Archivos en la Categoría: Remote Desktop – Terminal Services

Windows Server: Licenciamiento Escritorio Remoto (“Remote Desktop”) – “Terminal Services”


El licenciamiento de Escritorio Remoto (“Remote Desktop”) – “Terminal Services” es uno de los temas difíciles de comprender y administrar en ambiente Windows Server. Las preguntas sobre el tema se ven en todos los foros de soporte, y se repiten constantemente desde hace años

Confieso que fue por pura casualidad, pero encontré unos enlaces que aunque algo desactualizados pueden aclarar bastate el tema

Lo que algunos no van a considerar bueno, porque están en inglés, otros lo vamos a considerar mejor, ya que las traducciones suelen ser confusas o inclusive hasta con errores graves. Algunos de los enlaces tienen traducción automática (cuidado …)

Todo comenzó en este enlace que pongo acá abajo que creo que es el punto incial, ya que trata desde un panorama general, pasando por las diferencias y lo que se puede hacer tanto “Per Device” como “Per User”, la infraestructura necesaria, períodos de gracia, reportes, resolución de problemas, etc.

Sigue leyendo

Remote Desktop – Escritorio Remoto: Resumen de notas


Estoy notando que en el blog se están sumando cada vez más, notas sobre el tema “Remote Desktop – Escritorio Remoto”, 40 hasta hoy. Y aunque se puede filtrar por categoría en el margen izquierdo, al haber varias que son la entrada a las demás he escrito este pequeño resumen

Sigue leyendo

Remote Desktop – Escritorio Remoto: Configuraciones Básicas para Limitar Usuarios


Continuando esta serie de notas sobre Remote Dekstop – Escritorio Remoto, y específicamente esta es continuación de “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores” vamos a ver algunas configuraciones básicas y típicas, para que las conexiones de usuario no afecten al servidor y por lo tanto a otros usuarios

Aunque por supuesto el sistema está protegido relativamente por los bajos privilegios que tiene un usuario normal, siempre viene bien evitar que tengan acceso a determinadas aplicaciones que pueden ser peligrosas

Veremos sólo algunas configuraciones que considero básicas, pero cada uno debe evaluar su entorno, y determinar cuáles pueden interesarles

Sigue leyendo

Remote Desktop – Escritorio Remoto: Ocultar Discos


Continuando con esta serie de notas para limitar usuarios en el acceso a Escritorio Remoto, y contribuir a la seguridad del servidor, en esta nota veremos las dos opciones que tenemos para ocultar los discos locales del servidor a los usuarios

La demostración de esta nota está basada en la configuración que he hecho sobre las dos anteriores

Hay dos opciones parecidas para esta nota, una que permite ocultar y otra que evita acceder a los discos, vamos a ver las diferencias y las consecuencias de cada una de ellas

Sigue leyendo

Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores


Continuando con la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio” y con el objetivo de cómo podremos (en futuras notas) limitar las capacidades de un usuario cuando se conecta a un servidor utilizando Escritorio Remoto, lo primero es crear y vincular una GPO que tenga dos temas en cuenta:

  • Que las restricciones anteriores no se apliquen a los administradores
  • Que sean limitaciones específicas para cuando se conecte al servidor usando Escritorio Remoto, pero que no se apliquen a su máquina individual

Para cumplir con estos objetivos debemos denegar el permiso de aplicar la GPO a los administradores y además usar el procedimiento de aplicación de GPO de bucle invertido

Sigue leyendo

Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio


Hace ya tiempo que he escrito notas sobre “Remote Desktop – Escritorio Remoto”, su instalación y configuración, pero he observado que en muchos casos se necesita una instalación más simple, o aún personalizada de la instalación

Esto es lo que haré en esta nota, y que luego aprovecharé en otras subsiguientes mostrando cómo podremos mejorar la seguridad y limitar muy específicamente qué aplicaciones y configuraciones podrán hacer los usuarios, como así también qué le podremos ocultar en la sesión  remota del servidor

Para el que quiera repasar el tema pongo los enlaces a las tres series anteriores en el blog:

 

Sigue leyendo

Remote Desktop – Escritorio Remoto: Configuración del Licenciamiento (RD-CALs) en Grupo de Trabajo (“Workgroup”)


Continuando la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)” en esta vamos a proceder a la configuración del licenciamiento de Escritorio Remoto, que no es tan sencilla como en ambiente de Dominio Active Directory, una parte se hace a través de la Directiva Local de Seguridad

Además, al estar en Grupo de Trabajo, sólo se puede licenciar por dispositivo, y no por usuario

Recuerdo que Escritorio Remoto requiere licenciamiento aparte de las CALs (“Client Access Licenses”) que permiten acceder al servidor. Para Escritorio Remoto se deben adquirir RD-CALs (“Remote Desktop CALs”), y además instalar y activar el servicio de licenciamiento

Sigue leyendo

Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)


Muchas veces he visto la consulta sobre la utilización de Remote Dekstop – Escritorio Remoto en ambiente de Grupo de Trabajo. No es que no se pueda, sino que el procedimiento de instalación es diferente, y la funcionalidad reducida con respectoa a la implementación en ambiente de Dominio Active Directory

No se pueden utilizar los procedimientos “normales” de instalación y configuración denominados “Quick Start” y “Standard Deployment” que he documentado en notas anteriores, hay que hacerlo de forma diferente

Además veremos cómo podemos solucionar el mensaje de advertencia sobre el certificado no confiable del servidor que da por omisión

Sigue leyendo

Remote Desktop – Escritorio Remoto: Instalación y Activación de las Licencias (RD-CAL) (Nota 7)


Ahora que siguiendo las seis notas anteriores tenemos toda nuestra infraestructura objetivo instalada, configurada y probada, es el momento ideal para hacer el licenciamiento legal necesario

Es importante dejar este paso para el final, ya que tenedremos tiempo suficiente para hacer todas las pruebas de configuraciones que necesitemos usando las funcionalidades completas por un plazo de 90 días. Luego de ese plazo los clientes dejarán de poder conectarse; y además a los 120 días dejará de funcionar el servicio

La importancia radica en que una vez activado el servidor de licencias e instalada la clave de licencia de clientes, si hubiera que reactivar en una nueva instalación ya habría que ejecutar pasos adicionales

Sigue leyendo

Remote Desktop – Escritorio Remoto: Instalación y Configuración de “RD-Gateway” (Nota 6)


En esta sexta nota, y continuando con la serie, veremos la instalación y configuración de la funcionalidad “Remote Dekstop Gateway” (Puerta de Enlace de Escritorio Remoto), describiremos su funcionalidad y por supuesto demostraremos su utilización

Es muy importante tener en claro cuál es su funcionalidad, y qué tipo de acceso permite, y sobre todo las diferencias con “Remote Desktop Web Access” (Acceso Web a Escritorio Remoto) y el uso de cada uno

Además, y no tan conocido, es que “RD-Gateway” permite que se limite qué usuarios se podrán conectar y a qué equipos podrán acceder, entre otras cosas

Así que en este caso veremos primero que nada estas diferencias

Sigue leyendo

Remote Desktop – Escritorio Remoto: Quitar Advertencias y Preparación para “RD-Gateway” (Nota 5)


En esta quinta nota de la serie, vamos a comenzar a quitar las advertencias de seguridad que aún nos muestra cuando ingresamos por “RD Web Access”

Además y previendo que luego vamos a instalar y configurar “RD Gateway”, para permitir el acceso desde otras redes externas, vamos a hacer unos cambios sobre el certificado digital que identifica a la máquina “rd-wa-cb-gat”

Sigue leyendo

Remote Desktop – Escritorio Remoto: Configuración de las RemoteApps (Nota 4)


En las tres notas anteriores dejamos instalados los roles para Escritorio Remoto, vimos muchas de las configuraciones necesarias, pero en esta vamos a ver algunas de las propiedades de las aplicaciones publicadas, así como además opciones que tiene el administrador sobre las sesiones abiertas

  • Configuraciones adicionales de RemoteApp
  • Enviar mensajes a la sesión de usuario
  • Ver o tomar control remoto de la sesión de usuario
  • Desconectar o cerrar la sesión de usuario

Sigue leyendo

Remote Desktop – Escritorio Remoto: Publicar Aplicaciones “RemoteApps” (Nota 3)


En esta tercera nota y continuando con el tema que venimos desarrollando en esta demostración, ahora veremos dos temas importantes:

  • Publicar aplicaciones via web (RemoteApps)
  • Demostrar la funcionalidad de “Remote Desktop Connection Broker”

Para cumplir estos objetivos veremos primero un panorama de las configuraciones tomadas por omisión, luego crearemos y configuraremos una “Collection” donde publicaremos un par de aplicaciones de prueba, para finalmente, utilizando dos usuarios de prueba observaremos la funcionalidad provista por “Remote Desktop Connection Broker”, que es muy importante, y nada mejor que verlo directamente

Sigue leyendo

Remote Desktop – Escritorio Remoto: Acceso al Escritorio Remoto (Nota 2)


En esta segunda nota de la serie, y con lo hecho en la nota anterior, aunque todavía no tenemos posibilidad de ejecutar aplicaciones remotas (RemoteApp), sin embargo ya tenemos aceso a Escritorio Remoto

Podemos acceder a las sesiones de escritorio del “Escritorio Remoto” tanto utilizando “Remote Desktop Connection” (MSTSC:EXE), como también mediante el explorador web
Sigue leyendo

Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1)


En esta primera nota veremos “Remote Desktop” o Escritorio Remoto, que es uno de los temas más requeridos, ya que tiene algunas dificultades de implementación, y aunque en su momento hice el desarrollo completo sobre Windows Server 2008 R2, no lo he hecho nunca completo con todas las funcionalidades posibles en Windows Server 2012 R2. Inclusive en notas anteriores alguna configuración ha quedado con algún tema que no había podido terminar de resolver en ese momento

Así que he decidido comenzar una nueva serie, utilizando todos los componentes posibles, solucionando los inconvenientes que quedaron en notas anteriores, e inclusive agregando la funcionalidad “Remote Desktop Gateway” (Puerta de Enlace de Escritorio Remoto) para permitir un acceso seguro a escritorio o aplicaciones desde Internet que no había sido desarrollada

En esta primera nota crearemos la infraestructura necesaria, y luego iremos viendo paso a paso de acuerdo al progreso para llegar a demostrar cada uno de los componentes posibles del servicio

Sigue leyendo

Nueva Serie de Notas Sobre Escritorio Remoto (“Remote Desktop”)


El tema Escritorio Remoto, es uno que he tratado en varias ocasiones en este blog. La primera serie fue sobre Windows Server 2008 R2 donde he desarrollado el tema en forma completa a través de 12 notas, que comienzan en:

Luego, sobre Windows Server 2012 (no R2) he hecho dos series más, una usando “Quick Start”, y otra “Standard Deployment”

Aunque el objetivo de esta última era hacer un desarrollo completo, al final quedó inconcluso pues algunos roles como “Remote Desktop Gateway” que no fue instalado, y es muy importante para poder ofrecer acceso  a Escritorio Remoto desde Internet
También quedó una advertencia de seguridad que no había podido resolver en ese momento

Sigue leyendo

Remote Desktop – “Shadow Session” de Escritorio Remoto para Administración


Poder ver e interactuar desde una sesión de Escritorio Remoto es algo fácil de hacer cuando se ha instalado la funcionalidad del mismo. Pero ¿qué se puede hacer si sólo se ha habilitado el Escritorio Remoto para Administración”? O sea sin los roles normales

Este problema se me planteó por el tema de los cursos de capacitación que ofrezco a los asistentes, ya que mientras hicieran las prácticas seguramente algunos iban a necesitar asistencia, y por lo tanto tenía que poder ver la pantalla de la máquina que el asistente está usando

Como en las prácticas se accede a las máquinas virtuales a través de Escritorio Remoto para Administración, el tema es cómo hacer “Shadow Session” en este caso

Se consigue fácil

Sigue leyendo

Remote Desktop – Limitando Aplicaciones a Usuarios


Muchas veces he visto la consulta sobre limitar a los usuarios que se conectan por escritorio remoto a un servidor, porque aunque lógicamente al no ser administradores no pueden modificar la mayoría de las configuraciones, pero sin embargo pueden utilizar aplicaciones que no deseamos, o simplemente que no puedan ver ciertas configuraciones

Una configuración que creo no tan conocida es la de limitar a un usuario que se conecta por escritorio remoto a una única aplicación, no disponiendo ni siquiera de la barra de tareas

[Actualización] He actualizado la nota asignando la aplicación mediante GPO, en lugar de por usuario

Sigue leyendo

Remote Desktop: Limitar a un Usuario Normal las Herramientas Administrativas que Puede Utilizar


En las dos notas anteriores vimos cómo configurar para permitir que un usuario normal pueda acceder por Remote Desktop (Escritorio Remoto) en modo administración a un Controlador de Dominio, y además cómo permitirle utilizar las herramientas administrativas

En esta ocasión veremos cómo podemos limitar qué herramientas puede utilizar, ya que el hecho de que pueda, aunque sólo sea ver información, es un problema de seguridad

Como había comentado en la nota anterior, supondré un caso como es: una persona de confianza que sólo debe poder acceder al “Event Viewer” (Visor de Sucesos)

Sigue leyendo

Remote Desktop: Permitir a Usuarios Normales Utilizar las Heramientas Administrativas en Controlador de Dominio


En la nota anterior vimos cómo configurar un Controlador de Dominio para permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) en modo administración

Pero hemos visto que con la configuración hecha, no alcanza para que pueda ejecutar las herramientas administrativas

En esta nota veremos la configuración adicional, para que pueda utilizarlas, aunque por supuesto si no se ha delegado ninguna tarea administrativa no podrá modificar nada. Pero que sólo pueda ver toda la información del Dominio ya es un riesgo importante de seguridad. En la tercera y última nota de la serie veremos cómo podemos limitar qué consolas y aplicaciones podrá utilizar

Sigue leyendo