Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio

Hace ya tiempo que he escrito notas sobre “Remote Desktop – Escritorio Remoto”, su instalación y configuración, pero he observado que en muchos casos se necesita una instalación más simple, o aún personalizada de la instalación

Esto es lo que haré en esta nota, y que luego aprovecharé en otras subsiguientes mostrando cómo podremos mejorar la seguridad y limitar muy específicamente qué aplicaciones y configuraciones podrán hacer los usuarios, como así también qué le podremos ocultar en la sesión  remota del servidor

Para el que quiera repasar el tema pongo los enlaces a las tres series anteriores en el blog:

 

La infraestructura que utilizaré es la habitual de todas las notas:

  • DC1.ad.guillermod.com.ar: Controlador de Dominio
  • SRV1.ad.guillermod.com.ar: Servidor miembro del Dominio
  • CL1.ad.guillermod.com.ar: Windows 8.1 cliente del Dominio
  • CL2.ad.guillermod.com.ar: Windows 10 cliente del Dominio

Dentro del Dominio he creado dos Unidades Organizativas, una para dos usuarios de prueba (“User Uno” = U1, y “User Dos” = U2), y otra donde he colocado la cuenta de máquina SRV1 donde procederemos a la instalación de Escritorio Remoto

Comenzaré con la instalación de Escritorio Remoto, aunque esta vez lo haré de una forma diferente a las notas anteriores, como sigue en las siguientes capturas de pantalla del asistente

Acá comienzan los cambios respecto a lo hecho anteriormente. No he seleccionado la opción “Remote Desktops Services Installation”, sino que he dejado la opción por omisión “Role-based or feature-based Installation”

En este caso seleccionaré solamente “Remote Desktop Session Host”, pero noten que se puede seleccionar cada componente individualmente, a diferencia de los casos anteriores donde instalaba todos los componentes básicos

Algo más a tener en cuenta, aunque no lo instalaré para estas demostraciones, la implementación de este servicio implica el licenciamiento de las conexiones de Escritorio Remoto, por lo que también en un ambiente real debería instalar, configurar y activar el servicio de licenciamiento con las RD-CALs, en esta máquina o en otra

Noten que hay que reiniciar el servidor para completar la instalación

Así que reiniciamos el servidor

Para que los usuarios normales puedan ingresar por Escritorio Remoto debemos incluirlos en el grupo local “Remote Desktop Users”. Esto se puede hacer fácilmente a través de “Grupos Restringidos”, pero en este caso para mantener simple esta demostración lo haré manualmente en SRV

Si desean ver cómo se pueden usar “Grupos Restringidos” pueden revisar estas dos notas

Para hacer la configuración manualmente se debe hacer en SRV1 en “Computer Management” y agregaré al usuario U1 como se muestra en las siguiente capturas

Es importante notar, que los administradores, pueden ingresar por Escritorio Remoto independientemente que esté incluidos en este grupo

Si en CL1, hago Escritorio Remoto a SRV1 e incio sesión como administrador puedo conectarme perfectamente. Para notar, es que por omisión me muestra la sesión que ya tenía abierta localmente, y bloquea la interactiva

Si desde CL2, me conecto con “User Uno” veo que también tengo acceso, ya que está incluido en el grupo “Remote Desktop Users” de SRV1

Lo que no es bueno, es que aunque este usuario (U1) es simplemente “usuario” puede ver y tener acceso a varios partes sensibles del sistema operativo. Por supuesto que al ser solamente “usuario” el sistema le impide hacer cambios que alteren todo el servidor, pero con que vea configuración ya es un riesgo

Lo anterior es justamente lo que tengo previsto para las próximas notas, cómo limitar lo que ve o puede hacer

Como podemos observar a continuación, ya se ha corregido un problema que afectó algunas versiones anteriores, puede desconectarse o cerrar sesión, pero no apagar el servidor

Si se intenta acceder por Escritorio Remoto con un usuario no incluido en “Remote Desktop Users” no podrá iniciar sesión

 

Con esto hemos visto una forma simple de instalar Escritorio Remoto, sin usar el asistente de instalación, y que además nos permite personalizar qué componentes deseamos instalar

Esta confguración servirá de base para las futuras notas donde veremos cómo podemos limitar lo que pueden ver, o acceder los usuarios que se conecten por Escritorio Remoto

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Baru  On 06/04/2017 at 12:46

    Hola Guillermo,

    ¿Qué diferencia hay entre realizar la instalación de esta manera (por roles) o “Remote Desktops Services Installation”?

    En muchos clientes tengo que instalar Escritorio Remoto, para que se conecten al servidor y trabajen en el escritorio del servidor como si fuera el de su equipo (usuarios locales), o para usuarios que están itinerantes.

    Entiendo que en la forma de instalación por roles, debes seleccionar como mínimo “Remote Desktop Session Host” y “Remote Desktop Licensing” para un único servidor de Terminal Server.

    Saludos,

    • Guillermo Delprato  On 06/04/2017 at 13:13

      Hola Baru, con esta forma de instalación se puede seleccionar individualmenta cada componente que se desea instalar o no, a diferencia de los otros procedimientos
      Exactamente, esos dos componentes son lo mínimo para tener la funcionalidad

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: