Remote Desktop – Escritorio Remoto: Configuraciones Básicas para Limitar Usuarios

Continuando esta serie de notas sobre Remote Dekstop – Escritorio Remoto, y específicamente esta es continuación de “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores” vamos a ver algunas configuraciones básicas y típicas, para que las conexiones de usuario no afecten al servidor y por lo tanto a otros usuarios

Aunque por supuesto el sistema está protegido relativamente por los bajos privilegios que tiene un usuario normal, siempre viene bien evitar que tengan acceso a determinadas aplicaciones que pueden ser peligrosas

Veremos sólo algunas configuraciones que considero básicas, pero cada uno debe evaluar su entorno, y determinar cuáles pueden interesarles

Sigo utilizando las mismas máquinas virtuales de la nota que usé como base y de la cual esta es una continuación

  • DC1.ad.guillermod.com.ar: Controlador de Dominio
  • SRV1.ad.guillermod.com.ar: Servidor miembro del Dominio
  • CL1.ad.guillermod.com.ar: Windows 8.1 cliente del Dominio
  • CL2.ad.guillermod.com.ar: Windows 10 cliente del Dominio

Recuerdo cómo está configurado de la nota anterior. Hay una GPO enlazada a la Unidad Organizativa “RD-Servers” que contiene el RDSH, y configura que las restricciones de esta GPO se apliquen en modo de bucle invertido, y exceptuando a los administradores

Comencemos editando esta GPO con las nuevas restricciones

Recuerdo que al estar esta GPO aplicando en modo de bucle invertido, se aplicarán las configuraciones de usuario de las GPOs de máquina, así que todas las limitaciones las debemos configurar en la parte de usuario

Todas las siguientes las encontramos en “User Configuration / Policies / Administrative Templates”

La primera que configuraré es que los usuarios no puedan ingresar al Panel de Control, ya que no tiene ningún sentido que los usuarios normales configuren ninguna de sus opciones

Otra opción que configuraré es que no le aparezca ningún icono sobre el escritorio. Tengamos en cuenta que con Windows Server 2012 R2, lo único que aparece automáticamente es la Papelera de Reciclaje, pero por las dudas … ;)

Una configuración más es que no puedan acceder a la línea de comandos (CMD.EXE). En este caso, si el usuario tuviera asignado un script de inicio de sesión que se permita su ejecución

Y por último que no pueda ejecutar REGEDIT.EXE para acceder o poder ver el registro. En esta sí, nos conviene que no pueda ejecutar archivos .REG

Un resumen de las configuraciones hechas

En el RDSH, que es SRV1, forzamos la aplicación de GPOs

 

Y vamos ahora a confirmar que todo funciona de acuerdo a lo requerido

He iniciado sesión en CL2 con la cuenta “User Uno” para verificar cada una de las configuraciones hechas, y en CL1 con la cuenta de administrador del Dominio para verificar que en este caso no se aplican

En CL2 con “User Uno”vemos que no se ningún icono en el escritorio, se ha quitado la Papelera de Reciclaje

En cambio en CL1 con el administrador, todo es lo normal

 

Análogamente con el Panel de Control, con “User Uno” no se puede acceder, en cambio el administrador no tiene la limitación

 

También se puede verificar con respecto a la línea de comandos

 

Y por supuesto con el acceso al Registro

 

Como comenté al principio, cada uno deberá identificar cada limitación que le parezca adecuada para su ambiente y usuarios

Anuncio publicitario
Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • Rafael Mollinedo  El 12/04/2019 a las 10:11

    Estimado tengo un problema con las GPOs, no se me generan las que estan a nivel de Equipo, incluso habiendo reiniciado el equipo del cliente y forzado las directivas

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: