Filtrar acceso via Terminal Server a un Servidor

[OSCAR]

Hola a todos y gracias de antemano, tengo unos 60 servidores y mas de 800
usuarios, todos los usuarios pueden conectarse por terminal a los diferentes
servidores, pero quiero filtrar para que un numero determinado e identificado
de usuarios puedan acceder a un servidor en concreto, de manera que solo los
user1, user2 y user3 puedan conectar por escritorio remoto un servidor, quien
me puede ayudar?

Gracias

[Javier Inglés [MS MVP]]

En los TS, en el grupo de Remote Desktop Users local, pon los usuarios o
grupos de usuarios necesarios para el acceso

--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

"OSCAR" <OS...@discussions.microsoft.com> escribió en el mensaje
news:CFC60539-8600-464F...@microsoft.com...

[OSCAR]

Perdon, me faltaba añadir que es un entorno 2000, no hay grupo remote desktop
user

[Desiderio Ondo.]

Hola, Oscar:

Ante todo, fíjate bien que éste foro se llama "Windows server
2003 - Redes", por lo que te recomiendo que en el futuro, te
bases un poquito más en el foro correspondiente para hacer
las consultas, ya que en caso contrario, podemos dar por hecho
una serie de funciones/tareas y demás que en 2000 todavía no
existían....

Respondiendo a tu pregunta, te sugiero que te plantees seriamente
la opción de que los usuarios puedan conectarse por TS a los
servidores de tu organización, ya que es una práctica peligrosa.

Si estamos hablando de un entorno de red corporativo (dominio),
te recomendaría organizaras el grupo de <users> que quieres
restringir a una OU nueva, y apliques a la misma una nueva GPO
que les permita conectarse pro TS a los servidores. Al resto, te
recomendaría que mejor no, pero puedes realizar un filtrado por
GPO en el firewall, de modo que el rango al que pertenezcan no
les permita el acceso. La ruta concreta sería:

.- Para habilitarles el acceso por TS:
"Conf. del equipo => Plantillas admin. => Comp. de Windows =>
Terminal services", donde hallarás MUCHAS directivas que creo te
resultarán realmente interesantes.

.- Para restringir los accesos a través de GPO firewall:
"Conf. del equipo => Plantillas admin. => Red => Conexiones de
red => Firewall de Windows", donde hallarás 2 subdirectorios de
nombre "Perfil de dominio" y "perfil standard" con una serie de
directivas que te resultará MUY interesantes.
--
·
·
Espero haberte servido de "alluda"
========================
Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech

[Javier Inglés [MS MVP]]

Entonces por GPO establece en el apartado de seguridad en la parte de
denegar el inicio de sesión local a los usuarios que no quieras que lo
hagan; cuidadín con lo que modificas ahí

--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

"OSCAR" <OS...@discussions.microsoft.com> escribió en el mensaje

news:677BDC68-8BD7-4B1A...@microsoft.com...

[Javier Inglés [MS MVP]]

Matices socio:

1.- el foro se llama "windows.server.redes", no 2003 - Redes

2.-<<<la opción de que los usuarios puedan conectarse por TS a los

servidores de tu organización, ya que es una práctica peligrosa<<<

Eso sólo es peligroso en servidores como tal, si el servidor ofrece
servicios dETerminal Server como tal, e una práctica lógica, normal y
recomendable :-P

--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

"Desiderio Ondo." <Deside...@discussions.microsoft.com> escribió en el
mensaje news:4DEA7CE6-E71C-44DC...@microsoft.com...

[Desiderio Ondo.]

Hola, Oscar:

De verdad que lamento discrepar, mi estimado Javier, pero...

.- Si accedes a los foros MS desde la consola web, verás que
en la ruta "Discussion groups => Spanish => Windows", el nombre
de la sala es "Windows server 2003 - Redes" (para más detalles, la
URL es:
(http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.public.es.windows.server.redes&cat=es_ES_3b8a1bfa-6324-4c60-a790-61a28a4cc7e4&lang=es&cr=ES)
Ahora bien, tambien
reconozco que el nombre desde un cliente de noticias (yo uso el
Outlook Express -me gusta porque yo lo valgo-) el nombre es el
que señalas.

.- Coincido en que si existe el servicio TS en un <server>, es para
usarlo, y no como adorno. No obstante, conociendo que por lo general
los usuarios tienen la manía de tocar donde no deben y cambiar los datos
de conf. que hayas establecido (por no hablar que se les "regalan" los
accesos como Administradores -no sé por qué-) considero y por ello
suelo aconsejar que se lo piensen 2 veces (o más) antes de permitir
a un usuario en acceso por TS a un <server> en producción.

A lo mejor es un síndrome "House": (no me gusta tratar con los usuarios,
y me centro en las máquinas, ya que son más excitantes).
¿Tú qué crees?

Espero haberte servido de "alluda".
=====================================================================
· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
=====================================================================

"Javier Inglés [MS MVP]" <jin...@NOSPAMmvps.org> escribió en el mensaje
news:%23wm9eIr%23HH...@TK2MSFTNGP04.phx.gbl...

[Javier Inglés [MS MVP]]

Sorry en este caso, no sabía el título por las news

A lo de TS, hay que distinguir entre adminsitración remota de un servidor, y
otra un servidor de aplicaciones en TS, en cuyo caso, es algo normal y
corriente. Si sabes lo que s Citrix haz el simil con un TS en modo de
servidor de aplicaciones, lo que dices no se aplica en ese caso...

--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

"Desiderio Ondo." <desi...@terra.es> escribió en el mensaje
news:OOYZwes%23HHA...@TK2MSFTNGP02.phx.gbl...

[Javier Inglés [MS MVP]]

Mñás info sobre Terminal Services para servidor de aplicaciones (no remote
desktop o administración remota, es muy diferente)

https://www.microsoft.com/windowsserver2003/technologies/terminalservices/default.mspx

En 2008 además se mejora bastante estos servicios:

http://www.microsoft.com/windowsserver2008/terminal-services/default.mspx

--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

"Javier Inglés [MS MVP]" <jin...@NOSPAMmvps.org> escribió en el mensaje
news:OFncD4s%23HHA...@TK2MSFTNGP03.phx.gbl...

[Desiderio Ondo.]

Hola, Oscar:

Muy interesante el enlace de w2K8. Gracias por compartirlo, tío...

Espero haberte servido de "alluda".
=====================================================================
· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
=====================================================================

"Javier Inglés [MS MVP]" <jin...@NOSPAMmvps.org> escribió en el mensaje

news:O%23mAb8s%23HHA...@TK2MSFTNGP04.phx.gbl...

[Jorge Luis Prado López]

Hombre, si no para que se invento el TS ???... pos pa conectarse y trabajar
en remoto y no solo para administracion.

las GPO estan para algo y es para usarlas no ??... si se hace buen uso de
ella y se crea un buen perfil para cada grupo de usuario que se conecte a un
TS te digo que es dificil.... bastante mas que dificil que puedan ponerse a
"tocarle las pelotas al sever"

En mi caso tengo escritorios remotos configurados que solo acceden a la
aplicacion en cuestion y otros que solo tienen los iconos de las
aplicaciones en caso de que sean mas de una en el escritorio... sin acceso a
mas nada, vamos que tendrian que usar "algo mas que imaginacion" pa poder
hacer algo mas de lo que les dejo.

y comparto contigo lo del "Sindrome House".... las maquinas son
infinitamente mas exitantes ;-))))))
los usuarios solo provocan cabreos, dolores de cabeza y un largo etc, etc,
etc......

[Desiderio Ondo.]

Hola, José Luis:

No me malinterpretes, por favor. Quizás me haya expresado mal, pero en
ningún momento pretendo dar a entender que los servicios de Terminal
sean exclusivos para Administración.

Simplemente, quiero expresar que por muy bien que tengas todo configurado,
NUNCA hay que subestimar la capacidad de fastidio de los usuarios. Si les
das
el tiempo necesario, SEGURO que encuentran una manera de burlar tu seguridad
y tirarlo todo abajo.

Espero haberte servido de "alluda".
=====================================================================
· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
=====================================================================

"Jorge Luis Prado López" <jorgelu...@sistemas-digitales.net> escribió
en el mensaje news:OUM$JZt$HHA....@TK2MSFTNGP06.phx.gbl...

[Jorge Luis Prado López]

no, si no malinterpreto.... :-D
pero en algo tienes razon y es que al final los usuarios te la cascan en lo
que menos te lo esperas.... y cuando menos te hace falta ;-)

"Desiderio Ondo." <desi...@terra.es> escribió en el mensaje de
noticias:OHhPUL1$HHA....@TK2MSFTNGP06.phx.gbl...