Windows Server: Control Remoto para Soporte

He visto en muchas ocasiones a personal de soporte usar aplicaciones de terceros para hacer control remoto de máquinas de usuarios ¿sabe que esto se puede hacer utilizando solamente el sistema operativo?

Hay diferentes posibilidades, en esta nota veremos cómo, por ejemplo, personal que se dedica a hacer soporte a usuarios finales puede tomar control remoto de las máquinas de estos últimos

Se puede configurar por Directivas de Grupo (GPOs) para que ante un llamado telefónico, con sólo conocer la dirección IP, o nombre de máquina del usuario se pueda hacer la conexión

Es una opción no tan conocida por dos motivos, el primero porque Microsoft lo llama “Asistencia Remota”, y segundo porque la implementación por omisión requiere comunicación previa a través de correo, o lo que antes era el Mesenger. Pero se puede hacer en forma mucho más directa: sólo con dirección IP o nombre de máquina

La estructura que utilizaré para la demostración son 3 máquinas:

  • dc1.guillermod.com.ar
    Windows Server 2012 R2
    Controlador de Dominio
  • PC-Usuario
    Windows 8.1 que está utilizando un usuario (“User Uno” = u1)
    Parte del Dominio
  • PC-Soporte
    Windows 8.1 que está utilizando el soporte (“Soporte Uno” = s1)

Aunque puede adaptarse fácilmente, para que sea claro para esta demostración he creado tres Unidades Organizativas:

  • PCs-Usuarios
    Que contiene la cuenta de máquina PC-Usuario
  • PCs-Soporte
    Que contiene la cuenta de máquina PC-Soporte
  • Usuarios
    Que contiene la cuenta del usuario (“Usuario Uno” = u1), la cuenta del soporte (“Soporte Uno = s1) y un grupo global “Soporte-Usuarios” que incluye a la cuenta del soporte

La siguientes tres capturas de pantalla aclararán mejor

 

Comenzaré creando y editando una GPO que se aplicará a las máquinas de los usuarios para permitir que el soporte se conecte sabiendo sólo nombre o dirección IP de la máquina

Esta GPO la debemos enlazar a la Unidad Organizativa PCs-Usuarios

Pueden darle el nombre que prefieran, pero que sea claro

Y la editamos para hacer la configuración necesaria

Debemos acceder a “Computer Configuration / Policies / Administrative Templates / System / Remote Assistance” y editar “Configure Offer Remote Assistance”

Debemos marcar la opción “Enable”, e ingresar por el botón “Show” para agregar a la cuenta de usuario o grupo que podrá hacer la asistencia remota. En mi caso usaré al grupo Soporte-Usuarios creado a tal efecto

Y en la misma GPO debemos habilitar la reglas del cortafuego para permitir la conexión, para lo cual debemos llegar a “Computer Configuration / Policies / Windows Settings / Security Settings / Window Firewall with … / Windows Firewall … / Inbound Rules” y crear una nueva regla, como muestran las siguentes pantallas

Debemos seleccionar “%windir%\System32\msra.exe”

Permitiendo la conexión, y sólo cuando detecta una red de Dominio

Para no bajar la seguridad, podemos inclusive especificar que estos ejecutables se podrán conectar sólo a determinados puertos (TCP-135) para lo cual debemos ingresar a las propiedades y especificarlo como se muestra

Siguendo el mismo procedimiento anterior debemos permitir la conexión de “raserver.exe” incluyendo la configuración de TCP-135

Quedará finalmente así

 

Ahora nos falta crear y configurar la otra GPO, la que permite a los usuarios que hacen soporte puedan conectarse directamente
Así que crearé y enlazaré una GPO a la Unidad Organizativa llamada PCs-Soporte

Como siempre, darle un nombre descriptivo y editarla

Debemos llegar a “Computer Configuration / Policies / Administrative Templates / System / Remote Assistance” y habilitar “Configure Solicited Remote Assistance”

 

Ya tenemos todo listo, sólo falta probar y demostrar la funcionalidad

Debemos asegurarnos que estas nuevas GPOs se apliquen a las máquinas PC-USUARIO y PC-SOPORTE. Lo podemos hacer con GPUPDATE y si quieren verificar la aplicación con GPRESULT

Inciamos sesión con el usuario u1 en PC-USUARIO, y con s1 en PC-SOPORTE. Utilizando el comando WHOAMI muestro el usuario que tiene sesión abierta en cada máquina

Suponiendo que el usuario u1 ha llamado pidiendo soporte (ayuda …) entonces s1 comienza el proceso de conexión, utilizando MSRA.EXE

Y seguimos el asistente como se muestra

Ingresamos el nombre o dirección IP de la máquina a la cual nos conectaremos

Le quedará una pantalla negra, hasta que el usuario acepte el soporte

El usuario deberá aceptar que el soporte pueda ver su pantalla

A partir de lo anterior el usuario verá en su pantalla una ventana informativa

Y el soporte comenzará a ver la pantalla del usuario. Aclaración: he achicado la ventana para que se vea claramente que el sopore además de ver su propia pantalla puede ver la del usuario

Pudiendo ya ver la pantalla del usuario, el soporte puede pedir tomar control remoto de la máquina del usuario

Y el usuario debe autorizar al soporte para que tome control remoto de su máquina

Pudiendo el soporte tomar el control remoto de la máquina de usuario tal cual como si estuviera en el teclado de la misma

Esto es notificado al usuario que en cualquier momento puede interrumpirlo

El soporte puede abrir una ventana de “Chat” para poder dialogar con el usuario
Al tratarse de máquinas virtuales no puedo probar si en caso de disponer de micrófono y parlantes también podrían mantener una conversación en forma oral

 

Con esto último doy por finalizada la nota, que creo que se trata de un tema interesante, y que puede aliviar no sólo el trabajo de soporte, sino que además no es complicado, y que no son necesarias aplicaciones de terceros que a veces comprometen la seguridad

 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Francisco  On 12/05/2015 at 08:42

    ¿El usuario que solicita la asistencia tiene que abrir una ventana de comandos y escribir el comando whoami? Si es así, creo que hay pocos usuarios que sepan hacer eso.

    • Guillermo Delprato  On 12/05/2015 at 09:35

      No, Francisco, no :)
      Lo hago en la demo para que los que la lean vean que realmente que estoy usando en cada máquina virtual la cuenta de usuario correspondiente
      Se supone que el usuario conoce el nombre con el que inició sesión. Le alcanza sólo con eso, y cómo comunicarse con el que le presta ayuda

  • Diego  On 12/05/2015 at 11:20

    Desde que versión de S.O. cliente permite esto? Gracias.

  • Jeso...  On 12/05/2015 at 11:22

    Está genial tu articulo amigo, aprecio mucho tu ayuda, te recomendaré con mis colegas. Saludos desde México.

  • Nacho  On 12/05/2015 at 12:11

    Es el sistema que uso en la oficina para conexiones remotas.

    Funciona perfectamente con Windows 2003.

    Sólo le encuentro 2 fallos.

    1) Si hay que ejecutar algún programa que necesite permisos de administrador la ventana se queda en negro.

    2) No existe la posibilidad de conectarse sin intervención del usuario, a veces el usuario no está delante de su ordenador y sería muy útil.

    Gracias por la entrada Guillermo.

    • Guillermo Delprato  On 12/05/2015 at 12:46

      Hola Nacho, los dos inconvenientes que le encuentras son por diseño, así que dudo que eso cambie a futuro

      1) Como estás realmente tomando la sesión del usuario no funcionarán las aplicaciones ejecutadas como administrador, ya que estás con las credenciales del usuario que inició sesión en dicha máquina

      2) Esto está hecho por seguridad y tiene como finalidad que nadie pueda “espiar” a un usuario sin que él lo sepa. El “dueño” de los datos es el usuario. Un administrador puede acceder a los mismos no importa cómo los proteja el usuario, pero la idea es que este soporte lo haga una persona que no tenga privilegios de administrador
      Y además hay aplicaciones, de terceros, que permite “espiar” al usuario pero no forman parte del sistema operativo. Recuerdo hace años haber visto una que se encargaba de fotografiar la pantalla del usuario con una frecuencia configurable, almacenaba la info en un servidor, y luego si querías podías ver la información como si fuera una película. Claro, esto tiene como finalidad atrapar usuarios infieles

  • Jonattan Dominguez  On 13/05/2015 at 10:59

    Guillermo, Mil gracias por tus grandes aportes

  • Guillermo  On 13/05/2015 at 11:15

    Excelente Nota. Muchas gracias por la ayuda. Saludos.

  • Antonio Ferrer  On 13/05/2015 at 17:34

    Gracias!!!
    Sin duda un blog de referencia TIC para los hispanohablantes

  • Marlon  On 17/05/2015 at 22:19

    Hola Guillermo, dime si estoy equivocado pero lo que entendi es que el personal de soporte podra realizar el remoto con la sesion abierta en ese momento. En todo caso cual seria la diferencia de hacer escritorio remoto (mstsc) e introducir las credenciales del usuario.

    • Guillermo Delprato  On 18/05/2015 at 08:38

      No estás equivocado Marlon, es así :)
      La asistencia remota permite que el soporte vea y pueda tomar control remoto de *la sesión del usuario*
      En cambio escritorio remoto lo que hace es abrir *una nueva sesión* con las credenciales del soporte. No permite ver el escritorio de un usuario
      En un sistema operativo de escritorio, si un soporte accede por escritorio remoto, le cierra la sesión al usuario

  • Nicolás Hermida Cadel  On 20/05/2015 at 15:02

    Guillermo, lo he probado y se me ha presentado problemas cuando se requiere una elevación de permisos. Al mostrarse la ventana del UAC la sesión remota pierde visión de la misma, hasta que el usuario que está frente al equipo no ponga las credenciales de una sesión de administrador. Esto es poco práctico ya que como soporte debemos realizar tareas que requieran elevación, ¿hay forma de modificar esto? Gracias.

    • Guillermo Delprato  On 20/05/2015 at 17:16

      Hola Nicolás, a mi entender no lo permite, y está bien :), ya que es por seguridad
      El “control remoto” en realidad es “control comparatido”, y por lo tanto permitiría a un usuario, no sólo actuar como administrador, sino que si te desconectara quedaría con un aplicación/consola con privilegios del administrador que hayas usado
      Hace ya varias versiones, Windows va mejorando la seguridad, para darte un ejemplo: antes RD permitía una sesión interactiva y dos RD, pero ahora es sólo 2 como máximo ¿por qué? Pues porque la sesión interactiva es diferente a la sesión de cuando ejecutas “como administrador”, son dos sesiones, y por lo tanto puede haber una sola RD cuando estás trabajando desde “el teclado”
      Si quieres conectar otra sesión RD te pregunta si quieres desconectar a alguno de los otros. Por lo menos esto lo he comprobado con W2012R2
      Si, por supuesto que la seguridad molesta :D

  • Francisco B.  On 21/05/2015 at 11:22

    Muy buen tutorial Guillermo, exelente! Vi soluciuones con VNC donde estaba por desplegar, pero me parecio bastante facil este y opte..

    Hasta ahora funciona muy bien

    Francisco B.

  • Hector Urrego  On 18/09/2015 at 17:16

    Guillermo buenas tardes, como siempre felicitandole por su tiempo y su excelente material; estoy intentando probarlo pero me arroja el error “No se puede enviar oferta de ayuda” compruebe lo siguiente que cuente con permisos, que el equipo este encendido y que existe un problema en la red, dame una ayudita gracias

    • Guillermo Delprato  On 18/09/2015 at 17:51

      Hola Hector, ¡Gracias por el comentario!
      Si el mensaje de error es no poder enviar, entonces el primer lugar a revisar es la segunda GPO ¿te haz dado cuenta que son dos? una GPO para los clientes, y otra GPO la que está enlazada a la OU “PCs-Soporte”

      • Hector Urrego  On 18/09/2015 at 19:03

        Amigo las elimine y las volvi a crear y me sigue dando el mismo error

      • Guillermo Delprato  On 18/09/2015 at 19:24

        No hay mucho que pueda hacer de acá, sólo que revises que en algún lugar debe haber algún problema

  • Marlon Mejía Nuñez  On 08/01/2016 at 11:23

    Hola Guillermo, consulta: Cuando tomo la sesión del usuario y quiero, por ejemplo cambiar la ip o instalar algún programa (con la sesión del usuario), me pide contraseña de administrador o de alguna cuenta con privilegios como debe de ser y es en ese momento cuando el remoto se pone en pausa (pantalla negra) . Hay alguna solución para eso ? . Gracias

    • Guillermo Delprato  On 08/01/2016 at 12:10

      No, no tiene solución. cuando tomas control de la sesión de usuario es el mismo usuario aunque lo manejes remotamente
      Y como el UAC se pone “encima” de todo incluye tu control
      Por lo menos que yo sepa :)

      • Marlon Mejía Nuñez  On 08/01/2016 at 13:43

        Ok, Gracias Guillermo

  • Fernando Trasvent  On 05/08/2016 at 13:31

    Hola Guillermo, tengo un problema, no encuentro la manera de que se apliquen las directivas de grupos a las UO en cuestion. ¿Que crees que pueda ser esto?

  • Coldfran  On 11/09/2016 at 23:09

    Hola Guillermo! a mi además del tema de credenciales de Administrador, que ya explicaste que es por seguridad, el cual me parece lógico pero que se podría mejorar (encontrar la forma de ingresarlas sin debilitar la seguridad), lo que me gustaría es que se pudiera poner la pantalla del usuario en negro por un momento(con su permiso si fuera necesario :)) par poder entrar a ciertas configuraciones que no queremos que el usuario conozca y esté manipulando.

    • Guillermo Delprato  On 12/09/2016 at 07:51

      El tema es porque los standares de seguridad establecen que el usuario es “dueño” de su información, y esto debe cumplirse. Entonces si tú puedes tomar la pantalla de usuario y manipularla sin su consentimiento y sin ver lo que haces es un problema. Fíjate que el usuario con simplemente pulsar “ESC” te deja afuera, por si te ve meterte donde no debes

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: