Continuando esta serie de notas sobre Remote Dekstop – Escritorio Remoto, y específicamente esta es continuación de “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores” vamos a ver algunas configuraciones básicas y típicas, para que las conexiones de usuario no afecten al servidor y por lo tanto a otros usuarios
Aunque por supuesto el sistema está protegido relativamente por los bajos privilegios que tiene un usuario normal, siempre viene bien evitar que tengan acceso a determinadas aplicaciones que pueden ser peligrosas
Veremos sólo algunas configuraciones que considero básicas, pero cada uno debe evaluar su entorno, y determinar cuáles pueden interesarles
Sigo utilizando las mismas máquinas virtuales de la nota que usé como base y de la cual esta es una continuación
- DC1.ad.guillermod.com.ar: Controlador de Dominio
- SRV1.ad.guillermod.com.ar: Servidor miembro del Dominio
- CL1.ad.guillermod.com.ar: Windows 8.1 cliente del Dominio
- CL2.ad.guillermod.com.ar: Windows 10 cliente del Dominio
Recuerdo cómo está configurado de la nota anterior. Hay una GPO enlazada a la Unidad Organizativa “RD-Servers” que contiene el RDSH, y configura que las restricciones de esta GPO se apliquen en modo de bucle invertido, y exceptuando a los administradores
Comencemos editando esta GPO con las nuevas restricciones
Recuerdo que al estar esta GPO aplicando en modo de bucle invertido, se aplicarán las configuraciones de usuario de las GPOs de máquina, así que todas las limitaciones las debemos configurar en la parte de usuario
Todas las siguientes las encontramos en “User Configuration / Policies / Administrative Templates”
La primera que configuraré es que los usuarios no puedan ingresar al Panel de Control, ya que no tiene ningún sentido que los usuarios normales configuren ninguna de sus opciones
Otra opción que configuraré es que no le aparezca ningún icono sobre el escritorio. Tengamos en cuenta que con Windows Server 2012 R2, lo único que aparece automáticamente es la Papelera de Reciclaje, pero por las dudas … ;)
Una configuración más es que no puedan acceder a la línea de comandos (CMD.EXE). En este caso, si el usuario tuviera asignado un script de inicio de sesión que se permita su ejecución
Y por último que no pueda ejecutar REGEDIT.EXE para acceder o poder ver el registro. En esta sí, nos conviene que no pueda ejecutar archivos .REG
Un resumen de las configuraciones hechas
En el RDSH, que es SRV1, forzamos la aplicación de GPOs
Y vamos ahora a confirmar que todo funciona de acuerdo a lo requerido
He iniciado sesión en CL2 con la cuenta “User Uno” para verificar cada una de las configuraciones hechas, y en CL1 con la cuenta de administrador del Dominio para verificar que en este caso no se aplican
En CL2 con “User Uno”vemos que no se ningún icono en el escritorio, se ha quitado la Papelera de Reciclaje
En cambio en CL1 con el administrador, todo es lo normal
Análogamente con el Panel de Control, con “User Uno” no se puede acceder, en cambio el administrador no tiene la limitación
También se puede verificar con respecto a la línea de comandos
Y por supuesto con el acceso al Registro
Como comenté al principio, cada uno deberá identificar cada limitación que le parezca adecuada para su ambiente y usuarios
WindowServer 
Comentarios
Estimado tengo un problema con las GPOs, no se me generan las que estan a nivel de Equipo, incluso habiendo reiniciado el equipo del cliente y forzado las directivas
Hola Rafael, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Y algo muy importante es que pongas datos de qué y cómo lo has configurado, porque con lo que pones aquí es imposible darte algún tipo de ayuda :)