He visto en muchas ocasiones a personal de soporte usar aplicaciones de terceros para hacer control remoto de máquinas de usuarios ¿sabe que esto se puede hacer utilizando solamente el sistema operativo?
Hay diferentes posibilidades, en esta nota veremos cómo, por ejemplo, personal que se dedica a hacer soporte a usuarios finales puede tomar control remoto de las máquinas de estos últimos
Se puede configurar por Directivas de Grupo (GPOs) para que ante un llamado telefónico, con sólo conocer la dirección IP, o nombre de máquina del usuario se pueda hacer la conexión
Es una opción no tan conocida por dos motivos, el primero porque Microsoft lo llama “Asistencia Remota”, y segundo porque la implementación por omisión requiere comunicación previa a través de correo, o lo que antes era el Mesenger. Pero se puede hacer en forma mucho más directa: sólo con dirección IP o nombre de máquina
La estructura que utilizaré para la demostración son 3 máquinas:
- dc1.guillermod.com.ar
Windows Server 2012 R2
Controlador de Dominio - PC-Usuario
Windows 8.1 que está utilizando un usuario (“User Uno” = u1)
Parte del Dominio - PC-Soporte
Windows 8.1 que está utilizando el soporte (“Soporte Uno” = s1)
Aunque puede adaptarse fácilmente, para que sea claro para esta demostración he creado tres Unidades Organizativas:
- PCs-Usuarios
Que contiene la cuenta de máquina PC-Usuario - PCs-Soporte
Que contiene la cuenta de máquina PC-Soporte - Usuarios
Que contiene la cuenta del usuario (“Usuario Uno” = u1), la cuenta del soporte (“Soporte Uno = s1) y un grupo global “Soporte-Usuarios” que incluye a la cuenta del soporte
La siguientes tres capturas de pantalla aclararán mejor
Comenzaré creando y editando una GPO que se aplicará a las máquinas de los usuarios para permitir que el soporte se conecte sabiendo sólo nombre o dirección IP de la máquina
Esta GPO la debemos enlazar a la Unidad Organizativa PCs-Usuarios
Pueden darle el nombre que prefieran, pero que sea claro
Y la editamos para hacer la configuración necesaria
Debemos acceder a “Computer Configuration / Policies / Administrative Templates / System / Remote Assistance” y editar “Configure Offer Remote Assistance”
Debemos marcar la opción “Enable”, e ingresar por el botón “Show” para agregar a la cuenta de usuario o grupo que podrá hacer la asistencia remota. En mi caso usaré al grupo Soporte-Usuarios creado a tal efecto
Y en la misma GPO debemos habilitar la reglas del cortafuego para permitir la conexión, para lo cual debemos llegar a “Computer Configuration / Policies / Windows Settings / Security Settings / Window Firewall with … / Windows Firewall … / Inbound Rules” y crear una nueva regla, como muestran las siguentes pantallas
Debemos seleccionar “%windir%\System32\msra.exe”
Permitiendo la conexión, y sólo cuando detecta una red de Dominio
Para no bajar la seguridad, podemos inclusive especificar que estos ejecutables se podrán conectar sólo a determinados puertos (TCP-135) para lo cual debemos ingresar a las propiedades y especificarlo como se muestra
Siguendo el mismo procedimiento anterior debemos permitir la conexión de “raserver.exe” incluyendo la configuración de TCP-135
Quedará finalmente así
Ahora nos falta crear y configurar la otra GPO, la que permite a los usuarios que hacen soporte puedan conectarse directamente
Así que crearé y enlazaré una GPO a la Unidad Organizativa llamada PCs-Soporte
Como siempre, darle un nombre descriptivo y editarla
Debemos llegar a “Computer Configuration / Policies / Administrative Templates / System / Remote Assistance” y habilitar “Configure Solicited Remote Assistance”
Ya tenemos todo listo, sólo falta probar y demostrar la funcionalidad
Debemos asegurarnos que estas nuevas GPOs se apliquen a las máquinas PC-USUARIO y PC-SOPORTE. Lo podemos hacer con GPUPDATE y si quieren verificar la aplicación con GPRESULT
Inciamos sesión con el usuario u1 en PC-USUARIO, y con s1 en PC-SOPORTE. Utilizando el comando WHOAMI muestro el usuario que tiene sesión abierta en cada máquina
Suponiendo que el usuario u1 ha llamado pidiendo soporte (ayuda …) entonces s1 comienza el proceso de conexión, utilizando MSRA.EXE
Y seguimos el asistente como se muestra
Ingresamos el nombre o dirección IP de la máquina a la cual nos conectaremos
Le quedará una pantalla negra, hasta que el usuario acepte el soporte
El usuario deberá aceptar que el soporte pueda ver su pantalla
A partir de lo anterior el usuario verá en su pantalla una ventana informativa
Y el soporte comenzará a ver la pantalla del usuario. Aclaración: he achicado la ventana para que se vea claramente que el sopore además de ver su propia pantalla puede ver la del usuario
Pudiendo ya ver la pantalla del usuario, el soporte puede pedir tomar control remoto de la máquina del usuario
Y el usuario debe autorizar al soporte para que tome control remoto de su máquina
Pudiendo el soporte tomar el control remoto de la máquina de usuario tal cual como si estuviera en el teclado de la misma
Esto es notificado al usuario que en cualquier momento puede interrumpirlo
El soporte puede abrir una ventana de “Chat” para poder dialogar con el usuario
Al tratarse de máquinas virtuales no puedo probar si en caso de disponer de micrófono y parlantes también podrían mantener una conversación en forma oral
Con esto último doy por finalizada la nota, que creo que se trata de un tema interesante, y que puede aliviar no sólo el trabajo de soporte, sino que además no es complicado, y que no son necesarias aplicaciones de terceros que a veces comprometen la seguridad
Comentarios
¿El usuario que solicita la asistencia tiene que abrir una ventana de comandos y escribir el comando whoami? Si es así, creo que hay pocos usuarios que sepan hacer eso.
No, Francisco, no :)
Lo hago en la demo para que los que la lean vean que realmente que estoy usando en cada máquina virtual la cuenta de usuario correspondiente
Se supone que el usuario conoce el nombre con el que inició sesión. Le alcanza sólo con eso, y cómo comunicarse con el que le presta ayuda
Desde que versión de S.O. cliente permite esto? Gracias.
Hola Diego, desde XP seguro, anterior no sé
Revisa este enlace: Asistencia Remota No Solicitada:
https://windowserver.wordpress.com/2011/02/10/asistencia-remota-no-solicitada/
Está genial tu articulo amigo, aprecio mucho tu ayuda, te recomendaré con mis colegas. Saludos desde México.
¡Gracias Jeso…! :)
Saludos desde Argentina
Es el sistema que uso en la oficina para conexiones remotas.
Funciona perfectamente con Windows 2003.
Sólo le encuentro 2 fallos.
1) Si hay que ejecutar algún programa que necesite permisos de administrador la ventana se queda en negro.
2) No existe la posibilidad de conectarse sin intervención del usuario, a veces el usuario no está delante de su ordenador y sería muy útil.
Gracias por la entrada Guillermo.
Hola Nacho, los dos inconvenientes que le encuentras son por diseño, así que dudo que eso cambie a futuro
1) Como estás realmente tomando la sesión del usuario no funcionarán las aplicaciones ejecutadas como administrador, ya que estás con las credenciales del usuario que inició sesión en dicha máquina
2) Esto está hecho por seguridad y tiene como finalidad que nadie pueda «espiar» a un usuario sin que él lo sepa. El «dueño» de los datos es el usuario. Un administrador puede acceder a los mismos no importa cómo los proteja el usuario, pero la idea es que este soporte lo haga una persona que no tenga privilegios de administrador
Y además hay aplicaciones, de terceros, que permite «espiar» al usuario pero no forman parte del sistema operativo. Recuerdo hace años haber visto una que se encargaba de fotografiar la pantalla del usuario con una frecuencia configurable, almacenaba la info en un servidor, y luego si querías podías ver la información como si fuera una película. Claro, esto tiene como finalidad atrapar usuarios infieles
Hola Guillermo. Me he encontrado con el mismo problema que Nacho al querer instalar una aplicación en el equipo que estaba dando soporte, ya que también se me quedaba la pantalla en negro. No encontré en la web ninguna documentación de como solucionarlo, pero al final pude arreglarlo yo mismo.
Te explico la forma aquí por si quieres añadirlo al post:
En las directivas de grupo, hay que ir a: Configuración de equipo > Directivas > Configuración de windows > Configuración de seguridad > Directivas locales > Opciones de seguridad y aquí deshabilitar «Control de cuentas de usuario: Cambiar a escritorio seguro cuando se pida confirmación de elevación»
Una vez este Deshabilitado ya no se quedara mas la pantalla en negro cuando estemos dando un servicio de control remoto para soporte.
Espero que sirva de ayuda tanto como me ha servido a mi tu Blog.
Un saludo.
¡Gracias Adrián! :)
Dejo la solución en tu comentario, que el mérito es tuyo :)
Guillermo, Mil gracias por tus grandes aportes
¡Gracias Jonattan! Todavía no encuentro el motivo por que Microsoft lo tiene tan «escondido» el tema
Excelente Nota. Muchas gracias por la ayuda. Saludos.
¡Gracias por el comentario Guillermo!
Gracias!!!
Sin duda un blog de referencia TIC para los hispanohablantes
¡Gracias Antonio! Espero que sea útil a todos
Hola Guillermo, dime si estoy equivocado pero lo que entendi es que el personal de soporte podra realizar el remoto con la sesion abierta en ese momento. En todo caso cual seria la diferencia de hacer escritorio remoto (mstsc) e introducir las credenciales del usuario.
No estás equivocado Marlon, es así :)
La asistencia remota permite que el soporte vea y pueda tomar control remoto de *la sesión del usuario*
En cambio escritorio remoto lo que hace es abrir *una nueva sesión* con las credenciales del soporte. No permite ver el escritorio de un usuario
En un sistema operativo de escritorio, si un soporte accede por escritorio remoto, le cierra la sesión al usuario
Guillermo, lo he probado y se me ha presentado problemas cuando se requiere una elevación de permisos. Al mostrarse la ventana del UAC la sesión remota pierde visión de la misma, hasta que el usuario que está frente al equipo no ponga las credenciales de una sesión de administrador. Esto es poco práctico ya que como soporte debemos realizar tareas que requieran elevación, ¿hay forma de modificar esto? Gracias.
Hola Nicolás, a mi entender no lo permite, y está bien :), ya que es por seguridad
El «control remoto» en realidad es «control comparatido», y por lo tanto permitiría a un usuario, no sólo actuar como administrador, sino que si te desconectara quedaría con un aplicación/consola con privilegios del administrador que hayas usado
Hace ya varias versiones, Windows va mejorando la seguridad, para darte un ejemplo: antes RD permitía una sesión interactiva y dos RD, pero ahora es sólo 2 como máximo ¿por qué? Pues porque la sesión interactiva es diferente a la sesión de cuando ejecutas «como administrador», son dos sesiones, y por lo tanto puede haber una sola RD cuando estás trabajando desde «el teclado»
Si quieres conectar otra sesión RD te pregunta si quieres desconectar a alguno de los otros. Por lo menos esto lo he comprobado con W2012R2
Si, por supuesto que la seguridad molesta :D
Muy buen tutorial Guillermo, exelente! Vi soluciuones con VNC donde estaba por desplegar, pero me parecio bastante facil este y opte..
Hasta ahora funciona muy bien
Francisco B.
¡Me alegro te sea útil Francisco!
Guillermo buenas tardes, como siempre felicitandole por su tiempo y su excelente material; estoy intentando probarlo pero me arroja el error «No se puede enviar oferta de ayuda» compruebe lo siguiente que cuente con permisos, que el equipo este encendido y que existe un problema en la red, dame una ayudita gracias
Hola Hector, ¡Gracias por el comentario!
Si el mensaje de error es no poder enviar, entonces el primer lugar a revisar es la segunda GPO ¿te haz dado cuenta que son dos? una GPO para los clientes, y otra GPO la que está enlazada a la OU «PCs-Soporte»
Amigo las elimine y las volvi a crear y me sigue dando el mismo error
No hay mucho que pueda hacer de acá, sólo que revises que en algún lugar debe haber algún problema
Hola Guillermo, consulta: Cuando tomo la sesión del usuario y quiero, por ejemplo cambiar la ip o instalar algún programa (con la sesión del usuario), me pide contraseña de administrador o de alguna cuenta con privilegios como debe de ser y es en ese momento cuando el remoto se pone en pausa (pantalla negra) . Hay alguna solución para eso ? . Gracias
No, no tiene solución. cuando tomas control de la sesión de usuario es el mismo usuario aunque lo manejes remotamente
Y como el UAC se pone «encima» de todo incluye tu control
Por lo menos que yo sepa :)
Ok, Gracias Guillermo
Hola Guillermo, tengo un problema, no encuentro la manera de que se apliquen las directivas de grupos a las UO en cuestion. ¿Que crees que pueda ser esto?
Hola Fernando, hay miles de causas posibles :)
Postea la pregunta en un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Y proporciona datos, para que alguien pueda ayudarte. Con «No funciona» nadie sabe qué estás haciendo :)
Hola Guillermo! a mi además del tema de credenciales de Administrador, que ya explicaste que es por seguridad, el cual me parece lógico pero que se podría mejorar (encontrar la forma de ingresarlas sin debilitar la seguridad), lo que me gustaría es que se pudiera poner la pantalla del usuario en negro por un momento(con su permiso si fuera necesario :)) par poder entrar a ciertas configuraciones que no queremos que el usuario conozca y esté manipulando.
El tema es porque los standares de seguridad establecen que el usuario es «dueño» de su información, y esto debe cumplirse. Entonces si tú puedes tomar la pantalla de usuario y manipularla sin su consentimiento y sin ver lo que haces es un problema. Fíjate que el usuario con simplemente pulsar «ESC» te deja afuera, por si te ve meterte donde no debes
Que tal Guillermo, una consulta.
En el paso donde vinculas la GPO a la OU PCs-Soporte, obviamente aquí deben estar las cuentas de máquina de los que brinda soporte para que les aplique dicha GPO, pero te comparto mi caso…
En mi trabajo me toca dar soporte a diferentes empresas que cuentan con diferentes dominios y por consiguiente mi equipo no puede estar unido a todos esos dominios a la vez.
Hay manera de aplicar esa GPO por usuario para poder dar soporte sin que mi equipo esté unido a ese dominio??
De antemano gracias.
Saludos!!
Hola Alan, si son diferentes Dominios no se puede hacer nada con este tipo de implementación
Hola Guillermo, muchas gracias por tu aporte de verdad que me parece excelente que enseñes como habilitar esa herramienta.
Te comento que hice todos los pasos pero al ejecutar el msra.exe, me di cuenta que el servidor no lo trae. ¿que podria hacer en este caso?
De antemano Gracias!!
Hola Gabriel, no sé qué versión del sistema estás usando, pero MSRA.EXE está en C:\Windows\System32