Buscar

GPO: Habilitar escritorio remoto

En este post veremos cómo habilitar y configurar el servicio de escritorio remoto de un equipo utilizando una GPO (Group Policy Object - Directiva de grupo).

Veamos los distintos pasos a seguir para habilitar y configurar el servicio de escritorio remoto vía GPO:

1) GPO: Habilitar escritorio remoto


Ubicación de la GPO de equipo:

Configuración del equipo - Directivas - Plantillas administrativas - Componentes de Windows - Servicios de Escritorio remoto - Host de sesión de Escritorio remoto - Conexiones

Permitir que los usuarios se conecten de forma remota mediante Servicios de Escritorio remoto

Vista GPO:

GPO: Habilitar escritorio remoto

Resultado de aplicación de la GPO:
 

Podremos aplicar esta GPO sobre equipos con sistema operativo Windows XP / Windows Server 2003 o superior.

2) GPO: Habilitar escritorio remoto, indicar grupo de seguridad.


Una vez hemos realizado el paso anterior, también podemos definir los usuarios que podrán realizar conexiones al servicio de escritorio remoto utilizando una GPO.

En el siguiente ejemplo, veremos como añadimos el grupo de dominio:  "Usuarios del dominio" del dominio: "D1" dentro del grupo local: "Usuarios de escritorio remoto".

Ubicación de la GPO de equipo:

Configuración del equipo - Directivas - Configuración de Windows - Configuración de seguridad - Grupos restringidos

BUILTIN\Usuarios de escritorio remoto         D1\Usuarios del dominio

Vista GPO:

GPO: Habilitar escritorio remoto

Resultado de aplicación de la GPO:

GPO: Habilitar escritorio remoto

2) GPO: Habilitar escritorio remoto, firewall


El tercer paso es que el puerto 3389, utilizado por el servicio de escritorio remoto admita conexiones entrantes.

Para ello, o bien deshabilitamos el firewall de Windows, o bien configuramos una regla que permita las conexiones entrantes al puerto 3389.

Cualquiera de estas dos opciones, la podemos configurar utilizando una GPO.

A continuación, veremos cómo configurar una regla de entrada al puerto 3389, utilizando una GPO.

Ubicación de la GPO de equipo:

Configuración del equipo - Directivas - Plantillas administrativas - Red - Conexiones de red - Firewall de Windows - Perfil de dominio

Firewall de Windows: permitir excepciones de Escritorio remoto entrantes


Vista GPO:


GPO: Habilitar escritorio remoto

Resultado de aplicación de la GPO:

GPO: Habilitar escritorio remoto

Finalmente:

Si queréis limitar el acceso al escritorio remoto desde una dirección IP pública origen utilizando el Firewall de Windows, podéis utilizar la siguiente guía:

Windows: RDP IP pública origen firewall (SYSADMIT.com)

13 comentarios:

  1. Muchas gracias por la ayuda genio!

    ResponderEliminar
  2. Hola uso server 2016 y un cliente windows 7, pero no se logra reflegar el gpo, ya hice gpupdate /force sin exito

    ResponderEliminar
  3. Hola,

    Es posible tener otro grupo con los mismos privilegios de "Remote Desktop Users", ya que probé creando un grupo en BUILTIN\Remote Desktop Consultores, y dice que no tiene permisos de conexión remota.

    Gracias, quedo atento.

    ResponderEliminar
    Respuestas
    1. Hola,

      En el modo administración remota, es decir sin instalar los servicios de RDS, el usuario que quieres que se conecte, debe estar dentro del grupo por defecto. Eso sí, si quieres puedes añadir un grupo de seguridad dentro de otro.

      Un saludo,

      Xavi.

      Eliminar
  4. Excelente. Lo probe y funciono perfectamente. Gracias por tu aporte. Saludos

    ResponderEliminar
  5. A mi no me funciona si el usuario no es administrador.
    ¿Hay alguna forma de hacerlo funcionar?

    ResponderEliminar
    Respuestas
    1. Hola,

      Seguramente sea problema de implementación del paso 2.

      Asegúrate que en "Agrupar" aparece: BUILTIN\Usuarios de escritorio remoto y en "Miembros" aparece: D1\Usuarios del dominio siendo D1, el nombre del dominio de Active Directory.

      Un saludo,

      Xavi.

      Eliminar