Recursos para profesionales y entusiastas de IT

[How-To] Windows Server | Cómo limitar por Política de Grupo las redirecciones por RDP de recursos para Windows Desktop

9 minutos de lectura

Los servicios de Escritorio Remoto (Remote Desktop Services) son muy utilizados hoy en día, tanto para los Administradores de IT al realizar tareas administrativas como para los Usuarios que acceden a sus equipos en la empresa o a colecciones de Escritorio Remoto para acceder a aplicaciones (por ejemplo RemoteApp) o a Escritorios Virtuales (Virtual Desktop Infrastructure).

Un aspecto importante de Remote Desktop Services y que se fue potenciando con el tiempo es la posibilidad de redireccionar recursos y dispositivos que el cliente tiene localmente y poder manipularlos en estos “escritorios virtuales”. Esto se conoce como “Device, Resource and Printer Redirection” en la jerga de Remote Desktop Services.

En esta publicación vamos a conocer cómo limitar por Políticas de Grupo (GPOs) las redirecciones de estos dispositivos, recursos e impresoras a través de Servicios de Escritorio Remoto (Remote Desktop Services), de modo tal que estemos preparados para afrontar como Administradores de IT requerimientos tecnológicos y pedidos del negocio.

 

Introducción

Objetivo

Esta publicación tiene como objetivo demostrar a los Administradores de IT cómo limitar y controlar las redirecciones de dispositivos, recursos e impresoras a través de Remote Desktop Services utilizando Políticas de Grupo de Active Directory Domain Services.

Audiencia

Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.

Comentarios y Corrección de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.

Alcance Técnico

Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará. Vamos a describir el objetivo técnico, tecnologías alcanzadas, escenario de trabajo y plan de trabajo en alto nivel.

Objetivo Técnico

El objetivo técnico de este tutorial es:

  • Conocer las opciones disponibles para limitar redireccionamiento de dispositivos y recursos a través de RDP (Device and Resource Redirection).
  • Conocer las opciones disponibles para limitar redireccionamiento de impresoras a través de RDP (Printer Redirection).

Tecnologías Alcanzadas

Las tecnologías alcanzadas por esta publicación son las siguientes:

  • Servicios de Escritorio Remoto (Remote Desktop Services).
  • Políticas de Grupo (Group Policies).
  • Servicio de Directorio Activo (Active Directory Domain Services).
  • Windows Server 2008 o suprior.

Escenario de Trabajo

El escenario de trabajo que da marco a esta publicación es el siguiente:

  • Un cliente con Windows Vista o superior.
  • Un servidor con Remote Desktop Services instalado y configurado (modo administrativo o aplicaciones) unido a un dominio de Active Directory Domain Services.
  • Una infraestructura de Active Directory Domain Services.

Plan de Trabajo

El plan de trabajo a desarrollar en esta publicación es el siguiente:

  • Descripción de la Problemática a Solucionar.
  • Identificación de Políticas de Grupo a utilizar (y su planeamiento).
  • Configuración de las Políticas de Grupo seleccionadas.

Desarrollo

Problemática a Solucionar

Como ya hemos comentado en nuestra introducción, los servicios de Escritorio Remoto (Remote Desktop Services) son muy utilizados hoy en día, tanto para los Administradores de IT al realizar tareas administrativas como para los Usuarios que acceden a sus equipos en la empresa o a colecciones de Escritorio Remoto para acceder a aplicaciones (por ejemplo RemoteApp) o a Escritorios Virtuales (Virtual Desktop Infrastructure).

A medida que fue pasando el tiempo (desde los servicios de Terminal Services hasta los ahora conocidos Servicios de Escritorio Remoto), esta tecnología y que se fue potenciando y hoy es posible redireccionar recursos y dispositivos que el cliente tiene localmente y poder manipularlos en estos “escritorios virtuales”. Estos dispositivos pueden ser USB, COM, Tarjetas de Almacenamiento, Storage, PortaPapeles, Impresoras, etc. Esto se conoce como “Device, Resource and Printer Redirection” en la jerga de Remote Desktop Services.

Si bien lo descrito en el párrafo anterior son ventajas de la tecnología, muchas organizaciones necesitan (por motivos técnicos y/o de seguridad y privacidad) limitar la posibilidad de redireccionar dispositivos, recursos e impresoras para sus usuarios. Es allí donde se plantea el desafío de poder acompañar estos requerimientos con soluciones de administración.

Vamos a identificar, en el próximo apartado, qué Políticas de Grupo tenemos a disposición en un entorno de Active Directory Domain Services para poder llevar esto a cabo.

Identificación de Políticas de Grupo

Tenemos disponibles los siguientes nodos de GPOs para administrar controladamente qué y cómo ciertos dispositivos pueden (o no) redireccionarse a través de Remote Desktop Services a nuestro Session Host:

  • Computer Configuration –> Administrative Templates –> Windows Components  –>  Remote Desktop Services –> Remote Desktop Session Host -> Device and Resource Redirection
  • Computer Configuration –> Administrative Templates –> Windows Components  –>  Remote Desktop Services –> Remote Desktop Session Host -> Printer Redirection

 

Utilizando estas opciones en forma ordenada, podemos generar el entorno necesario adaptado a los requerimientos de nuestra organización. Entre las principales opciones que podemos manipular están:

  • Device and Resource Redirection:
    • Allow audio and video playback redirection.
    • Allow audio recording redirection.
    • Limit audio playback quality.
    • Do not allow Clipboard redirection.
    • Do not allow COM port redirection.
    • Do not allow drive redirection.
    • Do not allow LPT port redirection.
    • Do not allow supported Plug and Play device redirection.
    • Do not allow smart card device redirection.
    • Allow time zone redirection.

 

  • Printer Redirection:
    • Do not set default client printer to be default printer in a session.
    • Do not allow client printer redirection.
    • Use Remote Desktop Easy Print printer driver first.
    • Specify RD Session Host server fallback printer driver behavior.
    • Redirect only the default client printer.

Manos a la obra: Configuración de GPOs

Lo único que nos queda por hacer, una vez que hemos planificado y diseñado nuestro solución de redirección de dispositivos e impresoras y la misma se adapta a nuestras necesidades, es poner manos a la obra.

Debemos crear las GPOs necesarias, y navegaremos a los nodos de GPO comentados para configurar sus opciones y asignarlos a OUs.

Este es el look & feel de las opciones de Device and Resource Redirection:

 

Ilustración 1 - Opciones de Device and Resource Redirection para Remote Desktop Services Session Host en Windows Server 2012 R2.

Ilustración 1 – Opciones de Device and Resource Redirection para Remote Desktop Services Session Host en Windows Server 2012 R2.


Este es el look & feel de las opciones de Printer Redirection:

 

Ilustración 2 Opciones de Printer Redirection para Remote Desktop Services Session Host en Windows Server 2012 R2.

Ilustración 2 Opciones de Printer Redirection para Remote Desktop Services Session Host en Windows Server 2012 R2.


Conclusiones

Poder controlar cómo dispositivos clientes se redireccionan a través de sesiones de Escritorio Remoto es un aspecto muy importante para las organizaciones, e infinitas veces los Administradores de IT reciben el requerimiento de limitar y/o controlar esto.

En esta publicación hemos recorrido las opciones más importantes en este sentido, mostrando cuáles los las extensiones personalizables para limitar y/o controlar la redirección de dispositivos, recursos e impresoras hacia nuestros Session Host de Remote Desktop Services.

Esperamos que la información suministrada les haya resultado de interés y les sirva para su trabajo diario. ¡Saludos!

Referencias y Links

 

Acerca del Autor

Pablo Ariel Di Loreto

Director at TecTimes
Mi nombre es Pablo Ariel Di Loreto, nací en Mayo de 1981 y soy oriundo de la Ciudad de Berazategui, Buenos Aires, Argentina.

Mis lazos con la informática comenzaron en el año 1998, cuando tenía 16 años, y comencé a aprender como administrar servidores bajo la plataforma Microsoft (Windows Server, Exchange Server, IIS, y otros) y a realizar desarrollos de software con tecnologías ASP y PHP. Un tiempo más tarde comencé a trabajar ya en forma productiva en la administración de plataformas y desarrollo de software.

Desde hace varios años he tenido una intensa actividad en las comunidades profesionales, a través de eventos, webcasts, foros y publicaciones diversas. En Abril de 2014 fui reconocido como Most Valuable Professional (MVP) por parte de Microsoft, estando hoy reconocido en las especialidades "Windows and Devices for IT" y "Microsoft Azure".

En la actualidad me desarrollo como Service Delivery Manager en Algeiba (http://www.algeiba.com), una compañía que brinda soluciones y servicios tecnológicos, dirigiendo un Equipo de Trabajo de más de 20 personas. También soy el Director de TecTimes, un Portal de Tecnología que nació en el año 2012 como parte de un proyecto personal de contribución a la comunidad tecnológica en español.
avatar

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.