или под аккаунтом SYSTEM.

Есть и другие способы, такие как правка ярлыков в папке «Автозагрузка» или добавление в ярлык к популярной программе && script.cmd , но эти методы уже из серии «можно, но не нужно».

Теперь перейдем к новым инструментам.

Способы новые или куда же без PowerShell

PowerShell, оправдывая свое название, может подключаться к удаленным компьютерам при помощи WMI, RPC и WS-Management (WSMan). Использование последнего метода требует предварительной настройки.

Командлеты, не требующие предварительной настройки, как правило, имеют параметр ComputerName, но не имеют параметра Session. Посмотреть список таких командлетов можно командой:

Get-Command | where { $_.parameters.keys -contains "ComputerName" -and $_.parameters.keys -notcontains "Session"}

Для настройки WSMan в общем случае достаточно выполнить команду Enable-PSRemoting-Force. Она запустит службу удаленного управления WinRM и пропишет исключения в фаерволе ― в принципе, это можно сделать для всего домена при помощи групповых политик. Подробнее настройка описана в документации .

После того как все компьютеры будут готовы принимать запросы, мы сможем подключаться при помощи соответствующих командлетов PowerShell. Для проверки возможности подключения используется командлет Test-WSMan .

Проверка возможности подключения.

Для того чтобы выполнить определенную команду или скрипт, используется командлет Invoke-Command со следующим синтаксисом:

Invoke-Command -ComputerName COMPUTER -ScriptBlock { COMMAND } -credential USERNAME

Где COMPUTER ― имя компьютера, COMMAND ―– имя команды, а USERNAME ― имя пользователя, если оно нужно.

Смотрим содержимое диска С удаленного компьютера.

Если же нам нужно получить полноценную консоль ― не автоматизации ради, а ради управления конкретным компьютером, ― то можно использовать командлет Enter-PSSession.

Работаем в консоли удаленного компьютера.

Напомню, что с помощью можно ограничить доступные подобной сессии командлеты или дать доступ нужным без прав администратора.

Конечно, кроме встроенных средств и небольших утилит, существует множество программ для управления структурой. Помимо взрослых решений, для управления конфигурациями вроде Chef, Ansible и MS SCCM можно использовать и средства мониторинга вроде Zabbix, и даже консоль управления антивирусом Касперского.

В период гетерогенных структур хорошо бы иметь возможность унифицированного управления Windows и Linux. Это можно сделать и с помощью PowerShell, что само по себе достойно отдельной статьи ― стоит такую сделать или уже лишнее?

Использование всевозможных технологий удаленного администрирования рабочих станций позволяет существенно сэкономить время и деньги. Ниже приводятся некоторые советы, которые помогут читателям в полной мере использовать возможности инструментов и приемов удаленного администрирования.

№1: Знать характеристики оборудования

Администратору может казаться, что он в совершенстве знаком со всеми характеристиками устройств, установленных на рабочих станциях, – но так ли это на самом деле? Для удаленного управления рабочей станцией на протяжении всего срока существования системы необходимо владеть полной информацией по наиболее важным пунктам. Прежде всего, стоит подумать вот о чем:

У всех ли компьютеров есть порты USB 2.0?
У всех ли компьютеров есть приводы DVD или CD? Пишущие ли они?
Какой порядок загрузки задан и как его изменить?
Как компьютеры соединены с главным операционным отделом?
Зная ответы на эти вопросы, в большинстве случаев заниматься удаленным администрированием рабочих станций будет гораздо легче.

№2: Понимать, какие брандмауэры установлены на компьютерах клиентов и как они настроены

Если на компьютерах клиентов установлены брандмауэры, важно знать, какие задачи они позволяют выполнять, а какие нет. Необходимо выяснить, какие пользователи и в каких системах могут выполнять любые задачи и как при необходимости отменить существующие правила. Хороший способ понять, как настроен брандмауэр, – попытаться получить важный файл или обновление с помощью механизма автоматического обновления или из другого необычного источника. Механизм «включения – отключения» может казаться очень простым, но все ли системы получат обновление без проблем?

№3: Знать свою сеть

Во многих крупных предприятиях для удаленных компьютеров создают правила, которые управляют всеми процессами – от ограничения объемов трафика для каждого сайта и определения параметров трафика, который может быть получен от удаленного сайта, до ограничения доступа к удаленному сайту компьютеров с определенными MAC-адресами. Поскольку удаленное управление рабочими станциями связано с выполнением целого ряда задач, необходимо выстроить свою стратегию таким образом, чтобы использовать лишь разрешенные виды трафика. Важно знать, как изменить параметры разрешенного трафика, если это возможно.

№4: Помнить ряд команд для командной строки, позволяющих сэкономить время

Тем, кто имеет дело с сетями низкой пропускной способности, имеет смысл запомнить ряд команд для командной строки, позволяющих выполнять основные задачи администрирования, – это дает возможность существенно сэкономить время. Для систем Windows XP стоит запомнить следующие команды:
Compmgmt.msc – интегрируемое приложение Computer Management MMC, которое позволяет получить самые разные сведения, в том числе, из Журнала событий, Диспетчера устройств и Служб.

Ipconfig – утилита настройки TCP/IP. Среди наиболее распространенных параметров можно перечислить /release, /renew, /flushdns и /registerdns.

Shutdown.exe – утилита для удаленной перезагрузки или отключения системы. При наличии соответствующих разрешений систему можно перезапустить с удаленного компьютера.

Net Use – эта команда может быть использована для подключения диска, простой аутентификации или прекращения подключения.
№5: Обеспечивать централизацию и стандартизацию

Имеет смысл объединить все элементы инфраструктуры рабочих станций в одном месте, если это возможно. У администратора сети на крупном предприятии совершенно нет времени разбираться в скоплении мелких файловых серверов, разбросанных по всей сети. Необходимо, чтобы удаленные пользователи использовали для хранения файлов центральный ресурс. Таким образом, для удаленных и центральных пользователей все резервные копии данных и последовательные политики безопасного доступа будут едины. Это позволит сократить издержки на управление информационными технологиями и гарантировать единообразное управление администрированием и доступом вне зависимости от местонахождения пользователей.

Заметным исключением является крупный удаленный сайт с большим количеством пользователей, которые в таком случае могут занять удаленный канал соединения между сайтами постоянным трафиком. Если удаленный офис компании насчитывает, допустим, 40 сотрудников, имеет смысл создать локальный файловый сервер и осуществлять резервное копирование данных по сети, если позволяют время и трафик. А вот в небольшой организации, например, в магазине, может насчитываться менее 10 пользователей и лишь несколько компьютеров – в таком случае, необходимо сделать все возможное, чтобы снизить издержки на информационные технологии.

№6: Пользоваться механизмами распространения данных через Интернет

Удаленным компьютерам стоит обеспечить непосредственный выход в Интернет без использования VPN или глобальной сети. Предположим, для операционной системы клиента необходимо загрузить объемный пакет обновлений. Если сразу несколько клиентов нуждаются в загрузке файла объемом, допустим, 300 МБ, сделать это с помощью удаленного соединения невозможно. Некоторые инструменты клиентского администрирования позволяют передавать пакеты для удаленных компьютеров и пользователей ноутбуков, не имеющих в данный момент доступа к центральной сети, через Интернет. Например, приложение iPass обеспечивает самую высокую скорость загрузки через Интернет пакетов от администраторов для удаленных рабочих станций (в том числе, ноутбуков).

№7: Использовать альтернативные способы соединения

В 95% случаев все поставленные задачи позволяет выполнять один и тот же инструмент –для Windows XP, в частности, это Remote Desktop. Но что же делать в тех редких ситуациях, когда Remote Desktop для доступа к системе клиента использовать нельзя? Для таких случаев необходимо подготовить ряд альтернативных инструментов, которые при необходимости могут обеспечить доступ к удаленной системе. Вот несколько примеров таких инструментов:
DameWare – обеспечивает принудительную установку и удаление после выполнения задачи с помощью мандата Windows по соединению TCP/IP.

VNC – не новый, но хороший и надежный удаленный клиент, ориентированный на управлении службами. При необходимости может использоваться для обеспечения альтернативного подключения и запуска службы VNC.

LogMeIn.com – великолепное приложение для соединения через Интернет с компьютером клиента. Работает почти со всеми конфигурациями модулей доступа.
№8: Обеспечивать единство платформы ОС

Чтобы эффективно администрировать удаленные рабочие станции, не тратя на это огромные суммы, совершенно необходимо установить на всех компьютерах одну и ту же платформу. Установка не самой современной платформы (читай – не Vista) того стоит: это позволит последовательно проводить удаленное администрирование и осуществлять техническую поддержку. Если используется еще одна платформа, условия работы группы администраторов рабочих станций существенно изменяются – все задачи приходится выполнять для каждой платформы по отдельности. Здесь же стоит отметить, что использование стандартного оборудования рабочих станций также способствует повышению производительности работы отдела информационных технологий.

№9: Контролировать круг выполняемых задач

Ну ладно, предположим, это не совсем техника администрирования, но при управлении удаленными рабочими станциями необходимо определить, какие задачи администратор выполнять должен, а какие нет. Допустим, организация насчитывает несколько удаленных офисов для небольшого количества удаленных пользователей, которых компания обеспечивает стандартным оборудованием. В набор поставляемого оборудования входят компьютеры или ноутбуки, лазерные принтеры одной модели для всех локальных систем и устройства для подключения рабочих станций к сети и работы с данными, хранящимися на центральных компьютерах. В таком случае рано или поздно удаленные пользователи непременно спросят системного администратора: «А нельзя ли нам получить другой принтер, который можно использовать еще и как сканер и факс?».

Это очень важный вопрос, потому что удаленный пользователь пытается, таким образом, выйти за рамки стандарта, а круг задач службы технической поддержки расширяется: ведь администратор будет отвечать за драйверы для этого устройства. К тому же, единство компьютерной платформы в таком случае будет нарушено. Разумеется, иметь принтер с возможностями сканера и факса – неплохая идея, но сотрудники должны понимать, что обеспечение возможностей, выходящих за рамки стандартных, стоит денег, причем издержки в конечном счете намного превышают стоимость одного многофункционального устройства.

№10: Не обделять удаленных пользователей технической поддержкой

Нельзя допускать, чтобы удаленные пользователи страдали от нехватки внимания со стороны системного администратора. Динамика пользования удаленной рабочей станцией отличается от динамики пользования центральным офисным компьютером. У удаленного пользователя может не быть запасного компьютера на случай неполадок, может не оказаться рядом того, кто готов быстро решить его проблему, зато могут быть клиенты или покупатели, с нетерпением ожидающие, когда ими займутся. Пользователи компьютеров в местных подразделениях, в которых нет собственных ИТ-специалистов, во многом могут полагаться только на самих себя, но системный администратор центрального отдела должен заботиться о том, чтобы они не чувствовали себя заброшенными. Обеспечение качественного технического обслуживания имеет большое значение в организации надежной системы информационных технологий.

Поиск по компьютерным статьям

Удалённое администрирование

Системное администрирование подразумевает выполнение функций, направленных на поддержание стабильной работы офисных компьютеров и серверов. Системный администратор - сотрудник фирмы предоставляющей услуги ИТ-аутсорсинга. Большинство работ по администрированию серверов и рабочих станций пользователей можно выполнять, не находясь за конфигурируемым персональным компьютером или сервером, такое администрирование называется удаленным.

Удаленное управление и настройка вычислительными машинами осуществляется по сети. Для отправки команд применяются специальные приложения удаленного администрирования. Они бывают графические (обладают GUI) и консольные (только текстовые команды). Приведу примеры таких приложений: приложения с графическим интерфейсом:

Пакет Windows - Remote Desktop Services и его клиентская часть Remote Desktop Connection.

Консольные приложения, используемые для удаленного управления:

Shh-клиент.

Telnet-клиенты.

Программы с графическим интерфейсом позволяют видеть и управлять рабочим столом удаленного компьютера. Администратору доступны те же функции, что и при работе локально. Некоторые утилиты поддерживают несколько способов управления. Например, DameWare позволяет подключиться к активному сеансу пользователя. Эта функция может быть полезна при устранении неполадок в работе компьютера. Администратор будет видеть все действия пользователей, выявлять закономерности появления ошибок и локализовать их. При этом он не будет находиться рядом с компьютером пользователя. Это становиться очень критично, когда администратор физически не может находиться рядом с проблемным персональным компьютером. Также утилиты удаленного администрирования повышают эффективность работы администраторов и экономят им время.

Практически все сервера управляются при помощи утилит удаленного администрирования. После того как настраивается доступ к сети и поднимается служба удаленного администрирования, вся работа по дальнейшей настройки и работе с данным сервером переноситься на рабочее место системного администратора. Подходить к серверу (имеется ввиду физически) приходиться в моменты неработоспособности сети или работ связанных с заменой аппаратных частей сервера.

Удалено управлять можно не только персональными компьютерами или серверами. Удаленное управление - это основной способ конфигурировать различное сетевое оборудование, аппаратные платформы, например sms-расыльщики и мультимедийные платформы. Как правило, такие устройства обладают web-интерфейсом администрирования. Для доступа к нему подойдет любой web-браузер. Помимо web-интерфейса они, как правило, поддерживают работу по протоколам telnet и ssh.

Для небольшой фирмы вполне подойдут стандартные службы и клиенты удаленного управления Windows. Клиент для подключения к удаленному компьютеру называется “Подключение к удаленному рабочему столу” и располагается по следующему пути:

Пуск - Программы - Стандартные. После запуска вам будет предложено ввести имя компьютера или его IP-адрес. Если они введены корректно и доступ по сети к этому компьютеру ничем не ограничен, вам будет предложено ввести имя пользователя и пароль для получения доступа. После того, как введенная вами информация будет проверена и подтвердиться её достоверность, вы увидите рабочий стол пользователя, чье имя было указано на предыдущем шаге.

Если вам будет недостаточно функций предлагаемых стандартным клиентом Windows, а денег на покупку DameWare вы не хотите тратить, обратите внимание на бесплатные аналоги. Например, TightVNC for Windows 1.3.8 (www.tightvnc.com). Хороший обзор программ удаленного управления находиться на сайте compress.ru (http://www.compress.ru/article.aspx?id=17370&iid=805).

Подведем итог. Удаленное администрирование призвано снизить расходы на системное администрирование офисных компьютеров, серверов и является основным способом конфигурирования и управления различными сетевыми устройствами и прочим оборудованием доступным через сеть. Используя эти технологии, администратор может выполнять настройку техники, находясь за сотни километров от нее. Если вы передаете функции администрирования фирме аутсорсеру, вы можете не переживать, что в случае поломки работа фирмы будет остановлена на время прибытия подрядчика для ликвидации проблемы. Его выезд, скорее всего не понадобиться (может понадобиться, только в крайних случаях, связанных аппаратной неисправностью компьютера или недоступности его по сети), все необходимые действия он сможет провести, не выходя из кабинета своего офиса, находящегося в другом конце города.