Poder ver e interactuar desde una sesión de Escritorio Remoto es algo fácil de hacer cuando se ha instalado la funcionalidad del mismo. Pero ¿qué se puede hacer si sólo se ha habilitado el Escritorio Remoto para Administración”? O sea sin los roles normales
Este problema se me planteó por el tema de los cursos de capacitación que ofrezco a los asistentes, ya que mientras hicieran las prácticas seguramente algunos iban a necesitar asistencia, y por lo tanto tenía que poder ver la pantalla de la máquina que el asistente está usando
Como en las prácticas se accede a las máquinas virtuales a través de Escritorio Remoto para Administración, el tema es cómo hacer “Shadow Session” en este caso
Se consigue fácil
Hay que hacer primero una configuración de preparación para que todo sea lo más transparente posible
Esta consiste básicamente en tres pasos:
- Habilitar el Escritorio Remoto para Administración
- El instructor debe tener un usuario propio con privilegios administrativos
- Configurar una GPO para permitir el objetivo buscado
Entonces primero habilito el Escritorio Remoto para Administración
Luego creo un usuario, que en mi caso llamé “Guillermo”, el cual pertence al grupo “Domain Admins”, y de esa forma será administrador de todas las máquinas del Dominio y podrá ejecutar la asistencia en cualquiera de ellas
Y por último debemos crear y enlazar una GPO a nivel del Dominio para que afecte a todas las máquinas del mismo, que yo he llamado “Shadow Session”
En esta GPO debemos configurar: Computer Configuration / Policies / Administrative Templates / Windows Components / Remote Desktop Services / Remote Desktop Session Host / Connections / Set rules for remote control of Remote Desktop Services user sessions
Debemos habilitar la configuración, y en este caso para que sea lo menos complicado y con menos pasos he seleccionado “Full control without user’s permission”
Para no tener que esperar he forzado la aplicación de la GPO, utilizando “GPUPDATE /FORCE” desde un CMD ejecutado como adminstrador
Un dato importante a tener en cuenta, asegurarse que la máquina no esté detectando la red como Pública, ya que en ese caso no permite la conexión por Escritorio Remoto por regla del cortafuegos
En la siguente pantalla podemos ver un ejemplo de un asistente al curso que ha iniciado sesión como administrador del Dominio (AD\Administrator) en el Controlador de Dominio (dc1.ad.guillermod.com.ar), y supongamos que está teniendo una duda o inconveniente en la configuración del servicio DNS
El asistente se comunica con el instructor y solicita ayuda
El instructor, yo en este caso, debo también abrir un Escritorio Remoto para Administración sobre la misma máquina, pero lo hago con mi usuario (Guillermo)
En la siguiente pantalla pueden ver que estoy en mi propia sesión sobre la máquina DC1, y por medio de “Task Manager” veo que es en la que está trabajando el asistente al curso que ha iniciado sesión como “AD\Administrator”
Aunque el menú contextual da varias opciones, no muestra la posibilidad de ver o interactuar con la sesión
Lo que debo hacer es ver cuál es el número de la sesión que está solicitando asistencia, lo cual puedo hacerlo a través del comando: QWINSTA.EXE
Para poder ver y tomar control de la nombrada sesión debo ejecutar desde una consola como administrador el comando:
MSTSC /Shadow:<N°Session> /Control /NoConsentPrompt
Y pueden ver cómo en forma directa puedo observar y eventualmente tomar control de la pantalla del asistente al curso
He desarrollado esta nota porque me pareció util, no sólo para el uso que le doy yo, sino para otros casos
WindowServer 
Comentarios
Excelente nota Guillermo. En mi caso es extremadamente útil en servidores de aplicaciones donde hay usuarios conectados al mismo y le surgen inconvenientes.
Muchas gracias por compartirlo.
Hola Nicolás, me alegro te sirva
Lo que hay que tener en cuenta es que en W2012 (no R2) habían quitado la posibilidad de «shadow session» por lo menos en la instalación normal de RD
La verdad que no conocía ésta metodología. Yo he usado otra funcionalidad que permitía tomar control de la sesión de Escritorio remoto (que te daba la opción de finalizarla con Ctrl+Z, u otras variantes). Pero para poder dar uso de dicha función se debe tener instalados los roles correspondientes de RDP.
Si está la funcionalidad completa de RD, entonces en la consola Remote Desktop Services / Collections, con botón derecho sobre la «Connection» aparece el «Shadow Session»
El problema era cómo hacerlo sin tener instalado RD :)
Pensaba que con botón derecho sobre el usuario en «Task Manager» iba a aparecer, pero justo esa opción no está, puedes enviarle mensajes, desconectarlo, etc. pero no control remoto
Hola. Yo tengo un problema. Al momento de hacer la conexión remota y autentificarme, me manda un mensaje de que Se desconecto la sesión remota porque no hay servidor de licencias de escritorio remoto disponibles para proporcionar licencia.
Checo y esta instalado y hay licencias 3 y disponibles 3
Es windowds server 2012
Gracias
Hola Carlos, esto no es un foro de soporte, sólo comentarios sobre la nota, y oriento cuando puedo
Recurre mejor a uno, por ejemplo el de Technet en español en https://social.technet.microsoft.com/Forums/es-ES/home y agrega más detalles de la configuración para que puedan ayudarte
Gracias Guillermo
Que tal Guillermo,
Me salta una duda respecto a si se aplica o no la política bajo esta situación.
2 controladores de dominio de un solo dominio.
Uno con Windows server 2008 Enterprise (donde no figura la opción de Remote Desktop Services del group policy)
y el otro DC con Windows Server 2012 R2, donde si figura la política.
Si configuro el GPO en el server 2012 R2, la política se aplica ? No sé como Windows lo maneja internamente al existir ciertas políticas en un servidor y otras más completas en el otro.
Saludos
Julio
Hola Julio, si lees en la parte del cuadro que dice «Supported on:» verás que dice que es válida desde W2008 en adelante
Lo único es que si no figura porque no está actualizado el «administrative template» deberás editar la GPO desde el W2012
Muy agradecido.
Saludos
Hola Guillermo,
Esta configuración se puede aplicar para un Windows Server 2012?
Pues resulta que al tratar de realizar la conexión aparece el mensaje «Uso de Conexión a escritorio Remoto» y no se ejecuta la conexión al cliente.
Saludos
Bayron
Hola Bayron, supongo que sí. La nota está hecha sobre W2012R2 pero las diferencias son pocas. Por el mensaje que dices me da que hay otro problema
Pues resulta que realizo toda la configuración como se indica pero me arroja este mensaje como si la linea de comando fuera incorrecta o como si la funcionalidad no estuviera disponible para Windows Server 2012
Si la línea del MSTSC.EXE te da incorrecta primero que nada revisa bien la sintaxis, incluido el tema espacios. Si estuviera bien lamentablemente no puedo decirte nada porque no tengo ni siquiera para probar W2012 en este momento
Vale voy a revisar, te agradezco mucho.
Saludos.
Buenos dias, perdonad por la pregutna pero hay alguna manera de hacer esto mas automatizado o con algun programa externo para facilitar el proceso de conexion que esta muy bien, y me funciono a la percepcion
saludos
Hola Roberto, esos son comentarios sobre la nota, no es soporte, pero revisa estas dos notas porque hacen gran parte de la configuración por GPO
Windows Server: Control Remoto para Soporte | WindowServer
https://windowserver.wordpress.com/2015/05/12/windows-server-control-remoto-para-soporte/
Asistencia Remota No Solicitada | WindowServer
https://windowserver.wordpress.com/2011/02/10/asistencia-remota-no-solicitada/