What is Remote Assistance?

   Windows  Remote Assistance, güvendiğiniz birinin bilgisayarınızı devralmasına ve nerede olursa olsun bir sorunu çözmesine olanak tanır. Bu yazıda size GPO kullanarak Uzaktan Yardımı nasıl etkinleştireceğinizi inceleyeceğiz. Bilgisayarlarınız Domainde ise uzaktan yardımı etkinleştirmenin en kolay yolu grup ilkesini kullanmaktır.

Uzaktan Yardım bir Windows özelliğidir. Uzaktan Yardım özelliğini kullanarak birini bilgisayarınıza bağlanmaya davet edebilirsiniz. Bağlandıktan sonra bu kişi bilgisayar ekranınızı görüntüleyebilir ve her ikinizin de gördüğü şeyler hakkında sizinle sohbet edebilir. İkinci bir izin onaylandıktan sonra, bağlanan kişi farenizi ve klavyenizi kullanarak bilgisayarınızı kontrol edebilir ve size bir sorunun nasıl çözüleceğini gösterebilir. Uzaktan yardımı başlatmak için kullanıcının yöneticinin isteğini kabul etmesi gerekir. Hiç kimse oturum açmadığında makine uzaktan kontrol edilemez.

Remote Assistance

  Şimdi ise, Grup ilkesini kullanarak Uzaktan Yardımı etkinleştirme adımlarına bakalım. GPO'yu uygulamadan önce politikayı ayrı bir kuruluş biriminde test edin ve ardından GPO dağıtımınızı buna göre planlayın. Grup politikası yönetim konsolunu açın ve  sağ tıklayıp new seçeneğine ile devam edin. Yeni GPO'ya bir isim verin. Oluşturulan ilkemiz üzerinde gerekli ayarları yapıp düzenlemek için sağ tıklayarak açılan menüden Edit açılır menüsüne tıklayın.

Açılan politikada Computer Configuration→Policies→Administrative Templates→ System→Remote Assistance seçeneğini açalım. Politikaları aşağıdaki gibi yapılandırın.

• Configure Offer Remote Assistance → Bu politika Remote Assistance çalışmasını mümkün kılar. Bilgisayarın uzaktan kontrolüne izin vermek için açılır menüden Allow helpers to remotely control the computer seçeneğini seçin. Uzak bağlantı yapacak teknik personelleri eklemek için Helpers kısmındaki Show butonuna basarak her kullanıcıyı veya grubu tek tek ekleyin. Yardımcı kullanıcı veya grupları eklerken aşağıdaki formatı kullanın.
• <Etki Alanı Adı>\<Kullanıcı Adı>
• <Etki Alanı Adı>\<Grup Adı>

• Custimize warning messages→ Bu politika sayesinde isteğe bağlı olarak kullanıcılara uyarı mesajı gönderebilirsiniz.

• Turn on bandwidth optimization→ Bu politika düşük bant genişliği senaryolarında performansı artırmanıza olanak tanır. Eğer alt yapınız iyi değil ise Full optimization kullanabilirsiniz. İyi bir alt yapınız var ise bu politikayı etkinleştirip No Optimization seçeneğini seçerek masaüstü duvar kağıdına kadar görebilirsiniz.

  Eğer firewall açık değilse şimdiye kadar yaptığımız işlemler cihazlara uzaktan bağlanmamız ve işlem yapmamız için yeterlidir. Ancak yaptığımız bazı işlemler yükseltme istemi gereklidir. Eğer biz GPO üzerinden bu işleme izin vermez isek aşağıdaki prompt gözükmez ve ekranınız siyah renge döner.

Bu tür sorunlarla karşılaşmamak için Computer Configuration→Policies→Windows Settings→Security Settings→Local policy→Security Options kısmını genişleterek User Account Control: Allow UIAccess applications to prompt for elevation seçeneğini Enabled duruma getiriniz.

Remote Assistance Firewall

  Makinalarda firewall açık ise, Remote Assistance iletişimlerine izin vermek için güvenlik duvarı istisnalarını da etkinleştirmeniz gerekir. Bu adımda, GPO kullanarak Windows Güvenlik Duvarı üzerinden Uzaktan Yardım erişimine izin vereceğiz. Yukarıda oluşturduğumuz mevcut uzaktan yardım politikasını düzenleyebilirsiniz.

Açılan politikada Computer Configuration→Policies→Windows Settings→Security Settings→Windows Defender Firewall with Advanced Security→Windows Defender Firewall with Advanced Security seçeneğini açıp Inbound Rules kısmından New Rule seçeneğini genişletelim.

Kural türü altında Port kısmını seçin ve Next ile devam ediniz.

Protokol ve Port penceresinde TCP'yi seçin ve 135 numaralı bağlantı noktası numarasını girin. Next ile devam ediniz.

Allow the connection seçeneği ve Next ile devam ederek bağlantıya izin verin.

Kuralın uygulanacağı profili seçin ve Next ile devam ediniz.

Son olarak güvenlik duvarı kuralına bir isim verin ve Finish ile tamamlayınız.

Diğer bir kural ise aradaki bağlantıyı sağlayacak olan exelerin çalışmasına izin vermektir. Yine New Inblound Rule kısmından yeni kural oluşturarak This program path kısmına aşağıdaki yolları ayrı ayrı yazarak Allow seçeneği ile 2 kuralımızı yapılandırıp oluşturabiliriz.

%WINDIR%\System32\msra.exe
%WINDIR%\System32\raserver.exe 

Bir test istemcisi makinesinde, gpupdate /force komutunu çalıştırarak grup ilkesi güncellemesini manuel olarak gerçekleştirebilirsiniz 

gpupdate /force

Politikanın etkili olduğunu kontrol etmek için, client makinede komut satırını yönetici olarak açın ve aşağıdaki komutu çalıştırın. 

gpresult /r 

Destek vereceğiniz makinada çalıştır kısmına msra /offerra yazıp açılan pencerede client makinanın bilgisayar adını veya ip adresini yazarak bağlantı gerçekleştirebilirsiniz.