En este post veremos cómo habilitar y configurar el servicio de escritorio remoto de un equipo utilizando una GPO (Group Policy Object - Directiva de grupo).
Veamos los distintos pasos a seguir para habilitar y configurar el servicio de escritorio remoto vía GPO:
Veamos los distintos pasos a seguir para habilitar y configurar el servicio de escritorio remoto vía GPO:
1) GPO: Habilitar escritorio remoto
Ubicación de la GPO de equipo:
Configuración del equipo - Directivas - Plantillas administrativas - Componentes de Windows - Servicios de Escritorio remoto - Host de sesión de Escritorio remoto - Conexiones
Permitir que los usuarios se conecten de forma remota mediante Servicios de Escritorio remoto
Permitir que los usuarios se conecten de forma remota mediante Servicios de Escritorio remoto
Vista GPO:
Podremos aplicar esta GPO sobre equipos con sistema operativo Windows XP / Windows Server 2003 o superior.
2) GPO: Habilitar escritorio remoto, indicar grupo de seguridad.
Una vez hemos realizado el paso anterior, también podemos definir los usuarios que podrán realizar conexiones al servicio de escritorio remoto utilizando una GPO.
En el siguiente ejemplo, veremos como añadimos el grupo de dominio: "Usuarios del dominio" del dominio: "D1" dentro del grupo local: "Usuarios de escritorio remoto".
Configuración del equipo - Directivas - Configuración de Windows - Configuración de seguridad - Grupos restringidos
BUILTIN\Usuarios de escritorio remoto D1\Usuarios del dominio
BUILTIN\Usuarios de escritorio remoto D1\Usuarios del dominio
Vista GPO:
Resultado de aplicación de la GPO:
2) GPO: Habilitar escritorio remoto, firewall
El tercer paso es que el puerto 3389, utilizado por el servicio de escritorio remoto admita conexiones entrantes.
Para ello, o bien deshabilitamos el firewall de Windows, o bien configuramos una regla que permita las conexiones entrantes al puerto 3389.
Cualquiera de estas dos opciones, la podemos configurar utilizando una GPO.
A continuación, veremos cómo configurar una regla de entrada al puerto 3389, utilizando una GPO.
Ubicación de la GPO de equipo:
Configuración del equipo - Directivas - Plantillas administrativas - Red - Conexiones de red - Firewall de Windows - Perfil de dominio
Firewall de Windows: permitir excepciones de Escritorio remoto entrantes
Vista GPO:
Resultado de aplicación de la GPO:
Finalmente:
Si queréis limitar el acceso al escritorio remoto desde una dirección IP pública origen utilizando el Firewall de Windows, podéis utilizar la siguiente guía:
Windows: RDP IP pública origen firewall (SYSADMIT.com)
Súper útil. Muchass gracias!
ResponderEliminarMuchas gracias a ti por tu comentario.
EliminarUn saludo,
Xavi.
Muchas gracias por la ayuda genio!
ResponderEliminarGracias a ti.
Eliminar¡Un saludo!
Xavi.
Hola uso server 2016 y un cliente windows 7, pero no se logra reflegar el gpo, ya hice gpupdate /force sin exito
ResponderEliminarHola,
ResponderEliminarEs posible tener otro grupo con los mismos privilegios de "Remote Desktop Users", ya que probé creando un grupo en BUILTIN\Remote Desktop Consultores, y dice que no tiene permisos de conexión remota.
Gracias, quedo atento.
Hola,
EliminarEn el modo administración remota, es decir sin instalar los servicios de RDS, el usuario que quieres que se conecte, debe estar dentro del grupo por defecto. Eso sí, si quieres puedes añadir un grupo de seguridad dentro de otro.
Un saludo,
Xavi.
Excelente. Lo probe y funciono perfectamente. Gracias por tu aporte. Saludos
ResponderEliminar¡Gracias a ti por tu comentario!
EliminarUn saludo,
Xavi.
Muy buen contenido
ResponderEliminarGracias, me alegro que te guste.
EliminarUn saludo,
Xavi.
A mi no me funciona si el usuario no es administrador.
ResponderEliminar¿Hay alguna forma de hacerlo funcionar?
Hola,
EliminarSeguramente sea problema de implementación del paso 2.
Asegúrate que en "Agrupar" aparece: BUILTIN\Usuarios de escritorio remoto y en "Miembros" aparece: D1\Usuarios del dominio siendo D1, el nombre del dominio de Active Directory.
Un saludo,
Xavi.