GUIDE ADMINISTRATEUR SUR L’ ASSISTANCE A

DISTANCE WINDOWS : CAS DE EXCENT GROUPE

1
TABLE DES MATIERES
CHAPITREI : GENERALITES SUR L’ASSISTANCE A DISTANCE WINDOWS……....….…....4
I. L’assistance à distante Windows……………………………………………………...……...………….....4
II. L’algorithme RC4…………………………………………………………………………..…………...…….…...4
III. Les protocoles et ports de transmission utilisés…………………………………….……..………...5
IV. Les modes de fonctionnemenst de l’assistance à distance Windows………….….….....…...7
1. Mode de fonctionnement automatique…………………………………………...…..…………....7
2. Mode de fonctionnement manuelle………………………………………………….….….….….....9
3. Mode de fonctionnement manuelle assisté…………………………………...…………....…...11

CHAPITREII : ETUDE DE L’ASSISTANCE A DISTANCE WINDOWS………………...……….13

I. Déploiement de l’assistance à distance Windows par GPO sur Windows serveur
2008 R2………………………………………………………………………..………….……………..…...….....13
1. Assistance à distance sollicitée ……………………………………………………...……....….......14
2. proposer l’assistance à distance………………………………………………..………...……….…16

II. Les autres paramètres de l’assistance à distance Windows configurables par

stratégie de groupe……………………….…………………………………………………….……….……..17
1. autoriser uniquement les connexions d’ordinateurs Windows vista ou de version
ultérieure……………………………………………………………………………………………...………..…...17
2. Activer l’optimisation de la bande passante………………………………………...…....…………..19
3. Activer la journalisation de session……………………………………………………………………....20
4. Personnaliser les messages d’avertissement ……………………………………………….…..…...21

III. Configuration de l’assistance à distance Windows en mode

manuelle…………………………………………………………………………………..………………….…….22

IV. Configuration du mode assistance manuelle

assistée…………………………………………………………….………………….………………………….....24

V. Configuration du Pare Feu relatif à l’assistance à distance Windows ………………......27

CHAPITRE III : IMPLEMENTATION DE L’ASSISTANCE A DISTANCE WINDOWS AU

SEIN DU DOMAINE EXCENT GROUPE……………………………...…………………………...….…...30
I. Choix du mode d’assistance à distance Windows à déployer…………………………..……..….31
1. Architecture du domaine Excent Groupe……………………………………...…….…..………31
2. La solution retenue ……………………………………….………………..………………..…..…….....32
II. Maquettage…………………………………………………………..………………………………..………….....…32
1. Schéma du Laboratoire de test………………..……..……………………………….…………….32
2. Description du cadre de travail…………………………………………….……………………..…33

2
 III. Déploiement de l’assistance à distance Windows au sein du domaine EXcent
Groupe………………………………………………………………………………….……….………………......…..34
1. Configuration de l’assistance à distance proposé Windows………….…....……….….....….….…34
1.1 Activer l’optimisation de la bande passante…………..………….…...………….……....36
1.2 Personnaliser les messages d’avertissements……………..……….………………........37
1.3 Proposer l’assistance à distance………………...……………..………….………….….........38

2. Configuration des droits d’élévations pour les comptes d’administrateur……...…............39

3. Création de raccourci pour l’assistance à distance……………………………………….……....…...40

CHAPITRE VI : MODE DE FONCTIONNEMENT ET TEST PERFORMENCE ET

SCENARIO………………………………………..……………………………………………………….….……..41
I. Mode d’utilisation de l’assistance à distance Windows…………………………………..….....41
1. Action à mener sur la machine du conseiller……………………………...……..…………...............41
2. Actions à mener sur la machine de l’utilisateur………………………………………...……....…....42
3. Les outils à dispositions du conseiller et de l’utilisateur………...................................………..43

II. Mise en situation et scenarios……………………………………..……………………………...……....44

ANNEXE………………………………………………………………………………………………………….…………..........46

3
CHAPITRE I: GENERALITE SUR L’ASSISTANCE A DISTANCE WINDOWS

I. L’assistance à distance Windows

Les systèmes Microsoft Windows intègrent depuis Windows XP, nativement deux outils de prise
en main à distance assez simple d’usage et qui s’appuient tous deux sur le protocole RDP
(Remote Desktop Protocol) :

L’outil de Connexion Bureau à distance, basé uniquement sur RDP qui lui-même peut
s’appuyer sur des mécanismes d’authentification au niveau réseau (Kerberos par exemple) ;

l’outil d’Assistance à distance, utilisant entre autres les protocoles MS-RA (Remote
Assistance Protocol) et MS-RAI (Remote Assistance Initiator) et ne faisant appel à RDP que
pour le déport d’affichage une fois la connexion établie. À titre d’exemple, l’utilisation de la
"Connexion Bureau à distance" standard nécessite l’emploi du compte de l’utilisateur télé-
assisté et requiert la connaissance du login et du mot de passe par le télé-assistant. Elle
empêche de fait de distinguer dans les journaux un accès illégitime à des ressources locales
(données, périphériques) et donc, d’identifier toute fuite d’information. Au contraire, une
"Assistance à distance", qui serait par exemple à l’initiative de l’utilisateur depuis le centre
d’aide et de support, génère un jeton d’accès unique qui est transmis à la personne en charge
de la téléassistance. Par ce biais, l’utilisateur ne communique pas son mot de passe. Il
conserve le contrôle des opérations effectuées par le biais d’un affichage partagé et, en cas
d’incident, l’exploitation ultérieure des journaux d’événements en est facilitée. L’outil
d’"Assistance à distance" s’avère donc bien plus adapté à un usage de téléassistance que ne
l’est celui de "Connexion Bureau à Distance" plus adapté à des tâches d’administration.

II. L’algorithme RC4

RC4 a été conçu par Ronald Rivest de RSA Security en 1987. Officiellement nommé Rivest Cipher
4, l'acronyme RC est aussi surnommé Ron's Code comme dans le cas de RC2 , RC5 et RC6.

RC4 fonctionne de la façon suivante : la clef RC4 permet d’initialiser un tableau de 256 octets en
répétant la clef autant de fois que nécessaire pour remplir le tableau. Par la suite, des opérations
très simples sont effectuées : les octets sont déplacés dans le tableau, des additions sont
effectuées, etc. Le but est de mélanger autant que possible le tableau. Finalement on obtient une
suite de bits pseudo-aléatoires qui peuvent être utilisés pour chiffrer les données via un XOR

4
 III. Les protocoles et port de transmission utilisés

L’assistance à distance Windows s’appuie sur le protocole MS-RA (Microsoft- assistance à

distance) pour maintenir la communication à distance entre deux machines lors d’une
session d’assistance à distance ; pour ce faire elle s’appuie sur deux protocoles qui sont MS-
RAI et MS-RDPBGCR. Voir figure ci-dessous

Figure1 : interaction entre les différents protocoles utilisés pour assistance à distance Windows

Le protocole d’assistance à distance MS-RA est le protocole, utilisé après

l’établissement de la connexion d’assistance à distance entre deux ordinateurs. Après
l’établissement de la connexion d’assistance à distance, ce protocole est utilisé pour maintenir
la communication et le contrôle entre les deux ordinateurs. Les fonctions prises en charge par le
modèle d’assistance à distance sont :

Initialisation de la session
Transfert de fichiers
Le chat (texte échanges de message)

5
 Le contrôle du partage
Contrôle de la Voip

Le protocole MS-RAI est le protocole d’initiation de l’assistance à distance. Il fournit un

ensemble d’interface DCOM utilisé pour initier la connexion d’assistance à distance vers un autre
ordinateur. En effet ces interfaces DCOM permettent au conseiller (personne qui vient en aide)
de récupérer les données de connexion d’assistance à distance spécifique à l’ordinateur du
novice (personne aidé). Ces données spécifiques à la connexion d’assistance à distance sont
ensuite utilisées pour établir une connexion d’assistance à distance. Cependant le protocole MS-
RA s’appuie sur d’autre programme qui sont le MS-DPBCGR, MS-RAI

Le conseiller doit être muni d’un fichier ID (fichier d’invitation à l’assistance à distance), ou de
l’adresse IP de la machine ou du FQDN de la machine du novice

Le conseiller joue le rôle du client DCOM, La machine du novice joue le rôle du serveur DCOM

Avant l’exécution du client DCOM sur la machine distante, le serveur DCOM (machine distance)
vérifie que le conseiller est sur la liste des utilisateurs autorisé à l’assistance à distance (cas de
l’assistance automatique voir plus loin dans le document)

Le protocole MS-RDPBCGR est le protocole bureau à distance : connectivité basic et

affichage distant qui facilite l’interaction de l’utilisateur avec le bureau distant ; ceux en
transférant les données d’affichage graphique de l’ordinateur distant pour l’utilisateur, et aussi
le transport des périphériques d’entrées (clavier et souris) de l’utilisateur de l’ordinateur
distant. RDP fournit également un mécanisme de transport extensible qui permet la
communication spécialisée qui aura lieu entre les composants de l’ordinateur de l’utilisateur et
des composants en cours d’exécution sur l’ordinateur distant.

Le protocole OAUT : est le protocole d’automatisation d’objets et liens

sur objet, il utilise le modèle de composant objet distribué (DCOM) comme couche de
transport ; c’est un mécanisme de communication interprocessus qui permet à des logiciels de
communiquer entre eux

Le protocole DCOM : Le modèle de composant objet distribué assure la transparence au

niveau du réseau, DCOM utilise les RPC (« Remote Procedure Call », ou « Appels de procédures à
distance »). Il facilite ainsi énormément la gestion du réseau pour les programmeurs. En
particulier, il prend en charge les communications et le marshalling, c'est à dire l'encapsulation
du côté client des paramètres donnés par le client à la fonction appelée, ainsi que la
reconstitution de ces paramètres du coté serveur pour l'appel de la fonction. Bien entendu,

6
DCOM reste ouvert et permet au programmeur de réaliser son propre marshalling, ou de
contrôler son propre protocole de communication

Le protocole RPCE : extension d’appel de procédure, est un protocole réseau

permettant de faire des appels de procédures sur un ordinateur distant

IV. Mode de fonctionnement de l’assistance sous Windows

On distingue trois grands modes de fonctionnements lors de l'utilisation l’assistance à
distance de Windows :

Le mode automatique de l’assistance à distance Windows ou assistance à distance

proposée
Le mode manuelle assisté de l’assistance à distance Windows ou assistance à distance
Windows par messagerie
Le mode manuelle de l’assistance à distance Windows ou assistance à distance
sollicitée

1. Fonctionnement du mode automatique de l’assistance à distance Windows

Figure2 : Schéma du mode fonctionnement automatique

7
Dans le mode de fonctionnement automatique de l’assistance à distance Windows une stratégie
de groupe est créé sur serveur active directory, cette stratégie permet d’activée l’assistance à
distance proposée dans un domaine, ou des domaines ayant des relations d’approbations entre
eux. Ci-dessous schéma représentant l’assistance à distance Windows proposé

Phase1 : le conseiller utilise l’adresse IP ou le FQDN de la machine de l’utilisateur pour avoir la

liste des services terminal actif s’exécutant sur la machine de l’utilisateur.

Phase2 : l’utilisateur envoie une requête au serveur AD afin de vérifier que le conseiller
appartient à la liste des utilisateurs autorisé à proposer l’assistance à distance

Phase3 : le serveur AD vérifie et envoie ensuite une confirmation

Phase4 : l’utilisateur envoie ensuite ces identifiants au conseiller :

Session de terminal serveur

Nom de domaine
Nom utilisateur
ID de la session terminal service
Sessionstate du terminal serveur

Phase5 : demande d’initiation de connexion d’assistance

Phase6 : la machine de l’utilisateur envoie un jeton de connexion d’assistance à distance ce

jeton contient les données suivants :

« protocolversion»,« protocoltype », « machineAddresslist »,« assistantAccountpwd »,

« RAsessionID », « RASessionName » « RAsessionpwd » « protocolspecificparms »

Phase7 : affichage de l’écran de la machine distance et connexion, le mode de communication

utilisé est le peer to peer

8
 2. Fonctionnement du mode manuelle

Dans le mode de fonctionnement manuelle de l’assistance à distance Windows

l’utilisateur (personne sollicitant de l’aide) crée puis envoie une invitation (fichier ID)
au conseiller (personne sollicité pour l’assistance). Pour se connecter à la machine de
l’utilisateur, le conseiller aura juste à cliquer sur l’invitation afin d’initialiser une
communication avec le poste distant. Ci-dessous schéma description

Figure3 : schéma du mode de fonctionnement automatique

Description classique du mode de fonctionnement lors de l’utilisation du fichier ID

Phase1 : un fichier d’identification est crée sur la machine de l’utilisateur puis envoyé au
conseiller ; ce fichier contient :

La version de protocole qui identifie le protocole utilisé la valeur est de « 65,538 »

Le type de protocole : identifie le type de protocole la valeur est de « 1 »
List d’adresse IP de la machine : identifie l’adresse IP de la machine de l’utilisateur ou
le nom de la machine

9
 protocolversion»,« protocoltype », « machineAddresslist »,« assistantAccountpwd »,
« RAsessionID », « RASessionName » « RAsessionpwd » « protocolspecificparms ETC……

Ci dessous l’image d’un fichier d’identification

Phase2 : Le conseiller aura juste à utiliser le fichier ID reçu pour initialiser la communication
vers la machine à distance afin d’assister l’utilisateur

Phase3 : après l’initiation de la communication entre la machine du conseiller et de

l’utilisateur, un mot de passe est demandé au conseiller

Phase4 : le conseiller à un aperçu sur le bureau de l’utilisateur

10
 3. Fonctionnement du mode manuelle assisté

Dans ce mode de fonctionnement l’utilisateur crée une invitation (fichier ID) qui est
directement rattaché par courrier électronique pour être ensuite envoyé au conseiller.

Figure4: schéma du mode de fonctionnement manuelle assisté

Phase1 : le fichier d’identification est créé sur la machine de l’utilisateur puis

automatiquement conseiller ; ce fichier contient :

La version de protocole qui identifie le protocole utilisé la valeur est de « 65,538 »

Le type de protocole : identifie le type de protocole la valeur est de « 1 »
List d’adresse IP de la machine : identifie l’adresse IP de la machine de l’utilisateur ou
le nom de la machine
protocolversion»,« protocoltype », « machineAddresslist »,« assistantAccountpwd »,
« RAsessionID », « RASessionName » « RAsessionpwd » « protocolspecificparms ETC……

Phase2 : Le conseiller aura juste à utiliser le fichier ID reçu pour initialiser la communication
vers la machine à distance afin d’assister l’utilisateur

11
Phase3 : après l’initiation de la communication entre la machine du conseiller et de
l’utilisateur, un mot de passe est demande au conseiller

Phase4 : le conseiller à ensuite un aperçu sur le bureau de l’utilisateur

Remarque :

Lorsqu’un utilisateur crée une invitation par courrier électronique, la norme SMAPI (Simple
MAPI) est utilisée pour relier le fichier d’invitation dans le courrier, ce qui signifie que
l’invitation est jointe à ce courrier. Le courrier électronique utilisé doit être du Microsoft.

12
 CHAPITREII : ETUDE DE L’ASSISTANCE A DISTANCE WINDOWS

Dans cette partie nous détaillerons les différentes méthodes de configuration de l’assistance à
distance Windows dans un domaine, ou dans une communication Peer to Peer.

I. Déploiement de l’assistance à distance Windows par GPO sur

Windows serveur 2008 R2
L’une des meilleures solutions de déploiement de l’outil d’assistance Windows dans un domaine
Microsoft est le déploiement par stratégie de groupe. En effet plusieurs paramètres de Stratégie
de groupe peuvent être configurés afin de contrôler l’utilisation de l’assistance à distance,
notamment les paramètres suivants :

Assistance à distance manuelle (assistance à distance sollicitée)

Assistance à distance automatique (proposition d’assistance à distance)
Autoriser uniquement les connexions d’ordinateurs Windows Vista ou de
version ultérieure

Ces paramètres de stratégie se trouvent dans Configuration ordinateur, sous Stratégies (le cas
échéant), dans Modèles d’administration\Système\Assistance à distance. Lorsque la stratégie de
groupe est appliquée, la valeur par défaut des champs suivant situés dans
HKLM\System\CurrentControlSet\Control\TerminalServer peuvent être modifiés :

FAllowToGetHelp indique que l'utilisateur peut demander l'aide d'un ami ou d'un
professionnel de support.
fAllowFullControl spécifie si un ami ou un professionnel de soutien peuvent prendre le
contrôle complet de l'ordinateur de l'utilisateur pour traiter des questions que
l'utilisateur n'est pas en mesure de résoudre.
MaxTicketExpiry spécifie la longueur maximum d'un billet dans les unités définies par
la MaxTicketExpiryUnits réglage. La valeur de la MaxTicketExpiryUnits paramètre peut

être définie en minutes, heures ou jours. Par défaut, un ticket expire dans six (6) heures.

13
1. Assistance à distance sollicité

Lorsque ce paramètre de stratégie est activé, un utilisateur peut créer une invitation
d’assistance à distance dont un conseiller sur un autre ordinateur peut se servir pour se
connecter à l’ordinateur de l’utilisateur demandant à être aidé. S’il en a l’autorisation, le
conseiller peut visualiser l’activité de la souris, du clavier et de l’écran en temps réel.

Figure4 : configuration du paramètre de l’assistance à distance sollicitée

14
D’autres options de configuration sont disponibles lorsque vous activez ce paramètre de
stratégie.

 Assistance à distance sollicitée (désactivée) : lorsque ce paramètre de stratégie est

défini sur Désactivé, l’utilisateur de l’ordinateur en question ne peut pas demander
d’assistance à distance.
 Assistance à distance sollicitée (non configurée) : lorsque ce paramètre de
stratégie est défini sur Non configuré, la configuration de l’assistance à distance
sollicitée est déterminée par les paramètres du Panneau de configuration.
 Le champ duré maximale du ticket : permet de définir la durée maximale pour
laquelle le ticket est valable.

Avantage : L’avantage de la configuration du mode assisté, de l’assistance à distance Windows

par GPO, est que lorsque l’option « permettre aux conseillers de contrôler l’ordinateur à
distance » est activée, le conseiller peut prendre le contrôle total de la machine de l’utilisateur
sans passer par les demandes d’accord de l’utilisateur distant. Cette option peut être désactivée
en choisissant l’option « ne permettre aux conseillers que de voir l’ordinateur ».

Remarque : Lorsque cette fonctionnalité est définie avec la valeur Non configuré, l'utilisateur
peut tout de même envoyer des invitations d'assistance à distance. Si nécessaire, vous pouvez
configurer la fonctionnalité Assistance à distance sollicitée dans le Panneau de configuration.
Pour cela, ouvrez les propriétés système, puis cliquez sur l'onglet Distant. Les paramètres par
défaut sont les suivants :
Assistance à distance sollicitée est activée.
Contrôle à distance est activé. Cliquez sur Paramètres avancés pour afficher ce
paramètre.
Durée maximale du ticket est défini sur 30 jours.

15
 2. proposer l’assistance à distance

Lorsque le paramètre « proposer l’assistance à distance » est activé, un utilisateur ou

administrateur distant peut proposer une assistance à distance à l’utilisateur d’un ordinateur
affecté par ce paramètre. L’activation d’une suit

Proposition d’assistance à distance (désactivée ou non configurée) :

Figure5 : configuration du paramètre proposant l’assistance à distance

Lorsque vous configurez ce paramètre, vous devez également définir la liste des utilisateurs ou
des groupes d’utilisateurs autorisés à proposer une assistance à

Avantage : Lorsque ce paramètre est désactivé ou n’est pas configuré, un membre du support
ou un autre conseiller ne peut pas proposer une assistance à distance non sollicitée à l’utilisateur
d’un ordinateur affecté par ce paramètre.

Remarque : Afin que le paramètre assistance à distance proposé fonctionne correctement il

faut aussi indiquer le(s) groupe(s) et/ou le(s) utilisateur(s) qui auront le droit de prendre

16
contrôle à distance des différents ordinateurs. Par défaut, les administrateurs d’un ordinateur
donné peuvent proposer une assistance à distance. Vous n’avez pas besoin de les ajouter à la
liste.

II. Les autres paramètres de l’assistance à distance Windows

configurables par stratégie de groupe
D’autres paramètres d’amélioration de l’outil d’assistance à distance Windows sont aussi
configurables par stratégies de groupe :

Autoriser uniquement les connexions d’ordinateurs Windows vista ou de version

ultérieure
Activer la journalisation de session
Activer l’optimisation de la bande passante
Personnalisation du message d’avertissement

1. autoriser uniquement les connexions d’ordinateurs Windows vista ou de version

ultérieure

Si le paramètre de stratégie « autoriser uniquement les connexions d’ordinateurs Windows

vista ou de version ultérieure » est activé,

Figure 6 : paramètre d’autorisation des connexions d’ordinateur Windows vista et version ultérieures

17
lorsqu’une invitation à une assistance à distance sollicitée est envoyée depuis un ordinateur
exécutant Windows Vista ou WINDOWS SERVER 2008, elle inclut l’adresse IP de l’utilisateur au
Format chiffré uniquement et non également en texte clair comme il est requis pour
Windows XP et WINDOWS SERVER 2003.

En effet Ce paramètre de stratégie permet de gérer des invitations d’assistance à distance avec
un chiffrement renforcé de sorte que seuls les ordinateurs cette version (ou les versions
ultérieures) du système d’exploitation peuvent se connecter.

NB : lorsque le paramètre « autoriser uniquement les connexions d’ordinateurs Windows vista

ou de version ultérieure » est désactivé ou n’est pas configuré, pour l’assistance à distance
sollicitée, les invitations incluent l’adresse IP de l’utilisateur en texte clair (comme il est requis
pour des raisons de comptabilité avec Windows XP et Windows Server 2003), et non
uniquement au format chiffré utilisé par Windows Vista et Windows Server 2008.

18
2. Activer l’optimisation de la bande passante

Le paramètre « Activer l'optimisation de la bande passante » activé permet d'éviter d'avoir les
fenêtres grises ou trop de latence pendant la prise de main à distance ; il est conseillé d’utilisé
l'option : Optimisation complète.

Figure7 : paramètre d’activation de la bande passante

En générale ce paramètre de stratégie permet d’améliorer les performances dans les scénarios
ou la bande passante est faible.

19
3. Activer la journalisation de session

Ce paramètre de stratégie permet d’activer ou de désactiver la journalisation des sessions

d’assistance Windows sur le serveur. Les fichiers journaux sont situés dans le dossier
Documents de l’utilisateur sous Assistance à distance.

Figure8 : paramètre de journalisation de session

20
D’autres options de configuration sont disponibles lorsque vous activez ce paramètre de
stratégie :

 Si le paramètre de stratégie « activer la journalisation de session » est désactivé, les

fichiers journaux ne sont pas générés
 Si le paramètre de stratégie « activer la journalisation de session » n’est pas configuré,
les paramètres basés sur l’application sont utilisés

4. Personnaliser les messages d’avertissement

Ce paramètre de stratégie « personnaliser les messages d’avertissement »permet de spécifier

l’affichage d’un message personnalisé avant qu’un utilisateur n’autorise une connexion à son
ordinateur

Figure9 : paramètres de personnalisation des messages d’avertissement

21
Ce paramètre est composé de deux options dont :

 Affichage d’un message d’avertissement avant le partage du contrôle, permet de spécifier

l’affichage personnalisé avant qu’un utilisateur ne partage le contrôle de son ordinateur.
 Affichage d’un message d’avertissement avant la connexion, permet de spécifier
l’affichage d’un message personnalisé avant qu’un utilisateur n’autorise une connexion à
son ordinateur.
Si ce paramètre est activé pour désactiver, l’utilisateur voit s’afficher le message
d’avertissement par défaut.

III. Configuration de l’assistance à distance Windows en mode

manuelle

L’assistance à distance sollicitée sous Windows est créée depuis le menu démarrer, dans
assistance et support ; ou en tapant à l’invite de commande « helpctr » pour Windows XP, et
« msra » sous Windows vista, seven, huit. En effet le mode de fonctionnement manuelle de
l’assistance à distance Windows est le même sous Windows. Ci-dessous un exemple de
configuration (cas Windows 7).

Puis cliqué sur « inviter une personne de confiance à vous aider » (voir figure ci-dessous)

Figure 10: image assistance sous Windows7

22
A la suite de cela nous avons trois moyens d’envois d’invitation sollicitée à un conseiller afin de
nous dépanner (voir figure dessous)

Figure11 : Image de l’enregistrement de fichier d’invitation sous Windows7

Puis on sélectionne « Enregistrer cette invitation en tant que fichier » pour enregistrer
l’invitation en tant que fichier, et l’envoyer par messagerie, ou partage réseau. Apres la création
du fichier d'assistance à distance Windows une fenêtre indiquant l'état de la demande
d'assistance à distance apparait en indiquant le mot de passe à communiquer au conseiller.

Figure12 : image d’exemple de mot de passe pour fichier d’invitation sous Windows7

23
 IV. Configuration du mode assistance manuelle assistée
La configuration du mode d’assistance manuelle assistée de Windows se configure de la même
manière sous les systèmes d’exploitation Windows. Pour créer l’assistance manuelle assistée on
clique sur « envoyer une invitation par courrier électronique » voir ci-dessous.

Figure13 : Image configuration d’un fichier d’invitation rattaché à un courrier électronique

Pour crée le fichier d’invitation (fichier ID), on clique sur l’option « envoyer une invitation par
courrier électronique ». Cependant cette option ne fonctionne qu’avec des courriers de
messagerie Microsoft.

24
Après avoir choisi l’option « envoyé une invitation par courrier électronique » on a la boite
électronique qui s’ouvre avec le fichier ID rattaché, il faut juste remplir le champ de l’adresse
email du conseiller pour envoyer l’invitation.

Figure14 : Image d’un fichier d’invitation rattaché à un email

Apres la création du fichier d'assistance à distance Windows une fenêtre indiquant l'état de la
demande d'assistance à distance apparait en indiquant le mot de passe à communiquer au
conseiller.

Figure15 : Image de mot de passe pour invitation

25
Remarque : Une nouvelle option de configuration de l’assistance à distance est apparue depuis
Windows7, cette option se nomme Easy Connect.
En effet l’option « utiliser Easy Connect » : permet de connecter facilement deux ordinateurs
Windows 7 (au minimun) qui exécutent l’Assistance à distance Windows sans qu’il soit
nécessaire d’envoyer un fichier d’invitation. La première fois que vous utilisez Easy Connect, la
personne qui demande de l’aide reçoit un mot de passe qu’elle doit fournir à la personne lui
offrant son aide. Ce mot de passe permet à la personne offrant son aide de connecter
directement les deux ordinateurs. Une fois qu’une connexion a été établie entre les deux
ordinateurs par le biais d’Easy Connect, des informations de contact sont échangées entre les
ordinateurs. Voir figure ci-dessous.

Figure15 : Image utilisation d’ Easy Connect

26
VI .Configuration du Pare Feu relatif à l’assistance à distance Windows

Le port 135 du pare-feu Windows doit être ouvert afin d’autoriser la proposition d’assistance à
distance sur les ordinateurs.

Figure16 : image configuration du port 135

Dans le cas d’un domaine il faut cocher le champ domaine pour autoriser la communication
entrante entre les ordinateurs du domaine de l’entreprise

27
Il faut ensuite autoriser les connexions entrantes des ordinateurs de l’entreprises les uns vers
les autres

Figure17 : Image de l’autorisation des connexions entrantes

Par la suite on doit créer une règle de pare feu afin d’autoriser la connexion au programme
d’assistance à distance

Figure 18 : image de la restriction de programme dans le pare feu

28
Pour faire la restriction de logiciel il faut choisir le programme depuis %SystemRoot%system32

Figure19 : Image restriction logiciel

29
 CHAPITRE III : IMPLEMENTATION DE L’ASSISTANCE ADISTANCE
WINDOWS AU SEIN DU DOMAINE EXCENT GROUPE

I. Choix du mode d’assistance à distance Windows à déployer

1. Architecture du domaine EXcent Groupe

Ci-dessous schéma représentant l’architecture du domaine EXcent Groupe.

Figure 20:schéma représentatif du domaine Excent Groupe

30
 2. La solution retenue

Le domaine d’EXcent Groupe se compose d’un ensemble de sites repartis en Europe, et

d’un parc informatique composé de plus de cinq cents machines ; Il fallait donc trouver
une manière pour déployer l’assistance à distance d’une façon judicieuse.

utilisateurs

utilisateurs du domaine

utilisateurs VPN

utilisateurs externes

0 100 200 300 400 500 600

Figure21 : Diagramme pourcentage d’utilisateurs internes, externe, vpn

C’est dans ce contexte que nous avons optés pour un déploiement de la solution
d’assistance à distance Windows par Stratégie de Groupe (GPO). Deux options se
proposent à nous :

L’assistance à distance sollicitée

L’assistance à distance proposé

Le temps de créer une invitation, l’enregistrer et l’envoyé est au minimum de huit

minutes pour un utilisateur. Afin de facilité la tâche de l’utilisateur et lui éviter une perte
de temps notre choix c’est porté sur l’assistance à distance proposé.

31
Pour ce faire nous avons simule le site de Colomiers sur une maquette afin de déployer
l’outil d’assistance à distance Windows et de faire des tests de performances.

II. Maquettage

Une maquette a été réalisé afin de déployer l’assistance à distance Windows par stratégie de
groupe et d’effectuer les tests.

1. Schéma du Laboratoire de test

Figure22 : Schéma representatif du laboratoire de test

32
 2. Description du cadre de travail

Les postes de travail utilisé :

PCtest1: OS Windows XP; Adresse IP: 192.168.1.11

PCtest2: OS Windows7; Adresse IP: 192.168.1.10

PCtest3: OS Windows 7: Adresse IP: 192.16.1.13

PCtest4: OS Windows8: Adresse IP: 192.168.1.12

PCtest5: OS Windows’ vista; Adresse IP: 192.168.1.14

Le serveur

Pokeball, Domain controller, Windows serveur 2008R2

Stratégies de groupe nommé téléassistance est l’unité d’organisation sur laquelle sera
appliquée la stratégie de groupe de l’assistance Windows.

GDLAssistant : Groupe de domaine local assistant: est le groupe dont les utilisateurs
membres pourront jouer le rôle de conseiller sur les autres ordinateurs.

33
III. Déploiement de l’assistance à distance Windows au sein du
domaine EXcent Groupe
1. Configuration de l’assistance à distance proposé Windows
Depuis le menu démarrer aller dans outils d’administration, puis gestion de stratégies de
groupe, ensuite click sur l’unité d’organisation téléassistance et faire modifier.

Figure22 : image représentatif de la création de la stratégie de groupe

34
Par la suite on se rend dans configuration ordinateur, modèle d’administration, système,
assistance à distance voir figure -ci dessous

Figure 23 : image représentatif de l’édition de la stratégie de groupe

Dans notre cas d’étude les paramètres qui ont étés configuré sont les suivants :

 Activer l’optimisation de la bande passante

 Personnaliser les messages d’avertissement
 Proposer l’assistance à distance
 Autoriser uniquement les connexions Windows Vista ou de version ultérieure

35
1.1 Activer l’optimisation de la bande passante

L’activation de ce paramètre dans la stratégie de groupe TestAssistance va permettre de

continuer l’assistance à distance sur les postes des utilisateurs du domaine Excent Groupe même
en cas de latence dans le réseau.

Figure 24 : image de configuration de l’optimisation de la bande passante

36
1.2 Personnaliser les messages d’avertissements

L’activation du paramètre « personnaliser les messages d’avertissement » va permettre de

personnalisé les messages d’affichages avant la prise de mains visuelle ou totale du poste de
l’utilisateur distant. Les messages choisis sont les suivant :

Le message d’avertissement avant le partage du contrôle est ‘ Le service informatique du Groupe

Excent vous remercie de votre collaboration’

Le message d’avertissement avant la connexion est ‘merci de votre coopération’

Ces messages personnalisés permettront de mettre les utilisateurs en confiance.

Figure25 : image personnalisation des messages d’avertissements

37
1.3 Proposer l’assistance à distance

L’activation du paramètre « proposé l’assistance à distance » par permettre aux membres du

groupe gdlAssistanceDistance de proposer de l’assistance à tous les utilisateurs du domaine
Excent Groupe.

Figure 26 : image configuration de l’assistance à distance proposée

38
 2. Configuration des droits d’élévations pour les comptes d’administrateur du
groupe GDLAssistanceDistance

Par défaut au cours d’une assistance à distance, lorsque vous êtes en assistance et que vous
faites une action qui nécessite une élévation de privilège, le système cache cette demande à
l'administrateur qui assiste l’utilisateur. En d’autres termes, lorsque l’invite apparaît, le Bureau
devient « le Bureau sécurisé » et ne peut pas être visualisé à distance
Cette action à été mené sur l’unité d’organisation téléassistance

Toujours dans configuration ordinateur, se rendre sous stratégie de groupe, paramètre

Windows, paramètre de sécurité, stratégie locales, option de sécurité, contrôle de compte
d’utilisateur : autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau
sécurisé (voir fi figure ci-dessous)

Figure27 : image configuration de l’UIAccess

39
 3. Création de raccourci pour l’assistance à distance
Un raccourci à été créer sur les postes administrateurs, afin de faciliter l’utilisation de
l’assistance à distance Windows sur les postes des utilisateurs.

Pour cela, nous avons créé un raccourci qui pointe à l’emplacement

C:\Windows\System32\msra.exe\offerRA

Figure28 : image de la création raccourci msra sur le bureau

40
 CHAPITRE VI : MODE DE FONCTIONNEMENT ET TEST PERFORMENCE
ET SCENARIO

I. Principe de fonctionnement
1. Action à mener sur la machine du conseiller

Après un clique sur le raccourci msra crée sur son bureau, une fenêtre apparait sur l’écran du
conseiller l’invitant à rentrer l’adresse IP ou le nom de la machine distante ; cette fenêtre à la
particularité d’afficher l’historique de l’adresse et le nom des ordinateurs à qui on a prêté de
l’aide.

Figure29 : image utilisation de l’assistance à distance

41
 2. Les actions à mener sur la machine de l’utilisateur

L’utilisateur voir à son écran une fenêtre qui lui demande son autorisation, pour permettre à
l’utilisateur AdminKBM membre du groupe gdlassistance d’avoir une vue visuelle sur son écran.
L’utilisateur au choix d’accepter ou de refuser la requête

Figure30 : image du message d’avertissement avant le partage d’écran

Après lorsque le conseiller demande le contrôle total de la machine, l’utilisateur distant voir à
nouveau une fenêtre qui lui demande son autorisation pour avoir le contrôle totale de sa
machine voir figure ci-dessous

Figure31 : image du message d’avertissement avant le contrôle total de l’assistance à distance

42
 3. les outils à dispositions du conseiller et de l’utilisateur

Figure32 : image des outils à disponible pour le conseiller et l’utilisateur

Arrêter le partage : permet au conseiller ou à l’utilisateur de mettre fin au partage

d’écran
Interrompre permet de mettre au conseiller ou à l’utilisateur de stopper
momentanément la visualisation de l’écran distant dans ce cas de figure on a un écran
noir qui s’affiche coté conseiller
Converser : Permet aux deux parties de s’envoyer des messages instantanés
Paramètres permet de personnaliser l’assistance à distance ci-dessous la liste des
paramètres :

‘Pour cesser le partage du contrôle appuyer sur echap’ : lorsque ce paramètre est
activé la touche echap permet d’arrêter le partage de l’écran
‘Enregistrer le journal de session’ : permet d’avoir les logs de la session
d’assistance à distance
Echanger les coordonnées lors de l’utilisation d’Easy Connet permet :
L’utilisation de la bande passante :
 Barre haute : la bande passante n’est pas optimiser
 Barre moyennement haute : permet de ne pas autoriser l’agrandissement
de fenêtre
 Barre moyenne : Désactive l’arrière-plan, n’autorise pas
l’agrandissement de fenêtre
 Barre faible : Utiliser la couleur de 16 bits, désactive le lissage de police
Désactive l’arrière-plan, n’autorise pas l’agrandissement de fenêtre

43
 II. Mise en situations et scenarios
Des scenarios simulant le cadre de travail de l’informatique à Excent Group, et le fonctionnement
de l’outil de prise à main de dis ont été réalisé.

SCENARIO1

Environnement technique :

 Machine PCtest1
 Machine PCtest2
 Compte utilisateur toto
 Compte utilisateur administrateur

EXPERIENCE1 :L’utilisateur toto vient de fermer sa session il y’a environ six minutes
L’administrateur connecté sur la machine PCtest2 lance l’assistance à distance Windows, et
essaie de prendre le contrôle de la machine PCtest1

Observation :

Lorsque l’utilisateur test1 redémarre sa machine, l’utilisateur test 2 perd la vue sur sa l machine
pc1, il lui faut que l’utilisateur test2 utilise à nouveau le fichier d’invitation pour se connecter à
nouveau sur le PC de test2 avec son autorisation (si le bail d’invitation est encore valable).

Conclusion

La prise à mains à distance avec l’outil d’assistance Microsoft demande d’abord un bail
d’invitation valable et l’autorisation du client qui envoie l’invitation afin de prendre le contrôle
totale de son PC.

SCENARIO2 :

Environnement technique

 1 machine Windows XP Compte utilisateur test1 administrateur

 1 machine Windows7 Compte d’utilisateur test3 administrateur
EXPERIENCE 2 :L’utilisateur test 1 envoie une invitation à l’utilisateur test3 afin que ce
celui-ci lui vienne en aide pour l’installation de lotus Notes

Observation

L’utilisateur test 1 procède d’abord à l’envoi du fichier d’installation de lotus sur le

compte de l’utilisateur test3 ; il procède ensuite à l’installation et la configuration du
client lotus

Conclusion

L’outil d’assistance Microsoft permet de faire l’envoie de fichier, et l’installation de

logicielle à distance

44
SCENARIO 3

Environnement technique

 1 machine Windows XP Compte utilisateur test1 administrateur

 1 machine Windows7 Compte d’utilisateur test3 administrateur
 1 machine Windows 7 compte d’utilisateur test4 administrateur
EXPERIENCE4 :l’utilisateur test1 envoie une invitation de 30 minutes à l’utilisateur
test3, l’utilisateur test3 arrive à se connecter sur la machine de test1 avec son
autorisation ; après 15 minutes n’ayant puis résoudre le problème l’utilisateur test3
décide de transmettre l’invitation à l’utilisation test4

OBSERVATION

L’utilisateur Test4 utilise le fichier d’invitation envoyé au préalable à test3

CONCLUSION

Le fichier d’invitation peut être utilisé autant de fois qu’il est voulu ; il faut juste avoir un
temps de bail disponible

CONCLUSION

Tout au long de l'intervention, vous pouvez suivre à l'écran les différentes opérations
effectuées par l'opérateur. L'échange, le dialogue téléphonique est toujours possible
bien-sûr !
Une fois l'intervention terminée, l'opérateur (ou vous-même) met fin à la connexion.
Il est utile de préciser qu'ultérieurement aucune connexion à distance n'est possible
sans votre accord !

45
ANNEXE

Vue d’ensemble : utilisation de l’assistance à distance dans un

environnement géré
Avant de pouvoir utiliser l’assistance à distance, sur un serveur exécutant Windows Server 2008,
vous devez installer la fonctionnalité Assistance à distance, puis démarrer l’Assistant Assistance
à distance via Démarrer\Tous les programmes\Maintenance\Assistance à distance Windows.
L’Assistant Assistance à distance vous guide à travers les étapes suivantes :

Création d’une invitation, par courrier électronique ou sous forme de fichier, à une assistance à
distance, puis définition d’un mot de passe pour la session

Proposition d’assistance à distance pour un ordinateur spécifique (identifié par son nom et son
adresse IP)

Dans un environnement géré, il est probable qu’un pare-feu sur le réseau de l’entreprise
empêche les ordinateurs hors de votre réseau de se connecter directement à un ordinateur de ce
réseau (en bloquant les connexions d’assistance à distance entrantes aux ordinateurs qui se
trouvent derrière le pare-feu). Cependant, pour plus de sécurité, vous pouvez également
contrôler l’assistance à distance en désactivant tous ses types ou en autorisant uniquement
certains types. Par exemple, vous pouvez autoriser uniquement une proposition d’assistance à
distance au sein de votre domaine, en spécifiant une liste de membres du support de votre
entreprise capables de proposer une assistance. Dans ce cas, seules les personnes de la liste
seraient autorisées à aider les utilisateurs via l’assistance à distance. (La proposition
d’assistance à distance ne fonctionne qu’au sein d’un environnement de domaine.)

Pour obtenir la liste des paramètres Stratégie de groupe permettant de contrôler l’assistance à
distance dans un environnement géré, voir « Contrôle de l’assistance à distance via la
fonctionnalité Stratégie de groupe », plus loin dans cette section.

Invitation et session d’assistance à distance

L’assistance à distance se déroule en deux étapes :

Établissement d’une communication entre les deux ordinateurs : correspond à l’envoi d’une
invitation ou d’un « ticket » depuis un ordinateur vers un autre, suivi de leur communication.

Pour en savoir plus sur l’établissement d’une communication entre les deux ordinateurs, voir
« Types d’assistance à distance », plus loin dans cette section.

46
Conduite de la session d’assistance à distance : correspond au moment où le conseiller visualise
ou modifie la configuration de l’ordinateur d’une autre personne.

Communication via Internet de l’assistance à distance

La liste suivante fournit des détails sur le mode de communication de l’assistance à distance
via Internet :

Envoi ou réception d’informations spécifiques : le nom de l’utilisateur, l’adresse IP

et le nom de l’ordinateur figurent parmi les informations transmises au sein d’un ticket
d’assistance à distance. Les informations transmises au cours d’une session
d’assistance à distance dépendent des fonctionnalités utilisées (par exemple, le partage
de l’écran et le transfert de fichiers) et sont envoyées en temps réelle à l’aide de
connexions point à point.

Notez que, dans le cadre de l’assistance à distance sollicitée, lorsqu’un utilisateur crée
une invitation par courrier électronique, la norme SMAPI (Simple MAPI) est utilisée
dans le courrier, ce qui signifie que l’invitation est jointe à ce courrier.
Paramètres par défaut : par défaut, la fonctionnalité d’assistance à distance n’est pas
installée sur un serveur exécutant Windows Server 2008. Vous devez l’installer pour
qu’une session d’assistance à distance (sollicitée ou proposée) puisse commencer.

Les paramètres par défaut du Pare-feu Windows ont également un impact important
sur l’assistance à distance, comme indiqué sous « Paramètres du Pare-feu Windows
relatifs à l’assistance à distance » plus haut dans cette section Toutefois, l’Assistant
Assistance à distance détecte si les paramètres du Pare-feu Windows local bloquent
l’assistance à distance. Si tel est le cas, l’Assistant vous permet de commencer à
sélectionner des options, mais affiche ensuite une notification vous informant que le
Pare-feu Windows bloque son accès. Des informations sur le déblocage (ouverture du
Pare-feu Windows et sélection de l’exception relative à l’assistance à distance) vous
sont fournies. Dans de nombreux cas, cette notification permet de savoir facilement si
le Pare-feu Windows bloque vos actions. Toutefois, si, en tant que membre du support,
vous essayez d’utiliser la proposition d’assistance à distance pour un ordinateur dont
le Pare-feu Windows bloque la session, cette dernière n’est pas établie et aucune
notification ne s’affiche sur les ordinateurs.

47
 Quels que soient les autres paramètres définis, les utilisateurs peuvent toujours
empêcher quelqu’un de se connecter à leur ordinateur en refusant les invites de
lancement de session d’assistance à distance.

Pour plus d’informations sur un paramètre par défaut, voir « Chiffrement » dans la
liste.
Déclencheurs : dans le cadre de l’assistance à distance sollicitée, vous établissez le
contact avec le conseiller en envoyant une invitation par courrier électronique, en
l’enregistrant sous forme de fichier puis en la transférant manuellement (sur une
disquette, par exemple) ou par messagerie instantanée. Le logiciel de messagerie
instantanée utilisé doit être basé sur l’API Rende zvous pour être compatible (par
exemple, Windows Live Messenger 8.0).

La proposition d’assistance à distance permet d’offrir une assistance non sollicitée à

un utilisateur (qui peut la refuser). Pour ce faire, vous devez être administrateur sur
l’ordinateur de l’utilisateur ou figurer dans la liste de proposition d’assistance à
distance définie pour l’ordinateur de l’utilisateur.
Notification de l’utilisateur : si l’utilisateur dispose d’un serveur exécutant Windows
Server 2008, il reçoit une notification lorsqu’une autre personne lui propose une
assistance (sollicitée ou non). Il doit accepter l’invitation pour que cette personne
puisse visualiser son serveur. Ensuite, l’utilisateur doit indiquer s’il autorise cette
personne à prendre le contrôle du serveur. Il est également possible de configurer
l’assistance à distance de sorte que l’autre personne puisse uniquement visualiser le
serveur sans en prendre le contrôle.
Journalisation : sur les ordinateurs exécutant Windows Server 2008, les événements
d’assistance à distance sont consignés dans le journal système de l’Observateur
d’événements et dans les fichiers journaux d’assistance à distance situés sous
\Users\nom_utilisateur\Documents\RemoteAssistanceLogs.

Les événements tels que le lancement d’une connexion ou l’acceptation ou le refus

d’une invitation par un utilisateur sont enregistrés dans les journaux d’assistance à
distance. Les détails incluent la prise de contrôle et sa fin, l’envoi et l’acceptation de
fichiers, ainsi que la création et la suppression des tickets. Des informations détaillées

48
 sur le caractère sollicité ou non de l’assistance à distance, ainsi que le nom de
l’utilisateur et l’adresse IP sont également enregistrées.

Chiffrement : l’algorithme de chiffrement RDP (Remote Desktop Protocol) est utilisé. Il

s’agit d’un algorithme RC4 128 bits.

Accès : aucune information n’est enregistrée au niveau de Microsoft.

Protocole et port de transmission : dans le cadre de l’assistance à distance, le port est

dynamiquement sélectionné et le protocole RDP est utilisé. Le modèle DCOM est
également utilisé avec la proposition d’assistance à distance.

Désactivation : vous pouvez désactiver l’assistance à distance sollicitée, la proposition

d’assistance à distance ou les deux à l’aide de la fonctionnalité Stratégie de groupe ou
localement, via le Panneau de configuration. Vous pouvez également désactiver ces options
en utilisant un fichier de réponse dans le cadre d’une installation sans assistance. Pour plus
d’informations,

Contrôle de l’assistance à distance en vue d’empêcher le flux

d’informations vers et depuis Internet
Lorsque vous réfléchissez à la méthode de contrôle de l’assistance à distance à adopter, prenez
en considération les types d’assistance à distance disponibles sous Windows Server 2008. Vous
trouverez, dans la liste ci-dessous, des suggestions d’utilisation ou de contrôle de chaque type
dans un environnement géré :

Contrôle de l’assistance à distance par messagerie instantanée : ce type d’assistance

est en fait une forme d’assistance à distance sollicitée. Ainsi, lorsque vous désactivez
l’assistance à distance sollicitée, l’assistance à distance par messagerie instantanée est
également désactivée. Vous pouvez procéder à sa désactivation via le Panneau de
configuration, la fonctionnalité Stratégie de groupe ou un fichier de réponse dans le
cadre d’une installation sans assistance.
Une autre solution consiste à exclure le logiciel de messagerie instantanée des
configurations standard des ordinateurs de l’entreprise et à s’assurer que les utilisateurs
ne disposent pas de comptes d’administration afin qu’ils ne puissent pas installer de
logiciels sur leurs ordinateurs.

49
 Contrôle de l’assistance à distance sollicitée avec envoi d’une invitation par
courrier électronique ou sous forme de fichier : sur les ordinateurs exécutant
Windows Server 2008, vous pouvez choisir de ne pas installer l’assistance à distance, ce
qui désactive toutes les formes d’assistance à distance. Si vous installez l’assistance à
distance, vous pouvez désactiver l’assistance à distance sollicitée via la fonctionnalité
Stratégie de groupe ou en utilisant un fichier de réponse dans le cadre d’une installation
sans assistance. Cela désactive également l’assistance à distance par messagerie
instantanée, qui est une forme d’assistance à distance sollicitée.

Pour limiter l’assistance à distance sollicitée sans la désactiver, vous pouvez la

configurer de sorte que l’adresse IP incluse dans l’invitation soit uniquement au format
chiffré. Une telle invitation ne fonctionne pas si elle est transmise à un utilisateur dont
l’ordinateur exécute Windows XP ou Windows 2003. Une autre solution consiste à
autoriser l’assistance à distance sollicitée en permettant uniquement au conseiller de
visualiser l’ordinateur de l’utilisateur et non à en prendre le contrôle.
Contrôle de la proposition d’assistance à distance : sur les ordinateurs exécutant
Windows Server 2008, vous pouvez choisir de ne pas installer l’assistance à distance, ce
qui désactive toutes les formes d’assistance à distance. Si vous installez l’assistance à
distance, vous pouvez désactiver la proposition d’assistance à distance via la
fonctionnalité Stratégie de groupe ou en utilisant un fichier de réponse dans le cadre
d’une installation sans assistance.

Toutefois, vous souhaiterez peut-être autoriser uniquement la proposition d’assistance à

distance et contrôler la liste des membres du support autorisés à la proposer. Sous
Windows Server 2008 (et plusieurs autres systèmes d’exploitation antérieurs), vous
pouvez contrôler cette liste sur un ordinateur individuel ou via la fonctionnalité Stratégie
de groupe. Si vous procédez ainsi, vous devez également activer l’exception Assistance à
distance dans le Pare-feu Windows via la fonctionnalité Stratégie de groupe.

Si vous autorisez la proposition d’assistance à distance, une autre solution consiste à

permettre uniquement au conseiller de visualiser l’ordinateur de l’utilisateur et non à en
prendre le contrôle.

50
51