Slå på remote desktop


Slå på remote desktop via nettverket

 


Med jevne mellomrom så havner jeg i situasjoner som gjør at jeg skule ønske at remote desktop var aktivert på maskiner jeg har behov for å gå inn på. Sitter man i nærheten av maskinen er det så klart enkelt å gå og slå det på, men ofte sitter man remote og jobber og andre ganger er maskinen rett og slett ikke så lett tilgjengelig fysisk.


Som med de fleste problemer så finnes det heldigvis en løsning. Løsningen krever at ”remote registry” tjenesten kjører og maskinen må restartes, så det vil nok være situasjoner når løsningen ikke kan brukes. Man må også være administrator på både maskinen man sitter på og maskinen man skal endre.


1.      

Slå på Remote Desktop


A) ved å endre registeret

Start register editoren med å bruke ”start – run” og skriv inn ”regedit”

Koble opp mot nettverk register ved å velge ”File – Connect Network Registry…” og følg wizarden.

Bla ned til ” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server”, denne nøkkelen finnes selv om du ikke har installert Terminal Services, også på windows XP og Vista er den der.

Her finner du en nøkkel som heter ”fDenyTSConnections” har den verdien 1 så er tjenesten slått av


(egentlig er den slått på som betyr at den er av ;-), endre verdien til 0 for å slå på remote desktop.


Her finner vi også en liten bonus, hvis du ser videre nedover finner du en nøkkel som heter ”TSAdvertise” setter du denne til 1 så vil man kunne se maskinen med å bla i Remote Desktop klienten, på samme måtte som vi ser servere som har installert terminal service rollen.


B) Ved hjelp av Group Policy

Start group policy editoren og lag en ny eller modifiser en eksisterende policy. Stien som skal editeres er:


Computer Configuration \ Administrative Templates \ Windows Components \ Terminal Services \ Terminal Server \ Connections

Og endre “Allow users to connect remotely using Terminal Services” til enable



Husk at policyene kan styres ved hjelp av rettigheter til å ikke påvirke andre maskiner enn de du måtte ønske å utføre det på.



2.       Siden dette er en register endring som er manuelt utført så blir den ikke aktiv før maskinen har restartet, og hvis den har brannvegg slått på må denne bli skrudd av eller man må åpne for unntak.

På Windows Server 2008 og Vista må man ikke slå av brannvegg service via remote oppkobling mot Services, systemet vil da nekte deg tilgang. 


For å restarte maskinen bruk kommando linjen shutdown. 


Eksempel: ”Shutdown -r -m maskin-navn (eventuelt IP)


R står for reboot og M for å angi maskin navn, hvis man ikke ønsker å vente de 30 sekunden som er default før en restart kan man angi ”/t 5” også for å restarte etter 5 sekunder. I noen tilfelle er også /f nødvendig for å tvinge i gjennom avslutting av kjørende applikasjoner. Men husk at alle som bruker maskinen eller tjenester fra maskinen mister kontakt og det er stor fare for datatap hvis du ikke passer på.

Skal du konfigurere brannvegg så bør du vente med å restarte maskinen før alt er ferdig, da sparer du deg en restart.


Gjøres det med hjelp av en Group Policy så bør man kjøre en restart allikevel, hvis ikke må man vente på refresh intervall som er 90 minutter som standard med 30 minutter off-set. Så det vil da ta 1 til 2 timer mellom hver oppdatering periode, har du flaks er det ikke lenge til neste refresh periode, men man vet ikke når disse kommer.




3.    Det er flere måter å endre brannvegg reglene på, og i noen scenarioer må man velge riktig, for eksempel fungere ikke alltid netsh –r eller man har ikke active directory rettigheter nok til å lage group policier. Derfor kommer det nå flere måtter å gjøre det på



A)    Man kan bruker NetSH remote for å konfigurere brannvegg innstillingene, kommandoen for det er:


netsh –r ”maskinnav” –u ”domene\brukernavn” –p ”passord” advbrannvegg brannvegg set rule group="remote desktop" new enable=Yes



B)    I en group policy kan man slå av brannveggen helt ved å gå inn på “Computer Configuration\Administrative Templates\Network\Network Connections\Windows Brannvegg\” velge riktig profil og endre ”Windows Brannvegg: Protect all network connections” til disabled. Dette er ikke å anbefale men en mulighet.


En bedre løsning er å bruke et oppstarts skript for maskinen som tilpasser brannveggen til å godta “Remote Desktop” skriptet ligges inn i en group policy under ”Computer Configuration\Windows Settings\Script\



Skriptet skal inneholde følgende:


netsh advbrannvegg brannvegg set rule group="remote desktop" new enable=Yes



C)      Er ikke maskinen med i domene eller du ikke ønsker å bruke policyer (husk at en policy kan bli satt opp slik at du kun påvirker 1 maskin med å bruker rettigheter), må man sørge for at skriptet blir kjørt under oppstart, dette kan igjen gjøres ved å endre registeret.


Under stien

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce


Velger du å opprette en ny nøkkel, bruk ”New - String Value” og skriv inn et navn på nøkkelen (bruk hva du vil, da dette ikke har noen påvirkning) og som verdi bruk stien og navnet på filen som inneholder skriptet som nevnt tidligere, det lureste er å kopiere filen inn på den lokale disken på maskinen bruk da gjerne den skjulte stien \\maskinnavn\c$ .



Siden ”RunOnce” brukers når en logger seg på maskinen må vi sørge for at maskinen automatisk logger seg på etter reboot (i Windows XP og tidligere versjoner kunne man bruke andre registry nøkler  som RunServiceOnce, men av sikkerhets hensyn er disse fjernet) Vi må derfor også endre/legge til noe under stien


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


Vi skal endre ”AutoAdminLogon” verdien til 1 og legge til (eventuelt endre hvis de alt eksisterer)

”DefaultUserName” som skal være enn ”String Value (REG_SZ)”, det skal også ” DefaultPassword” være. Som dere skjønner skal ”DefaultUserName” være brukeren som skal logge på og ”DefaultPassword” er passordet til den brukeren.


Brukeren trenger ikke å være administrator, den bør faktisk ikke være det. Og ikke minst når man er ferdig så må man passe på fjerne denne infoen fra registeret igjen og sette ”AutoAdminLogon” til 0 igjen. Denne rydde jobben kan for så vidt effektiviseres ved å bruke en reg filer som endrer innstillingen og kjøre denne som en del av skriptet som tilpasser brannveggen.


D)     Man kan slå av brannvegen helt på XP/2003 via services remote, mens på Vista/2008 må man bruke nok en registry setting. Gå inn på remote registry og finnfrem til:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc


Og endre nøkkelen “Start” til 4 (2 = Automatic, 4 = Disabled), husk å slå på brannvegen igjen når du er ferdig

Etter en restart bør det nå virke, men husk å fjerne brukernavnet og passordet i registeret og sett ”AutoAdminLogon” til 0 igjen.


Enkelt sagt så skal dette gjøres:

 

1.       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Nøkkel ”fDenyTSConnections” settes til Verdi 1 ved hjelp av remote registry

2.       netsh –r ”maskinnav” –u ”domene\brukernavn” –p ”passord” advbrannvegg brannvegg set rule group="remote desktop" new enable=Yes

For å modifisere brannvegg reglene, eller enn av de andre metodene forklart

3.       Shutdown –r –m ”datamaskin navn eller IP”

For å restarte maskinen

4.       Bruk Remote Desktop, husk å fjerne autologin hvis du måtte bruke det


Eller ved hjelp av Group Policy

 

1.       Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Connections

Og endre “Allow users to connect remotely using Terminal Services” til enable

2.       Computer Configuration\Administrative Templates\Network\Network Connections\Windows Brannvegg\” velge riktig profil og endre ”Windows Brannvegg: Protect all network connections” til disabled

3.       Shutdown –r –m ”datamaskin navn eller IP”

For å restarte maskinen

4.       Bruk Remote Desktop


Anbefaler på det sterkeste å lage bedre brannvegg regler, enn å bare slå den av!!!


Juks deg litt på vei

 

 

 

Eller ønsker du å jukse og gjøre det enda lettere så prøv ut dette verktøyet som er gratis, men dessverre må du fortsatt endre brannvegg innstillingene på Vista og Server 2008. Tror du ikke må det XP/2003, men har ikke testet det


http://www.arconi.com/System-Administration-Utilities/rdpenable.html 


Eller du kan finne frem lommeboken å kjøpe dette programmet (finnes i 30 dagers trial versjon) som også har masse annet bra hvis du har mange servere og arbeidsstasjoner som du bruker remote desktop mot, spesielt hvis du også bruker VNC vil dette verktøyet gi deg mye. Prisen er overkommelig, men test det ut først. Igjen så må brannveggen tilpasses, i hvert fall på Vista/2008.


http://www.bozteck.com/vncscan/