Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio

Hace ya tiempo que he escrito notas sobre “Remote Desktop – Escritorio Remoto”, su instalación y configuración, pero he observado que en muchos casos se necesita una instalación más simple, o aún personalizada de la instalación

Esto es lo que haré en esta nota, y que luego aprovecharé en otras subsiguientes mostrando cómo podremos mejorar la seguridad y limitar muy específicamente qué aplicaciones y configuraciones podrán hacer los usuarios, como así también qué le podremos ocultar en la sesión  remota del servidor

Para el que quiera repasar el tema pongo los enlaces a las tres series anteriores en el blog:

• Windows Server 2012: Remote Desktop – Quick Start (Parte 1)
  https://windowserver.wordpress.com/2012/10/05/windows-server-2012-remote-desktop-quick-start-parte-1/
• Windows Server 2012: Remote Desktop – Standard Deployment (Parte 1 – Instalación)
  https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-1-instalacin/
• Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1)
  https://windowserver.wordpress.com/2016/03/01/remote-desktop-escritorio-remoto-de-principio-a-fin-nota-1/
• Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)
  https://windowserver.wordpress.com/2016/06/14/remote-desktop-escritorio-remoto-instalacin-bsica-en-grupo-de-trabajo-workgroup/

 

La infraestructura que utilizaré es la habitual de todas las notas:

• DC1.ad.guillermod.com.ar: Controlador de Dominio
• SRV1.ad.guillermod.com.ar: Servidor miembro del Dominio
• CL1.ad.guillermod.com.ar: Windows 8.1 cliente del Dominio
• CL2.ad.guillermod.com.ar: Windows 10 cliente del Dominio

Dentro del Dominio he creado dos Unidades Organizativas, una para dos usuarios de prueba (“User Uno” = U1, y “User Dos” = U2), y otra donde he colocado la cuenta de máquina SRV1 donde procederemos a la instalación de Escritorio Remoto

Comenzaré con la instalación de Escritorio Remoto, aunque esta vez lo haré de una forma diferente a las notas anteriores, como sigue en las siguientes capturas de pantalla del asistente

Acá comienzan los cambios respecto a lo hecho anteriormente. No he seleccionado la opción “Remote Desktops Services Installation”, sino que he dejado la opción por omisión “Role-based or feature-based Installation”

En este caso seleccionaré solamente “Remote Desktop Session Host”, pero noten que se puede seleccionar cada componente individualmente, a diferencia de los casos anteriores donde instalaba todos los componentes básicos

Algo más a tener en cuenta, aunque no lo instalaré para estas demostraciones, la implementación de este servicio implica el licenciamiento de las conexiones de Escritorio Remoto, por lo que también en un ambiente real debería instalar, configurar y activar el servicio de licenciamiento con las RD-CALs, en esta máquina o en otra

Noten que hay que reiniciar el servidor para completar la instalación

Así que reiniciamos el servidor

Para que los usuarios normales puedan ingresar por Escritorio Remoto debemos incluirlos en el grupo local “Remote Desktop Users”. Esto se puede hacer fácilmente a través de “Grupos Restringidos”, pero en este caso para mantener simple esta demostración lo haré manualmente en SRV

Si desean ver cómo se pueden usar “Grupos Restringidos” pueden revisar estas dos notas

• Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2
  https://windowserver.wordpress.com/2015/10/20/windows-server-utilizacin-de-grupos-restringindos-restricted-groupsparte-1-de-2/
• Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2
  https://windowserver.wordpress.com/2015/10/27/windows-server-utilizacin-de-grupos-restringindos-restricted-groupsparte-2-de-2/

Para hacer la configuración manualmente se debe hacer en SRV1 en “Computer Management” y agregaré al usuario U1 como se muestra en las siguiente capturas

Es importante notar, que los administradores, pueden ingresar por Escritorio Remoto independientemente que esté incluidos en este grupo

Si en CL1, hago Escritorio Remoto a SRV1 e incio sesión como administrador puedo conectarme perfectamente. Para notar, es que por omisión me muestra la sesión que ya tenía abierta localmente, y bloquea la interactiva

Si desde CL2, me conecto con “User Uno” veo que también tengo acceso, ya que está incluido en el grupo “Remote Desktop Users” de SRV1

Lo que no es bueno, es que aunque este usuario (U1) es simplemente “usuario” puede ver y tener acceso a varios partes sensibles del sistema operativo. Por supuesto que al ser solamente “usuario” el sistema le impide hacer cambios que alteren todo el servidor, pero con que vea configuración ya es un riesgo

Lo anterior es justamente lo que tengo previsto para las próximas notas, cómo limitar lo que ve o puede hacer

Como podemos observar a continuación, ya se ha corregido un problema que afectó algunas versiones anteriores, puede desconectarse o cerrar sesión, pero no apagar el servidor

Si se intenta acceder por Escritorio Remoto con un usuario no incluido en “Remote Desktop Users” no podrá iniciar sesión

 

Con esto hemos visto una forma simple de instalar Escritorio Remoto, sin usar el asistente de instalación, y que además nos permite personalizar qué componentes deseamos instalar

Esta confguración servirá de base para las futuras notas donde veremos cómo podemos limitar lo que pueden ver, o acceder los usuarios que se conecten por Escritorio Remoto

Anuncio publicitario