Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 11 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
11
Dung lượng
307,16 KB
Nội dung
WindowsVista:HỗtrợngườidùngsửdụngRemoteAssistanceRemoteAssistance (RA) trong Windows Vista gồm một số các cải thiện trong vấn đề kết nối, hiệu suất, khả năng sửdụng và tính bảo mật, ngoài ra cùng với một số tính năng nâng cao khác sẽ làm cho nó trở nên hữu dụng hơn trong bản Windows XP. Với sựhỗtrợ của Group Policy, khả năng kịch bản dòng lệnh, bản ghi session, tối ưu băng thông và một số thứ khác sẽ làm cho RA trở thành một công cụ cần thiết cho các doanh nghiệp nhằm hỗtrợngườidùng trong kịch bản Help Desk. Phần một này của bài viết chúng tôi sẽ giới thiệu cho các bạn RA làm việc như thế nào trong Vista, làm thế nào sửdụng nó để hỗtrợ cho người dùng, cách quản lý nó bằng Group Policy và kịch bản như thế nào. Tìm hiểu về RemoteAssistance Việc hỗtrợngườidùng là một chức năng cần thiết của các phòng CNTT và Help Desk. Tuy nhiên, việc hỗtrợ kỹ thuật thông thường cung cấp trên hệ thống điện thoại hoặc các công cụ “chat” nhìn chung không tạo được nhiều hiệu quả cao. Chính vì vậy, việc hỗ trợngườidùng thường gây tốn nhiều thời gian và chi phí cho các doanh nghiệp lớn. Ví dụ, ngườidùng thường gặp phải khó khăn khi mô tả chính xác bản chất của vấn đề mà họ đang mắc phải. Vì sự thiếu kinh nghiệm và kiến thức kỹ thuật, ngườidùng có thể cố gắng mô tả vấn đề của họ theo tính phi kỹ thuật, ngôn ngữ không chính xác. Chính vì vậy, Help Desk giảm rất nhiều hiệu quả vì phải hỏi một loạt các câu hỏi đơn giản để xác định vấn đề mà ngườidùng đang mắc phải. Việc thực hiện nhiều câu hỏi này đôi khi gây cho cảm giác không tốt đối với Help Desk, làm giảm hiệu quả đối với những kinh nghiệm mà họ có được, đôi khi nó còn làm cho ngườidùng có xu hướng tránh liên lạc với đội hỗtrợ khi các vấn đề phát sinh. Ngườidùng cũng thường gặp phải nhiều khó khăn bởi các hướng dẫn từ phía Help Desk trong khi họ đang được hỗ trợ. Những thành viên đội hỗtrợ được đào tạo tốt sẽ cố gắng tránh sửdụng thuật ngữ kỹ thuật khi giao tiếp với người dùng, nhưng mặc dù sửdụng ngôn ngữ giải thích có thể cải thiện kinh nghiệm hỗtrợ nhưng nó có thể gây ra mất nhiều thời gian và mệt mỏi. Ví dụ, việc nói cho một ngườidùng về cách sửdụng Disk Cleanup từ các công cụ hệ thống System Tools trong Accessories có thể cần đến nhiều lời giải thích hơn thông thường, cách truyền thông này có thể mất nhiều thời gian cho tình huống hỗ trợ, làm cho họ cảm thấy tốn về mặt chi phí cho phía công ty. RemoteAssistance (RA) giúp bạn giải quyết các vấn đề này bằng cách cho phép thành viên trong đội hỗtrợ có thể xem được desktop của ngườidùng bằng thời gian thực. Ngườidùng đang tìm kiếm sựhỗtrợ có thể minh chứng bản chất của vấn đề cho thành viên trợ giúp. Điều này sẽ nhanh hơn và hiệu quả hơn để trao đổi vấn đề so với sửdụng email. Nếu cần thiết, ngườidùng còn có thể trao cho thành viên hỗtrợ quyền truy cập để thừa nhận quyền điều khiển được chia sẻ của máy tính người dùng, qua đó thể hiệ n cho ngườidùng cách giải quyết vấn đề một cách dễ dàng. Chính vì vậy RemoteAssistance cho phép giải quyết các vấn đề nhanh hơn, cải thiện kinh nghiệm hỗtrợ và giảm giá thành tổng chi phí cho việc hỗ trợngườidùng trong một môi trường cộng tác lới. RemoteAssistance và Remote Desktop RemoteAssistance và Remote Desktop là các tính năng khác nhau có trong Windows Vista. Remote Desktop dựa cơ bản vào các dịch vụ đầu cuối của Microsoft và là một công cụ cho việc đăng nhập từ xa vào các máy tính điều khiển xa. Khi bạn sửdụngRemote Desktop để kết nối đến một máy tính điều khiển xa, một session ngườidùng mới sẽ được thành lập. Remote Desktop cũng có thể thành lập các session với máy tính mà không có session tương tác đang chạy (không có ngườidùng đăng nhập cục bộ) như các máy chủ không có máy dẫn đường. Còn RemoteAssistance là một công cụ trợ giúp các vấn đề khắc phục sự cố cho ngườidùng đối với máy tính của họ. Để sửdụngRemote Assistance, cả ngườidùng và ngườitrợ giúp phải hiện diện trên máy tính của họ. Không giống như Remote Desktop, RemoteAssistance không tạo một session mới mà thay vì đó nó cho phép ngườitrợ giúp có thể làm việc trong session đang tồn tại của người dùng. Desktop của ngườidùng được điều khiển xa bởi ngườitrợ giúp, ngườitrợ giúp có thể xem desktop của ngườidùng với sự đồng ý của người dùng, chia sẻ quyền điều khiển trên desktop. Đây là một cách hoàn toàn khác để tóm tắt sự khác nhau giữa hai tính năng này: Trong Remote Assistance, cả ngườidùng liên quan đang tìm kiếm tại cùng một desktop bằng sửdụng cùng các thông tin đăng nhập và có thể chia sẻ quyền điều khiển trên desktop đó; còn đối với Remote Desktop, khi người điều khiển xa đăng nhập, ngườidùng đã đăng nhập phải đăng xuất. Những cải thiện của RA trong Windows Vista Windows Vista gồm có một số tính năng mới và nâng cao của RA hơn so với trong Windows XP là: • Cải thiện kết nối bằng sửdụng Teredo và IPv6. • Cải thiện giao diện người dùng, cho phép dễ dàng khởi chạy và sử dụng. • File thực thi độc lập (msra.exe) áp dụng các đối số dòng lệnh và có thể dễ dàng được kịch bản hóa. • Cải thiện hiệu suất với việc khởi động và các lần kết nối nhanh hơn, hiệu suất băng thông được tối ưu hóa cho các nâng cấp màn hình. • Nâng cao tính bảo mật với mật khẩu và sự tích hợp bắt buộc với UAC (User Account Control). • Offer RA mới thông qua kịch bản IM (Instant Message) và một API mở cho việc tích hợp các ứng dụng ngang hàng. • Các thiết lập Group Policy truyền thống được cải thiện để có thể quản lý dễ dàng. RemoteAssistance trong Vista không có các tính năng sau đã có trong XP: • Không hỗtrợ nhiều cho phương pháp MAILTO của RemoteAssistance • Không hỗtrợ nhiều cho các session voice. RemoteAssistance làm việc như thế nào Trong Remote Assistance, người cần giúp được quy thành ngườidùng (User (hoặc Novice)) và ngườihỗtrợ cung cấp các hỗtrợ cho ngườidùng (Helper (hoặc Expert)). RA được khởi chạy từ menu Start bằng cách chọn All Programs, kích Maintenance, sau đó chọn WindowsRemote Assistance. Bạn cũng có thể khởi chạy nó từ cửa sổ lệnh bằng cách đánh msra.exe. RemoteAssistance có hai chế độ hoạt động cơ bản: 1. Solicited RA. Trong Solicited RA (cũng được hiểu là Escalated RA) ngườidùng yêu cầu sựhỗtrợ từ ngườitrợ giúp bằng cách khởi tạo một session RA bằng email, IM hoặc bằng cách cung cấp cho ngườitrợ giúp bản copy của một file đã được lưu (*.MsRcIncident). Các phương pháp đó sửdụng một cơ chế khác: - Solicited RA Using E-mail (Solicited RA sửdụng Email) Phương pháp này yêu cầu máy khách email đang được sửdụng bởi giao diện ứng dụng mail đơn giản hỗ trợngườidùng - User support Simple Mail Application Programming Interface (SMAPI). Một trong các ví dụ về máy khách email có hỗtrợ SMAPI là Windows Mail có trong Windows Vista. Các ví dụ khác là Microsoft Outlook và các máy khách của nhóm thứ ba. Trong phương pháp này, ngườidùng khởi chạy giao diện ngườidùng RA để tạo một thông báo email có file RA (*.MsRcIncident) được gắn kèm với thông báo. Ngườidùng phải nhập vào đó một mật khẩu cho session RA, mật khẩu này phải được truyền thông đến ngườitrợ giúp bằng một phương pháp khác (OOB) chẳng hạn như quay số gọi điện thoại cho ngườitrợ giúp. Khi ngườitrợ giúp nhận được lời mời RA của người dùng, họ sẽ mở thẻ đính kèm, nhập vào mật khẩu mà đã được ngườidùng cho, khi đó session RA bắt đầu. Ngườitrợ giúp phải đáp ứng lời mời từ ngườidùng bên trong một khoảng thời gian giới hạn nào đó (mặc định là 6 giây) hoặc lời mời sẽ hết hạn và một lời mời mới sẽ cần thiết được gửi đến. Trong môi trường miền, thời gian sống của thẻ này cũng có thể được cấu hình bằng Group Policy, chúng tôi sẽ giới thiệu cho các bạn về việc quản lý RemoteAssistance bằng Group Policy trong một số bài sau. - Solicited RA Using File Transfer (Solicited RA sửdụng bộ truyền tải File) Phương pháp này yêu cầu cả ngườidùng và ngườitrợ giúp đều phải truy cập vàp một thư mục chung (như một mạng chia sẻ trên một máy chủ file) hoặc họsửdụng một số phương pháp khác để truyền tải thông tin file (ví dụ, bằng cách sửdụng một khóa USB để truyền tải file hoặc upload file lên một site FTP). Ngườidùng tạo một file mời RA và lưu lại nó trong một thư mục chia sẻ. Ngườidùng phải cung cấp một mật khẩu, mật khẩu này được dùng để truyền thông với ngườitrợ giúp bằng sửdụng phương pháp gọi điện thoại như đã nói trên. Ngườitrợ giúp lấy được thẻ và phải đáp ứng lại cho lời mời bên trong một khoảng thời gian cụ thể hoặc lời mời đó sẽ hết hiệu lực và phải chờ đến lời mời sau. (thời hạn được cấu hình trong Group Policy). - Solicited RA Using Instant Messaging (Solicited RA bằng IM) Phương pháp này cần đến các ứng dụng IM đang được sửdụng bởi cả ngườidùng và ngườitrợ giúp có hỗtrợ Rendezvous API mới của Microsoft. Windows Live Messenger là một ví dụ của một ứng dụng IM có hỗtrợ Rendezvous (trao đổi). Windows Live Messenger có sẵn trên mạng để các bạn có thể download. Trong ph ương pháp này, ngườidùng yêu cầu sựhỗtrợ từ một ai đó trên danh sách bạn thân của anh ta. Để bảo đảm rằng người điều khiển xa thực sự là bạn thân của ngườidùng này (không phải là ai đó giả làm bạn thân để lừa bạn), RemoteAssistance yêu cầu một mật khẩu được tiếp sóng từ ngườidùng đến ngườitrợ giúp bằng các cách khác nhau (chẳng hạn như gọi điện thoại) trước khi ngườitrợ giúp có thể kết nối. Để có thể tìm hiểu sâu hơn về Rendezvous API, bạn có thể xem Windows SDK trên MSDN tại địa chỉ http://windowssdk.msdn.microsoft.com/en- us/library/default.aspx. 2. Unsolicited RA. Trong Unsolicited RA (cũng được biết đến như Offer RA), ngườitrợ giúp giúp đỡ ngườidùng bằng cách khởi tạo một session RA. - Offer RA using DCOM (Tạo RA bằng sửdụng DCOM) Đây là kịch bản Help Desk điển hình trong đó tất cả ngườidùng đều trong một miền. Ngườitrợ giúp nhập vào tên đầy đủ của họ (FQDN) hoặc địa chỉ IP của máy tính để kết nối vàp máy tính của người dùng. Phương pháp này yêu cầu ngườitrợ giúp phải được xác thực quyền quản trị miền để có thể cung cấp RA cho người dùng. Phương pháp này cũng yêu cầu ngườitrợ giúp biết tên (tên máy chủ trên subnet cục bộ; tên đầy đủ) hoặc địa chỉ (IPv4 hoặc IPv6) của máy tính người dùng. - Offer RA using Instant Messaging (Tạo RA bằng IM) Phương pháp này yêu cầu đến ứng dụng instant messaging (IM) được sửdụng bởi cả ngườidùng và ngườitrợ giúp có hỗtrợ Rendezvous API. Trong phương pháp này, ngườitrợ giúp hỗtrợ ai đó trong danh sách bạn thân của anh ta. Nếu người này đồng ý thì anh ta phải nhập vào một mật khẩu để ngườitrợ giúp sử dụng. Mật khẩu phải được chuyển bằng một phương pháp khác để bảo đảm người điều ở xa thực sự là bạn thân của ngườidùng (tránh trường hợp là một ai đó giả mạo). Để có thêm thông tin chi tiết về Rendezvous API, bạn có thể xem tại địa chỉ http://windowssdk.msdn.microsoft.com/en- us/library/default.aspx. Các file mời RA làm việc như thế nào Các file mời RA (.MsRcIncident) là các file định dạng XML gồm có thông tin được sửdụng bởi máy tính của ngườitrợ giúp, máy tính sẽ thực hiện một kết nối. Thông tin thẻ này được mã hóa để ngăn chặn ngườidùng không hợp lệ truy cập, sửdụng email hoặc truyền tải file được sửdụng để gửi lời mời trên mạng không an toàn. Nếu phương pháp email được sửdụng để gửi file mời đến ngườitrợ giúp thì file mời được gửi như một đính kèm email với một tên file là RATicket.MsRcIncident. Còn nếu phương pháp truyền tải file được sửdụng thì file mời sẽ được tạo mặc định trên desktop của máy tính ngườidùng và tên file của file mời này là Invitation.MsRcIncident. Trạng thái hoạt động của RA RemoteAssistance có ba trạng thái hoạt động sau: - Waiting For Connect (Đợi kết nối) Trạng thái này xuất hiện khi: • Ngườitrợ giúp đã cung cấp RA cho ngườidùng nhưng ngườidùng vẫn chưa đồng ý cho phép ngườitrợ giúp kết nối đến máy tính của anh ta. • Ngườidùng đã gửi đến ngườitrợ giúp một lời mời nhưng ngườitrợ giúp vẫn chưa đáp trả bằng cách mở nó hoặc đã mở file mời và ngườidùng vẫn chưa đồng ý cho phép ngườitrợ giúp kết nối tới máy tính của anh ta. Trong trạng thái đợi kết nối, ngườitrợ giúp không thể xem hoặc điều khiển màn hình máy tính của ngườidùng cho tới khi một kết nối RA được thiết lập và cả hai máy tính đều đã vào trạng thái màn hình chia sẻ. Khi ứng dụng RA được bắt đầu và đang chạy trong trạng thái đợi kết nối, ứng dụng sẽ không được đóng cho tới khi nhóm khác đáp ứng và thiết lập kết nối. Ví dụ, nếu ngườidùngsửdụng phương pháp Solicit RA Using E-mail và gửi một file mời đến ngườitrợ giúp, ứng dụng RA mở trên máy tính của ngườidùng và đợi cho tới khi ngườitrợ giúp chấp nhận lời mời. Nếu ngườidùng đóng RA trên máy tính của anh ta trước khi ngườitrợ giúp chấp nhận lời mời thì ngườitrợ giúp sẽ không thể kết nối được với ngườidùng và ngườidùng cần phải gửi một lời mời mới. - Screen Sharing (Màn hình chia sẻ) Trạng thái này xuất hiện khi ngườidùng đã đồng ý cho phép ngườitrợ giúp kết nối đến máy tính của anh ta – sau khi ngườidùng đã gửi đến ngườitrợ giúp một file mời hoặc ngườitrợ giúp đã cung cấp RA cho người dùng. Trong trạng thái màn hình chia sẻ, session RA được thiết lập và ngườitrợ giúp có thể xem nhưng không thể điều khiển màn hình của máy tính người dùng. Khi ngườidùng được nhắc đồng ý cho phép ngườitrợ giúp kết nối với máy tính của anh ta thì một thông báo sẽ xuất hiện trên máy tính của người dùng, thông báo này cho biết rằng ngườitrợ giúp muốn kết nối đến máy tính của anh ta. Thông báo này có thể tùy chỉnh bằng sửdụng Group Policy. - Control Sharing (Chia sẻ điều khiển) Trạng thái này xuất hiện sau trạng thái màn hình chia sẻ, khi ngườitrợ giúp đã yêu cầu quyền điều khiển của máy tính ngườidùng và ngườidùng đã đồng ý để ngườitrợ giúp có thể điều khiển máy tính. Trong chế độ này, ngườitrợ giúp có cùng mức truy cập đối với máy tính mà ngườidùng có và ngườitrợ giúp có thể sửdụng chính chuột và bàn phím của anh ta để thực hiện các hành động trên máy tính của người dùng. Đặc biệt: • Nếu ngườidùng là một ngườidùng chuẩn trên máy tính thì ngườitrợ giúp chỉ có thể thực hiện các hành động trên máy tính của ngườidùng như một ngườidùng chuẩn. • Nếu ngườidùng là một quản trị viên cục bộ trên máy tính thì ngườitrợ giúp có thể thực hiện các hành động trên máy tính của ngườidùng như một quản trị viên. Để có thêm thông tin chi tiết về mức điều khiển mà ngườitrợ giúp có trên máy tính của người dùng, bạn có thể theo dõi trong các bài sau. Chức năng của ngườidùng và ngườitrợ giúp Khi kết nối RA đã được thành lập và cả hai máy tính đã đều vào trạ ng thái màn hình chia sẻ thì ngườidùng và ngườitrợ giúp có thể thực hiện các nhiệm vụ được liệt kê trong bảng dưới đây: Mô tả các nhiệm vụ Người dùngNgườitrợ giúp Chat Yes Yes Gửi file Yes Yes Lưu bản ghi hành động session Yes (default) Yes (default) Cấu hình sửdụng băng thông Yes No Dừng (màn hình ẩn tạm thời) Yes No Yêu cầu quyền điều khiển được chia sẻ No Yes Từ bỏ quyền điều khiển chia sẻ Yes Yes Hủy kết nối Yes Yes Hủy kết nối bằng phím Esc Yes No Bảng 1: Các nhiệm vụ có thể được thực hiện bởi ngườidùng và ngườitrợ giúp trong suốt một session RA RemoteAssistance và NAT Traversal RemoteAssistance làm việc bằng cách thiết lập kết nối ngang hàng giữa máy tính ngườidùng và máy tính của ngườitrợ giúp. Một khó khăn trong kết nối này là rất khó có thể thiết lập kết nối ngang hàng nếu một hoặc cả hai máy tính này nằm phía sau gateway hoặc router có sửdụng Network Address Translation (NAT). NAT là một công nghệ định tuyến được mô tả bởi RFC 1631, được sửdụng để dịch các địa chỉ IP và số cổng TCP/UDP trong các gói tồn tạ i được chuyển tiếp. NAT điển hình được sửdụng để ánh xạ một tập các địa chỉ IP riêng thành một địa chỉ IP cộng cộng (hoặc thành nhiều địa chỉ công cộng). Các mạng gia đình đang sửdụng router chạy dây hoặc không dây cũng sửdụng công nghệ NAT này. Để vượt qua được khó khăn này, Vista đã được xây dựng kèm theo sựhỗtrợ của Teredo, một kỹ thu ật chuyển tiếp IPv6 được mô tả trong RFC 4380, kỹ thuật này sẽ cung cấp chỉ định địa chỉ và tự động tạo đương hầm cho kết nối unicast IPv6 thông qua toàn mạng Internet IPv4. Khả năng của NAT traversal được cung cấp bởi Teredo trong Vista cho phép kết nối RA khi một hoặc cả hai ngườidùng trong một session RA bị ẩn đằng sau NAT. Cảm nhận về RA là trong suốt xét trên phối cảnh của ngườidùng có liên quan, không quan tâm đến NAT nào đang được sửdụng trên mạng của người dùng. Với hầu hết các doanh nghiệp nhỏ và môi trường ngườidùng gia đình, RA của Vista sẽ liên tục đi theo NAT-enabled router không cần cấu hình router bổ sung. Lưu ý: Việc cung cấp RA bằng sửdụng DCOM không thường xuyên là kịch bản Teredo vì ngườidùng doanh nghiệp luôn ở đằng sau tường lửa của công ty và không được phân biệt với nhau bởi các NAT. RA sẽ không kết nối trong một số cấu hình nào đó. Đặc biệt: • Teredo không thể đi theo một NAT đối xứng. RA chỉ có thể kết nối xuyên qua các NAT bị hạn chế và NAT hình nón. Trong một số trường hợp, điều này không phải là một hạn chế quan trọng bởi vì phần lớn các NAT được triển khai là loại bị hạn chế hoặc hình nón. • RA sẽ không làm việc nếu NAT-enabled router được cấu hình để khóa các cổng nào đó được sửdụng bởi RA. • RA sẽ không làm việc nếu NAT-enabled router của ngườidùng được cấu hình để khóa tất cả lưu lượng UDP. Lưu ý: Để xác định kiểu của NAT mà một mạng đang sử dụng, bạn mở cửa sổ lệnh và đánh vào đó netsh interface teredo show state. RemoteAssistance và các cổng IP được sửdụng Các cổng được sửdụng bởi session RA phụ thuộc vào session giữa các máy tính Vista hoặc giữa máy tính Vista và một máy tính XP. Cụ thể: • Vista với Vista: Các cổng động được định vị bởi hệ thống trong dải TCP/UDP 49152– 65535 • Vista với XP: Cổng 3389 TCP (cục bộ/từ xa) Thêm vào đó, kịch bản Offer RA thông qua DCOM sửdụng cổng 135 (TCP). RemoteAssistance và Windows Firewall Windows Firewall được cấu hình với một ngoại lệ nhóm cho RA. Ngoại lệ nhóm này có nhiều thuộc tính được gộp vào thành một phần của ngoại lệ RA. Các thuộc tính ngoại lệ RA sẽ thay đổi phụ thuộc vào vị trí mạng của máy tính (riêng, công cộng, hoặc miền). Ví dụ, ngoại lệ RA mặc đị nh khi máy tính trong các điểm công cộng sẽ chính xác hơn khi máy tính trong vị trí riêng. Trong điểm công cộng (như sân bay), ngoại lệ RA bị vô hiệu hóa mặc định, không mở các cổng Universal Plug-and-Play (UpnP) và lưu lượng Simple Service Discovery Protocol (SSDP). Trong mạng riêng (mạng gia đình chẳng hạn) ngoại lệ RA sẽ được kích hoạt mặc định và lưu lượng uPnP và SSDP được cho phép. Bảng tổng hợp 2 là các trạng thái ngoại lệ đi vào của tường lửa RA cho mỗi location mạng. Mặc dù vậy, Ngoại lệ RA cũng có các thuộc tính đi ra, Windows Firewall không được cấu hình mặc định để kích hoạt các thuộc tính ra. Vị trí mạng Trạng thái của ngoại lệ RA Các thuộc tính mặc định của ngoại lệ RA Mạng riêng (gia đình hoặc nơi làm việc) Được kích hoạt mặc định • Ngoại lệ ứng dụng Msra.exe • uPnP được kích hoạt cho việc truyền thông với uPnP NATs • Edge traversal được kích hoạt để hỗtrợ Teredo Công cộng Bị vô hiệu hóa mặc đinh – phải được kích hoạt bởi quyền quản trị viên • Ngoại lệ ứng dụng Msra.exe • Edge traversal được kích hoạt để hỗtrợ Teredo Miền Bị vô hiệu hóa mặc định – được kích hoạt bởi Group Policy • Ngoại lệ ứng dụng Msra.exe • Ngoại lệ ứng dụng RAServer.exe (RA COM server) • DCOM cổng 135 • uPnP được kích hoạt cho việc truyền thông với uPnP NATs Bảng 2: Trạng thái mặc định của ngoại lệ đầu vào RemoteAssistance Firewall cho mỗi kiểu vị trí mạng Trong các hồ sơ Windows Firewall, cấu hình mặc định của ngoại lệ RA như sau: - Private profile Ngoại lệ RA trong Windows Firewall được kích hoạt mặc định khi location máy tính được thiết lập là “private.” Nó được cấu hình NAT traversal bằng sửdụng Teredo mặc định để ngườidùng trong môi trường kết nối mạng riêng (ví dụ, môi trường gia đình) có thể có được sự giúp đỡ từ ngườidùng khác, những người có thể cũng ở đằng sau NAT. Hồ sơ riêng gồm các ngoại lệ thích hợp cần cho truyền thông với thiết bị uPnP NAT. Nếu có một uPnP NAT trong môi trường này, RA sẽ sửdụng uPnP cho NAT traversal. Offer RA thông qua DCOM không được cấu hình trong profile này. - Public profile Ngoại lệ RA bị vô hiệu hóa mặc định và không cho phép lưu lượng RA vào. Windows Firewall được cấu hình theo cách này mặc định để có thể bảo vệ tốt hơn ngườidùng trong môi trường mạng công cộng (như quán cà phê hoặc sân bay). Khi ngoại lệ RA được kích hoạt, NAT traversal sửdụng Teredo được kích hoạt. Mặc dù vậy, lưu lượng đến các thiết bị uPnP không được kích hoạt và Offer RA thông qua DCOM cũng không được kích hoạt. - Domain Profile. Ngoại lệ RA khi máy tính trong môi trường miền được chuyển tiếp sang kịch bản Offer RA. Ngoại lệ này bị vô hiệu hóa mặc định và được kích hoạt thông qua Group Policy. Teredo không được kích hoạt trong hồ sơ này bởi vì mạng công ty thường có một tường lửa để khóa lưu lượng Teredo UDP. Mặc dù vậy, uPnP được kích hoạt để các uPnP NAT có thể truyền thông. RemoteAssistance và Secure Desktop Khi ngườidùng đồng ý để ngườitrợ giúp có thể chia sẻ được quyền điều khiển trên máy tính của anh ta trong suốt một session RA, ngườidùng có tùy trọn để cho phép ngườitrợ giúp đáp ứng các nhắc nhở UAC (hình 1). Điển hình, các nhắc nhở User Account Control (UAC) xuất hiện trên Secure Desktop (thành phần không được điều khiển xa) và vì vậy ngườitrợ giúp không thể thấy được hoặc đáp trả các nhắc nhở Secure Desktop. Chế độ Secure Desktop giống với chế độ mà ngườidùng nhìn thấy khi đăng nhập vào máy tính hoặc nhấn tổ hợp phím (Ctrl+Alt+Delete). Các nhắc nhở UAC được hiển thị trên Secure Desktop thay vì desktop thông thường của ngườidùng để bảo vệ họ tránh phải các hiểm họa gây ra bởi malware. Ngườidùng phải tuân theo nhắc nhở UAC để trở về desktop thông thường của họ và tiếp tục làm việc. Sự đồng thuận này yêu cầu cả việc kích Continue (nếu ngườidùng là một quản trị viên cục bộ trên máy tính) hoặc bằng nhập vào các thông tin quản trị cục bộ (nếu anh ta là một ngườidùng chuẩn). Hình 1: Ngườidùng có tùy chọn để cho phép ngườitrợ giúp đáp ứng các nhắc nhở UAC khi session RA trong trạng thái chia sẻ điều khiển. Bên cạnh đó việc hiểu Secure Desktop trên máy tính ngườidùng không được điều khiển xa đối với máy tính của ngườitrợ giúp cũng rất quan trọng. Nói cách khác, ngườitrợ giúp chỉ có thể đáp trả các nhắc nhở UAC trên máy tính của ngườidùng bằng sửdụng chính các thông tin của người dùng. Điều đó có nghĩa, nếu ngườidùng là ngườidùng chuẩn trên máy tính trong khi đó ngườitrợ giúp là một quản trị viên cục bộ trên máy tính của ngườidùng thì ngườitrợ giúp chỉ có thể có quyền quản trị trên máy tính ngườidùng nếu ngườidùng cung cấp cho anh ta các thông tin cần thiết. Việc đưa ra hạn chế này là cần thiết để bảo đảm bảo mật cho các máy tính Vista. Lý do ẩn đằng sau quyết định thiết kế này là nếu RA được thiết kế để cho phép ngườitrợ giúp điều khiển xa với các quyền của ngườidùng thì ngườidùng có thể sẽ dừng session RA và vì vậy có thể lấy các thông tin quản trị cục bộ từ phía ngườitrợ giúp. Việc ghi log của RA RemoteAssistance có thể ghi session các hành động liên quan đến RA. Việc ghi session này được kích hoạt mặc định và gồm có các bản ghi time-stamped để nhận dạng các hành động liên quan đến RA trên mỗi máy tính. Các bản ghi session gồm thông tin về các hành động liên quan đến chức năng của RA, như ai đã khởi tạo session,… Các b ản ghi session này không có thông tin về nhiệm vụ hiện tại mà ngườidùng và ngườitrợ giúp đã thực hiện trong suốt một session. Ví dụ, nếu ngườitrợ giúp nhận được quyền điều khiển chia sẻ, bắt đầu một nhắc nhở lệnh quản trị và thực hiện các bước để cấu hình lại TCP/IP trên máy tính của ngườidùng trong suốt một session RA thì các bản ghi session sẽ không có bản ghi của hành động này. Các bản ghi session gồm có cả các hành động chat được trao đổi trong suốt một session RA. Bản ghi đã tạo ra trong suốt một session cũng được hiển thị bên trong cửa sổ chat để cả ngườidùng và ngườitrợ giúp có thể nhìn thấy những gì đã được ghi trong suốt session. Các bản ghi này cũng gồm có hành động trao đổi file xảy ra trong suốt session, và cũng ghi lại khi session bị dừng. Mục đích của việc ghi session RA Các bản ghi session cho RA được dự định chính cho hoạt động kinh doanh yêu cầu duy trì các bản ghi hệ thống và hành động ngườidùng cho mục đích ghi chép. Chúng không được dự định để ghi các hành động được thực hiện bởi cá nhân trợ giúp khi các vấn đề khắc phục sự cố với máy tính của người dùng. Một môi trường điển hình trong việc ghi chép session là ở các ngân hàng, tại đây các tình huống tài chính bị yêu cầu bằng luật là phải giữ các bản ghi của những người đã truy cập vào máy tính và thời điểm nào. Vì ACL tên các bản ghi session này cho phép toàn quyền điều khiển của ngườidùng trên các bản ghi đã được lưu trên máy tính của chính họ, mặc định các bản ghi session được tạo ra trên cả máy tính của ngườidùng và ngườitrợ giúp để ngườitrợ giúp có thể bảo vệ và thực hiện chúng khi bị xáo trộn. Trong môi trường doanh nghiệp, Group Policy có thể được sửdụng để kích hoạ t hoặc vô hiệu hóa việc ghi session. Nếu việc ghi chép này không được cấu hình bằng Group Policy, thì cả ngườidùng và ngườitrợ giúp hoàn toàn vô hiệu hóa việc ghi chép session trên máy tính của chính họ. Đường dẫn bản ghi session và việc đặt tên thông thường Bản ghi session là các tàiliệu XML để chúng có thể dễ dàng tích hợp vào các kiểu dữ liệu khác – ví dụ, bằng cách import chúng thành một cở sở dữ liệu được quản lý bởi Microsoft SQL Server 2005. Tất cả các bản ghi session đều được lưu trong thư mục Documents của ngườidùng bên trong đường dẫn sau: Users\user_name\Documents\Remote Assistance Logs [...]... fe80::2856:e5b0:fc18:143b%10 jdow... DATE="Wednesday, August 09, 2006">jchen: ok . Windows Vista: Hỗ trợ người dùng sử dụng Remote Assistance Remote Assistance (RA) trong Windows Vista gồm một số các cải. nào sử dụng nó để hỗ trợ cho người dùng, cách quản lý nó bằng Group Policy và kịch bản như thế nào. Tìm hiểu về Remote Assistance Việc hỗ trợ người dùng