Remote Desktop: Limitar a un Usuario Normal las Herramientas Administrativas que Puede Utilizar

En las dos notas anteriores vimos cómo configurar para permitir que un usuario normal pueda acceder por Remote Desktop (Escritorio Remoto) en modo administración a un Controlador de Dominio, y además cómo permitirle utilizar las herramientas administrativas

En esta ocasión veremos cómo podemos limitar qué herramientas puede utilizar, ya que el hecho de que pueda, aunque sólo sea ver información, es un problema de seguridad

Como había comentado en la nota anterior, supondré un caso como es: una persona de confianza que sólo debe poder acceder al “Event Viewer” (Visor de Sucesos)

Para llegar al objetivo, debemos crear y enlazar a la Unidad Organizativa donde está la cuenta de usuario una Directiva de Grupo (GPO) que limite qué aplicaciones podrá utilizar

Así que comenzaremos creando y enlazando una GPO a la Unidad Organizativa Soporte-OU

Yo la he llamdo “Restringir Consolas” pero no fue una buena elección, pues además de restringir las consolas (*.MSC) deberemos restringir algunos ejecutables (*.EXE), por ejemplo ServerManager.exe

Debemos editar: “User Configuration / Policies / Administrative Templates / Windows Components / Microsoft Management Console / Restrict user to the explicitly permitted list of snap-ins”
De esta forma, se impedirá el uso de cualquier consola, salvo las que explícitamente habilitemos

Y en “Restricted/Permitted snap-ins” habilitar la consola que deseamos permitir usar; en mi ejemplo el “Event Viewr” (Visor de sucesos)

Si deseamos que la opción valga para Windows Vista y anteriores, deberemos editar dos opciones (“Event Viewer” y “Event Viewre (Windows Vista)

En CL1, y como usuario “Soporte Uno” (S1) debemos forzar la aplicación de la nueva GPO

Y si nos conectamos a DC1 por Remote Desktop y tratamos de utilizar alguna herramienta administrativa, veremos que no podemos

La consola que sí, se podrá ejectuar es la específicamente permitida (“Event Viewer”)

Desde “Run”, ejecutamos EVENTVWR.MSC y vemos que funciona perfectamente

El problema que nos queda para resolver es que algunas herramientas administrativas, no son *.MSC, sino que son ejecutables *.EXE

Para saber bien no sólo el nombre de cada consola MSC, sino además cuáles son archivos ejecutables, podemos ingresar a las herramientas administrativas a través del Control Panel, y ver las propiedades de cada una

“Active Directory Users and Computers” es DSA.MSC

Pero “Server Manager”, “Administrative Center”, “System Configuration” y “System Information” son ejecutables EXE; y además PowerShell. Por lo cual no están limitadas como consolas MSC

Le dejo a cada uno la revisión individual, por mi parte a los efectos demostrativos limitaré sólo a Server Manager

Para esto, editaré nuevamente la GPO “Restringir Consolas” modificando “User Configuration / Policies / Administrative Templates / System / Don’t run specificed Windows applications”

Debemos habilitar la opción, y especificar cuáles aplicaciones deseamos impedir la ejecución

Forzamos al actualización de la GPO

Y podemos observar que ya no se puede ejecutar Server Manager

 

Resumiendo:

• En la primera nota hemos visto cómo podemos autorizar a un usuario normal para que pueda conectarse a un Controlador de Dominio con Remote Desktop en modo administración
• En la segunda parte hemos visto cómo permitirle la utilización de herramientas administrativas
• Y en esta tercera y última de la serie, hemos visto cómo podemos limitarlo y restringir qué consolas y ejecutable puede utilizar

 

Espero les sea útil :-)