[How-To] Windows Server | Cómo limitar por Política de Grupo las redirecciones por RDP de recursos para Windows Desktop
Los servicios de Escritorio Remoto (Remote Desktop Services) son muy utilizados hoy en día, tanto para los Administradores de IT al realizar tareas administrativas como para los Usuarios que acceden a sus equipos en la empresa o a colecciones de Escritorio Remoto para acceder a aplicaciones (por ejemplo RemoteApp) o a Escritorios Virtuales (Virtual Desktop Infrastructure).
Un aspecto importante de Remote Desktop Services y que se fue potenciando con el tiempo es la posibilidad de redireccionar recursos y dispositivos que el cliente tiene localmente y poder manipularlos en estos “escritorios virtuales”. Esto se conoce como “Device, Resource and Printer Redirection” en la jerga de Remote Desktop Services.
En esta publicación vamos a conocer cómo limitar por Políticas de Grupo (GPOs) las redirecciones de estos dispositivos, recursos e impresoras a través de Servicios de Escritorio Remoto (Remote Desktop Services), de modo tal que estemos preparados para afrontar como Administradores de IT requerimientos tecnológicos y pedidos del negocio.
[toc]
Introducción
Objetivo
Esta publicación tiene como objetivo demostrar a los Administradores de IT cómo limitar y controlar las redirecciones de dispositivos, recursos e impresoras a través de Remote Desktop Services utilizando Políticas de Grupo de Active Directory Domain Services.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Alcance Técnico
Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará. Vamos a describir el objetivo técnico, tecnologías alcanzadas, escenario de trabajo y plan de trabajo en alto nivel.
Objetivo Técnico
El objetivo técnico de este tutorial es:
- Conocer las opciones disponibles para limitar redireccionamiento de dispositivos y recursos a través de RDP (Device and Resource Redirection).
- Conocer las opciones disponibles para limitar redireccionamiento de impresoras a través de RDP (Printer Redirection).
Tecnologías Alcanzadas
Las tecnologías alcanzadas por esta publicación son las siguientes:
- Servicios de Escritorio Remoto (Remote Desktop Services).
- Políticas de Grupo (Group Policies).
- Servicio de Directorio Activo (Active Directory Domain Services).
- Windows Server 2008 o suprior.
Escenario de Trabajo
El escenario de trabajo que da marco a esta publicación es el siguiente:
- Un cliente con Windows Vista o superior.
- Un servidor con Remote Desktop Services instalado y configurado (modo administrativo o aplicaciones) unido a un dominio de Active Directory Domain Services.
- Una infraestructura de Active Directory Domain Services.
Plan de Trabajo
El plan de trabajo a desarrollar en esta publicación es el siguiente:
- Descripción de la Problemática a Solucionar.
- Identificación de Políticas de Grupo a utilizar (y su planeamiento).
- Configuración de las Políticas de Grupo seleccionadas.
Desarrollo
Problemática a Solucionar
Como ya hemos comentado en nuestra introducción, los servicios de Escritorio Remoto (Remote Desktop Services) son muy utilizados hoy en día, tanto para los Administradores de IT al realizar tareas administrativas como para los Usuarios que acceden a sus equipos en la empresa o a colecciones de Escritorio Remoto para acceder a aplicaciones (por ejemplo RemoteApp) o a Escritorios Virtuales (Virtual Desktop Infrastructure).
A medida que fue pasando el tiempo (desde los servicios de Terminal Services hasta los ahora conocidos Servicios de Escritorio Remoto), esta tecnología y que se fue potenciando y hoy es posible redireccionar recursos y dispositivos que el cliente tiene localmente y poder manipularlos en estos “escritorios virtuales”. Estos dispositivos pueden ser USB, COM, Tarjetas de Almacenamiento, Storage, PortaPapeles, Impresoras, etc. Esto se conoce como “Device, Resource and Printer Redirection” en la jerga de Remote Desktop Services.
Si bien lo descrito en el párrafo anterior son ventajas de la tecnología, muchas organizaciones necesitan (por motivos técnicos y/o de seguridad y privacidad) limitar la posibilidad de redireccionar dispositivos, recursos e impresoras para sus usuarios. Es allí donde se plantea el desafío de poder acompañar estos requerimientos con soluciones de administración.
Vamos a identificar, en el próximo apartado, qué Políticas de Grupo tenemos a disposición en un entorno de Active Directory Domain Services para poder llevar esto a cabo.
Identificación de Políticas de Grupo
Tenemos disponibles los siguientes nodos de GPOs para administrar controladamente qué y cómo ciertos dispositivos pueden (o no) redireccionarse a través de Remote Desktop Services a nuestro Session Host:
- Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services –> Remote Desktop Session Host -> Device and Resource Redirection
- Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services –> Remote Desktop Session Host -> Printer Redirection
Utilizando estas opciones en forma ordenada, podemos generar el entorno necesario adaptado a los requerimientos de nuestra organización. Entre las principales opciones que podemos manipular están:
-
Device and Resource Redirection:
- Allow audio and video playback redirection.
- Allow audio recording redirection.
- Limit audio playback quality.
- Do not allow Clipboard redirection.
- Do not allow COM port redirection.
- Do not allow drive redirection.
- Do not allow LPT port redirection.
- Do not allow supported Plug and Play device redirection.
- Do not allow smart card device redirection.
- Allow time zone redirection.
-
Printer Redirection:
- Do not set default client printer to be default printer in a session.
- Do not allow client printer redirection.
- Use Remote Desktop Easy Print printer driver first.
- Specify RD Session Host server fallback printer driver behavior.
- Redirect only the default client printer.
Manos a la obra: Configuración de GPOs
Lo único que nos queda por hacer, una vez que hemos planificado y diseñado nuestro solución de redirección de dispositivos e impresoras y la misma se adapta a nuestras necesidades, es poner manos a la obra.
Debemos crear las GPOs necesarias, y navegaremos a los nodos de GPO comentados para configurar sus opciones y asignarlos a OUs.
Este es el look & feel de las opciones de Device and Resource Redirection:
Este es el look & feel de las opciones de Printer Redirection:
Conclusiones
Poder controlar cómo dispositivos clientes se redireccionan a través de sesiones de Escritorio Remoto es un aspecto muy importante para las organizaciones, e infinitas veces los Administradores de IT reciben el requerimiento de limitar y/o controlar esto.
En esta publicación hemos recorrido las opciones más importantes en este sentido, mostrando cuáles los las extensiones personalizables para limitar y/o controlar la redirección de dispositivos, recursos e impresoras hacia nuestros Session Host de Remote Desktop Services.
Esperamos que la información suministrada les haya resultado de interés y les sirva para su trabajo diario. ¡Saludos!
Referencias y Links
- All Group Policy Settings for Remote Desktop Services in Windows Server 2008 R2: https://technet.microsoft.com/en-us/library/ee791756(v=ws.10).aspx
- New Group Policy Settings for Remote Desktop Services in Windows Server 2008 R2 with Service Pack 1: https://technet.microsoft.com/en-us/library/gg607277(v=ws.10).aspx
- Device and Resource Redirection: https://technet.microsoft.com/en-us/library/cc725887(v=ws.10).aspx
- Printer Redirection: https://technet.microsoft.com/en-us/library/cc731963(v=ws.10).aspx
- Configuring Printer Redirection Settings: https://technet.microsoft.com/en-us/library/ff519145(v=ws.10).aspx