[How-To] Windows Server | Cómo limitar por Política de Grupo las redirecciones por RDP de recursos para Windows Desktop

Los servicios de Escritorio Remoto (Remote Desktop Services) son muy utilizados hoy en día, tanto para los Administradores de IT al realizar tareas administrativas como para los Usuarios que acceden a sus equipos en la empresa o a colecciones de Escritorio Remoto para acceder a aplicaciones (por ejemplo RemoteApp) o a Escritorios Virtuales (Virtual Desktop Infrastructure).

Un aspecto importante de Remote Desktop Services y que se fue potenciando con el tiempo es la posibilidad de redireccionar recursos y dispositivos que el cliente tiene localmente y poder manipularlos en estos “escritorios virtuales”. Esto se conoce como “Device, Resource and Printer Redirection” en la jerga de Remote Desktop Services.

En esta publicación vamos a conocer cómo limitar por Políticas de Grupo (GPOs) las redirecciones de estos dispositivos, recursos e impresoras a través de Servicios de Escritorio Remoto (Remote Desktop Services), de modo tal que estemos preparados para afrontar como Administradores de IT requerimientos tecnológicos y pedidos del negocio.

 

[toc]

Introducción

Objetivo

Esta publicación tiene como objetivo demostrar a los Administradores de IT cómo limitar y controlar las redirecciones de dispositivos, recursos e impresoras a través de Remote Desktop Services utilizando Políticas de Grupo de Active Directory Domain Services.

Audiencia

Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.

Comentarios y Corrección de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.

Alcance Técnico

Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará. Vamos a describir el objetivo técnico, tecnologías alcanzadas, escenario de trabajo y plan de trabajo en alto nivel.

Objetivo Técnico

El objetivo técnico de este tutorial es:

  • Conocer las opciones disponibles para limitar redireccionamiento de dispositivos y recursos a través de RDP (Device and Resource Redirection).
  • Conocer las opciones disponibles para limitar redireccionamiento de impresoras a través de RDP (Printer Redirection).

Tecnologías Alcanzadas

Las tecnologías alcanzadas por esta publicación son las siguientes:

  • Servicios de Escritorio Remoto (Remote Desktop Services).
  • Políticas de Grupo (Group Policies).
  • Servicio de Directorio Activo (Active Directory Domain Services).
  • Windows Server 2008 o suprior.

Escenario de Trabajo

El escenario de trabajo que da marco a esta publicación es el siguiente:

  • Un cliente con Windows Vista o superior.
  • Un servidor con Remote Desktop Services instalado y configurado (modo administrativo o aplicaciones) unido a un dominio de Active Directory Domain Services.
  • Una infraestructura de Active Directory Domain Services.

Plan de Trabajo

El plan de trabajo a desarrollar en esta publicación es el siguiente:

  • Descripción de la Problemática a Solucionar.
  • Identificación de Políticas de Grupo a utilizar (y su planeamiento).
  • Configuración de las Políticas de Grupo seleccionadas.

Desarrollo

Problemática a Solucionar

Como ya hemos comentado en nuestra introducción, los servicios de Escritorio Remoto (Remote Desktop Services) son muy utilizados hoy en día, tanto para los Administradores de IT al realizar tareas administrativas como para los Usuarios que acceden a sus equipos en la empresa o a colecciones de Escritorio Remoto para acceder a aplicaciones (por ejemplo RemoteApp) o a Escritorios Virtuales (Virtual Desktop Infrastructure).

A medida que fue pasando el tiempo (desde los servicios de Terminal Services hasta los ahora conocidos Servicios de Escritorio Remoto), esta tecnología y que se fue potenciando y hoy es posible redireccionar recursos y dispositivos que el cliente tiene localmente y poder manipularlos en estos “escritorios virtuales”. Estos dispositivos pueden ser USB, COM, Tarjetas de Almacenamiento, Storage, PortaPapeles, Impresoras, etc. Esto se conoce como “Device, Resource and Printer Redirection” en la jerga de Remote Desktop Services.

Si bien lo descrito en el párrafo anterior son ventajas de la tecnología, muchas organizaciones necesitan (por motivos técnicos y/o de seguridad y privacidad) limitar la posibilidad de redireccionar dispositivos, recursos e impresoras para sus usuarios. Es allí donde se plantea el desafío de poder acompañar estos requerimientos con soluciones de administración.

Vamos a identificar, en el próximo apartado, qué Políticas de Grupo tenemos a disposición en un entorno de Active Directory Domain Services para poder llevar esto a cabo.

Identificación de Políticas de Grupo

Tenemos disponibles los siguientes nodos de GPOs para administrar controladamente qué y cómo ciertos dispositivos pueden (o no) redireccionarse a través de Remote Desktop Services a nuestro Session Host:

  • Computer Configuration –> Administrative Templates –> Windows Components  –>  Remote Desktop Services –> Remote Desktop Session Host -> Device and Resource Redirection
  • Computer Configuration –> Administrative Templates –> Windows Components  –>  Remote Desktop Services –> Remote Desktop Session Host -> Printer Redirection

 

Utilizando estas opciones en forma ordenada, podemos generar el entorno necesario adaptado a los requerimientos de nuestra organización. Entre las principales opciones que podemos manipular están:

  • Device and Resource Redirection:
    • Allow audio and video playback redirection.
    • Allow audio recording redirection.
    • Limit audio playback quality.
    • Do not allow Clipboard redirection.
    • Do not allow COM port redirection.
    • Do not allow drive redirection.
    • Do not allow LPT port redirection.
    • Do not allow supported Plug and Play device redirection.
    • Do not allow smart card device redirection.
    • Allow time zone redirection.

 

  • Printer Redirection:
    • Do not set default client printer to be default printer in a session.
    • Do not allow client printer redirection.
    • Use Remote Desktop Easy Print printer driver first.
    • Specify RD Session Host server fallback printer driver behavior.
    • Redirect only the default client printer.

Manos a la obra: Configuración de GPOs

Lo único que nos queda por hacer, una vez que hemos planificado y diseñado nuestro solución de redirección de dispositivos e impresoras y la misma se adapta a nuestras necesidades, es poner manos a la obra.

Debemos crear las GPOs necesarias, y navegaremos a los nodos de GPO comentados para configurar sus opciones y asignarlos a OUs.

Este es el look & feel de las opciones de Device and Resource Redirection:

 

Ilustración 1 - Opciones de Device and Resource Redirection para Remote Desktop Services Session Host en Windows Server 2012 R2.
Ilustración 1 – Opciones de Device and Resource Redirection para Remote Desktop Services Session Host en Windows Server 2012 R2.


Este es el look & feel de las opciones de Printer Redirection:

 

Ilustración 2 Opciones de Printer Redirection para Remote Desktop Services Session Host en Windows Server 2012 R2.
Ilustración 2 Opciones de Printer Redirection para Remote Desktop Services Session Host en Windows Server 2012 R2.


Conclusiones

Poder controlar cómo dispositivos clientes se redireccionan a través de sesiones de Escritorio Remoto es un aspecto muy importante para las organizaciones, e infinitas veces los Administradores de IT reciben el requerimiento de limitar y/o controlar esto.

En esta publicación hemos recorrido las opciones más importantes en este sentido, mostrando cuáles los las extensiones personalizables para limitar y/o controlar la redirección de dispositivos, recursos e impresoras hacia nuestros Session Host de Remote Desktop Services.

Esperamos que la información suministrada les haya resultado de interés y les sirva para su trabajo diario. ¡Saludos!

Referencias y Links

 

Acerca del Autor

0 0 votes
Article Rating

Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Engineering Manager at MODO (https://modo.com.ar), the payment solution that allows you to connect your money and your world to simplify everyday life. Modo is a payment solution in which you can send, order and pay from your mobile device in the safest, most practical and convenient way. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments