Remote Desktop – Escritorio Remoto: Ocultar Discos

Continuando con esta serie de notas para limitar usuarios en el acceso a Escritorio Remoto, y contribuir a la seguridad del servidor, en esta nota veremos las dos opciones que tenemos para ocultar los discos locales del servidor a los usuarios

La demostración de esta nota está basada en la configuración que he hecho sobre las dos anteriores

• “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada”
• “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores”

Hay dos opciones parecidas para esta nota, una que permite ocultar y otra que evita acceder a los discos, vamos a ver las diferencias y las consecuencias de cada una de ellas

Seguiré usando las mísmas máquinas virtuales que en las notas anteriores:

• DC1.ad.guillermod.com.ar: Controlador de Dominio
• SRV1.ad.guillermod.com.ar: Servidor miembro del Dominio
• CL1.ad.guillermod.com.ar: Windows 8.1 cliente del Dominio
• CL2.ad.guillermod.com.ar: Windows 10 cliente del Dominio

Comenzaré editando la GPO creada en la nota anterior que tiene la aplicación mediante bucle invertido

En la configuración de usuario y específicamente en “User Configuration / Policies / Administrative Templates / Windows Components / File Explorer” encontramos “Hide these specified drives in My Computer”, que habilitaremos y configuraremos

Vemos que tenemos varias posibilidades de ocultación de drives desde A: hasta D:

En mi caso ocultaré todos los discos

Luego en SRV1 procedo a actualizar la aplicación de GPOs. Recuerdo que lo tenemos que hacer en el servidor de Escritorio Remoto, porque aunque la configuración es por usuario, se está aplicando la GPO de máquina en modo bucle inverso

Incio sesión en CL2 con el usuario de prueba “User Uno” = U1, y podemos notar que ya no aparece ninguno de los discos, aunque sí se ven algunas carpetas correspondientes al perfil del usuario a las cuales podemos acceder sin problemas

Sin embargo, como la configuración es “ocultar” eso no implica que no se pueda acceder. Si conocemos el “Path” se puede acceder

Y por supuesto, como lo hemos configurado en la GPO esta restricción no debe aplicarse a los administradores, así que si inicio sesión en CL1 como administrador, vemos que no se aplica la restricción

Volvamos atrás la configuración que hemos probado de ocultar, y así podremos probar la de evitar el acceso

 

En la misma ubicación anterior “User Configuration / Policies / Administrative Templates / Windows Components / File Explorer” encontramos “Prevent access to drives from My Computer”

Una vez habilitada la configuración vemos que tenemos las mismas posibilidades que en el caso anterior

Igual que en el caso anterior haré que no se pueda acceder a ningún disco local

El paso siguiente es actualizar la aplicación de GPOs en SRV1

Y conectándose desde CL2 con el usuario de prueba “User Uno” = U1 veremos que ahora podemos ver los discos

Pero si se desea acceder a un disco no lo permite

El problema de esta configuración es que al estar prohibido el acceso al disco C: tampoco puede guardar datos en sus carpetas locales. Aunque en muchos casos esto puede ser una ventaja

Aunque hay una inconsistencia, ya que aunque no puede acceder a las carpetas dentro de su perfil, sin embargo puede guardar archivos en su escritorio, y no se pierden al cerrar sesión o reiniciando

 

Es importante tener clara la diferncia entre las dos opciones mostradas. En el segundo caso donde prohibimos el acceso al disco C: si se necesitara poder guardar datos se debería redirigir el perfil para acceso por Escritorio Remoto

En próxima nota veremos otras configuraciones para limitar más a los usuarios