Заметки о Windows и других программных продуктах Microsoft...

Настройка Windows Remote Management с помощью групповых политик

Настройка Windows Remote Management с помощью групповых политик

Удаленное управление в Windows осуществляется с помощью службы Windows Remote Management (она же WinRM). Теоретически на всех более современных ОС эта служба должна быть активна по умолчанию, на практике же это не всегда так. Для того, чтобы гарантированно иметь возможность удаленного доступа, необходимо принудительно активировать службу и настроить к ней доступ. В доменной среде для этого проще всего воспользоваться групповыми политиками.

Поэтому открываем оснастку управления групповыми политиками, создаем новый объект групповой политики и приступаем к его настройке.

Первым делом нам необходимо разрешить удаленное управление. Для этого переходим в раздел Computer Policies\Administrative Templates\Windows Components\Windows Remote Management (Win RM)\WinRM Service и находим там параметр с названием «Allow remote server management through WinRM».

политика для разрешения WinRM

 

Активируем его, переведя переключатель в состояние «Enabled». Дополнительно в разделе «Options» можно указать IP-адреса, с которых разрешено удаленное управление. Если оставить звездочку (*), то доступ будет разрешен с любого адреса  IPv4/IPv6.

настройка политики

 

Затем идем в раздел Computer Configuration\Policies\Windows Components\Windows Remote Shell, находим пункт с именем «Allow Remote Shell Access»

политики remote shell

 

и активируем его. Эта настройка отвечает за удаленный доступ с использованием консоли cmd или powershell.

разрешаем remote shell

 

Следующим шагом будет настройка файерволла. Нам необходимо создать новое правило для входящих подключений, поэтому переходим в раздел Computer Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Inbound Rules, кликаем правой клавишей мыши, выбираем пункт «New Rule»

создание правила файерволла

 

переходим к пункту «Predefined» и из списка готовых правил выбираем «Windows Remote Management».

выбор типа правила

 

В следующем окне видим два готовых правила, подходящие под наш запрос. На самом деле это одно и то же правило, но для разных профилей. Можем убрать лишнее, сняв галку, либо не заморачиваемся и просто жмем «Next».

выбор профиля

 

Поскольку правило разрешающее, то в качестве действия выбираем «Allow the connection» и жмем «Finish».

выбор действия

 

Правила готовы, идем дальше.

готовые правила

 

Как я уже говорил, возможность удаленного управления обеспечивает служба Windows. Эта служба должна быть всегда активна, поэтому установим для нее режим автоматического запуска. Переходим в раздел Computer Policies\Windows Settings\Security Settings\System Services, находим службу Windows Remote Management (WS-Management) и дважды кликаем по ней.

настройка типа запуска службы WinRM

 

В открывшемся окне отмечаем чекбокс «Define This Policy Setting» и указываем тип запуска «Automatic».

включение автозапуска службы

 

Теперь переходим в раздел Computer Policies\Preferences\Control Panel Settings\Services, кликаем в нем правой клавишей и выбираем New -> Service.

настройка службы WinRM

 

В поле «Service name» выбираем службу WinRM.

выбор службы

 

Затем переходим на вкладку «Recovery» и указываем рестартовать службу в случае ее сбоя или остановки. Этот шаг в принципе необязателен, но на всякий случай пусть будет.

выбор действия при остановке службы

 

На этом все. Готовую политику назначаем на нужные OU и ждем, пока настройки применятся.

 
 
Комментарии

Пока нет комментариев.