none
Terminal con Dominio en windows 2008 std RRS feed

  • Pregunta

  • Hola, tengo un servidor con windows 2008 std, al cual le instale las funciones de servidor de aplicaciones, de impresion, archivos y terminal services, en el cual corro el sistema adminpaq, mi problema es que los usuarios que entran por escritorio remoto tienene acceso a todo, segun cheque lo que tengoq ue hacer es dar de alta un controlador de dominio y luego en las directivas de grupo restringir lo que necesite en los usuarios, pero al hacer esto ya no tengo accesos por escritorio remoto de ningun usuario, lo que hice despues es crear una directiva de grupo donde modifique en los permisos de usuario el permitir que los usuarios se conecten localmente y tambien en la de escritorio remoto, pero aun asi no se conectan, no se que estoy haciendo mal, me podrian ayudar siendo lo mas detallistas posibles, tengo poco metido en esto, Gracias
    I.S.C. Adrian Miramontes Padilla Servicio Especializado en Computo
    miércoles, 14 de julio de 2010 18:48

Respuestas

  • Partiendo de tu ultima respuesta ya me queda claro el escenario
    Vamos a ver validar unos pasos y configuraciones:
    1. Valida la configuracion de SRV AD / DNS que todo este bien configurado
    2. Crea tus usuarios en AD
    3. Crea un Grupo Global de TS
    4. Coloca tu Grupo Global TS como miembro de Grupo Local de TS ( va a permitir que tus usuarios de AD accedan a TS) y valida que puedas acceder a tus aplicaciones
    5. Configura TS

    Descargate las guias de AD y TS
    http://www.microsoft.com/downloads/details.aspx?FamilyID=518d870c-fa3e-4f6a-97f5-acaf31de6dce&displaylang=en

    Elimina la GPO que creaste y lee el deploymente de TS, el proceso es un poco largo para detallarlo por aca , pero te puedo aclarar cualquier duda que tengas al respecto

    Avisame
    JA


    Jose Antonio Cermeño- Caracas-Venezuela **http://jacermeno.wordpress.com "Colabora con el foro,vota si te ha servido la respuesta"
    miércoles, 14 de julio de 2010 23:11
  • Olvidaba algo
    lee este post en relacion a Instalar TS sobre DC
    http://technet.microsoft.com/es-es/library/cc754288(WS.10).aspx
    licenciamiento TS
    http://technet.microsoft.com/es-es/library/cc626241(WS.10).aspx

    Saludos


    Jose Antonio Cermeño- Caracas-Venezuela **http://jacermeno.wordpress.com "Colabora con el foro,vota si te ha servido la respuesta"
    miércoles, 14 de julio de 2010 23:19
  • Hola Adrian, tambien podrias haber configurado restricciones a modo local en el servidor TS mediante directivas locales, sin necesidad de subir un DC. Si no tienes expieriencia sobre DC y Active directory, te recomiendo que primero leas y te informes bien del tema, porque como ya lo mencionaste vos, no es aconsejable montar un TS sobre un DC. Al promover tu server a DC, si no tenes conocimiento de ello, pueden haber servicios y recursos que ya no funcionen igual luego del cambio, lo quue te generaria un molesto problema, una carga de trabajo extra. Por eso antes de hacer el cambio informate bastante sobre el tema, que con las guias que te dejo Jose Antonio esta muy bien para empezar. Igualmente te digo que sin haber promocionado tu server a DC, se podria haber hecho tranquilamente lo que buscabas.

    Con respecto a que ya no pueden iniciar sesion los usuarios por TS, recorda que seguramente los usuarios que tenian acceso estaban dadosde alta en tu server, y al momento de promocionarlo a DC, estos usuarios locales desaparecen, y tenes que hacer la configuracion para la conexion de los usuarios desde cero.

    No dudes en consultar cualquier duda.

    Saludos.


    Emanuel Weber IT Support
    jueves, 15 de julio de 2010 12:56

Todas las respuestas

  • Estimado Adrian
    como configuraste tu TS 2008 ????
    porque una de las particularidades de TS 2008 es la capacidad de presentar unicamente la aplicacion.
    ahora bien podrias crear una GPO donde indiques que recursos quieres que tengan disponibles en cada sesion.

    danos mas detalles de como se estan conectando los usuarios y que quieres que vean tu usuarios

    Saludos
    JA


    Jose Antonio Cermeño- Caracas-Venezuela **http://jacermeno.wordpress.com "Colabora con el foro,vota si te ha servido la respuesta"
    miércoles, 14 de julio de 2010 20:07
  • pues básicamente instale el servidor desde 0, luego di de alta el servicio de terminal, luego active el servidor de licencias, luego di de alta las 23 licencias que tengo, luego instale el paquete de adminpaq di de alta los usuarios, a estos los puse como miembros de escritorio remoto y de terminal, y listo todo hasta ese momento funciona bien (de hecho está funcionando en este momento), pero me piden que los usuarios solo tengan acceso a 3 programas adminpaq, un software de recepción de mercancía desarrollado y Excel, y que no tengan acceso a carpetas de sistema ni configuraciones, así que revisando, encontré que para eso tenía que dar de alta un controlador de dominio, antes de intentar eso realice una copia de seguridad para poder regresar en caso de fallas, di de alta el controlador de dominio (me advirtió que por cuestión de seguridad no es aconsejable tener AD + TS, pero tengo entendido que es la única forma de restringir a los usuarios) y continúe, luego instale el administrador de directivas de grupo y luego cree el dominio con el asistente, me pidió reiniciar y al reiniciar ningún usuario (administrador o mortal jeje) podía entrar por escritorio remoto, decía que la contraseña o usuario no eran correctos, entre a las directivas de grupo, no me dejo modificar la que está por default (estaba deshabilitado el editar) así que cree una, donde entre a:

    Bosque

             mi.dominio

                    cree nueva GPO y modifique en:

                               Configuracion de equipo -> Directivas -> Configuracion de seguridad-> Directivas locales-> asignacion de 

                               derechos de usuario

                                                               modifique las  "Permitir el inicio de sesion local" y Permitir el inicio de sesion a travez de Servicios de Escritorio remoto" agregando a los grupos de usuarios que tengo.

     Agregue primero a mi grupo de usuarios y administradores, una vez hecho esto corrí el comando gpupdate.exe y probé, y seguía sin darme acceso, y hasta ahí es donde me quede y ya no se que mas hacer.

     

    Muchas gracias por responder tan rápido mi consulta

     

     


    I.S.C. Adrian Miramontes Padilla Servicio Especializado en Computo
    miércoles, 14 de julio de 2010 21:50
  • Hola Adrian
    dejame enterder algo que no me queda claro
    Anteriormente (cuando TS funcioaba correctamente ), tenias un DC en tu red ????? ó recien promoviste el Servidor  ???
    en resumen tenias tu TS de modo Stand Alone funcionando

    Cierto ??
    Validame esta informacion para continuar con mi respuestas
    Saludos
    JA
    Jose Antonio Cermeño- Caracas-Venezuela **http://jacermeno.wordpress.com "Colabora con el foro,vota si te ha servido la respuesta"
    miércoles, 14 de julio de 2010 22:04
  • asi es no tenia el DC se lo estoy intentando poner para restringir usuarios con las directivas de grupo, de hecho si puedo restringir a los usuarios de otra manera tambien me sirve jeje (se nota la desesperacion )
    I.S.C. Adrian Miramontes Padilla Servicio Especializado en Computo
    miércoles, 14 de julio de 2010 22:07
  • Partiendo de tu ultima respuesta ya me queda claro el escenario
    Vamos a ver validar unos pasos y configuraciones:
    1. Valida la configuracion de SRV AD / DNS que todo este bien configurado
    2. Crea tus usuarios en AD
    3. Crea un Grupo Global de TS
    4. Coloca tu Grupo Global TS como miembro de Grupo Local de TS ( va a permitir que tus usuarios de AD accedan a TS) y valida que puedas acceder a tus aplicaciones
    5. Configura TS

    Descargate las guias de AD y TS
    http://www.microsoft.com/downloads/details.aspx?FamilyID=518d870c-fa3e-4f6a-97f5-acaf31de6dce&displaylang=en

    Elimina la GPO que creaste y lee el deploymente de TS, el proceso es un poco largo para detallarlo por aca , pero te puedo aclarar cualquier duda que tengas al respecto

    Avisame
    JA


    Jose Antonio Cermeño- Caracas-Venezuela **http://jacermeno.wordpress.com "Colabora con el foro,vota si te ha servido la respuesta"
    miércoles, 14 de julio de 2010 23:11
  • Olvidaba algo
    lee este post en relacion a Instalar TS sobre DC
    http://technet.microsoft.com/es-es/library/cc754288(WS.10).aspx
    licenciamiento TS
    http://technet.microsoft.com/es-es/library/cc626241(WS.10).aspx

    Saludos


    Jose Antonio Cermeño- Caracas-Venezuela **http://jacermeno.wordpress.com "Colabora con el foro,vota si te ha servido la respuesta"
    miércoles, 14 de julio de 2010 23:19
  • Hola Adrian, tambien podrias haber configurado restricciones a modo local en el servidor TS mediante directivas locales, sin necesidad de subir un DC. Si no tienes expieriencia sobre DC y Active directory, te recomiendo que primero leas y te informes bien del tema, porque como ya lo mencionaste vos, no es aconsejable montar un TS sobre un DC. Al promover tu server a DC, si no tenes conocimiento de ello, pueden haber servicios y recursos que ya no funcionen igual luego del cambio, lo quue te generaria un molesto problema, una carga de trabajo extra. Por eso antes de hacer el cambio informate bastante sobre el tema, que con las guias que te dejo Jose Antonio esta muy bien para empezar. Igualmente te digo que sin haber promocionado tu server a DC, se podria haber hecho tranquilamente lo que buscabas.

    Con respecto a que ya no pueden iniciar sesion los usuarios por TS, recorda que seguramente los usuarios que tenian acceso estaban dadosde alta en tu server, y al momento de promocionarlo a DC, estos usuarios locales desaparecen, y tenes que hacer la configuracion para la conexion de los usuarios desde cero.

    No dudes en consultar cualquier duda.

    Saludos.


    Emanuel Weber IT Support
    jueves, 15 de julio de 2010 12:56
  • a muchas gracias emanuel, donde configuro las directivas locales de hecho me gusta mucho mas esa idea antes de poner el AD, lo que habia hecho lo desahago con las copias de seguridadprevias para no perder el servidor en horario habil, asi que en este momento esta trabajando bien con TS, asi que si me podrias orientar sobre en donde cambiar las directivas locales seria excelente
    I.S.C. Adrian Miramontes Padilla Servicio Especializado en Computo
    jueves, 15 de julio de 2010 19:13
  • de hecho paece ser que ya di con mi problema

     

    1 di de alta denuevo los usuarios en grupos y usuarios de active directory (aunque ya estaban los que habia creado, los borre todos)

    2 al inicio de secion solo ponia el nombre de usuario en ves del nombre con dominio ponia prueba, en vez de prueba@prueba.local

     

    muchas gracias a todos, voy a reinstalar el servidor que tengo de pruebas para hacer todo de 0 y si ya funciona pues les aviso, gracias


    I.S.C. Adrian Miramontes Padilla Servicio Especializado en Computo
    jueves, 15 de julio de 2010 19:51
  • Ok Adrian, esperamos tus resultados.!
    Emanuel Weber IT Support
    sábado, 17 de julio de 2010 3:48
  • Listo ya todo esta funcionando ahora solo me falta buscar las directivas de grupo que necesito, pero ese ya es otro tema, mil gracias a todos y sobre todo por su rapida respuesta
    I.S.C. Adrian Miramontes Padilla Servicio Especializado en Computo
    lunes, 19 de julio de 2010 22:41
  • Buenisimo que te haya quedado todo bien! Marca cuales de las respuestas te fueron de ayuda para cerrar el tema y que les sirva a otros usuarios con el mismo problema.

    Saludos.


    Emanuel Weber IT Support
    martes, 20 de julio de 2010 13:38