En esta ocasión demostraremos una opción presente en las directivas de grupo poco conocida, y sin embargo muy útil, especialmente cuando nos referimos a Remote Desktop (Terminal Services)
Un tema que he visto muchas veces es el deseo de los administradores que cuando los usuarios se conectan a un servidor a través de Remote Desktop tengan limitaciones especiales no aplicables a sus equipos cliente de uso normal
Esto es, que cuando ingresan al servidor de Escritorio Remoto no puedan hacer cambios que sin embargo están permitidos en su máquina de escritorio
Esta configuración que veremos se denomina: “User Group Policy Loopback Processing Mode” (Modo de Procesamiento de Bucle Invertido de la Directiva de Grupo de Usuario)
Es importante tener en cuenta, que esta configuración es totalmente válida para sistemas con versiones anteriores a Windows Server 2012 y Windows 8. Funciona de la misma manera desde Windows 2000
El problema surge normalmente cuando la configuración está en la parte de usuario de la GPO, ya que si creáramos una GPO con dicha configuración y hacemos que la aplique a la cuenta de usuario, ésta tendría efecto siempre, tanto cuando se conecte al servidor como sobre su estación de trabajo.
Y lo que deseamos es que se aplique solamente sobre la conexión de Escritorio Remoto
Repasemos primero en forma muy reducida cómo se aplican las GPOs, obviando el tema de “cacheo” local:
- Inicia el equipo, determina qué GPOs se deben aplicar de acuerdo a dónde está la cuenta de máquina, y de todas esas GPOs se aplica la parte “Computer Configuration” (Configuración del Equipo)
- Cuando el usuario es autenticado, se determinan qué GPOs se deben aplicar de acuerdo a dónde está la cuenta de usuario, y de todas esas GPOs se aplica la parte “User Configuration” (Configuración de Usuario)
Cuando en una GPO que se aplica a la cuenta de máquina configuramos el “Loopback Processing Mode” (Procesamiento de Bucle Invertido) la aplicación de GPOs difiere de la siguiente manera:
- Inicia el equipo, determina qué GPOs se deben aplicar de acuerdo a dónde está la cuenta de máquina, y de todas esas GPOs se aplica la parte “Computer Configuration” (Configuración del Equipo). Esto es igual, no cambia respecto al caso anterior, pero recordemos que estas GPOs tienen además configuraciones de usuario, y está habilitado el procesamiento de bucle invertido
- Entonces cuando el usuario inicia sesión, en lugar de aplicarle la configuración de usuario de las GPOs de usuario, se le aplica la configuración de usuario de las GPOs de máquina
De acuerdo a cómo esté configurado el procesamiento de bucle invertido, se le sumarán las configuraciones de las GPOs de máquina (Combinar – Merge), o directamente se reemplazarán (Sustituir – Replace)
Las siguiente dos tablas creo que pueden ayudar a comprender cómo es
Parece raro lo que diré, pero es así: Aplica las configuraciones de usuario de las GPOs de máquina 🙂
Lo anterior es muy importante, porque permite aplicar restricciones al usuario solamente cuando se conecta a determinadas máquinas
Y, aunque puede tener otras utilidades, es fundamental cuando hablamos de Escritorio Remoto
Usaré como infraestructura base cualquiera de las demostraciones hechas en este sitio con Escritorio Remoto – Remote Desktop. Si no la tienen hecha simplemente filtren en el sitio que encontrarán tanto para Windows Server 2012, como para Windows Server 2008-R2
Las máquinas necesarias son sólo 3:
- Servidor Controlador de Dominio, dc1.root.guillermod.com.ar en mi caso
- Servidor Remote Desktop, rdsh1.guillermod.com.ar en mi caso
- Cliente Windows 8 o Windows 7 o XP, parte del dominio
En esta demostración la cuenta de RDSH1 está en una Unidad Organizativa separada del resto de los equipos para facilitar la aplicación de la GPO
Comenzaremos creando y enlazando la GPO (Directiva de Grupo)
Para facilitar la demostración haré una configuración muy fácil de verificar: que no puedan acceder al Panel de Control, además seguramente deseable
La configuración de bucle invertido la encontraremos en. Computer Configuration / Policies / Administrative Templates / System / Group Policy / Configure User Group Policy Loopback Processing Mode
Y la habilitamos. Observando la lista desplegable pueden ver que tenemos ambas opciones “Replace” y “Merge”
Ahora, en la misma GPO, vamos a la parte de usuario a configurarle una restricción, en mi caso que no pueda acceder a Panel de Control
Como estoy haciendo la demostración con Windows Server 2012 aprovecharé una de las nuevas características como es el forzado de aplicación de GPOs en forma remota.
Si estuvieran con una versión anterior, hay que abrir una consola CMD en RDSH1, y ejecutar “GPUPDATE /FORCE”
Ahora ya sólo queda probar desde la máquina cliente, iniciando sesión con un usuario que la restricción se aplica. Lo haré directamente con MSTSC.EXE
Debemos tener en cuenta, que la restricción que hemos puesto se aplicará a todos los usuarios, incluyendo administradores
Para evitar lo anterior, por ejemplo, he creado un grupo llamado “Admins” en el que incluí a las cuentas necesarias, y luego en la seguridad de la GPO le denegado el permiso “Apply Group Policy”. Y solucionado 🙂
Aprovecho para agregar algo más a la nota, si quieren interpretarlo así es realmente una crítica a la nueva interfaz
Antes íbamos al botón de apagado y simplemente elegíamos cerrar la sesión, pero esa opción ahora no está. Recordemos que “desconectar” no es lo mismo que cerrar sesión, la dejará abierta consumiendo recursos en el servidor
Hay que ir al “modern UI” para cerrar la sesión 🙁
Bueno, con esto damos por finalizada la nota. Hemos podido solucionar uno de los temas que más he escuchado, aprendiendo una configuración de las GPOs poco conocidas, y no fáciles de comprender
