Я пытаюсь понять, как разрешить группе пользователей предлагать незапрошенную удаленную помощь, используя msra /offerra своим товарищам по домену.
Я создал политику, позволяющую «Предлагать удаленную помощь» и заполнять DOMAIN\RAHelpers группу пользователей в список «Помощники». Я вижу DOMAIN\RAHelpers группа, появляющаяся в качестве члена в локальной группе «Предлагать удаленных помощников» целевых компьютеров домена после применения политики. Тем не менее, я не могу установить соединение удаленной помощи с одним из этих пользователей. если только они также являются членами местных Администраторы группа обслуживаемой машины. Сообщение об ошибке довольно неопределенное ("Ваше предложение о помощи не может быть отправлено"), но я подозреваю, что проблема с разрешениями DCOM, поскольку RA, кажется, использует DCOM, и локальные администраторы могут легко подключиться для получения помощи.
Какой минимальный набор разрешений мне потребуется, чтобы разрешить незапрошенную удаленную помощь? Я, разумеется, не хочу повышать всех помощников до местных администраторов.
Оказалось так же просто, как добавить пользователей в «Пользователи распределенного COM» местная группа.
Политика «Включить удаленную помощь» не изменяет членство в этой группе, и незапрашиваемая удаленная помощь, похоже, зависит от удаленной активации DCOM.
В нашем случае проблема с неработающим RA возникла из-за несоответствия в шифровании.
Контроллеры домена использовали RC4, а клиенты Windows 10 используют AES128 / 256 / future.
2.3.11.4 (L1) Ensure 'Network security: Configure encryption types allowed for Kerberos' is set to 'AES128_HMAC_SHA1, AES256_HMAC_SHA1, Future encryption types'