Filtrar acceso via Terminal Server a un Servidor

Hola, Oscar:

De verdad que lamento discrepar, mi estimado Javier, pero...

.- Si accedes a los foros MS desde la consola web, verás que
en la ruta "Discussion groups => Spanish => Windows", el nombre
de la sala es "Windows server 2003 - Redes" (para más detalles, la
URL es:
(http://www.microsoft.com/communitie...&cr=ES)
Ahora bien, tambien
reconozco que el nombre desde un cliente de noticias (yo uso el
Outlook Express -me gusta porque yo lo valgo-) el nombre es el
que señalas.

.- Coincido en que si existe el servicio TS en un <server>, es para
usarlo, y no como adorno. No obstante, conociendo que por lo general
los usuarios tienen la manía de tocar donde no deben y cambiar los datos
de conf. que hayas establecido (por no hablar que se les "regalan" los
accesos como Administradores -no sé por qué-) considero y por ello
suelo aconsejar que se lo piensen 2 veces (o más) antes de permitir
a un usuario en acceso por TS a un <server> en producción.

A lo mejor es un síndrome "House": (no me gusta tratar con los usuarios,
y me centro en las máquinas, ya que son más excitantes).
¿Tú qué crees?


Espero haberte servido de "alluda".
==· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==


"Javier Inglés [MS MVP]" escribió en el mensaje
news:%23wm9eIr%
Mostrar la cita

Matices socio:

1.- el foro se llama "windows.server.redes", no 2003 - Redes

2.-<<<la opción de que los usuarios puedan conectarse por TS a los
servidores de tu organización, ya que es una práctica peligrosa<<<

Eso sólo es peligroso en servidores como tal, si el servidor ofrece
servicios dETerminal Server como tal, e una práctica lógica, normal y
recomendable :-P

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el
mensaje news:
Mostrar la cita

Hola, Oscar:

Ante todo, fíjate bien que éste foro se llama "Windows server
2003 - Redes", por lo que te recomiendo que en el futuro, te
bases un poquito más en el foro correspondiente para hacer
las consultas, ya que en caso contrario, podemos dar por hecho
una serie de funciones/tareas y demás que en 2000 todavía no
existían

Respondiendo a tu pregunta, te sugiero que te plantees seriamente
la opción de que los usuarios puedan conectarse por TS a los
servidores de tu organización, ya que es una práctica peligrosa.

Si estamos hablando de un entorno de red corporativo (dominio),
te recomendaría organizaras el grupo de <users> que quieres
restringir a una OU nueva, y apliques a la misma una nueva GPO
que les permita conectarse pro TS a los servidores. Al resto, te
recomendaría que mejor no, pero puedes realizar un filtrado por
GPO en el firewall, de modo que el rango al que pertenezcan no
les permita el acceso. La ruta concreta sería:

.- Para habilitarles el acceso por TS:
"Conf. del equipo => Plantillas admin. => Comp. de Windows =>
Terminal services", donde hallarás MUCHAS directivas que creo te
resultarán realmente interesantes.

.- Para restringir los accesos a través de GPO firewall:
"Conf. del equipo => Plantillas admin. => Red => Conexiones de
red => Firewall de Windows", donde hallarás 2 subdirectorios de
nombre "Perfil de dominio" y "perfil standard" con una serie de
directivas que te resultará MUY interesantes.
·
·
Espero haberte servido de "alluda"
==>> Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"OSCAR" wrote:

Mostrar la cita

Perdon, me faltaba añadir que es un entorno 2000, no hay grupo remote
desktop
user

"Javier Inglés [MS MVP]" wrote:

> En los TS, en el grupo de Remote Desktop Users local, pon los usuarios
> o
> grupos de usuarios necesarios para el acceso
>
> Salu2!!
> Javier Inglés
> https://mvp.support.microsoft.com/p...B5567431B0
> MS MVP, Windows Server-Directory Services
>
>
>
> "OSCAR" escribió en el mensaje
> news:
> > Hola a todos y gracias de antemano, tengo unos 60 servidores y mas
> > de 800
> > usuarios, todos los usuarios pueden conectarse por terminal a los
> > diferentes
> > servidores, pero quiero filtrar para que un numero determinado e
> > identificado
> > de usuarios puedan acceder a un servidor en concreto, de manera que
> > solo
> > los
> > user1, user2 y user3 puedan conectar por escritorio remoto un
> > servidor,
> > quien
> > me puede ayudar?
> >
> > Gracias
>
>
>

Sorry en este caso, no sabía el título por las news

A lo de TS, hay que distinguir entre adminsitración remota de un servidor, y
otra un servidor de aplicaciones en TS, en cuyo caso, es algo normal y
corriente. Si sabes lo que s Citrix haz el simil con un TS en modo de
servidor de aplicaciones, lo que dices no se aplica en ese caso...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:OOYZwes%
Mostrar la cita

Hola, Oscar:

De verdad que lamento discrepar, mi estimado Javier, pero...

.- Si accedes a los foros MS desde la consola web, verás que
en la ruta "Discussion groups => Spanish => Windows", el nombre
de la sala es "Windows server 2003 - Redes" (para más detalles, la
URL es:
(http://www.microsoft.com/communitie...&cr=ES)
Ahora bien, tambien
reconozco que el nombre desde un cliente de noticias (yo uso el
Outlook Express -me gusta porque yo lo valgo-) el nombre es el
que señalas.

.- Coincido en que si existe el servicio TS en un <server>, es para
usarlo, y no como adorno. No obstante, conociendo que por lo general
los usuarios tienen la manía de tocar donde no deben y cambiar los datos
de conf. que hayas establecido (por no hablar que se les "regalan" los
accesos como Administradores -no sé por qué-) considero y por ello
suelo aconsejar que se lo piensen 2 veces (o más) antes de permitir
a un usuario en acceso por TS a un <server> en producción.

A lo mejor es un síndrome "House": (no me gusta tratar con los usuarios,
y me centro en las máquinas, ya que son más excitantes).
¿Tú qué crees?


Espero haberte servido de "alluda".
==> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>


"Javier Inglés [MS MVP]" escribió en el mensaje
news:%23wm9eIr%
Mostrar la cita

Matices socio:

1.- el foro se llama "windows.server.redes", no 2003 - Redes

2.-<<<la opción de que los usuarios puedan conectarse por TS a los
servidores de tu organización, ya que es una práctica peligrosa<<<

Eso sólo es peligroso en servidores como tal, si el servidor ofrece
servicios dETerminal Server como tal, e una práctica lógica, normal y
recomendable :-P

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en
el mensaje news:
Mostrar la cita

Hola, Oscar:

Ante todo, fíjate bien que éste foro se llama "Windows server
2003 - Redes", por lo que te recomiendo que en el futuro, te
bases un poquito más en el foro correspondiente para hacer
las consultas, ya que en caso contrario, podemos dar por hecho
una serie de funciones/tareas y demás que en 2000 todavía no
existían

Respondiendo a tu pregunta, te sugiero que te plantees seriamente
la opción de que los usuarios puedan conectarse por TS a los
servidores de tu organización, ya que es una práctica peligrosa.

Si estamos hablando de un entorno de red corporativo (dominio),
te recomendaría organizaras el grupo de <users> que quieres
restringir a una OU nueva, y apliques a la misma una nueva GPO
que les permita conectarse pro TS a los servidores. Al resto, te
recomendaría que mejor no, pero puedes realizar un filtrado por
GPO en el firewall, de modo que el rango al que pertenezcan no
les permita el acceso. La ruta concreta sería:

.- Para habilitarles el acceso por TS:
"Conf. del equipo => Plantillas admin. => Comp. de Windows =>
Terminal services", donde hallarás MUCHAS directivas que creo te
resultarán realmente interesantes.

.- Para restringir los accesos a través de GPO firewall:
"Conf. del equipo => Plantillas admin. => Red => Conexiones de
red => Firewall de Windows", donde hallarás 2 subdirectorios de
nombre "Perfil de dominio" y "perfil standard" con una serie de
directivas que te resultará MUY interesantes.
·
·
Espero haberte servido de "alluda"
==>>> Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"OSCAR" wrote:

Mostrar la cita

Perdon, me faltaba añadir que es un entorno 2000, no hay grupo remote
desktop
user

"Javier Inglés [MS MVP]" wrote:

> En los TS, en el grupo de Remote Desktop Users local, pon los
> usuarios o
> grupos de usuarios necesarios para el acceso
>
> Salu2!!
> Javier Inglés
> https://mvp.support.microsoft.com/p...B5567431B0
> MS MVP, Windows Server-Directory Services
>
>
>
> "OSCAR" escribió en el mensaje
> news:
> > Hola a todos y gracias de antemano, tengo unos 60 servidores y mas
> > de 800
> > usuarios, todos los usuarios pueden conectarse por terminal a los
> > diferentes
> > servidores, pero quiero filtrar para que un numero determinado e
> > identificado
> > de usuarios puedan acceder a un servidor en concreto, de manera que
> > solo
> > los
> > user1, user2 y user3 puedan conectar por escritorio remoto un
> > servidor,
> > quien
> > me puede ayudar?
> >
> > Gracias
>
>
>

Mñás info sobre Terminal Services para servidor de aplicaciones (no remote
desktop o administración remota, es muy diferente)

https://www.microsoft.com/windowsse...fault.mspx

En 2008 además se mejora bastante estos servicios:

http://www.microsoft.com/windowsser...fault.mspx

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Javier Inglés [MS MVP]" escribió en el mensaje
news:OFncD4s%
Mostrar la cita

Sorry en este caso, no sabía el título por las news

A lo de TS, hay que distinguir entre adminsitración remota de un servidor,
y otra un servidor de aplicaciones en TS, en cuyo caso, es algo normal y
corriente. Si sabes lo que s Citrix haz el simil con un TS en modo de
servidor de aplicaciones, lo que dices no se aplica en ese caso...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:OOYZwes%
Mostrar la cita

Hola, Oscar:

De verdad que lamento discrepar, mi estimado Javier, pero...

.- Si accedes a los foros MS desde la consola web, verás que
en la ruta "Discussion groups => Spanish => Windows", el nombre
de la sala es "Windows server 2003 - Redes" (para más detalles, la
URL es:
(http://www.microsoft.com/communitie...&cr=ES)
Ahora bien, tambien
reconozco que el nombre desde un cliente de noticias (yo uso el
Outlook Express -me gusta porque yo lo valgo-) el nombre es el
que señalas.

.- Coincido en que si existe el servicio TS en un <server>, es para
usarlo, y no como adorno. No obstante, conociendo que por lo general
los usuarios tienen la manía de tocar donde no deben y cambiar los datos
de conf. que hayas establecido (por no hablar que se les "regalan" los
accesos como Administradores -no sé por qué-) considero y por ello
suelo aconsejar que se lo piensen 2 veces (o más) antes de permitir
a un usuario en acceso por TS a un <server> en producción.

A lo mejor es un síndrome "House": (no me gusta tratar con los usuarios,
y me centro en las máquinas, ya que son más excitantes).
¿Tú qué crees?


Espero haberte servido de "alluda".
==>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>


"Javier Inglés [MS MVP]" escribió en el mensaje
news:%23wm9eIr%
Mostrar la cita

Matices socio:

1.- el foro se llama "windows.server.redes", no 2003 - Redes

2.-<<<la opción de que los usuarios puedan conectarse por TS a los
servidores de tu organización, ya que es una práctica peligrosa<<<

Eso sólo es peligroso en servidores como tal, si el servidor ofrece
servicios dETerminal Server como tal, e una práctica lógica, normal y
recomendable :-P

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en
el mensaje news:
Mostrar la cita

Hola, Oscar:

Ante todo, fíjate bien que éste foro se llama "Windows server
2003 - Redes", por lo que te recomiendo que en el futuro, te
bases un poquito más en el foro correspondiente para hacer
las consultas, ya que en caso contrario, podemos dar por hecho
una serie de funciones/tareas y demás que en 2000 todavía no
existían

Respondiendo a tu pregunta, te sugiero que te plantees seriamente
la opción de que los usuarios puedan conectarse por TS a los
servidores de tu organización, ya que es una práctica peligrosa.

Si estamos hablando de un entorno de red corporativo (dominio),
te recomendaría organizaras el grupo de <users> que quieres
restringir a una OU nueva, y apliques a la misma una nueva GPO
que les permita conectarse pro TS a los servidores. Al resto, te
recomendaría que mejor no, pero puedes realizar un filtrado por
GPO en el firewall, de modo que el rango al que pertenezcan no
les permita el acceso. La ruta concreta sería:

.- Para habilitarles el acceso por TS:
"Conf. del equipo => Plantillas admin. => Comp. de Windows =>
Terminal services", donde hallarás MUCHAS directivas que creo te
resultarán realmente interesantes.

.- Para restringir los accesos a través de GPO firewall:
"Conf. del equipo => Plantillas admin. => Red => Conexiones de
red => Firewall de Windows", donde hallarás 2 subdirectorios de
nombre "Perfil de dominio" y "perfil standard" con una serie de
directivas que te resultará MUY interesantes.
·
·
Espero haberte servido de "alluda"
==>>>> Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"OSCAR" wrote:

Mostrar la cita

Perdon, me faltaba añadir que es un entorno 2000, no hay grupo remote
desktop
user

"Javier Inglés [MS MVP]" wrote:

> En los TS, en el grupo de Remote Desktop Users local, pon los
> usuarios o
> grupos de usuarios necesarios para el acceso
>
> Salu2!!
> Javier Inglés
> https://mvp.support.microsoft.com/p...B5567431B0
> MS MVP, Windows Server-Directory Services
>
>
>
> "OSCAR" escribió en el mensaje
> news:
> > Hola a todos y gracias de antemano, tengo unos 60 servidores y mas
> > de 800
> > usuarios, todos los usuarios pueden conectarse por terminal a los
> > diferentes
> > servidores, pero quiero filtrar para que un numero determinado e
> > identificado
> > de usuarios puedan acceder a un servidor en concreto, de manera
> > que solo
> > los
> > user1, user2 y user3 puedan conectar por escritorio remoto un
> > servidor,
> > quien
> > me puede ayudar?
> >
> > Gracias
>
>
>

Hola, Oscar:

Muy interesante el enlace de w2K8. Gracias por compartirlo, tío...


Espero haberte servido de "alluda".
==· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==


"Javier Inglés [MS MVP]" escribió en el mensaje
news:O%23mAb8s%
Mostrar la cita

Mñás info sobre Terminal Services para servidor de aplicaciones (no remote
desktop o administración remota, es muy diferente)

https://www.microsoft.com/windowsse...fault.mspx

En 2008 además se mejora bastante estos servicios:

http://www.microsoft.com/windowsser...fault.mspx

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Javier Inglés [MS MVP]" escribió en el mensaje
news:OFncD4s%
Mostrar la cita

Sorry en este caso, no sabía el título por las news

A lo de TS, hay que distinguir entre adminsitración remota de un
servidor, y otra un servidor de aplicaciones en TS, en cuyo caso, es algo
normal y corriente. Si sabes lo que s Citrix haz el simil con un TS en
modo de servidor de aplicaciones, lo que dices no se aplica en ese
caso...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:OOYZwes%
Mostrar la cita

Hola, Oscar:

De verdad que lamento discrepar, mi estimado Javier, pero...

.- Si accedes a los foros MS desde la consola web, verás que
en la ruta "Discussion groups => Spanish => Windows", el nombre
de la sala es "Windows server 2003 - Redes" (para más detalles, la
URL es:
(http://www.microsoft.com/communitie...&cr=ES)
Ahora bien, tambien
reconozco que el nombre desde un cliente de noticias (yo uso el
Outlook Express -me gusta porque yo lo valgo-) el nombre es el
que señalas.

.- Coincido en que si existe el servicio TS en un <server>, es para
usarlo, y no como adorno. No obstante, conociendo que por lo general
los usuarios tienen la manía de tocar donde no deben y cambiar los datos
de conf. que hayas establecido (por no hablar que se les "regalan" los
accesos como Administradores -no sé por qué-) considero y por ello
suelo aconsejar que se lo piensen 2 veces (o más) antes de permitir
a un usuario en acceso por TS a un <server> en producción.

A lo mejor es un síndrome "House": (no me gusta tratar con los usuarios,
y me centro en las máquinas, ya que son más excitantes).
¿Tú qué crees?


Espero haberte servido de "alluda".
==>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>


"Javier Inglés [MS MVP]" escribió en el mensaje
news:%23wm9eIr%
Mostrar la cita

Matices socio:

1.- el foro se llama "windows.server.redes", no 2003 - Redes

2.-<<<la opción de que los usuarios puedan conectarse por TS a los
servidores de tu organización, ya que es una práctica peligrosa<<<

Eso sólo es peligroso en servidores como tal, si el servidor ofrece
servicios dETerminal Server como tal, e una práctica lógica, normal y
recomendable :-P

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en
el mensaje news:
Mostrar la cita

Hola, Oscar:

Ante todo, fíjate bien que éste foro se llama "Windows server
2003 - Redes", por lo que te recomiendo que en el futuro, te
bases un poquito más en el foro correspondiente para hacer
las consultas, ya que en caso contrario, podemos dar por hecho
una serie de funciones/tareas y demás que en 2000 todavía no
existían

Respondiendo a tu pregunta, te sugiero que te plantees seriamente
la opción de que los usuarios puedan conectarse por TS a los
servidores de tu organización, ya que es una práctica peligrosa.

Si estamos hablando de un entorno de red corporativo (dominio),
te recomendaría organizaras el grupo de <users> que quieres
restringir a una OU nueva, y apliques a la misma una nueva GPO
que les permita conectarse pro TS a los servidores. Al resto, te
recomendaría que mejor no, pero puedes realizar un filtrado por
GPO en el firewall, de modo que el rango al que pertenezcan no
les permita el acceso. La ruta concreta sería:

.- Para habilitarles el acceso por TS:
"Conf. del equipo => Plantillas admin. => Comp. de Windows =>
Terminal services", donde hallarás MUCHAS directivas que creo te
resultarán realmente interesantes.

.- Para restringir los accesos a través de GPO firewall:
"Conf. del equipo => Plantillas admin. => Red => Conexiones de
red => Firewall de Windows", donde hallarás 2 subdirectorios de
nombre "Perfil de dominio" y "perfil standard" con una serie de
directivas que te resultará MUY interesantes.
·
·
Espero haberte servido de "alluda"
==>>>>> Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"OSCAR" wrote:

Mostrar la cita

Perdon, me faltaba añadir que es un entorno 2000, no hay grupo remote
desktop
user

"Javier Inglés [MS MVP]" wrote:

> En los TS, en el grupo de Remote Desktop Users local, pon los
> usuarios o
> grupos de usuarios necesarios para el acceso
>
> Salu2!!
> Javier Inglés
> https://mvp.support.microsoft.com/p...B5567431B0
> MS MVP, Windows Server-Directory Services
>
>
>
> "OSCAR" escribió en el mensaje
> news:
> > Hola a todos y gracias de antemano, tengo unos 60 servidores y
> > mas de 800
> > usuarios, todos los usuarios pueden conectarse por terminal a los
> > diferentes
> > servidores, pero quiero filtrar para que un numero determinado e
> > identificado
> > de usuarios puedan acceder a un servidor en concreto, de manera
> > que solo
> > los
> > user1, user2 y user3 puedan conectar por escritorio remoto un
> > servidor,
> > quien
> > me puede ayudar?
> >
> > Gracias
>
>
>

Hombre, si no para que se invento el TS ???... pos pa conectarse y trabajar
en remoto y no solo para administracion.

las GPO estan para algo y es para usarlas no ??... si se hace buen uso de
ella y se crea un buen perfil para cada grupo de usuario que se conecte a un
TS te digo que es dificil bastante mas que dificil que puedan ponerse a
"tocarle las pelotas al sever"

En mi caso tengo escritorios remotos configurados que solo acceden a la
aplicacion en cuestion y otros que solo tienen los iconos de las
aplicaciones en caso de que sean mas de una en el escritorio... sin acceso a
mas nada, vamos que tendrian que usar "algo mas que imaginacion" pa poder
hacer algo mas de lo que les dejo.

y comparto contigo lo del "Sindrome House" las maquinas son
infinitamente mas exitantes ;-))))))
los usuarios solo provocan cabreos, dolores de cabeza y un largo etc, etc,
etc..