Remote Desktop: Permitir a Usuarios Conectarse a un Controlador de Dominio

Esta nota será el comienzo de una serie de tres donde veremos que configuraciones debemos hacer, para que:

  1. Un usuario normal pueda conectarse por Remote Desktop a un Controlador de Dominio
  2. Qué debemos configurar para que pueda usar las herramientas administrativas
  3. Cómo limitar qué herramientas administrativas puede utilizar

En esta primera nota de la serie veremos cómo permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) a un Controlador de Dominio, ya que la configuración es diferente que si se tratara de un servidor miembro

Es importante tener en cuenta que esta configuración no es una buena práctica de seguridad, ni es recomendada, pero muchas veces en pequeñas organizaciones es una configuración que se hace, y tiene pasos adicionales de configuración

Para esta demostración utilizaré sólo dos máquinas virtuales: un Controlador de Dominio (dc1.ad.guillermod.com.ar) y un cliente (cl1.ad.guillermod.com.ar). La misma infraestructura de máquinas virtuales que utilizo en todas estas demostraciones

Antes de comenzar revisemos que el Controlador de Dominio esté reconociendo la red como “Domain Network”. Si es la primera máquina del Dominio en encenderse suele pasar que la detecte como “Public”, y luego no funcionará el procedimiento siguiente. Me ha sucedido y me ha hecho trabajar hasta darme cuenta dónde estaba el problema
Si la detectara como “Public” simplemente deshabilitándola y rehabilitándola cambia a “Domain Network”

Para comenzar he creado una Unidad Organizativa (Soporte-OU), donde he agregado una cuenta de usuario (Soporte Uno = s1), y un grupo (Soportes) al cual pertenece el usuario

Comencemos habilitando Remote Desktop (Escritorio Remoto) para administración en la forma clásica. Recuerdo que esta configuración no es la que debemos hacer si quisiéramos utilizar para proveer acceso de usuarios a aplicaciones; esta configuración es específica para administración remota, y por lo tanto no requiere licenciamiento, aunque está limitada en cantidad de conexiones

Y agregamos al grupo Soportes

Para hacer una primera prueba, inicio sesión en el cliente (CL1) con el usuario “Soporte Uno” (s1), y con MSTSC.EXE me dispongo a inciar el escritorio remoto hacia DC1

Como podemos observar en la siguiente pantalla, el sistema no lo permite, y nos informa que además el usuario debe tener el derecho de incio de sesión a través de Remote Desktop

Por lo tanto, para asignar el derecho, editaremos la “Default Domain Controllers Policy”

Y editaremos: “Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / User Rights Assignment” agregando al grupo Soportes a “Allow logon throuth Remote Desktop Services”

Para no tener que esperar, actualizamos la aplicación de la directiva

Volvemos a CL1, y ahora veremos que efectivamente podemos inciar sesión de Remote Desktop sobre DC1
Veamos qué sucede si intentamos abrir alguna herramienta administrativa; en mi caso utilizaré ServerManager

Pide credenciales, por el UAC

Pero no lo permite

Cerremos la sesión

 

Ya hemos visto la configuración para conectarnos con un usuario normal a un Controlador de Dominio por Escritorio Remoto. En la próxima nota veremos la configuración que nos falta para permitirle el uso de las herramientas administrativas

 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Sergio  On 15/10/2014 at 16:37

    Buenas noches, Guillermo. Muchas gracias por tu blog. Es fantástico.
    Quería preguntarte, aunque me temo que la respuesta es que no, si se pueden compartir carpetas por Remote Desktop, además de aplicaciones.
    Un saludo y gracias.
    Sergio.
    PD: ya he leído tus entradas sobre compartición de carpetas en WS2012, que es el sistema operativo que gestiono, y veo que es completamente diferente la forma de compartir carpetas a la funcionalidad que implementa Remote Desktop…

    • Guillermo Delprato  On 15/10/2014 at 17:04

      Hola Sergio ¡Gracias! Me alegro te sirva el blog
      Explícame un poco más el objetivo porque no veo clara la idea
      Si el cliente está local accede directamente por \\nombre
      Si la idea es que se conecte a un sitio web y vea las carpetas, como si fuera RD-WebAccess, entonces eso se hace desde el IIS
      Decime/dime qué es lo buscas a ver si puedo dar una idea :-)

  • harrd  On 15/10/2014 at 17:19

    buenas.
    me gustaria que comentaras las herramientas de implementacion rapida que tiene 2012 r2.
    para instalaciones desatendidas…

  • harrd  On 16/10/2014 at 07:09

    cuento mi situacion es la siguente.
    como parte de un proyecto, se me esta pidiendo un sistema a prueva de tontos, es decir copiar una imagen meter hard y que se haga solo.
    la situacion mia es bastante rara:
    Cluster de 2 nodos con controlador de dominio.
    esos dos cluster alojando una maquina virtual en fail over para esos nodos.
    esa maquina tiene 4 discos duros en cluster.
    a su vez esta conectada por iscsi a un nas.
    vamos facilito facilito para automatizar, del estilo clonar un disco, y que el sistema se autoimplemente XDDDD.
    como no tengo otra forma de contactar, lo pido por aqui, a ver cual seria la forma mas sencilla de realizar el proceso.
    que estaria dividido en:
    -clonado de controlador de dominio.
    -instalacion y configuracion automatizada de los nodos.
    -carga del hyper v con creacion de redes incluida (las redes normales de un cluster, mas una virtual alojando 10 vlanes, que estan definidas en la maquina virtual)
    -creacion de cluster hyperv.
    -carga de maquina virtual, con sus discos duros cada uno en una lum diferente.
    como ves todo facilito y de hacer en 5 minXDD

    • Guillermo Delprato  On 16/10/2014 at 08:17

      Siendo todo tan facilito, la respuesta es inmediata y en una sola palabra: “PowerShell” Ja ja ja
      Según dice la gente de Microsoft “todo, todo, todo se puede hacer por PowerShell”
      Hablando un poco más en serio ahora, mucho de lo que dices se puede hacer por PowerShell, aunque preparar los scripts puede llevar bastante tiempo y trabajo
      Otra posilibilidad sobre todo para los últimos puntos es System Center que permite crear los hosts de Hyper-V, definir las redes virtuales y VLANs, asignar discos, etc.

  • harrd  On 16/10/2014 at 08:30

    manuales de powershell referido a eso??

    • Guillermo Delprato  On 16/10/2014 at 09:28

      Si buscas en Internet sobre aprender PowerShell, hay un mundo :-) pero no es cosa de un día para otro
      Quizás para resolver este problema en particular, si buscas en el sitio de Technet (en inglés) encontrarás muchos de los procedimientos que necesitas. Ya desde hace tiempo casi todos los artículos que veo muestran las dos opciones: interfaz gráfica y PowerShell, o inclusive en algunos sólo la última

  • harrd  On 21/10/2014 at 11:35

    otra pregunta mas, esta creo que es de las faciles.
    es posible activar un teaming fail over en un cluster??
    me sirven cualquiera de las 2 opciones:
    -el el teaming este alojado en la maquina host, y que esta de la unidad teaming para asociar a hiper v.
    -el teaming este alojado en la maquina virtual, que a su vez vuelque los datos sobre dos redes creadas para hyper v.
    es decir cualquier forma en la cual una maquina perteneciente a un cluster haga fail over de tarjetas de red.
    si es posible agradeceria que se hiciera un manual, con la forma mas sencilla de hacerlo.

  • harrd  On 22/10/2014 at 04:17

    si pero no.
    no intento que sea una maquina la que comparta almacenamiento.
    sino que ese cluster en fail over, sea capaz de dar a una maquina virtual, un teaming.
    es decir, los host con 2 nic en teaming , y dentro de ellos un cluster fail over, y en modo de alta redundancia para la maquina virtual.
    por el metodo que comentas, ya prove, cuando no es cluster ok, a la hora de crear cluster ok, pero a la hora de hacer migracion en vivo de la maquina me dice que no. que no ve un recurso de red igual, y eso que en las dos el recurso se llama igual.

    • Guillermo Delprato  On 22/10/2014 at 07:45

      Hola harrd, no tengo un cluster creado para probar, entiendo que lo que quieres es el Team para Live Migration
      Te recomiendo busques información, por ejemplo, en el blog de José Barreto (http://blogs.technet.com/b/josebda/) que es el mayor especialista en todo lo que sea SMB, y cluster. Seguramente hay algún artículo sobre el tema

  • harrd  On 22/10/2014 at 11:38

    ya lo consegui.
    ha sido reinstalar hyper v en los dos nodos, realizar de nuevo la tarea de hacer el teaming por windows a traves de la aplicacion de traming de hyper v.
    presentarselo a hyper v, crear la conexion, y listo.
    fona.
    si quieres mando el procedimiento que he seguido.

    • Guillermo Delprato  On 22/10/2014 at 16:26

      Gracias harrd, por el comentario y cómo lo solucionaste, me alegro
      Mejor no envíes el procedimiento para publicar, ya tu comentario tiene más o menos los pasos
      Sinó estos comentarios de la nota, se van a hacer interminables :)

  • Javier Ortega  On 24/04/2015 at 05:52

    A veces los problemas no se resuelven a la primera, uno busca soluciones en los libros, en la red… y muchas veces tu blog me los ha resuelto.
    Muchas gracias Guillermo por la dedicación que tienes a difundir estas “recetas de cocina informática”
    Javier

    • Guillermo Delprato  On 24/04/2015 at 07:22

      Hola Javier, me alegro mucho que las notas te sean de tanta utilidad. Cuando hago una nota trato que sea sobre un tema que ya sea porque sé que causa “dolores de cabeza”, o que no es bien comprendido por mucha gente, o inclusive a veces porque a mí personalmente me ha costado hasta que lo he comprendido
      Comentarios como el tuyo son los que me dan ganas de seguir
      ¡Gracias!

  • Carlos Casas  On 27/10/2015 at 13:25

    Hola, muy útil este post, me has salvado de una grande!! Pregunta de novato, pero pregunta al fin y al cabo: tu dices que este metodo no es una buena practica por problemas de seguridad. Puedes aconsejarme cual metodo es buena practica?

    • Guillermo Delprato  On 27/10/2015 at 13:53

      Es muy sencillo Carlos :)
      Los Controladores de Dominio contienen “lo más valioso de la red” como son las cuentas de usuario y sus contraseñas
      Por lo tanto, el servicio de Escritorio Remoto nunca debe estar instalado en un Controlador de Dominio

  • Agradecido  On 26/05/2016 at 23:27

    Buenas noches Guillermo.

    Mil gracias por tus aportes me han ayudado montones, sigue adelante.
    Saludos desde Costa Rica.

  • ALEX  On 21/01/2017 at 02:29

    DISCULPA GUILLERMO TENGO UNA PREGUNTA… HACE POCO HICE CON UN TECNICO EL SUPREMO REMOTE DESKTOP EN MI COMPUTADRA. Mi pregunta es la siguiente… puede después el mismo técnico meterse ami computadora con la clave y paswoord que le di… ?

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: