En esta segunda nota de la serie que estoy preparando de Remote Desktop o Escritorio Remoto quiero mostrar algunas propiedades que pueden configurarse y que serán útiles en diversos ambientes.
Comencemos con algunas de las propiedades relacionadas con el servicio que tenemos disponibles en la propia cuenta de usuario, y luego veremos las del Servidor de Remote Desktop (en adelante RDSH=Remote Desktop Session Host)
Para lo primero, en nuestro Controlador de Dominio, abrimos las propiedades de nuestro usuario de prueba (RD-User1)
Observemos primero la ficha Environment
Start program / Start the following program at logon: Si marcamos esta opción y seleccionamos una aplicación, la misma se abrirá automáticamente. El usuario no tendrá disponible ninguna otra, ni siquiera el escritorio ni el botón Start.
Cuando cierre la aplicación automáticamente se le cerrará la sesión
Client Devices: Estas opciones permiten que el usuario las seleccione durante la conexión, no se habilitan automáticamente en el cliente.
Observemos la ficha Sessions
End a disconnected session: por omisión nunca cerrará sesiones desconectadas
Active session limit: por omisión nunca impondrá un límite en la duración de la sesión
Idle session limit: por omisión no limitará las sesiones inactivas
Allow reconnection / From any client / From originating client only: si permitirá reconectarse a una sesión desde cualquier máquina, o sólo desde la que originó la sesión
Observemos la ficha Remote Control
En general hay bastante confusión sobre a qué se refiere el Remote Control (Control Remoto).
Esta opción permite tomar control remoto (compartido) desde una sesión de RD o otra sesion de RD
No se puede tomar control desde un cliente al servidor, ni desde el servidor al cliente. Es desde una sesión, a otra sesión de RD
Vemos que por omisión, otro usuario puede tomar control compartido de la sesión, si el usuario de la misma se lo permite, e interactuar con la misma.
Para poder ejecutar lo anterior, se debe hacer una sesión de escritorio remoto al RDSH, y utilizar la aplicación Remote Desktop Service Manager, con botón derecho sobre el usuario, y eligiendo Remote Control.
Si no estamos en una sesión de RD, la opción aparecerá no disponible.
Observemos ahora la ficha Remote Desktop Services Profile
Desde esta ficha podremos configurar dónde se guardará el perfil de usuario cuando se conecte por Remote Desktop, como así también una carpeta por omisión.
Notemos además que podemos negarle específicamente a este usuario el ingreso por Remote Desktop
Vamos ahora a ver lo que podemos configurar en el servidor RDSH.
Para eso abrimos Remote Desktop Session Host Configuration
Podemos ver si nos fijamos en Edit Settings que hay varias opciones ya configuradas. Si hacemos sobre cualquiera de las cuatro primeras con botón derecho y elegimos propiedades veremos el siguiente cuadro
Podemos notar que las dos primeras (Delete Temporary folders on exit y Use temporary folders per session, están relacionadas con el manejo de los archivos temporales.
Pero la siguiente Restrict each user to a single session es la que permitirá que un usuario tenga sólo una, o varias sesiones simultáneas
Por último, en la sección User logon mode vemos que tenemos opciones muy útiles cuando por cualquier causa debamos hacer tareas de mantenimiento sobre el servidor.
Finalmente ahora entremos a las propiedades de RDP-Tcp
Veamos la ficha General
Vemos que en la misma podemos configurar opciones de seguridad
Security layer: en lo posible tratará de usar SSL, pero si no está disponible utilizará RDP Security Layer
Encryption level: tratará de usar, por omisión el método más seguro posible soportado por ambos cliente y servidor. Sólo hará falta configurar si se desea método FIPS Compliant (requerimientos gubernamentales USA)
Vamos a la ficha Logon Settings
Vemos que, como es normal, el usuario debe suministrar sus credenciales de acceso. Otra opción sería para un uso genérico donde todos los usuarios ingresarían con las mismas credenciales, sin importar quién se conecte.
Always prompt for password: vemos que podemos mejorar la seguridad impidiendo que el usuario almacene la contraseña en la conexión a la sesión
Vamos ahora a la ficha Sessions
Podemos observar que independientemente de lo que tenga configurado el usuario en sus propiedades, desde acá podemos configurar las opciones de desconexión, que por supuesto prevalecerán sobre las configuradas en la cuenta de usuario
Veamos ahora la ficha Environment
Vemos que, independientemente de lo configurado en las propiedades del usuario tenemos control sobre el uso de la aplicación que se ejecutará automáticamente cuando los usuarios inician sesión por Remote Desktop
Vamos a la ficha Remote Control
Semejante al caso anterior podemos observar que podemos modificar la configuración establecida en las propiedades de la cuenta de usuario
Ficha Client Settings
En esta ficha podremos limitar tanto la profundidad de color como la cantidad de monitores utilizados para la sesión remota.
Y además configurar que el usuario no pueda redirigir componentes, por ejemplo muy importante, sus discos locales o dispositivos Plug and Play
Ficha Network Adapter
Si el servidor RDSH tiene varias placas de red podremos configurar sobre cuál presta el servicio de Remote Desktop, por omisión lo hace sobre todas.
Además limitar el número máximo de sesiones simultáneas al RDSH
Por último, nos queda la ficha Security, que el propio sistema sugiere no modificar directamente, sino modificando el grupo Remote Desktop Users
Con lo visto en esta ocasión creo que ya tenemos un buen panorama de las configuraciones que podemos hacer sobre la conexión, tanto a nivel de usuario individual, como en el servidor para que se apliquen a todos los usuarios.
En la siguiente nota veremos el tema de aplicaciones remotas, tanto por RDP como por MSI