none
GPO - Grupos autorizados a conectarse por TS RRS feed

  • Pregunta

  •  

    Muy buenas,

     

    tengo una duda, que me parece que es una tontería, a ver si me la podeis aclarar porque no he conseguido que me funcione ...

     

    Mi idea es que mediante una GPO yo pueda controlar que grupo de usuarios pueden logarse en los servidores de TS, todo esto sin utilizar el grupo remote desktop users... no quiero tener que ir, servidor por servidor añadiendo al grupo o grupos en cuestión ...

     

    La GPO que he creado :

     

     

    Pero no me permite logarme con cualquier usuario que meta en ese grupo ... solo si lo añado a mano en los permisos de RDP-TCP ...

     

    El mensaje que recibo :

     


     

    ¿ Debo tocar alguna otra cosa ?.

     

    Nota : La GPO obviamente está linkada a OU donde están los TS y aparentemente se ejecuta correctamente

     

    Gracias.

    domingo, 15 de junio de 2008 17:50

Todas las respuestas

  • Pues estás en lo cierto, tal y como lo tienes configura debería de ejecutarse, pero no se ejecuta (a mi me sucede igual, de hecho he probado con grupos locales de la máquina y del dominio y no hay forma vía GPO).

     

    La solución pasa por crear una política que te agregue tu grupo "Permisos_TS" dentro del grupo "Remote Desktop Users" esto lo creas dentro de los grupos restringidos.

     

    Un saludo.

    domingo, 15 de junio de 2008 22:54
  •  

    Supongo que te refieres a lanzar un script que haga un simple net localgroup ... ¿ verdad ?, es más o menos lo hice yo pero aplicado a las máquinas XP para habilitar el remote desktop a todas ...

     

    Tiene que haber algo que se hace mal, es absurdo que mediante una GPO no se pueda configurar correctamente... creo que el problema está en los permisos RDP-TCP ... que no se "actualizan" al incluir al grupo que quieres permitir el acceso en la GPO ( allow ... ).

     

    ¡ Se tiene que poner, leches !

     

    Gracias de todas formas por tu sugerencia Ignacio ;-)

    lunes, 16 de junio de 2008 7:02
  • No me refiero a un script, me refiero a la GPO de grupos restringidos.

     

    El articulo de microsoft sobre como configurarlo es este: http://support.microsoft.com/?scid=kb%3Ben-us%3B260370&x=7&y=8 concretamente, los grupos por defecto aparecen en la política local, pero al habilitar la GPO aplica la configuración (si editas la política local de las máquinas, puedes observar que se aplica), a mi por lo menos ni siquiera me muestra un error en el visor de eventos ni nada.

    El problema adicional es que hay que dar permisos en el protocolo RDP al grupo que usas.

     

    Un saludo.

    lunes, 16 de junio de 2008 22:50
  • Para poder acceder por terminal server, ademas de modificar la politica de seguridad, tienes que modificar la seguridad del RDP.

    Para hacer esto, tienes que entrar en las herramientas administrativas --> Configuración de servicios de terminal Server.

    Editas la conexion, que por defecto es RDP-Tcp, y en la pestaña permiso agregas el grupo al que quieras conceder acceso.

    martes, 17 de junio de 2008 16:03
  •  

    Eso está bastante claro, la cuestión está en automatizar ese proceso mediante GPOs, es decir, administrar los permisos RDP, eludiendo claro está el incluir a los grupos necesarios en el grupo remote desktop ...

     

    Un saludo.

    martes, 17 de junio de 2008 16:40