Esta nota será el comienzo de una serie de tres donde veremos que configuraciones debemos hacer, para que:
- Un usuario normal pueda conectarse por Remote Desktop a un Controlador de Dominio
- Qué debemos configurar para que pueda usar las herramientas administrativas
- Cómo limitar qué herramientas administrativas puede utilizar
En esta primera nota de la serie veremos cómo permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) a un Controlador de Dominio, ya que la configuración es diferente que si se tratara de un servidor miembro
Es importante tener en cuenta que esta configuración no es una buena práctica de seguridad, ni es recomendada, pero muchas veces en pequeñas organizaciones es una configuración que se hace, y tiene pasos adicionales de configuración
Para esta demostración utilizaré sólo dos máquinas virtuales: un Controlador de Dominio (dc1.ad.guillermod.com.ar) y un cliente (cl1.ad.guillermod.com.ar). La misma infraestructura de máquinas virtuales que utilizo en todas estas demostraciones
Antes de comenzar revisemos que el Controlador de Dominio esté reconociendo la red como “Domain Network”. Si es la primera máquina del Dominio en encenderse suele pasar que la detecte como “Public”, y luego no funcionará el procedimiento siguiente. Me ha sucedido y me ha hecho trabajar hasta darme cuenta dónde estaba el problema
Si la detectara como “Public” simplemente deshabilitándola y rehabilitándola cambia a “Domain Network”
Para comenzar he creado una Unidad Organizativa (Soporte-OU), donde he agregado una cuenta de usuario (Soporte Uno = s1), y un grupo (Soportes) al cual pertenece el usuario
Comencemos habilitando Remote Desktop (Escritorio Remoto) para administración en la forma clásica. Recuerdo que esta configuración no es la que debemos hacer si quisiéramos utilizar para proveer acceso de usuarios a aplicaciones; esta configuración es específica para administración remota, y por lo tanto no requiere licenciamiento, aunque está limitada en cantidad de conexiones
Y agregamos al grupo Soportes
Para hacer una primera prueba, inicio sesión en el cliente (CL1) con el usuario “Soporte Uno” (s1), y con MSTSC.EXE me dispongo a inciar el escritorio remoto hacia DC1
Como podemos observar en la siguiente pantalla, el sistema no lo permite, y nos informa que además el usuario debe tener el derecho de incio de sesión a través de Remote Desktop
Por lo tanto, para asignar el derecho, editaremos la “Default Domain Controllers Policy”
Y editaremos: “Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / User Rights Assignment” agregando al grupo Soportes a "Allow logon throuth Remote Desktop Services"
Para no tener que esperar, actualizamos la aplicación de la directiva
Volvemos a CL1, y ahora veremos que efectivamente podemos inciar sesión de Remote Desktop sobre DC1
Veamos qué sucede si intentamos abrir alguna herramienta administrativa; en mi caso utilizaré ServerManager
Pide credenciales, por el UAC
Pero no lo permite
Cerremos la sesión
Ya hemos visto la configuración para conectarnos con un usuario normal a un Controlador de Dominio por Escritorio Remoto. En la próxima nota veremos la configuración que nos falta para permitirle el uso de las herramientas administrativas
