Esta nota será el comienzo de una serie de tres donde veremos que configuraciones debemos hacer, para que:
- Un usuario normal pueda conectarse por Remote Desktop a un Controlador de Dominio
- Qué debemos configurar para que pueda usar las herramientas administrativas
- Cómo limitar qué herramientas administrativas puede utilizar
En esta primera nota de la serie veremos cómo permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) a un Controlador de Dominio, ya que la configuración es diferente que si se tratara de un servidor miembro
Es importante tener en cuenta que esta configuración no es una buena práctica de seguridad, ni es recomendada, pero muchas veces en pequeñas organizaciones es una configuración que se hace, y tiene pasos adicionales de configuración
Para esta demostración utilizaré sólo dos máquinas virtuales: un Controlador de Dominio (dc1.ad.guillermod.com.ar) y un cliente (cl1.ad.guillermod.com.ar). La misma infraestructura de máquinas virtuales que utilizo en todas estas demostraciones
Antes de comenzar revisemos que el Controlador de Dominio esté reconociendo la red como “Domain Network”. Si es la primera máquina del Dominio en encenderse suele pasar que la detecte como “Public”, y luego no funcionará el procedimiento siguiente. Me ha sucedido y me ha hecho trabajar hasta darme cuenta dónde estaba el problema
Si la detectara como “Public” simplemente deshabilitándola y rehabilitándola cambia a “Domain Network”
Para comenzar he creado una Unidad Organizativa (Soporte-OU), donde he agregado una cuenta de usuario (Soporte Uno = s1), y un grupo (Soportes) al cual pertenece el usuario
Comencemos habilitando Remote Desktop (Escritorio Remoto) para administración en la forma clásica. Recuerdo que esta configuración no es la que debemos hacer si quisiéramos utilizar para proveer acceso de usuarios a aplicaciones; esta configuración es específica para administración remota, y por lo tanto no requiere licenciamiento, aunque está limitada en cantidad de conexiones
Y agregamos al grupo Soportes
Para hacer una primera prueba, inicio sesión en el cliente (CL1) con el usuario “Soporte Uno” (s1), y con MSTSC.EXE me dispongo a inciar el escritorio remoto hacia DC1
Como podemos observar en la siguiente pantalla, el sistema no lo permite, y nos informa que además el usuario debe tener el derecho de incio de sesión a través de Remote Desktop
Por lo tanto, para asignar el derecho, editaremos la “Default Domain Controllers Policy”
Y editaremos: “Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / User Rights Assignment” agregando al grupo Soportes a «Allow logon throuth Remote Desktop Services»
Para no tener que esperar, actualizamos la aplicación de la directiva
Volvemos a CL1, y ahora veremos que efectivamente podemos inciar sesión de Remote Desktop sobre DC1
Veamos qué sucede si intentamos abrir alguna herramienta administrativa; en mi caso utilizaré ServerManager
Pide credenciales, por el UAC
Pero no lo permite
Cerremos la sesión
Ya hemos visto la configuración para conectarnos con un usuario normal a un Controlador de Dominio por Escritorio Remoto. En la próxima nota veremos la configuración que nos falta para permitirle el uso de las herramientas administrativas
WindowServer 
Comentarios
Buenas noches, Guillermo. Muchas gracias por tu blog. Es fantástico.
Quería preguntarte, aunque me temo que la respuesta es que no, si se pueden compartir carpetas por Remote Desktop, además de aplicaciones.
Un saludo y gracias.
Sergio.
PD: ya he leído tus entradas sobre compartición de carpetas en WS2012, que es el sistema operativo que gestiono, y veo que es completamente diferente la forma de compartir carpetas a la funcionalidad que implementa Remote Desktop…
Hola Sergio ¡Gracias! Me alegro te sirva el blog
Explícame un poco más el objetivo porque no veo clara la idea
Si el cliente está local accede directamente por \\nombre
Si la idea es que se conecte a un sitio web y vea las carpetas, como si fuera RD-WebAccess, entonces eso se hace desde el IIS
Decime/dime qué es lo buscas a ver si puedo dar una idea :-)
buenas.
me gustaria que comentaras las herramientas de implementacion rapida que tiene 2012 r2.
para instalaciones desatendidas…
Hola harrd, el problema con instalaciones desatendidas es que son muchos los métodos posibles. Y además con el tema virtualización de servidores se ha ampliado aún más
Suele encontrarse buena información, pero más que a servidores referido al cliente; aunque de todas formas para la misma versión el proceso tiene que ser prácticamente igual. Tienes el ADK, el MDT, etc.
De todas formas, algo he hecho sobre instalaciones, los pongo por si te sirven, porque la búsqueda en el blog a veces no es tan buena como debería
Windows Server 2012: Clonar un Controlador de Dominio Virtual | WindowServer:
https://windowserver.wordpress.com/2012/07/13/windows-server-2012-clonar-un-controlador-de-dominio-virtual/
Hyper-V: Implementación Rápida de Máquinas Virtuales | WindowServer:
https://windowserver.wordpress.com/2012/08/10/hyper-v-implementacin-rpida-de-mquinas-virtuales/
Y de WDS hay 3 notas, dejo la priemra
Windows Deployment Services: Instalación y Configuración del Servicio – Parte 1 de 3 | WindowServer:
https://windowserver.wordpress.com/2013/05/03/windows-deployment-services-instalacin-y-configuracin-del-servicio-parte-1-de-3/
cuento mi situacion es la siguente.
como parte de un proyecto, se me esta pidiendo un sistema a prueva de tontos, es decir copiar una imagen meter hard y que se haga solo.
la situacion mia es bastante rara:
Cluster de 2 nodos con controlador de dominio.
esos dos cluster alojando una maquina virtual en fail over para esos nodos.
esa maquina tiene 4 discos duros en cluster.
a su vez esta conectada por iscsi a un nas.
vamos facilito facilito para automatizar, del estilo clonar un disco, y que el sistema se autoimplemente XDDDD.
como no tengo otra forma de contactar, lo pido por aqui, a ver cual seria la forma mas sencilla de realizar el proceso.
que estaria dividido en:
-clonado de controlador de dominio.
-instalacion y configuracion automatizada de los nodos.
-carga del hyper v con creacion de redes incluida (las redes normales de un cluster, mas una virtual alojando 10 vlanes, que estan definidas en la maquina virtual)
-creacion de cluster hyperv.
-carga de maquina virtual, con sus discos duros cada uno en una lum diferente.
como ves todo facilito y de hacer en 5 minXDD
Siendo todo tan facilito, la respuesta es inmediata y en una sola palabra: «PowerShell» Ja ja ja
Según dice la gente de Microsoft «todo, todo, todo se puede hacer por PowerShell»
Hablando un poco más en serio ahora, mucho de lo que dices se puede hacer por PowerShell, aunque preparar los scripts puede llevar bastante tiempo y trabajo
Otra posilibilidad sobre todo para los últimos puntos es System Center que permite crear los hosts de Hyper-V, definir las redes virtuales y VLANs, asignar discos, etc.
manuales de powershell referido a eso??
Si buscas en Internet sobre aprender PowerShell, hay un mundo :-) pero no es cosa de un día para otro
Quizás para resolver este problema en particular, si buscas en el sitio de Technet (en inglés) encontrarás muchos de los procedimientos que necesitas. Ya desde hace tiempo casi todos los artículos que veo muestran las dos opciones: interfaz gráfica y PowerShell, o inclusive en algunos sólo la última
otra pregunta mas, esta creo que es de las faciles.
es posible activar un teaming fail over en un cluster??
me sirven cualquiera de las 2 opciones:
-el el teaming este alojado en la maquina host, y que esta de la unidad teaming para asociar a hiper v.
-el teaming este alojado en la maquina virtual, que a su vez vuelque los datos sobre dos redes creadas para hyper v.
es decir cualquier forma en la cual una maquina perteneciente a un cluster haga fail over de tarjetas de red.
si es posible agradeceria que se hiciera un manual, con la forma mas sencilla de hacerlo.
Hola harrd, sí, es posible usar «NIC Teaming» en un cluster. Acá tienes un caso: Hyper-V Cluster con Máquinas Virtuales en File Server Cluster – Demostración (Parte 2 Configurando Storage Pools e iSCSI) | WindowServer:
https://windowserver.wordpress.com/2013/08/08/hyper-v-cluster-con-mquinas-virtuales-en-file-server-cluster-demostracin-parte-2-configurando-storage-pools-e-iscsi/
Entiendo que también podría hacerse en la máquina virtual, aunque no sé si será tan útil y conveniente, ya que para aprovechar el ancho de banda, también debería estar conectado a un «teaming» sobre la real; y no creo que falle una NIC virtual
Nunca he probado «Teaming over teaming», pienso que debe funcionar, pero haría antes las pruebas ;)
si pero no.
no intento que sea una maquina la que comparta almacenamiento.
sino que ese cluster en fail over, sea capaz de dar a una maquina virtual, un teaming.
es decir, los host con 2 nic en teaming , y dentro de ellos un cluster fail over, y en modo de alta redundancia para la maquina virtual.
por el metodo que comentas, ya prove, cuando no es cluster ok, a la hora de crear cluster ok, pero a la hora de hacer migracion en vivo de la maquina me dice que no. que no ve un recurso de red igual, y eso que en las dos el recurso se llama igual.
Hola harrd, no tengo un cluster creado para probar, entiendo que lo que quieres es el Team para Live Migration
Te recomiendo busques información, por ejemplo, en el blog de José Barreto (http://blogs.technet.com/b/josebda/) que es el mayor especialista en todo lo que sea SMB, y cluster. Seguramente hay algún artículo sobre el tema
ya lo consegui.
ha sido reinstalar hyper v en los dos nodos, realizar de nuevo la tarea de hacer el teaming por windows a traves de la aplicacion de traming de hyper v.
presentarselo a hyper v, crear la conexion, y listo.
fona.
si quieres mando el procedimiento que he seguido.
Gracias harrd, por el comentario y cómo lo solucionaste, me alegro
Mejor no envíes el procedimiento para publicar, ya tu comentario tiene más o menos los pasos
Sinó estos comentarios de la nota, se van a hacer interminables :)
A veces los problemas no se resuelven a la primera, uno busca soluciones en los libros, en la red… y muchas veces tu blog me los ha resuelto.
Muchas gracias Guillermo por la dedicación que tienes a difundir estas «recetas de cocina informática»
Javier
Hola Javier, me alegro mucho que las notas te sean de tanta utilidad. Cuando hago una nota trato que sea sobre un tema que ya sea porque sé que causa «dolores de cabeza», o que no es bien comprendido por mucha gente, o inclusive a veces porque a mí personalmente me ha costado hasta que lo he comprendido
Comentarios como el tuyo son los que me dan ganas de seguir
¡Gracias!
Hola, muy útil este post, me has salvado de una grande!! Pregunta de novato, pero pregunta al fin y al cabo: tu dices que este metodo no es una buena practica por problemas de seguridad. Puedes aconsejarme cual metodo es buena practica?
Es muy sencillo Carlos :)
Los Controladores de Dominio contienen «lo más valioso de la red» como son las cuentas de usuario y sus contraseñas
Por lo tanto, el servicio de Escritorio Remoto nunca debe estar instalado en un Controlador de Dominio
Oye, muchas gracias por la pronta respuesta.
Entonces, si te entiendo, lo recomendable es tener el servicio de escritorio remoto en otro servidor, donde no haya nada de dominio instalado, verdad? y en ese caso, no ocurriría este problema q solucionamos con esta guia?
Sin falsos méritos :) a veces respondo en poco tiempo porque estoy libre, pero a veces demoro un poco
Es conveniente que sea un servidor unido a Dominio, es imprescindible para poder aprovechar toda la funcionalidad
Acá en el blog hay varias notas sobre el tema, si filtras por «Remote Desktop – Escritorio Remoto» en Categorías
Para ahorrarte sólo un poco de trabajo :)
En dos partes: Windows Server 2012: Remote Desktop – Quick Start (Parte 1) | WindowServer:
https://windowserver.wordpress.com/2012/10/05/windows-server-2012-remote-desktop-quick-start-parte-1/
Y en cuatro partes: Windows Server 2012: Remote Desktop – Standard Deployment (Parte 1 – Instalación) | WindowServer:
https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-1-instalacin/
Buenas noches Guillermo.
Mil gracias por tus aportes me han ayudado montones, sigue adelante.
Saludos desde Costa Rica.
¡Gracias! :)
DISCULPA GUILLERMO TENGO UNA PREGUNTA… HACE POCO HICE CON UN TECNICO EL SUPREMO REMOTE DESKTOP EN MI COMPUTADRA. Mi pregunta es la siguiente… puede después el mismo técnico meterse ami computadora con la clave y paswoord que le di… ?
Si conoce contrasena o puede acceder desde el exterioe entoncw si
Que tal amigo, me surge una duda, Hay manera de manipular una pc sin que el usuario de la pc fisica interrumpa sus actividades? en otras palabras permitir que dos personas trabajen sobre el mismo CPU en una funcion similar a PANTALLA EXTENDIDA?Saludos
Hola Pedro, es muy difícil interpretar a qué te refieres con «manipular una pc»
Por poner un ejemplo, se puede editar el registro remotamente, mientras otro usuario trabaja y no lo nota
Si te refieres a ver sesión o trabajar simultáneamente en dos sesiones diferentes, depende del sistema operativo; si es de tipo servidor entonces sí, usando Escritorio Remoto, pero si es de escritorio no se puede
Gracias me fue de gran ayuda tu explicacion acerca del tema
Me alegro Jesús te haya sido útil :)
Que tal amigo una consulta, la empresa en la que trabajo tiene un terminal server con win server 2012r2 como hago para que las estaciones de trabajo desde otra red se conecten a mi dominio local, nota antes de toda mi red local entre ISP la empresa tiene un server edian firewall te agradesco de antemano
Estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Hola, muy buena informacion, consulta, una vez que agregue al grupo o usuario los permisos para acceder en forma remota por politicas, el administrador ya no podia ingresar, tuve que entrar en forma local y darle los permisos para tambien pueda acceder, es normal esto o hice algo mal? Gracias
Hola Javier, me parece raro porque el administrador del Dominio siempre tiene permiso ¿estás seguro que pones «dominio\administrador»?
De todas formas darle el derecho no afecta en nada
Si lo agregue en forma local para poder acceder y con respecto a los permisos para las herramientas administrativas, no me deja agregarlos, me da el siguiente comentario,, simbolo de advertencia . Los administradores deben poder iniciar poder iniciar sesion localmente (es windows server 2012r2, la opcion la tengo en castellano y dice lo siguiente, permitir inicio de sesion local) ..Tambien intente agregar al administrador, pero tampoco me dejo. Gracias de antemano
Revisa en la «Default Domain Controllers Policy» que el grupo Administradores tenga el derecho de inicio de sesión local
Otra cosa no puedo hacer :(
Hay algún metodo para que solo permita las conexiones remotas que temgan un certificado digital de la empresa o algo asi? por seguridd y evitar los ataques al RDp de últimamente?
Hola María, el problema en realidad es permitir las conexiones remotas por Escritorio Remoto sin la protección adecuada y esto es desde siempre. Las recomendaciones son usar RD-Gateway, o por lo menos creando primero una VPN
Excelente post…..Me ha servido mucho, no entiendo por que microsoft no logra hacer su contenido asi de legible….
Trackbacks
[…] En la nota anterior vimos cómo configurar un Controlador de Dominio para permitir que un usuario normal pueda conectarse por … […]
[…] las dos notas anteriores vimos cómo configurar para permitir que un usuario normal pueda acceder por Remote Desktop (Escritorio Remoto) en modo administ…, y además cómo permitirle utilizar las herramientas […]
[…] las dos notas anteriores vimos cómo configurar para permitir que un usuario normal pueda acceder por Remote Desktop (Escritorio Remoto) en modo administ…, y además cómo permitirle utilizar las herramientas […]