Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores

Continuando con la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio” y con el objetivo de cómo podremos (en futuras notas) limitar las capacidades de un usuario cuando se conecta a un servidor utilizando Escritorio Remoto, lo primero es crear y vincular una GPO que tenga dos temas en cuenta:

  • Que las restricciones anteriores no se apliquen a los administradores
  • Que sean limitaciones específicas para cuando se conecte al servidor usando Escritorio Remoto, pero que no se apliquen a su máquina individual

Para cumplir con estos objetivos debemos denegar el permiso de aplicar la GPO a los administradores y además usar el procedimiento de aplicación de GPO de bucle invertido

Sigo usando las mismas máquinas que en la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada”

Comenzamos creando y enlazando la GPO en la Unidad Organizativa donde se encuentra la cuenta del servidor con Escritorio Remoto

Recuerdo cómo está

Lo haré en la forma clásica, y supongo conocida por todos, pero de todas formas muestro las capturas de pantalla

Le damos un nombre que nos parezca adecuado

El primer objetivo que haré es hacer que la GPO pondrá que las limitaciones no se apliquen a los administradores

Para eso en la ficha “Delegation” de la GPO, no del enlace, denegaré la aplicación como se muestra a continuación. Si tienen dudas sobre el procedimiento consulten “Directivas de Grupo (GPO) – Filtrado de Seguridad

Con lo anterior ya logramos que esta GPO no sea aplicada ni ponga limitaciones si el usuario que se conecta es un administrador

Ahora para el segundo paso, que aplique sólo sobre las conexiones de Escritorio Remoto sobre el servidor, debemos activar el modo de procesamiento de bucle invertido

Esta configuración permite que se apliquen al usuario las configuraciones de usuario de una GPO aplicada a la máquina. Parece bastante complejo comprender esto :)
He puesto una explicación lo más clara posible y mostrado el funcionamiento en la nota:”Remote Desktop – Escritorio Remoto: Limitando a los Usuarios con Directivas de Grupo (Group Policies – GPOs)

Para esto debemos editar la GPO creada anteriormente como muestran las siguientes pantallas

Accedemos a esta configuración en “Computer Configuration / Policies / Administrative Templates / System / Group Policy / Configure user Group Policy loopback processing mode”

Una vez habilitada la opción tendremos dos posibilidades: que aplique la configuración de usuario sólo de esta GPO e ignore las normales de usuario (“Replace”), o que directamente sume estas configuraciones a las que ya tenga el usuario (“Merge”)

En este caso seleccionaré “Merge”, aunque el usuario no tiene ninguna otra GPO aplicada por ahora

 

Con esto ya tenemos todo configurado para comenzar a poner limitaciones al usuario cumpliendo con los dos objetivos propuestos:

  • Que las restricciones siguientes no se apliquen a los administradores
  • Que sean limitaciones específicas para cuando se conecte al servidor usando Escritorio Remoto, pero que no se apliquen a su máquina individual

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: