Continuando con la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio” y con el objetivo de cómo podremos (en futuras notas) limitar las capacidades de un usuario cuando se conecta a un servidor utilizando Escritorio Remoto, lo primero es crear y vincular una GPO que tenga dos temas en cuenta:
- Que las restricciones anteriores no se apliquen a los administradores
- Que sean limitaciones específicas para cuando se conecte al servidor usando Escritorio Remoto, pero que no se apliquen a su máquina individual
Para cumplir con estos objetivos debemos denegar el permiso de aplicar la GPO a los administradores y además usar el procedimiento de aplicación de GPO de bucle invertido
Sigo usando las mismas máquinas que en la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada”
Comenzamos creando y enlazando la GPO en la Unidad Organizativa donde se encuentra la cuenta del servidor con Escritorio Remoto
Recuerdo cómo está
Lo haré en la forma clásica, y supongo conocida por todos, pero de todas formas muestro las capturas de pantalla
Le damos un nombre que nos parezca adecuado
El primer objetivo que haré es hacer que la GPO pondrá que las limitaciones no se apliquen a los administradores
Para eso en la ficha “Delegation” de la GPO, no del enlace, denegaré la aplicación como se muestra a continuación. Si tienen dudas sobre el procedimiento consulten «Directivas de Grupo (GPO) – Filtrado de Seguridad»
Con lo anterior ya logramos que esta GPO no sea aplicada ni ponga limitaciones si el usuario que se conecta es un administrador
Ahora para el segundo paso, que aplique sólo sobre las conexiones de Escritorio Remoto sobre el servidor, debemos activar el modo de procesamiento de bucle invertido
Esta configuración permite que se apliquen al usuario las configuraciones de usuario de una GPO aplicada a la máquina. Parece bastante complejo comprender esto :)
He puesto una explicación lo más clara posible y mostrado el funcionamiento en la nota:»Remote Desktop – Escritorio Remoto: Limitando a los Usuarios con Directivas de Grupo (Group Policies – GPOs)»
Para esto debemos editar la GPO creada anteriormente como muestran las siguientes pantallas
Accedemos a esta configuración en “Computer Configuration / Policies / Administrative Templates / System / Group Policy / Configure user Group Policy loopback processing mode”
Una vez habilitada la opción tendremos dos posibilidades: que aplique la configuración de usuario sólo de esta GPO e ignore las normales de usuario (“Replace”), o que directamente sume estas configuraciones a las que ya tenga el usuario (“Merge”)
En este caso seleccionaré “Merge”, aunque el usuario no tiene ninguna otra GPO aplicada por ahora
Con esto ya tenemos todo configurado para comenzar a poner limitaciones al usuario cumpliendo con los dos objetivos propuestos:
- Que las restricciones siguientes no se apliquen a los administradores
- Que sean limitaciones específicas para cuando se conecte al servidor usando Escritorio Remoto, pero que no se apliquen a su máquina individual
WindowServer 
Comentarios
Como puede hacer para que los usuarios qu eno son administradores puedan instalar programas? se puede hacer?
Este espacio es para comentarios sobre la nota. No es un sitio de soporte
Trackbacks
[…] “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Adminis…” […]
[…] sobre Remote Dekstop – Escritorio Remoto, y específicamente esta es continuación de “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administrad…” vamos a ver algunas configuraciones básicas y típicas, para que las conexiones de usuario no […]