主动远程援助

Question

我试图弄清楚如何允许一组用户使用msra /offerra向他们的域成员提供未经请求的远程帮助。

我创建了一个策略，支持“提供远程协助”，并将DOMAIN\RAHelpers用户组填充到“帮助”列表中。在应用策略之后，我可以看到DOMAIN\RAHelpers组在目标域计算机的本地“提供远程协助帮助”组中作为成员出现。但是，我无法与这些用户中的一个建立远程辅助连接，除非他们也是待援助计算机的本地管理员组的成员。错误消息非常不明确(“您的帮助要约无法发送”)，但我怀疑是DCOM权限问题，因为RA似乎使用DCOM，并且本地管理员可以很好地连接到帮助。

我需要什么最低限度的权限来允许未经请求的远程帮助？我显然不想把所有的助理员提拔给当地的行政人员。

Answer 1

事实证明，将用户添加到“分布式COM用户”本地组是一样容易的。

“启用远程协助”策略不会更改此组的成员身份，而未经请求的远程帮助似乎依赖于DCOM远程激活。

Answer 2

在我们的例子中，RA不起作用的问题是由于加密不匹配造成的。

域控制器使用的是RC4，Windows 10客户端使用的是and 128/256/future。

2.3.11.4 (L1) Ensure 'Network security: Configure encryption types allowed for Kerberos' is set to 'AES128_HMAC_SHA1, AES256_HMAC_SHA1, Future encryption types'