3.6K
En esta publicación de blog, analizaremos cómo agregar usuarios de Active Directory al grupo de usuarios de escritorio remoto mediante el objeto de política de grupo (GPO) y PowerShell.
Crear un grupo de seguridad para usuarios de RDP
Primero creemos un grupo de seguridad que se agregará como miembro. De esta manera, puede crear varios grupos si es necesario y organizar el acceso de los usuarios de manera más eficiente.
OPCIÓN 1: Usar la Consola de Usuarios y Computadoras de Active Directory
- Inicie sesión en el controlador de dominio y abra la consola Usuarios y computadoras de Active Directory (ADUC).
- Navegue hasta el contenedor de la unidad organizativa de Active Directory donde desea crear el nuevo grupo de seguridad. En este ejemplo, seleccionaremos el Usuarios UNED.
- Haga clic en el botón Nuevo grupo.
- sobre lo nuevo Objeto > Grupo escriba el nombre del grupo, seleccione el alcance del grupo, seleccione Seguridad como tipo de grupo y haga clic en Aceptar.
- Una vez creado el grupo de seguridad, puede agregarle miembros (usuarios y grupos). Estos miembros son los usuarios previstos de acceso a Escritorio remoto.
- Después de agregar usuarios y grupos como miembros, haga clic en DE ACUERDO para guardar los cambios y cerrar la ventana de propiedades del grupo.
Opción 2: usar PowerShell
Para crear el grupo Permitir usuarios de RDP usando PowerShell:
- Inicie sesión en el servidor y abra una sesión elevada de PowerShell.
- Ejecute el siguiente comando para crear el grupo de seguridad. Este comando crea el grupo de seguridad denominado Permitir usuarios RDP dentro de la unidad organizativa Usuarios:
New-ADGroup -Name 'Allow RDP Users' -GroupScope Universal Get-ADGroup -Identity 'Allow RDP Users'
- Por último, agreguemos un usuario al grupo:
Add-ADGroupMember -Identity 'Allow RDP Users' -Members grant.gabriel Get-ADGroupMember -Identity 'Allow RDP Users'
Agregar usuarios al grupo de usuarios de escritorio remoto mediante GPO
El objeto de política de grupo (GPO) es una poderosa herramienta que permite a los administradores administrar la configuración para múltiples usuarios y computadoras en una organización. Una de las configuraciones que se puede controlar mediante GPO es la membresía del grupo de usuarios de escritorio remoto.
Configuraremos el elemento de política Usuarios de escritorio remoto en este ejemplo usando la GUI.
- Abra la Consola de administración de políticas de grupo (GPMC) en el controlador de dominio.
gpmc.msc - Haga clic derecho en el dominio y haga clic Cree un GPO en este dominio y vincúlelo aquí.
Nota. También puede crear y vincular el nuevo GPO en una unidad organizativa específica. - Tipo Política de usuarios de escritorio remoto como nombre de la política y haga clic DE ACUERDO.
- Haga clic derecho en la nueva política y haga clic Editar.
- Navegar a Configuración de la computadora > Políticas > Configuración de Windows > Configuración de seguridad.
- Haga clic derecho en Grupos restringidos y haga clic Agregar grupo.
- En el cuadro de diálogo Agregar grupo, escriba Usuarios de escritorio remoto y haga clic en Aceptar.
Nota. No haga clic en Examinar. No verá los Usuarios de Escritorio remoto en Active Directory porque es un grupo local en cada computadora. - El Propiedades de usuarios de escritorio remoto se abre la ventana. bajo el Miembros de este grupo propiedad, haga clic Agregar.
- Busque el grupo de seguridad que creó anteriormente (Permitir usuarios RDP) y guárdelo como miembro del grupo Usuarios de escritorio remoto.
Nota. También puede agregar usuarios de dominio al grupo de escritorio remoto.
- Hacer clic DE ACUERDO en Propiedades de usuarios de escritorio remoto para guardar los cambios.
- Cierre el Editor de políticas de grupo y la ventana de Administración de políticas de grupo.
- Finalmente, espere la replicación de la política de grupo en todo el dominio. También puede forzar la política de grupo Usuarios de escritorio remoto ejecutando gpupdate /force.
- Verifiquemos en una de las computadoras si el grupo Permitir usuarios de RDP ahora es miembro del grupo de Usuarios de escritorio remoto local. En este ejemplo, ingresamos a una sesión remota de PowerShell en la PC1:
Enter-PSSession -ComputerName PC1
- A continuación, enumere los miembros del grupo Usuarios de escritorio remoto en la PC1 mediante el cmdlet Get-LocalGroupMember:
Get-LocalGroupMember -Group 'Remote Desktop Users'
¡Eso es todo! Ha creado la política de grupo Usuarios de escritorio remoto.
En este punto, todos Permitir usuarios RDP Los miembros del grupo de seguridad pueden acceder mediante RDP a las computadoras del dominio. Si un usuario que no es miembro del grupo Usuarios de escritorio remoto intenta utilizar RDP, recibirá un mensaje como el siguiente.
Por lo tanto, un administrador debe agregar al usuario como miembro de Usuarios de escritorio remoto a través del grupo de seguridad Permitir usuarios de RDP.
Agregar usuarios al grupo de usuarios de escritorio remoto mediante PowerShell
También puede agregar usuarios a Usuarios de Escritorio remoto mediante PowerShell mediante el cmdlet Add-LocalGroupMember.
Nota. Un GPO configurado para usuarios de escritorio remoto sobrescribirá automáticamente la membresía del grupo de usuarios de escritorio remoto cada vez que la computadora actualice la política de grupo. Utilice este método únicamente si el acceso RDP se necesita temporalmente o si no hay ningún GPO configurado para usuarios de escritorio remoto.
Ejecute el siguiente comando para agregar un usuario al grupo de escritorio remoto localmente en una computadora.
Add-LocalGroupMember -Group 'Remote Desktop Users' -Member 'DOMAIN\USERNAME'
Para agregar un usuario al grupo de escritorio remoto localmente en una computadora remota, puede usar la comunicación remota de PowerShell con Enter-PSSession.
Enter-PSSession -ComputerName <remote_computer> Add-LocalGroupMember -Group 'Remote Desktop Users' -Member 'DOMAIN\USERNAME'
O también puede ejecutar el cmdlet Invoke-Command para ejecutar el comando Add-LocalGroupMember de forma remota.
Invoke-Command -ComputerName PC1 -ScriptBlock { Add-LocalGroupMember -Group 'Remote Desktop Users' -Member 'DOMAIN\USERNAME' }
Conclusión
Administrar el acceso de los usuarios es una tarea importante para los administradores del sistema y agregar usuarios de Active Directory al grupo de usuarios de escritorio remoto es solo un aspecto de esta tarea. Al utilizar GPO y PowerShell, los administradores pueden administrar fácilmente el acceso de los usuarios a escritorios remotos.
Siguiendo las mejores prácticas y revisando periódicamente el acceso, los administradores pueden garantizar que sus entornos sean seguros y que solo los usuarios autorizados tengan acceso.