Hola a todos otra vez! Luego de un largo tiempo sin publicar nada, me animo a escribir algo. La tardanza ha sido en parte por el tiempo (o la falta de el), en parte (en gran parte) por haraganería, pero mayormente porque me gusta escribir cosas que sean de utilidad y de relevancia para los que se animen a leer este blog y me gusta esperar tener algo para escribir que valga la pena, así que espero no equivocarme con este post :D. Entrando en el tema, no se si les ha pasado esto: Tiene un su compañía un servidor de Terminal Services al que algunos usuarios del dominio accederán de manera regular para realizar algunas tareas especificas o ejecutar alguna aplicacion. Pero como los usuarios son del dominio puede ser que tengan ciertas Políticas de Grupos (GPO) aplicadas que correspondan al OU que pertenecen o al grupo, y quisieramos que cuando inicien sesion en el Terminal Services Server se le aplique una Política mas restrictiva que la que se le aplica en su computadora. Por ejemplo, digamos que un usuario del dominio se le aplica una GPO que le permite tener acceso a los discos de su computadora y a algunos items del Panel de Control, pero este usuario necesita ejecutar algunas aplicaciones accediendo remotamente a un servidor Terminal Services, pero queremos que este no pueda acceder a los discos en este servidor, que no pueda entrar al Control Panel, etc. Para esto necesitamos que se le aplique una GPO especifica pero solo cuando haga Login en el equipo especifico, en este caso el Terminal Services Server.
Para esto lo primero que tenemos que hacer es crear un OU y mover a esta el o los servidores Terminal Services en el cual aplicaremos la política, por ejemplo, la OU la podríamos llamar "Terminal_Services_Sever". En el siguiente gráfico se muestra la OU que contiene un equipo llamado "TERMINAL_SRV_01".
Una vez hemos creado nuestro OU, abriremos la consola "Group Policy Management", esta consola se utiliza para administrar las políticas de grupo del dominio, viene incluida en Windows Server 2008 pero también puede utilizarse en Windows Server 2003, pero debe descargarse aparte. Si no la tienen la pueden descargar aquí. Cuando hayamos abierto la consola Group Policy Management, nos dirigimos a la nueva OU que creamos (Terminal_Services_Server) y hacemos clic derecho encima de esta, luego seleccionamos la opción "Create a GPO in this domain, and Link it here..." como se muestra en el siguiente gráfico:
Al hacer clic en esta opción se nos pedirá un nombre para la nueva GPO, en este caso elegí el nombre "Terminal_GPO". Cuando le hayamos puesto el nombre, nos aparecerá el link de la GPO debajo de la OU que creamos, como se muestra en el siguiente gráfico. Aquí debemos hacer clic derecho ahora encima de la GPO y seleccionamos "Edit..."
Se abrirá entonces la ventana del Editor de la Política de Grupo que acabamos de crear, aquí nos dirigiremos a la seccion "Computer Configuration" luego nos moveremos a "Policies" (en Windows Server 2003 este paso no es necesario), luego a "Administrative Templates", "System" y por ultimo hacemos clic encima de "Group Policy". Aquí buscamos la directiva "User Group Policy loopback processing mode", como se muestra en el siguiente gráfico:
Hacemos doble clic encima de la directiva indicada anteriormente y seleccionamos "Enable", luego en la sección "Mode" seleccionamos "Replace":
Con esto lo que hacemos es indicarle al equipo donde se aplique, en el caso de nuestro ejemplo al servidor Terminal Service, que no aplique al usuario que se loguea la política de grupo del dominio que corresponde al usuario, sino que la reemplace con la que se indica en esta misma politica. Una vez hacemos clic en aceptar, podemos movernos en el Editor de la Política a la sección "User Configuration" y personalizar el entorno de los usuarios que se conectaran a este Terminal Services como querramos, sin preocuparnos de que esta Política se le vaya a aplicar a los usuarios en sus computadoras también. Bueno, esto ha sido todo por ahora. Espero como siempre que les haya sido de utilidad.
Una vez hemos creado nuestro OU, abriremos la consola "Group Policy Management", esta consola se utiliza para administrar las políticas de grupo del dominio, viene incluida en Windows Server 2008 pero también puede utilizarse en Windows Server 2003, pero debe descargarse aparte. Si no la tienen la pueden descargar aquí. Cuando hayamos abierto la consola Group Policy Management, nos dirigimos a la nueva OU que creamos (Terminal_Services_Server) y hacemos clic derecho encima de esta, luego seleccionamos la opción "Create a GPO in this domain, and Link it here..." como se muestra en el siguiente gráfico:
Al hacer clic en esta opción se nos pedirá un nombre para la nueva GPO, en este caso elegí el nombre "Terminal_GPO". Cuando le hayamos puesto el nombre, nos aparecerá el link de la GPO debajo de la OU que creamos, como se muestra en el siguiente gráfico. Aquí debemos hacer clic derecho ahora encima de la GPO y seleccionamos "Edit..."
Hacemos doble clic encima de la directiva indicada anteriormente y seleccionamos "Enable", luego en la sección "Mode" seleccionamos "Replace":
Con esto lo que hacemos es indicarle al equipo donde se aplique, en el caso de nuestro ejemplo al servidor Terminal Service, que no aplique al usuario que se loguea la política de grupo del dominio que corresponde al usuario, sino que la reemplace con la que se indica en esta misma politica. Una vez hacemos clic en aceptar, podemos movernos en el Editor de la Política a la sección "User Configuration" y personalizar el entorno de los usuarios que se conectaran a este Terminal Services como querramos, sin preocuparnos de que esta Política se le vaya a aplicar a los usuarios en sus computadoras también. Bueno, esto ha sido todo por ahora. Espero como siempre que les haya sido de utilidad.
Hola! Excelente Artículo! Le dió en el clavo a lo que buscaba, sin embargo tengo un problema. En mi caso tengo un servidor de terminal service con windows 2008 server y un servidor de AD con Windows 2003 Server. Realicé lo que tu aconsejas pero sin embargo, no logro que se aplique la política a los usuarios que se conectan. Tendrás alguna idea de lo que puede ser?
ResponderEliminarMuchas gracias!
Atte
Jaime Vidal