如何使用组策略 (GPO) 启用远程协助

在这篇文章中，我将向您展示如何使用组策略（GPO）启用远程协助。我们还允许使用组策略通过具有高级安全性的 Windows Defender 防火墙进行访问。

我们还将了解通过使用服务器管理器添加功能来在 Windows 服务器上启用远程协助的步骤。当您想要在单台计算机上打开远程协助时，这适用。

但是，在域计算机上启用远程协助的最简单方法是使用组策略。我们将启用配置提供远程协助设置。此策略设置允许您打开或关闭此计算机上的提供（未经请求的）远程协助。

如果启用此策略设置，其计算机上的用户可以使用提供（未经请求的）远程协助从其公司技术支持人员那里获得帮助。

最重要的是，远程协助是一项 Windows 功能。要启动远程协助，用户必须接受管理员的请求。当无人登录时，无法远程控制机器。

使用远程协助功能，您可以邀请某人连接到您的计算机。连接后，该人可以查看您的计算机屏幕并与您讨论双方所看到的内容。

经过您的许可，您的助手甚至可以使用他或她的鼠标和键盘来控制您的计算机并向您展示如何解决问题。当端口 3389 的出站流量被阻止时，远程协助功能将无法工作。

在 Windows Server 上，默认情况下不启用远程协助功能。您必须先启用该功能才能使用它。远程协助也可以与配置管理器一起使用。有关更多详细信息，请参阅 SCCM 指南中有关如何启用和配置远程协助功能的指南。

远程协助防火墙要求

远程协助使用 TCP 端口 3389。要允许组织内的用户使用远程协助请求组织外部的帮助，必须在防火墙上打开端口 3389。要禁止用户向组织外部请求帮助，应在防火墙处关闭此端口。

如果启用“配置提供远程协助”设置，还应启用防火墙例外以允许远程协助通信。在 Windows 上提供（未经请求的）远程协助所需的防火墙例外包括。

Enable the Remote Assistance exception for the domain profile. The exception must contain:
Port 135:TCP
%WINDIR%\System32\msra.exe
%WINDIR%\System32\raserver.exe

让我们看看使用组策略启用远程协助的步骤

如何使用组策略启用远程协助

要使用组策略启用远程协助，请使用以下步骤。

• 登录到安装有组策略管理控制台的域控制器或成员服务器。
• 启动组策略管理控制台。
• 您可以编辑现有的组策略对象，也可以使用组策略管理工具创建新的组策略对象。
• 展开计算机配置/策略/管理模板/系统/远程协助节点。
• 启用配置提供远程协助设置。

好吧，让我们一步一步来。我建议创建一个新的组策略来配置远程协助。不要编辑默认策略，因为它适用于整个域并且不是推荐的方法。

在应用此 GPO 之前，请在单独的 OU 上测试该策略，然后相应地规划 GPO 部署。由于我是在实验室中配置策略，因此我将其应用在域级别。在组策略管理控制台中，右键单击您的域，然后单击在此域中创建 GPO 并将其链接到此处。

指定组策略的名称，例如启用远程协助。单击确定。

转到计算机配置/策略/管理模板/系统/远程协助节点。右键单击配置提供远程协助设置，然后单击编辑。

在配置提供远程协助窗口中，单击启用。这使得该策略成为可能。您必须允许远程控制计算机。因此，从下拉列表中选择允许帮助者远程控制计算机。在助手旁边，单击显示按钮。

您可以输入帮助者的姓名。一一添加每个用户或组。添加帮助者用户或组时，请使用以下格式。

• \
• \

单击确定。

关闭 GPMC 编辑器。是时候更新客户端计算机上的组策略并检查是否已禁用对任务视图按钮的访问。您可以使用多种方法在远程计算机上执行组策略更新。在测试客户端计算机上，您可以通过运行 gpupdate /force 命令手动执行组策略更新。

创建防火墙例外以允许远程协助

在此步骤中，我们将使用组策略允许通过 Windows 防火墙进行远程协助访问。同样，您可以创建新策略或编辑现有远程协助策略。

我正在编辑我们刚刚在上述步骤中创建的相同策略。在 GPMC 编辑器中，转到计算机配置/策略/Windows 设置。展开安全设置/具有高级安全性的 Windows Defender 防火墙/具有高级安全性的 Windows Defender 防火墙。

右键单击“入站规则”，然后单击新建规则。

在“规则类型”下，选择端口。单击下一步。

在“协议和端口”窗口中，选择 TCP 并输入端口号 135。单击下一步。

选择允许连接。单击下一步。

选择规则适用的配置文件。单击下一步。

最后指定防火墙规则的名称并单击完成。

验证远程协助是否已启用

您现在所需要做的就是等待策略应用到您的客户端计算机。如果已应用该策略，您将注意到远程协助功能已启用。

让我们检查一下客户端计算机上是否启用了远程协助。登录到客户端计算机并运行命令systempropertiesremote.exe。

在“系统属性”窗口的远程选项卡下，查找远程协助。 允许远程协助连接到此计算机框已启用。

另外，我们来验证一下防火墙策略是否已应用。在客户端计算机上，以管理员身份运行命令提示符。运行命令 gpresult /r 并注意计算机设置下的远程协助策略。

在 Windows Server 上启用远程协助

如前所述，Windows Server 上没有启用远程协助功能。因此您需要启用此功能。打开服务器管理器，单击管理，单击添加角色和功能。选择基于角色或基于功能的安装。单击下一步。

单击下一步。

从功能列表中，选择远程协助。单击下一步。

在确认窗口中，单击安装。

远程协助功能安装完成。单击关闭。