Подготовить Radmin Server к установке через GPO
Такая задача возникла не на пустом месте, обычно я использовал TightVNC.
который я посредством GPO развертывал на рабочих ПК и серверах в компания где я имел честь обслуживать вверенную инфраструктуру. А сейчас здесь используется RAdmin, но конечно же он не лицензионный. В принципе какая разница. Сейчас я от и до пройдусь по шагам как создать из дефолтной msi свою собственную msi установщика (Серверная часть). Почему я такую банальную вещь описываю, все просто – это наработка на будущее, личная наработка.
Все как всегда будет обкатываться на моем тестовом гипервизоре Debian 10 + Proxmox 6. Создаю VM базирующейся на Windows Server 2012 R2 Std которая выполнена у меня, как.
- Домен: polygon.com (AD, DHCP, DNS)
- Пакет утилит: Radmin Server 3.5.2.1
Все дальнейшие действия произвожу на Windows Server 2012 R2 Std (srv-dc01)
Шаг №1: В домене создаю группу GRP_IT для того чтобы к системе на которой установлен Radmin Server могли подключиться только те кто состоит в этой группе.
и группа GRP_IT_Viewer это те, кто, может только подключившись смотреть за действиями, но не вмешиваться.
Шаг №2: Устанавливаю пакет rdpltool12.msi (из Radmin Deployment Tool 1.2) в систему.
Шаг №3: На эту же систему скачиваю Radmin Server в виде msi файла на необходимом мне языке: Radmin_Server_3.5.2.1_RU.msi
Шаг №4: Запускаю Radmin MSI Configurator (Win + нажимаю стрелку вниз дабы отобразить все установленные приложения – нахожу “Radmin MSI Configurator” и кликаю по нему левой кнопкой мыши
Нажимаю Next
указываю путь до msi файла: C:\Soft\Radmin_Server_3.5.2.1_RU.msi
Нажимаю Next
После нажимаю Settings…
Здесь предопределяю настройки серверной части
General
Use default port: 4899Tray icon: Show in system trayLogging: All errorsUse Event Log: отмечаю галочкой
Miscellaneous
Load Mirror Driver on startup: отмечаю галочкой
Language
Select interface language: English
все остальное по умолчанию
и нажимаю OK окна Radmin Server Options
Затем в окне Radmin MSI Configuration 1.2 нажимаю Next
После нажимаю Security…
Set user/password verification mode: выбираю Windows NT security затем нажимаю Permissions, здесь добавляю группу члены которой будут взаимодействовать удаленно у кого стоит серверная часть:
GRP_IT (POLYGON\GRP_IT): Full accessGRP_IT_Viewer (POLYGON\GRP_IT_Viewer): Remote Screen View
после нажимаю OK окна Radmin Server Security Mode
и нажимаю Next окна Radmin MSI Configurator v1.2
После сохраняю полученный msi файл, к примеру, в этот же каталог: c:\soft\radmin_3521.msi
но после по идее мастер Radmin MSI Configurator v1.2 должен был закрыться, но нет он снова на шаге где последующий шаг — это сохранение полученного msi файла. Ну да ладно, закрываю мастер «Крестиком»
После перемещаю полученный msi файл: radmin_3521.msi в специально созданную расшаренную папку где у меня все msi файлы на установку: \\srv-dc1\PO
| 12345678 | net share PO=C:\PO /GRANT:”Authenticated Users”,READ icacls c:\PO /inheritance:dicacls c:\PO /remove “Users” /Ticacls c:\PO /grant “CREATOR OWNER”:(OI)(CI)(IO)(F)icacls c:\PO /grant “NT AUTHORITY\Authenticated Users”:(OI)(CI)(RX)icacls c:\PO /grant “NT AUTHORITY\SYSTEM”:(OI)(CI)(F)icacls c:\PO /grant “POLYGON\ekzorchik”:(OI)(CI)(F)icacls c:\PO /grant “BUILTIN\Administrators”:(OI)(CI)(F) |
Вот такие права на каталог PO
| 1234567 | C:\Windows\system32>icacls.exe c:\POc:\PO CREATOR OWNER:(OI)(CI)(IO)(F)NT AUTHORITY\Authenticated Users:(OI)(CI)(RX)NT AUTHORITY\SYSTEM:(OI)(CI)(F)POLYGON\ekzorchik:(OI)(CI)(F)BUILTIN\Administrators:(OI)(CI)(F)Successfully processed 1 files; Failed processing 0 files |
Шаг №5: Измененный MSI—файл (radmin_3521.msi) может быть установлен вручную, с использованием специальной утилиты Radmin Deployment Tool, с помощью групповых политик, утилит для установки MSI-файлов или предоставлен сотрудникам для самостоятельной установки.
Шаг №6: Я буду распространять данный msi файл через GPO
Создаю WMI Filters
Win + X – Control Panel – Administrative Tools – Group Policy Management – Group Policy Management – Forest: polygon.com – Domains – polygon.com – и через правый клик на WMI Filters выбираю New…
Name: ClientQueries: AddNamespace: root\CIMv2Query: SELECT * FROM Win32_OperatingSystem WHERE ProductType = "1"
И нажимаю Save
На заметку: А можно обойтись и без WMI фильтров, просто создать группу, к примеру GRP_Office_Computers, добавлять туда те компьютеры на которых хотим видеть установленную серверную часть Radmin. И изменить ниже следующую политику что:
Location: polygon.comSecurity Filterning: GRP_Office_Computers
Вкладка Delegation – Add
Authenticated Users: права ReadWMI Filtering: оставляем по дефолту <none>
Шаг №7: Создаю GPO с именем: GPO_RadminServer
Win + X – Control Panel – Administrative Tools – Group Policy Management – Group Policy Management – Forest: polygon.com – Domains – и через правый клик на polygon.com выбираю "Create a GPO in this domain, and Link it here…"
Нацеливаю ее на весь домен
Links (Location): polygon.comSecurity Filtering (Name): Authenticated UsersWMI Filtering: Client
Открываю ее на редактирование и указываю что ее задача — это производить установку программы msi:
GPO_RadminServer – Computer Configuration – Policies – Software Settings – Software installation – New - Package
Select deployment method: Assigned
Затем открываю свойства добавленного пакета на инсталляцию через GPO и во вкладке Deployment отмечаю галочкой "Uninstall this application when it falls out of the scope of management"
На заметку: Закачал к себе в OwnCloud полученный msi файл
Шаг №8: В каталоге \\srv-dc1\PO нужно также разместить CPro+Radmin файл активации:
| 123456789101112131415161718192021222324252627 | Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\Fam64Helper] “FileName”=”Fam64Helper.exe” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\FamItrf2] “FileName”=”FamItrf2.exe” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\FamItrfc] “FileName”=”FamItrfc.exe” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\rserver3] “FileName”=”rserver3.exe” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\rsetup64] “FileName”=”rsetup64.exe” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\rsl] “FileName”=”rsl.exe” |
Этот файл если потребуется ручная активация на рабочих местах.
Т.к. я буду использовать Radmin не только на рабочих станциях, но и на серверах, то импортирую данный reg файл в систему (да прям на домен контроллер, позже удалю этот импортированный раздел):
Win + X – Command Prompt Admin –
| 123 | C:\Windows\system32>reg import c:\PO\CProExclude.reg The operation completed successfully. |
Шаг №9: Теперь перехожу к созданию данных ключей через GPO
Computer Configuration – Preferences – Windows Settings – Registry – Registry Wizard и отмечаю разделы реестра и параметры со значениями (это Важно) импортированные на текущую систему srv-dc1
Затем добавляю/изменяю еще один ключ в реестра:
Computer Configuration – Preferences – Windows Settings – Registry – New – Registry Item –
- Action: Update
- Hive: HKEY_LOCAL_MACHINE
- Key Path: SYSTEM\CurrentControlSet\Control\Windows
- Value Name: NoInteractiveServices
- Value type: REG_DWORD
- Value data: 00000000
- Base: Hexadecimal
Шаг №10: Далее нужно выставить загрузку системы через 1 минуту дабы скрипт/политика (делаю это на будущее) успел отработать это все делается в рамках создаваемой в этой заметке:
Computer Configuration – Policies – Administrative Templates – System – Group Policy –
Configure Logon Script Delay: EnabledOptions: minute: 1
Computer Configuration – Policies – Administrative Templates – System – Logon
Always wait for the network at computer startup and logon: Enabled
Шаг №11: Проверяю применение GPO к рабочей станции на оси Windows 10 Pro: W10X64P1
Win + R -> cmd.exe
| 1 | C:\Users\alektest> gpupdate /force |
На заметку: Брандмауер на Windows 10 Pro деактивирован
Шаг №12: Инициирую подключение через Radmin Viewer к ПК с установленным Radmin Server
On srv-dc1 – запускаю Radmin Viewer – Соединение – Соединиться с… —
Режим соединения: УправлениеIP адрес или DNS имя: W10X64P1Порт: 4899
И нажимаю ОК, после чего система безопасности запрашивает как будем подключаться, точнее под кем
Имя пользователя: ekzorchikПароль: 712mbddr@Домен: polygon.comИмя хоста: W10X64P1
Сохранить имя пользователя по умолчанию: отмечаю галочкой
И нажимаю ОК
На заметку:
Login = ekzorchik – это я Domain Admins
И вот я успешно подключен
Итого я получил задокумментированную заметку по установке Radmin Server на рабочие станции и если хочется, то и любые Windows системы. Как будут дополнительные нюансы я дополню данную заметку. Пока на этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.