Remote Desktop – “Shadow Session” de Escritorio Remoto para Administración

Poder ver e interactuar desde una sesión de Escritorio Remoto es algo fácil de hacer cuando se ha instalado la funcionalidad del mismo. Pero ¿qué se puede hacer si sólo se ha habilitado el Escritorio Remoto para Administración”? O sea sin los roles normales

Este problema se me planteó por el tema de los cursos de capacitación que ofrezco a los asistentes, ya que mientras hicieran las prácticas seguramente algunos iban a necesitar asistencia, y por lo tanto tenía que poder ver la pantalla de la máquina que el asistente está usando

Como en las prácticas se accede a las máquinas virtuales a través de Escritorio Remoto para Administración, el tema es cómo hacer “Shadow Session” en este caso

Se consigue fácil

Hay que hacer primero una configuración de preparación para que todo sea lo más transparente posible

Esta consiste básicamente en tres pasos:

  • Habilitar el Escritorio Remoto para Administración
  • El instructor debe tener un usuario propio con privilegios administrativos
  • Configurar una GPO para permitir el objetivo buscado

Entonces primero habilito el Escritorio Remoto para Administración

SH-02

Luego creo un usuario, que en mi caso llamé “Guillermo”, el cual pertence al grupo “Domain Admins”, y de esa forma será administrador de todas las máquinas del Dominio y podrá ejecutar la asistencia en cualquiera de ellas

SH-01

Y por último debemos crear y enlazar una GPO a nivel del Dominio para que afecte a todas las máquinas del mismo, que yo he llamado “Shadow Session”

SH-03

En esta GPO debemos configurar: Computer Configuration / Policies / Administrative Templates / Windows Components / Remote Desktop Services / Remote Desktop Session Host / Connections / Set rules for remote control of Remote Desktop Services user sessions

SH-04

Debemos habilitar la configuración, y en este caso para que sea lo menos complicado y con menos pasos he seleccionado “Full control without user’s permission

SH-05

Para no tener que esperar he forzado la aplicación de la GPO, utilizando “GPUPDATE /FORCE” desde un CMD ejecutado como adminstrador

SH-06

Un dato importante a tener en cuenta, asegurarse que la máquina no esté detectando la red como Pública, ya que en ese caso no permite la conexión por Escritorio Remoto por regla del cortafuegos

 

En la siguente pantalla podemos ver un ejemplo de un asistente al curso que ha iniciado sesión como administrador del Dominio (AD\Administrator) en el Controlador de Dominio (dc1.ad.guillermod.com.ar), y supongamos que está teniendo una duda o inconveniente en la configuración del servicio DNS

SH-07

El asistente se comunica con el instructor y solicita ayuda

 

El instructor, yo en este caso, debo también abrir un Escritorio Remoto para Administración sobre la misma máquina, pero lo hago con mi usuario (Guillermo)

SH-08

En la siguiente pantalla pueden ver que estoy en mi propia sesión sobre la máquina DC1, y por medio de “Task Manager” veo que es en la que está trabajando el asistente al curso que ha iniciado sesión como “AD\Administrator”

Aunque el menú contextual da varias opciones, no muestra la posibilidad de ver o interactuar con la sesión

SH-09

Lo que debo hacer es ver cuál es el número de la sesión que está solicitando asistencia, lo cual puedo hacerlo a través del comando: QWINSTA.EXE

SH-10

Para poder ver y tomar control de la nombrada sesión debo ejecutar desde una consola como administrador el comando:

MSTSC /Shadow:<N°Session> /Control /NoConsentPrompt

SH-11

Y pueden ver cómo en forma directa puedo observar y eventualmente tomar control de la pantalla del asistente al curso

SH-12

 

He desarrollado esta nota porque me pareció util, no sólo para el uso que le doy yo, sino para otros casos

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Nicolás Hermida Cadel  On 08/09/2015 at 10:21

    Excelente nota Guillermo. En mi caso es extremadamente útil en servidores de aplicaciones donde hay usuarios conectados al mismo y le surgen inconvenientes.
    Muchas gracias por compartirlo.

    • Guillermo Delprato  On 08/09/2015 at 10:38

      Hola Nicolás, me alegro te sirva
      Lo que hay que tener en cuenta es que en W2012 (no R2) habían quitado la posibilidad de “shadow session” por lo menos en la instalación normal de RD

      • Nicolás Hermida Cadel  On 08/09/2015 at 11:21

        La verdad que no conocía ésta metodología. Yo he usado otra funcionalidad que permitía tomar control de la sesión de Escritorio remoto (que te daba la opción de finalizarla con Ctrl+Z, u otras variantes). Pero para poder dar uso de dicha función se debe tener instalados los roles correspondientes de RDP.

      • Guillermo Delprato  On 08/09/2015 at 11:29

        Si está la funcionalidad completa de RD, entonces en la consola Remote Desktop Services / Collections, con botón derecho sobre la “Connection” aparece el “Shadow Session”
        El problema era cómo hacerlo sin tener instalado RD :)
        Pensaba que con botón derecho sobre el usuario en “Task Manager” iba a aparecer, pero justo esa opción no está, puedes enviarle mensajes, desconectarlo, etc. pero no control remoto

  • Carlos Jarero  On 08/09/2015 at 16:00

    Hola. Yo tengo un problema. Al momento de hacer la conexión remota y autentificarme, me manda un mensaje de que Se desconecto la sesión remota porque no hay servidor de licencias de escritorio remoto disponibles para proporcionar licencia.

    Checo y esta instalado y hay licencias 3 y disponibles 3

    Es windowds server 2012

    Gracias

  • Julio  On 08/09/2015 at 18:48

    Que tal Guillermo,
    Me salta una duda respecto a si se aplica o no la política bajo esta situación.

    2 controladores de dominio de un solo dominio.
    Uno con Windows server 2008 Enterprise (donde no figura la opción de Remote Desktop Services del group policy)

    y el otro DC con Windows Server 2012 R2, donde si figura la política.

    Si configuro el GPO en el server 2012 R2, la política se aplica ? No sé como Windows lo maneja internamente al existir ciertas políticas en un servidor y otras más completas en el otro.

    Saludos
    Julio

    • Guillermo Delprato  On 08/09/2015 at 19:38

      Hola Julio, si lees en la parte del cuadro que dice “Supported on:” verás que dice que es válida desde W2008 en adelante
      Lo único es que si no figura porque no está actualizado el “administrative template” deberás editar la GPO desde el W2012

      • Julio  On 08/09/2015 at 19:59

        Muy agradecido.
        Saludos

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: