1.3K
Una de las tareas más importantes para los administradores es gestionar el acceso de los usuarios a los recursos, incluido el acceso al escritorio remoto. Controlar el acceso de escritorio remoto a los servidores contribuye a un entorno más seguro.
De forma predeterminada, los miembros de los grupos integrados Usuarios y administradores de escritorio remoto pueden acceder al escritorio remoto en estaciones de trabajo y servidores. Pero para los controladores de dominio, solo el grupo Administradores tiene permisos de acceso a escritorio remoto.
En esta publicación de blog, analizaremos cómo agregar usuarios de Active Directory al grupo de usuarios de escritorio remoto mediante el objeto de directiva de grupo (GPO) y PowerShell.
Crear un grupo de seguridad para usuarios de RDP
Es una buena práctica utilizar el acceso basado en grupos siempre que sea posible. Esto permite una administración de acceso de usuario más sencilla al agregar o eliminar usuarios del grupo apropiado.
Entonces, en lugar de agregar usuarios específicos al grupo Usuarios de escritorio remoto, primero creemos un grupo de seguridad que se agregará como miembro. De esta manera, puede crear varios grupos si es necesario y organizar el acceso de los usuarios de manera más eficiente.
OPCIÓN 1: Uso de la consola de usuarios y equipos de Active Directory
- Inicie sesión en el controlador de dominio y abra la consola Usuarios y equipos de Active Directory (ADUC).
- Navegue hasta el contenedor de unidades organizativas de Active Directory donde desea crear el nuevo grupo de seguridad. En este ejemplo, seleccionaremos el Usuarios UNED.
- Haga clic en el botón Nuevo grupo.
- en el nuevo Objeto > Grupo ventana, escriba el nombre del grupo, seleccione el ámbito del grupo, seleccione Seguridad como tipo de grupo y haga clic en Aceptar.
- Una vez que se crea el grupo de seguridad, puede agregarle los miembros (usuarios y grupos). Estos miembros son los usuarios previstos de acceso a escritorio remoto.
- Después de agregar usuarios y grupos como miembros, haga clic en DE ACUERDO para guardar los cambios y cerrar la ventana de propiedades del grupo.
Opción 2: Uso de PowerShell
Para crear el grupo Permitir usuarios de RDP mediante PowerShell:
- Inicie sesión en el servidor y abra una sesión de PowerShell con privilegios elevados.
- Ejecute el siguiente comando para crear el grupo de seguridad. Este comando crea el grupo de seguridad denominado Permitir usuarios RDP dentro de la unidad organizativa Usuarios:
New-ADGroup -Name 'Allow RDP Users' -GroupScope Universal Get-ADGroup -Identity 'Allow RDP Users'
- Por último, agreguemos un usuario al grupo:
Add-ADGroupMember -Identity 'Allow RDP Users' -Members grant.gabriel Get-ADGroupMember -Identity 'Allow RDP Users'
Agregar usuarios al grupo de usuarios de escritorio remoto mediante GPO
El objeto de directiva de grupo (GPO) es una poderosa herramienta que permite a los administradores administrar la configuración de múltiples usuarios y computadoras en una organización. Una de las configuraciones que se pueden controlar mediante GPO es la pertenencia al grupo de usuarios de escritorio remoto.
Configuraremos el elemento de política Usuarios de escritorio remoto en este ejemplo usando la GUI.
- Abra la Consola de administración de directivas de grupo (GPMC) en el controlador de dominio.
gpmc.msc - Haga clic derecho en el dominio y haga clic en Cree un GPO en este dominio y vincúlelo aquí.
Nota. También puede crear y vincular el nuevo GPO en una unidad organizativa específica. - Tipo Política de usuarios de escritorio remoto como el nombre de la política y haga clic en DE ACUERDO.
- Haga clic derecho en la nueva política y haga clic en Editar.
- Navegar a Configuracion de Computadora > Políticas > Configuración de Windows > Configuraciones de seguridad.
- Haga clic derecho en Grupos restringidos y haga clic Añadir grupo.
- En el cuadro de diálogo Agregar grupo, escriba Usuarios de escritorio remoto y haga clic en Aceptar.
Nota. No haga clic en Examinar. No verá los usuarios de escritorio remoto en Active Directory porque es un grupo local en cada computadora. - El Propiedades de usuarios de escritorio remoto se abre la ventana. Bajo la Miembros de este grupo propiedad, haga clic Agregar.
- Busque el grupo de seguridad que creó anteriormente (Permitir usuarios de RDP) y guárdelo como miembro del grupo Usuarios de escritorio remoto.
Nota. También puede agregar usuarios de dominio al grupo de escritorio remoto. - Hacer clic DE ACUERDO en las Propiedades de usuarios de escritorio remoto para guardar los cambios.
- Cierre el Editor de directivas de grupo y la ventana Administración de directivas de grupo.
- Finalmente, espere la replicación de la política de grupo en todo el dominio. También puede forzar la política de grupo Usuarios de escritorio remoto ejecutando gpupdate /force.
- Verifiquemos en una de las computadoras si el grupo Permitir usuarios de RDP ahora es un miembro del grupo local Usuarios de escritorio remoto. En este ejemplo, estamos ingresando a una sesión remota de PowerShell en la PC1:
Enter-PSSession -ComputerName PC1
- A continuación, enumere los miembros del grupo de usuarios de escritorio remoto en la PC1 mediante el cmdlet Get-LocalGroupMember:
Get-LocalGroupMember -Group 'Remote Desktop Users'
¡Eso es todo! Ha creado la directiva de grupo Usuarios de escritorio remoto.
En este punto, todos Permitir usuarios de RDP los miembros del grupo de seguridad pueden RDP en las computadoras del dominio. Si un usuario que no es miembro del grupo de usuarios de escritorio remoto intenta RDP, recibirá un mensaje como el siguiente.
Por lo tanto, un administrador debe agregar al usuario como miembro de Usuarios de escritorio remoto a través del grupo de seguridad Permitir usuarios de RDP.
Agregar usuarios al grupo de usuarios de escritorio remoto mediante PowerShell
También puede agregar usuarios a Usuarios de escritorio remoto mediante PowerShell mediante el cmdlet Add-LocalGroupMember.
Nota. Un GPO configurado para usuarios de escritorio remoto sobrescribirá automáticamente la pertenencia al grupo de usuarios de escritorio remoto cada vez que la computadora actualice la política de grupo. Solo use este método si el acceso RDP es necesario temporalmente o si no hay ningún GPO configurado para usuarios de escritorio remoto.
Ejecute el siguiente comando para agregar un usuario al grupo de escritorio remoto localmente en una computadora.
Add-LocalGroupMember -Group 'Remote Desktop Users' -Member 'DOMAINUSERNAME'
Para agregar un usuario al grupo de escritorio remoto localmente en una computadora remota, puede usar la comunicación remota de PowerShell con Enter-PSSession.
Enter-PSSession -ComputerName <remote_computer> Add-LocalGroupMember -Group 'Remote Desktop Users' -Member 'DOMAINUSERNAME'
O también puede ejecutar el cmdlet Invoke-Command para ejecutar el comando Add-LocalGroupMember de forma remota.
Invoke-Command -ComputerName PC1 -ScriptBlock { Add-LocalGroupMember -Group 'Remote Desktop Users' -Member 'DOMAINUSERNAME' }
Conclusión
Administrar el acceso de los usuarios es una tarea importante para los administradores del sistema, y agregar usuarios de Active Directory al grupo de usuarios de escritorio remoto es solo un aspecto de esta tarea. Mediante el uso de GPO y PowerShell, los administradores pueden administrar fácilmente el acceso de los usuarios a los escritorios remotos.
Al seguir las mejores prácticas y revisar periódicamente el acceso, los administradores pueden garantizar que sus entornos sean seguros y que solo los usuarios autorizados tengan acceso.