Távoli kapcsolati profilok a Configuration Manager

A következőre vonatkozik: Configuration Manager (aktuális ág)

Használja Configuration Manager távoli kapcsolati profilokat, hogy a felhasználók távolról csatlakozhassanak a munkahelyi számítógépekhez. Ezek a profilok lehetővé teszik a távoli asztali kapcsolat beállításainak központi telepítését a hierarchiában lévő felhasználók számára. A felhasználók bármely elsődleges munkahelyi számítógépüket elérhetik a távoli asztali kapcsolaton keresztül VPN-kapcsolaton keresztül.

Fontos

Amikor távoli kapcsolatprofil-beállításokat ad meg Configuration Manager, az ügyfél a windowsos helyi házirendben tárolja a beállításokat. Ezek a beállítások felülbírálhatják a távoli asztal egy másik alkalmazással konfigurált beállításait. Továbbá, ha a Windows Csoportházirend használatával konfigurálja a távoli asztal beállításait, a Csoportházirend megadott beállítások felülbírálják Configuration Manager beállításokat.

Configuration Manager létrehoz egy biztonsági csoportot az ügyfeleken( Remote PC Connect). Távoli kapcsolati profil telepítésekor az ügyfél hozzáadja a számítógép elsődleges felhasználóit ehhez a csoporthoz. A helyi rendszergazdák manuálisan adhatnak hozzá vagy távolíthatnak el felhasználókat ehhez a csoporthoz, de Configuration Manager frissítik a tagságot, amikor legközelebb kiértékeli a profil megfelelőségét.

Fontos

Ha a felhasználó és az eszköz közötti eszköz kapcsolat megváltozik, Configuration Manager letiltja a távoli kapcsolati profilt és a Windows tűzfal beállításait, hogy megakadályozza a számítógéphez való csatlakozást.

Előfeltételek

Külső függőségek

• Ha engedélyezni szeretné a felhasználók számára az internetről való csatlakozást, telepítsen és konfiguráljon egy távoli asztali átjárókiszolgálót. A távoli asztali átjárókiszolgáló telepítéséről és konfigurálásáról további információt a Távoli asztali szolgáltatások – Hozzáférés bárhonnan című témakörben talál.

• Ha az ügyfelek gazdagépalapú tűzfalat futtatnak, engedélyeznie kell a mstsc.exe programot. Távoli kapcsolati profil konfigurálásakor engedélyezze a Windows tűzfalkivétel engedélyezése a Windows-tartományok és a magánhálózatok kapcsolataihoz beállítást. Ezzel a beállítással Configuration Manager automatikusan konfigurálhatja a Windows tűzfalat.

  Tipp

  Csoportházirend Windows tűzfal konfigurálására vonatkozó beállítások felülbírálhatják a Configuration Manager megadott konfigurációt. Ha Csoportházirend használ a Windows tűzfal konfigurálásához, győződjön meg arról, hogy Csoportházirend beállítások nem blokkolják mstsc.exe.

  Ha az ügyfelek más gazdagépalapú tűzfalat futtatnak, manuálisan konfigurálja ezt a tűzfalfüggőséget.

Configuration Manager függőségek

• Ahhoz, hogy egy felhasználó munkahelyi számítógéphez csatlakozzon, a számítógépnek a felhasználó elsődleges eszközének kell lennie. További információ: Felhasználók és eszközök összekapcsolása felhasználói eszköz kapcsolattal.

• A távoli kapcsolati profilok kezeléséhez a felhasználói fióknak adott engedélyekre van szüksége a Configuration Manager. A Megfelelőségi beállítások kezelője beépített szerepköre tartalmazza a profilok kezeléséhez szükséges engedélyeket. További információ: Szerepköralapú felügyelet konfigurálása.

Biztonsági és adatvédelmi szempontok

Biztonsági szempontok

• Manuálisan adja meg a felhasználói eszköz affinitását ahelyett, hogy lehetővé tenné a felhasználók számára az elsődleges eszköz azonosítását. Ne engedélyezze a használatalapú konfigurációt.

  • A távoli kapcsolati profil üzembe helyezése előtt engedélyeznie kell a Munkahelyi számítógép összes elsődleges felhasználójának távoli csatlakozás engedélyezése beállítást. Ezzel a konfigurációval mindig manuálisan kell megadnia a felhasználói eszköz kapcsolatát. Ne tekintsük mérvadónak azokat az információkat, amelyeket Configuration Manager gyűjtenek a felhasználóktól vagy az eszközről. Ha egy profilt telepít, és egy megbízható rendszergazda felhasználó nem határozza meg a felhasználói eszköz kapcsolatát, előfordulhat, hogy a jogosulatlan felhasználók emelt szintű jogosultságokat kapnak, és távolról csatlakozhatnak a számítógépekhez.

  • Configuration Manager állapotüzeneteken keresztül gyűjt használatalapú információkat, amely egy gyors, de nem biztonságos kommunikációs csatorna. A fenyegetés elhárításához használja az SMB-aláírást vagy az IPsec protokollt az ügyfélszámítógépek és a felügyeleti pont között.

• Korlátozza a helyi rendszergazdai jogosultságokat a helykiszolgáló számítógépén. A helykiszolgáló helyi rendszergazdái manuálisan adhatnak tagokat a Távoli PC Connect biztonsági csoporthoz, amelyet Configuration Manager automatikusan létrehoznak és karbantartanak. Ez a művelet jogosultságszint-emelést okozhat, mert a tagok távoli asztali engedélyeket kapnak.

Adatvédelmi szempontok

Amikor egy felhasználó távolról csatlakozik egy munkahelyi számítógéphez, letölt egy .wsrdp fájlt. Ez a fájl tartalmazza az eszköz nevét és a távoli asztali átjárókiszolgáló nevét. Ezek az értékek szükségesek a távoli asztali munkamenet létrehozásához. A .wsrdp fájlt a rendszer letölti és automatikusan helyileg menti. Ez a fájl felülíródik, amikor a felhasználó legközelebb távoli asztali munkamenetet futtat.

Profil létrehozása

1. A Configuration Manager konzolon lépjen az Eszközök és megfelelőség munkaterületre, bontsa ki a Megfelelőségi beállítások elemet, és válassza a Távoli kapcsolati profilok lehetőséget.

2. A menüszalag KezdőlapjánakLétrehozás csoportjában válassza a Távoli kapcsolati profil létrehozása lehetőséget.

3. A Távoli kapcsolati profil létrehozása varázslóÁltalános lapján adja meg a profil nevét és leírását (nem kötelező). Mindkét érték legfeljebb 256 karakterből állhat.

4. A Profilbeállítások lapon adja meg a következő beállításokat:

   • A távoli asztali átjárókiszolgáló teljes neve és portja (nem kötelező):: Adja meg a kapcsolatokhoz használandó távoli asztali átjárókiszolgáló nevét. Ez az érték a következő követelményekkel rendelkezik:

     • A kiszolgáló neve nem lehet hosszabb 256 karakternél.
     • Tartalmazhat nagybetűket, kisbetűket és numerikus karaktereket.
     • A szegmensek közötti pontok (.) és a port előtti kettőspont (:) mellett az egyetlen speciális karakter a kötőjel (–) és az aláhúzásjel (_).
     • Configuration Manager nem támogatja a nemzetközi tartománynév használatát ehhez az értékhez.

   • Csak a távoli asztalt hálózati szintű hitelesítéssel futtató számítógépekről engedélyezze a kapcsolatokat: Alapértelmezés szerint engedélyezve van, ez a beállítás további biztonsági szintet biztosít a kapcsolat számára. További információ: Távoli asztali hozzáférés biztosítása.

   • Engedélyezze a következő kapcsolatbeállításokat:

     • Távoli kapcsolatok engedélyezése munkahelyi számítógépeken

     • A munkahelyi számítógép összes elsődleges felhasználójának távoli csatlakozásának engedélyezése

     • Windows tűzfalkivétel engedélyezése Windows-tartományokon és magánhálózatokon lévő kapcsolatokhoz

     Fontos

     A folytatáshoz mindhárom beállításnak meg kell egyeznie.

     Ezeket a beállításokat csak akkor tiltsa le, ha egy profilt telepít a távoli kapcsolatok kikapcsolásához.

5. Fejezze be a varázslót.

Az új profil megjelenik a Távoli kapcsolatprofilok csomópontban az Eszközök és megfelelőség munkaterületen.

Üzembe helyezés

1. A Configuration Manager konzolon lépjen az Eszközök és megfelelőség munkaterületre, bontsa ki a Megfelelőségi beállítások elemet, és válassza a Távoli kapcsolati profilok lehetőséget.

2. A Távoli kapcsolati profilok listában válassza ki a telepíteni kívánt profilt. A menüszalag Kezdőlap lapjának Üzembe helyezés csoportjában válassza az Üzembe helyezés lehetőséget.

3. A Távoli kapcsolati profil telepítése ablakban adja meg a következő információkat:

   • Gyűjtemény: Tallózással válassza ki azt az eszközgyűjteményt, amelyre telepíteni szeretné a profilt.

   • Nem megfelelő szabályok szervizelése, ha támogatott: Ezzel a beállítással automatikusan szervizelhetők a profilbeállítások, ha nem kompatibilisek egy eszközön. A profil akkor lehet nem megfelelő, ha nem létezik.

   • Szervizelés engedélyezése a karbantartási időszakon kívül: Ha karbantartási időszakot konfigurál ahhoz a gyűjteményhez, amelyre a profilt telepíti, engedélyezze ezt a beállítást, hogy Configuration Manager szervizelhesse azt a karbantartási időszakon kívül. További információ: Karbantartási időszakok használata.

   • Riasztás létrehozása: Engedélyezze ezt a beállítást egy megfelelőségi riasztás konfigurálásához.

   • Adja meg a megfelelőségi értékelés ütemezését ehhez a konfigurációs alapkonfigurációhoz: Adjon meg egy egyszerű vagy egyéni ütemezést, amellyel az ügyfél kiértékeli a profilt.

4. Kattintson az OK gombra az ablak bezárásához és az üzemelő példány létrehozásához.

Ügyfélértékelés

Az ügyfél kiértékeli a profilt, amikor egy felhasználó bejelentkezik.

Ha egy eszköz elhagyja azt a gyűjteményt, amelyre távoli kapcsolati profilt telepít, Configuration Manager letiltja az eszközön lévő beállításokat. Ahhoz azonban, hogy ez a folyamat megfelelően történjen, már üzembe kell helyeznie legalább egy olyan konfigurációelemet vagy alapkonfigurációt, amely a hely konfigurációelemét tartalmazza.

Ütközésfeloldás

Ne helyezzen üzembe több olyan távoli kapcsolati profilt, amely ütköző beállításokkal rendelkezik ugyanarra az eszközre. Tegyük fel például, hogy két különböző beállítású profilt telepít ugyanarra a gyűjteményre. Csak egy profiltelepítést konfigurálhat a nem megfelelő szabályok szervizelésére, ha támogatott. Ez az üzemelő példány felülírhatja a másik profil beállításait. Configuration Manager nem támogatja ezt a távoli kapcsolatprofil-telepítést.

Figyelés

A Configuration Manager konzolon lépjen a Figyelés munkaterületre, és válassza az Üzemelő példányok lehetőséget. Az Üzemelő példányok listában válassza ki a távoli kapcsolatprofil üzembe helyezését.

A távoli kapcsolati profil központi telepítésének megfelelőségével kapcsolatos összefoglaló információkat a főoldalon tekintheti át. Részletesebb információk megtekintéséhez válassza ki a profiltelepítést. Ezután a menüszalag Kezdőlap lapjának Üzembe helyezés csoportjában válassza az Állapot megtekintése lehetőséget. Ez a művelet megnyitja az Üzembe helyezés állapota lapot.

Az Üzembe helyezés állapota lap a következő lapokat tartalmazza:

• Megfelelő: Megjeleníti a távoli kapcsolati profil megfelelőségét az érintett eszközök száma alapján.

  Fontos

  Az ügyfél nem értékeli ki a távoli kapcsolati profilt, ha az nem alkalmazható. Azonban továbbra is megfelelőnek minősül.

• Hiba: Megjeleníti a kiválasztott távoli kapcsolatprofil üzembe helyezésének összes hibáját az érintett objektumok száma alapján.

• Nem megfelelő: A távoli kapcsolati profilon belüli összes nem megfelelő szabály listáját jeleníti meg az érintett eszközök száma alapján.

• Ismeretlen: Megjeleníti az összes olyan eszköz listáját, amely nem jelentette a kiválasztott távoli kapcsolati profil telepítésének megfelelőségét, valamint az eszközök aktuális ügyfélállapotát.

Bármely lapon nyisson meg egy szabályt egy ideiglenes alcsomópont létrehozásához az Eszközök és megfelelőség munkaterület Felhasználók csomópontja alatt. Ez az alcsomópont a kijelölt lap megfelelőségi állapotú összes eszközét tartalmazza.

Az Eszköz részletei panel megjeleníti a profilhoz kiválasztott megfelelőségi állapotú eszközöket. Nyisson meg egy eszközt a listában további információk megjelenítéséhez.

Jelentések

Configuration Manager beépített jelentéseket tartalmaz, amelyek segítségével figyelheti a távoli kapcsolati profilokkal kapcsolatos információkat. Ezek a jelentések a Megfelelőség és beállítások kezelése jelentéskategóriával rendelkeznek.

Fontos

A helyettesítő karaktert (%) akkor használja, ha a megfelelőségi beállítások jelentéseiben az Eszközszűrő és a Felhasználó szűrő paramétert használja.

A jelentéskészítés Configuration Manager való konfigurálásával kapcsolatos további információkért lásd: Bevezetés a jelentéskészítésbe.