Directivas de grupo GPO’s relacionadas con Terminal Server en Windows 2008

En este documento se detallan todas las directivas existentes en el Directorio Activo que afecten directamente con los servicios de Terminal Server. Se detalla cada directiva y sus posibilidades de configuración. Las directivas las crearemos/editaremos desde la consola “Administración de directivas de grupo” que está en las “Herramientas Administrativas”.

TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Cliente de conexión a Escritorio remoto” tenemos las siguientes configuraciones:

– Permitir archivos .rdp de publicadores válidos y la configuración .rdp predeterminada del usuario: Esta configuración de directiva permite especificar si los usuarios pueden ejecutar archivos de Protocolo de escritorio remoto (.rdp) de un publicador que firmó el archivo con un certificado válido. Un certificado válido es aquél que emite una entidad reconocida por el cliente, como los emisores del almacén de certificados Entidades emisoras raíz de terceros del cliente. Esta configuración de directiva también controla si el usuario puede iniciar una sesión RDP con la configuración .rdp predeterminada; por ejemplo, cuando un usuario abre directamente el cliente de Conexión a Escritorio remoto (RDC) sin especificar un archivo .rdp.

Si habilita o no establece esta configuración de directiva, los usuarios pueden ejecutar archivos .rdp que están firmados con un certificado válido. Los usuarios también pueden iniciar una sesión RDP con la configuración .rdp predeterminada abriendo directamente el cliente RDC. Cuando un usuario inicia una sesión RDP, se pide al usuario que confirme si desea conectarse.

Si deshabilita esta configuración de directiva, los usuarios no pueden ejecutar archivos .rdp que están firmados con un certificado válido. Asimismo, los usuarios no pueden iniciar una sesión RDP abriendo directamente el cliente RDC y especificando el nombre de equipo remoto. Cuando un usuario intenta iniciar una sesión RDP, el usuario recibe un mensaje que indica que se bloqueó el publicador.

– Permitir archivos .rdp de publicadores desconocidos: Esta configuración de directiva permite especificar si los usuarios pueden ejecutar archivos de Protocolo de escritorio remoto (.rdp) sin firmar y archivos .rdp de publicadores desconocidos en el equipo cliente.

Si habilita o no establece esta configuración de directiva, los usuarios pueden ejecutar archivos .rdp y sin firmar y archivos .rdp de publicadores desconocidos en el equipo cliente. Antes de que un usuario inicie una sesión RDP, el usuario recibe un mensaje de advertencia y se le pide que confirme si desea conectarse.

Si deshabilita esta configuración de directiva, los usuarios no pueden ejecutar archivos .rdp sin firmar y archivos .rdp de publicadores desconocidos en el equipo cliente. Si el usuario intenta iniciar una sesión RDP, el usuario recibe un mensaje que indica que el publicador se bloqueó.

– No permitir que se guarden las contraseñas: Controla si se pueden guardar contraseñas en este equipo desde clientes de Terminal Services.

Si habilita esta opción, se deshabilitará la casilla para guardar contraseñas en los clientes de Terminal Services y los usuarios ya no podrán guardar contraseñas. Cuando un usuario abre un archivo RDP por medio del cliente de Terminal Services y guarda su configuración, se eliminarán todas las contraseñas que existían con anterioridad en el archivo RDP.

Si deshabilita esta opción o no la configura, el usuario podrá guardar contraseñas por medio del cliente de Terminal Services.

– Especificar huellas digitales SHA1 de certificados que representan publicadores .rdp de confianza: Esta configuración de directiva permite especificar una lista de huellas digitales de certificados de algoritmo hash seguro 1 (SHA1) que representan publicadores de archivos de Protocolo de escritorio remoto (.rdp) de confianza.

Si habilita esta configuración de directiva, cualquier certificado con una huella digital SHA1 que coincida con una huella digital de la lista se considera de confianza. Si un usuario intenta iniciar un archivo .rdp firmado por un certificado de confianza, el usuario no recibe ningún mensaje de advertencia al iniciar el archivo. Para obtener la huella digital, consulte los detalles del certificado y haga clic en el campo Huella digital.

Si deshabilita o no establece esta configuración de directiva, ningún publicador se tratará como publicador .rdp de confianza.

– Pedir credenciales en el equipo cliente: Esta configuración de directiva determina si se pedirá al usuario que proporcione credenciales para una conexión remota a un servidor de Terminal Server en el equipo cliente.

Si habilita esta configuración de directiva, se pedirá al usuario que proporcione credenciales para una conexión remota al servidor de Terminal Server en el equipo cliente, en lugar de en el servidor de Terminal Server. Si hay credenciales guardadas para el usuario disponibles en el equipo cliente, no se pedirá al usuario que proporcione credenciales.

– Configurar la autenticación de servidor para el cliente: Esta configuración de directiva permite especificar si el cliente establecerá una conexión con el servidor de Terminal Server cuando el cliente no pueda autenticar éste.nnnSi habilita esta configuración de directiva, debe especificar una de las siguientes opciones:

Conectarse siempre, incluso si hay errores de autenticación: el cliente se conecta al servidor de Terminal Server incluso si el cliente no puede autenticar éste.

Avisarme si hay errores de autenticación: el cliente intenta autenticar el servidor de Terminal Server. Si se puede autenticar, el cliente establece una conexión con él. Si no se puede autenticar, se pedirá al usuario que elija si desea conectarse al servidor de Terminal Server sin autenticarlo.

No conectarse si hay errores de autenticación: el cliente establece una conexión con el servidor de Terminal Server sólo si éste se puede autenticar.

Si deshabilita o no establece esta configuración de directiva, la configuración de autenticación que se especifica en Conexión a Escritorio remoto o en el archivo .rdp determina si el cliente establece una conexión con el servidor de Terminal Server cuando el cliente no pueda autenticarlo.

TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Licencia de Terminal Server” tenemos las siguientes configuraciones:

– Grupo de seguridad del servidor de licencias: Esta configuración de directiva permite especificar los servidores de Terminal Server a los que un servidor de licencias de Terminal Services ofrecerá licencias de acceso de cliente de Terminal Services (CAL de TS).

Puede usar esta configuración de directiva para controlar los servidores de Terminal Server a los que emitirá CAL de TS el servidor de licencias de Terminal Services. De manera predeterminada, un servidor de licencias emite una CAL de TS a cualquier servidor de Terminal Server que solicite una.

Si habilita esta configuración de directiva y ésta se aplica a un servidor de licencias de Terminal Services, el servidor de licencias sólo atenderá solicitudes de CAL de TS de servidores de Terminal Server cuyas cuentas de equipo sean miembros del grupo Equipos de Terminal Server en el servidor de licencias.

De manera predeterminada, el grupo Equipos de Terminal Server está vacío.

Si deshabilita o no establece esta configuración de directiva, el servidor de licencias de Terminal Services emite una CAL de TS a cualquier servidor de Terminal Server que solicite una. El grupo Equipos de Terminal Server no se elimina ni se modifica de ningún modo si se deshabilita o no se establece esta configuración de directiva.

– Impedir actualización de licencias: Esta configuración de directiva permite especificar la versión de licencia de acceso de cliente de Terminal Services (CAL de TS) que emitirá un servidor de licencias de Terminal Services a los clientes que se conecten a servidores de Terminal Server que ejecuten otros sistemas operativos basados en Windows.

Los servidores de licencias intentan proporcionar la CAL de TS más adecuada para cada conexión. Por ejemplo, un servidor de licencias con Windows Server 2008 intentará emitir una CAL de TS de Windows Server 2008 para los clientes que se conecten a un servidor de Terminal Server que ejecute Windows Server 2008, e intentará emitir una CAL de TS de Windows Server 2003 para los clientes que se conecten a un servidor de Terminal Server que ejecute Windows Server 2003.

De manera predeterminada, si la CAL de TS más adecuada no está disponible para una conexión, un servidor de licencias con Windows Server 2008 emitirá una CAL de TS de Windows Server 2008, si está disponible, a:

* Un cliente que se conecte a un servidor de Terminar Server con Windows Server 2003
* Un cliente que se conecte a un servidor de Terminal Server con Windows 2000

Si habilita esta configuración de directiva, el servidor de licencias sólo emitirá una CAL de TS temporal al cliente si no está disponible una CAL de TS adecuada para el servidor de Terminal Server. Si ya se emitió una CAL de TS temporal al cliente y ésta expiró, el cliente no podrá conectarse al servidor de Terminal Server a menos que el período de gracia de la licencia de TS para el servidor de Terminal Server no expirara.

Si deshabilita o no establece esta configuración de directiva, el servidor de licencias adoptará el comportamiento predeterminado descrito anteriormente.

TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Terminal Server” > “Agente de sesiones de TS” tenemos las siguientes configuraciones:

– Unirse al Agente de sesiones de TS: Esta configuración de directiva permite especificar si Terminal Server debe unirse a una granja del Agente de sesiones de TS. El Agente de sesiones de TS realiza un seguimiento de las sesiones del usuario y permite a éste volver a conectarse a su sesión existente en una granja de servidores de Terminal Server con carga equilibrada. Para participar en el Agente de sesiones de TS, el servicio de función de Terminal Server debe estar instalado en el servidor.

Si la configuración de directiva está habilitada, Terminal Server se une a la granja que se especifica en la opción “Nombre de la granja del Agente de sesiones de TS”. La granja existe en el servidor del Agente de sesiones de TS que se especifica en la configuración de directiva “Servidor de Agente de sesiones de TS”.

Si deshabilita esta configuración de directiva, el servidor no se une a una granja del Agente de sesiones de TS y no se realiza el seguimiento de las sesiones del usuario. Si se deshabilita la opción, no podrá usar la herramienta Configuración de Terminal Services ni el proveedor WMI de Terminal Services para unir el servidor al Agente de sesiones de TS.

Si no se establece la configuración de directiva, la opción no se especifica en el nivel de la directiva de grupo. En tal caso, puede configurar el servidor para que se una al Agente de sesiones de TS mediante la herramienta Configuración de Terminal Services o el proveedor WMI de Terminal Services.

– Configurar nombre de la granja del Agente de sesiones de TS: Esta configuración de directiva permite especificar el nombre de una granja a la que unirse del Agente de sesiones de TS. El Agente de sesiones de TS usa el nombre de granja para determinar qué servidores de Terminal Server se encuentran en la misma granja de Terminal Server. Por tanto, debe usar el mismo nombre de granja para todos los servidores de Terminal Server de la misma granja de carga equilibrada. El nombre de granja no tiene que corresponder a un nombre de los Servicios de dominio de Active Directory.

Si especifica un nuevo nombre de granja, se creará una nueva granja en el Agente de sesiones de TS. Si especifica un nombre de granja existente, el servidor se une a esta granja del Agente de sesiones de TS.

Si habilita esta configuración de directiva, debe especificar el nombre de una granja del Agente de sesiones de TS.

Si deshabilita o no establece esta configuración de directiva, la directiva de grupo no especificará el nombre de granja. En tal caso, puede especificar el nombre de granja con la herramienta Configuración de Terminal Services o el proveedor WMI de Terminal Services.

– Usar redirección de direcciones IP: Esta configuración de directiva permite especificar el método de redirección que se usará cuando un dispositivo de cliente se vuelva a conectar a una sesión de Terminal Services existente en una granja de Terminal Server de carga equilibrada. Esta opción se aplica a los servidores de Terminal Server configurados para usar el Agente de sesiones de TS, y no al servidor del Agente de sesiones de TS.

Si habilita esta configuración de directiva, un cliente de Terminal Services realiza una consulta al Agente de sesiones de TS y es redirigido a su sesión existente por medio de la dirección IP del servidor de Terminal Server en que se ubica la sesión. Para usar este método de redirección, los equipos cliente deben poder conectarse directamente por medio de la dirección IP a los servidores de Terminal Server de la granja.

Si deshabilita esta configuración de directiva, la dirección IP del servidor de Terminal Server no se envía al cliente. En lugar de ello, la dirección IP se incrusta en un testigo. Cuando un cliente se vuelve a conectar al equilibro de carga, se usa el testigo de enrutamiento para redirigir al cliente a su sesión existente en el servidor de Terminal Server correcto de la granja. Deshabilite esta opción sólo cuando la solución de equilibrio de carga de red admita el uso de testigos de enrutamiento del Agente de sesiones de TS y no desee que los clientes se conecten directamente por medio de la dirección IP a los servidores de Terminal Server de la granja de carga equilibrada.

Si no establece esta configuración de directiva, se usa la opción “Usar redirección de direcciones IP” de la herramienta Configuración de Terminal Services. De manera predeterminada, esta opción de la herramienta Configuración de Terminal Services está habilitada.

– Configurar nombre del servidor del Agente de sesiones de TS: Esta configuración de directiva permite especificar el servidor del Agente de sesiones de TS que el servidor de Terminal Server usa para realizar un seguimiento y redirigir las sesiones del usuario para una granja de servidores de Terminal Server de carga equilibrada. El servidor especificado debe estar ejecutando el servicio Agente de sesiones de Terminal Services. Todos los servidores de Terminal Server de una granja de carga equilibrada deben usar el mismo servidor del Agente de sesiones de TS.

Si habilita esta configuración de directiva, debe especificar el servidor del Agente de sesiones de TS mediante su nombre de host, dirección IP o nombre de dominio completo. Si especifica un nombre o dirección IP para el servidor del Agente de sesiones de TS que no es válido, se registrará un mensaje de error en el Visor de eventos en el servidor de Terminal Server.

Si deshabilita o no establece esta configuración de directiva, puede especificar el nombre del servidor del Agente de sesiones de TS o la dirección IP con la herramienta Configuración de Terminal Services o el proveedor WMI de Terminal Services.

– Usar equilibrio de carga de Agente de sesiones de TS: Esta configuración de directiva permite especificar si debe usarse la característica de equilibrio de carga del Agente de sesiones de TS para equilibrar la carga entre los servidores de una granja de servidores de Terminal Server.

Si habilita esta configuración de directiva, el Agente de sesiones de TS redirigirá a los usuarios que no tengan una sesión existente al servidor de Terminal Server de la granja con menos sesiones. El comportamiento de redirección para los usuarios con sesiones existentes no se verá afectado. Si el servidor está configurado para usar el Agente de sesiones de TS, los usuarios que tengan una sesión existente serán redirigidos al servidor de Terminal Server donde se encuentre su sesión.

Si deshabilita esta configuración de directiva, los usuarios que no tengan una sesión existe iniciarán sesión en el primer servidor de Terminal Server al que se conecten.

Si no establece esta configuración de directiva, puede configurar el servidor de Terminal Server para que participe en el equilibrio de carga del Agente de sesiones de TS mediante la herramienta Configuración de Terminal Services o el proveedor WMI de Terminal Services.


TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Terminal Server” > “Carpetas temporales” tenemos las siguientes configuraciones:

– No eliminar carpetas temporales al salir: Especifica si Terminal Services conserva las carpetas temporales por sesión de los usuarios al cerrar sesión.

Puede usar esta opción para conservar las carpetas temporales especificas de la sesión de un usuario en un equipo remoto, incluso si el usuario cierra sesión. De forma predeterminada, Terminal Services elimina las carpetas temporales de un usuario cuando éste cierra sesión.

Si el estado se establece en Habilitado, las carpetas temporales por sesión de los usuarios se conservan cuando éstos cierran sesión.

Si el estado se establece en Deshabilitado, las carpetas temporales se eliminan cuando el usuario cierra sesión, incluso si el administrador especifica otra acción en la herramienta Configuración de Terminal Services.

Si el estado se establece en No configurado, Terminal Services eliminará las carpetas temporales del equipo remoto al cerrar sesión, a no ser que el administrador del servidor haya especificado otra acción.

– No usar las carpetas temporales por sesión: Esta configuración de directiva permite evitar que Terminal Services cree carpetas temporales específicas de la sesión.

Puede usar esta configuración de directiva para deshabilitar la creación de carpetas temporales separadas en un equipo remoto para cada sesión. De forma predeterminada, Terminal Services crea una carpeta temporal separada para cada sesión activa que el usuario conserva en un equipo remoto. Estas carpetas temporales se crean en el equipo remoto, en una carpeta Temp en la carpeta de perfil del usuario, y se les asigna el nombre “sessionid”.

Si habilita esta configuración de directiva, no se crean carpetas temporales por sesión. En lugar de ello, los archivos temporales de todas las sesiones del usuario en el equipo remoto se almacenan en una carpeta Temp común en la carpeta de perfil del usuario del equipo remoto.

Si se deshabilita esta configuración de directiva, se crean siempre carpetas temporales por sesión, incluso si se especifica otra cosa en la herramienta Configuración de Terminal Services.

Si no se configura esta configuración de directiva, se crean siempre carpetas temporales por sesión, a menos que se especifique otra cosa en la herramienta Configuración de Terminal Services.

TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Terminal Server” > “Entorno de sesión remota” tenemos las siguientes configuraciones:

– Reconexión automática: Especifica si se permite que los clientes de Conexión a Escritorio remoto se vuelvan a conectar automáticamente a sesiones de Terminal Services si pierden la conexión de red temporalmente. De manera predeterminada, se realiza un máximo de veinte intentos de reconexión en intervalos de cinco segundos.

Si el estado se establece en Habilitado, se intenta la reconexión automática de todos los clientes que ejecutan Conexión a Escritorio remoto siempre que la conexión de red se pierde.

Si el estado se establece en Deshabilitado, se prohíbe la reconexión automática de clientes.

Si el estado se establece en No configurado, no se especifica la reconexión automática en el nivel de directiva de grupo. Sin embargo, los usuarios pueden configurar la reconexión automática mediante la casilla “Volver a conectar si se pierde la conexión” de la ficha Rendimiento de Conexión a Escritorio remoto.

– Permitir que los usuarios se conecten de forma remota mediante Terminal Services: Esta configuración de directiva permite configurar el acceso remoto a equipos mediante Terminal Services.

Si habilita esta configuración de directiva, los usuarios que sean miembros del grupo Usuarios de escritorio remoto en el equipo de destino podrán conectarse de forma remota al equipo de destino mediante Terminal Services.

Si deshabilita esta configuración de directiva, los usuarios no podrán conectarse de forma remota al equipo de destino mediante Terminal Services. El equipo de destino mantendrá las conexiones actuales, pero no aceptará ninguna conexión entrante nueva.

Si no establece esta configuración de directiva, Terminal Services usa la opción de Escritorio remoto en el equipo de destino para determinar si se permite la conexión remota. Esta opción se encuentra en la ficha Acceso remoto de Propiedades del sistema. De manera predeterminada, no se permite la conexión remota.

– Deniega el cierre de sesión de un administrador que ha iniciado sesión en la consola de sesión: Esta configuración de directiva determina si un administrador que intenta conectarse de forma remota a la consola de un servidor puede cerrar la sesión de un administrador que tiene una sesión iniciada en la consola.

Esta directiva es útil cuando el administrador que está conectado no desea que otro administrador le cierre la sesión. Si se cierra la sesión del administrador conectado, se perderán todos los datos que no se hayan guardado previamente.

Si habilita esta configuración de directiva, no será posible cerrar la sesión del administrador conectado.

Si deshabilita o no establece esta configuración de directiva, será posible cerrar la sesión del administrador conectado.

– Configurar intervalo entre mensajes de mantenimiento de conexión: Esta configuración de directiva permite especificar un intervalo entre mensajes de mantenimiento de conexión para garantizar que el estado de la sesión en el servidor de Terminal Server sea coherente con el estado del cliente.

Después de que un cliente de Terminal Server pierda la conexión con un servidor de Terminal Server, la sesión en dicho servidor puede permanecer activa en lugar de desconectarse, incluso si el cliente se desconecta físicamente del servidor. Si el cliente inicia sesión de nuevo en el mismo servidor de Terminal Server, puede establecerse una nueva sesión (si la configuración de Terminal Services permite varias sesiones) y la sesión original puede permanecer activa.

Si habilita esta configuración de directiva, debe especificar un intervalo entre mensajes de mantenimiento de conexión. El intervalo entre mensajes de mantenimiento de conexión determina la frecuencia (en minutos) con la que el servidor comprueba el estado de la sesión. El intervalo de valores que se puede escribir es de 1 a 999.999.

Si deshabilita o no establece esta configuración de directiva, no se establecerá ningún intervalo entre mensajes de mantenimiento de conexión y el servidor no comprobará el estado de la sesión.

– Limitar número de conexiones: Especifica si Terminal Services limita el número de conexiones simultáneas al servidor.

Puede usar esta opción para restringir el número de sesiones remotas que pueden estar activas en un servidor. Si se excede este número, los demás usuarios que intenten conectarse recibirán un mensaje de error que indica que el servidor está ocupado para que lo vuelvan a intentar más tarde. La restricción del número de sesiones mejora el rendimiento porque hay menos sesiones que consumen recursos del sistema. De forma predeterminada, los servidores de Terminal Server permiten un número ilimitado de sesiones remotas y Escritorio remoto para administración permite dos sesiones remotas.

Para usar esta opción, escriba el número de conexiones que desea especificar como el número máximo para el servidor. Para especificar un número ilimitado de conexiones, escriba 999999.

Si el estado se establece en Habilitado, el número máximo de conexiones está limitado al número especificado coherente con la versión de Windows y el modo de Terminal Services que se está ejecutando en el servidor.

Si el estado se establece en Deshabilitado o en No configurado, los límites en el número de conexiones no se aplican en el nivel de directiva de grupo.

– Establecer reglas para el control remoto de sesiones de usuario de Terminal Services: Esta configuración de directiva permite especificar el nivel de control remoto permitido en una sesión de Terminal Services.

Puede usar esta configuración de directiva para seleccionar uno de los dos niveles de control remoto: Ver sesión o Control total. Ver sesión permite que el usuario de control remoto visualice una sesión. Control total permite al administrador interactuar con la sesión. El control remoto puede establecerse con o sin permisos del usuario.

Si se habilita esta configuración de directiva, los administradores pueden interactuar de forma remota con una sesión de Terminal Services del usuario según las reglas especificadas. Para establecer dichas reglas, seleccione el nivel de control y permisos deseados en la lista Opciones. Para deshabilitar el control remoto, seleccione “Control remoto no permitido”.

Si se deshabilita o no se configura esta configuración de directiva, las reglas de control remoto se determinan mediante la configuración de la ficha Control remoto en la herramienta Configuración de Terminal Services. De manera predeterminada, los usuarios de control remoto tienen total control de la sesión con permisos del usuario.

– Permitir reconexiones sólo desde el cliente original: Especifica si se permite a los usuarios volver a conectarse a una sesión desconectada de Terminal Services usando un equipo diferente del equipo cliente original.

Puede usar esta opción para evitar que los usuarios de Terminal Services vuelvan a conectarse a sesiones desconectadas usando un equipo diferente del equipo cliente desde el que crearon la sesión originalmente. De forma predeterminada, Terminal Services permite a los usuarios volver a conectarse a sesiones desconectadas desde cualquier equipo cliente.

Si el estado se establece en Habilitado, los usuarios pueden volver a conectarse a una sesión desconectada sólo desde el equipo cliente original. Si un usuario intenta conectarse a la sesión desconectada desde otro equipo, se crea una nueva sesión en su lugar.

Si el estado se establece en Deshabilitado, los usuarios siempre podrán conectarse a la sesión desconectada desde cualquier equipo.

Si el estado se establece en No configurado, la reconexión de la sesión desde el equipo cliente original no se especificará en el nivel de directiva de grupo.

Importante: sólo los clientes de Citrix ICA que proporcionan un número de serie al conectarse admiten esta opción, que se omite si el usuario se conecta con un cliente Windows. Asimismo, tenga en cuenta que esta opción aparece tanto en Configuración del equipo como en Configuración de usuario. Si ambas opciones están configuradas, la opción de Configuración del equipo invalida la otra.

– Limitar a los usuarios de Terminal Services a una sesión remota única: Esta configuración de directiva permite restringir a los usuarios a una sola sesión remota de Terminal Services.

Si se habilita esta configuración de directiva, los usuarios que inician sesión de forma remota a través de Terminal Services quedarán limitados a una sola sesión en ese servidor (activa o desconectada). Si el usuario abandona la sesión en estado de desconexión, se volverá a conectar automáticamente a esa sesión en el próximo inicio de sesión.

Si deshabilita esta configuración de directiva, los usuarios podrán establecer un número ilimitado de conexiones remotas simultáneas mediante Terminal Services.

Si no se configura esta configuración de directiva, la configuración “Restringir cada usuario a una sesión” de la herramienta Configuración de Terminal Services, determinará si se restringe a los usuarios a una sola sesión remota.

– Permitir inicio remoto de programas que no figuran en la lista: Esta configuración de directiva permite especificar si los usuarios remotos pueden iniciar cualquier programa en el servidor de Terminal Server cuando inician una sesión remota o si sólo pueden iniciar los programas que aparecen en la lista Programas RemoteApp.

Puede controlar qué programas se pueden iniciar remotamente en un servidor de Terminal Server usando la herramienta Administrador de RemoteApp de TS para crear una lista de programas RemoteApp. De manera predeterminada, sólo se pueden iniciar los programas de la lista Programas RemoteApp cuando un usuario inicia una sesión remota.

Si habilita esta configuración de directiva, los usuarios remotos podrán iniciar cualquier programa en el servidor de Terminal Server cuando inicien una sesión remota. Por ejemplo, un usuario remoto puede hacer esto si especifica la ruta de acceso del ejecutable del programa en el momento de la conexión mediante el cliente de Conexión a Escritorio remoto.

Si deshabilita o no establece esta configuración de directiva, los usuarios remotos sólo podrán iniciar los programas que aparecen en la lista Programas RemoteApp del Administrador de RemoteApp de TS cuando inicien una sesión remota.

TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Terminal Server” > “Licencias” tenemos las siguientes configuraciones:

– Usar los servidores de licencias de Terminal Services especificados: Esta configuración de directiva permite especificar el orden en el que un servidor de Terminal Server busca servidores de licencias de Terminal Services.

Si habilita esta configuración de directiva, un servidor de Terminal Server intenta primero encontrar los servidores de licencias que especifique. Si éstos no se encuentran, el servidor de Terminal Server intentará la detección automática de servidores de licencias.

En el proceso de detección automática de servidores de licencias, un servidor de Terminal Server de un dominio basado en Windows Server intenta establecer contacto con un servidor de licencias en el siguiente orden:

1. Servidores de licencias especificados en la herramienta Configuración de Terminal Services
2. Servidores de licencias publicados en los Servicios de dominio de Active Directory
3. Servidores de licencias instalados en controladores de dominio en el mismo dominio que el servidor de Terminal Server

Si deshabilita o no establece esta configuración de directiva, el servidor de Terminal Server usa el modo de detección de servidores de licencias especificado en la herramienta Configuración de Terminal Services.

– Ocultar notificaciones acertca de los problemas de licencia de Terminal Server que afectan al servidor de Terminal Server: Esta configuración de directiva determina si se muestran notificaciones en un servidor de Terminal Server cuando se dan problemas con la licencia de Terminal Server que afectan al servidor de Terminal Server.

De manera predeterminada, se muestran notificaciones en un servidor de Terminal Server después de que inicie sesión como administrador local, si existen problemas con la licencia de Terminal Server que afectan al servidor de Terminal Server. Si procede, también se mostrará una notificación con el número de días que quedan antes de que expire el período de gracia de la licencia para el servidor de Terminal Server.

Si habilita esta configuración de directiva, estas notificaciones no se mostrarán en el servidor de Terminal Server.

Si deshabilita o no establece esta configuración de directiva, estas notificaciones se mostrarán en el servidor de Terminal Server después de que inicie sesión como administrador local.

– Establecer el modo de licencia de Terminal Services: Esta configuración de directiva permite especificar el tipo de licencia de acceso de cliente de Terminal Services (CAL de TS) que se necesita para establecer una conexión con este servidor de Terminal Server.

Puede usar esta configuración de directiva para seleccionar uno de los dos modos de licencia: Por usuario y Por Dispositivo.

El modo de licencia Por usuario requiere que cada cuenta de usuario que se conecte a este servidor de Terminal Server tenga una CAL Por usuario de TS.

El modo de licencia Por dispositivo requiere que cada dispositivo que se conecte a este servidor de Terminal Server tenga una CAL Por dispositivo de TS.

Si habilita esta configuración de directiva, el modo de licencia que especifique tiene prioridad sobre el modo de licencia que se especifica durante la instalación de Terminal Services o en la herramienta Configuración de Terminal Services.

Si deshabilita o no establece esta configuración de directiva, se usa el modo de licencia que se especifica durante la instalación de Terminal Services o en la herramienta Configuración de Terminal Services.

TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Terminal Server” > “Limite de tiempo de sesión” tenemos las siguientes configuraciones:

– Establecer el límite de tiempo para las sesiones desconectadas: Esta configuración de directiva permite configurar un límite de tiempo para las sesiones de Terminal Services desconectadas.

Puede usar esta configuración de directiva para especificar la cantidad máxima de tiempo que una sesión desconectada se mantiene activa en el servidor. De forma predeterminada, Terminal Services permite a los usuarios desconectarse de una sesión remota sin cerrar sesión.

Cuando una sesión está desconectada, los programas en ejecución se mantienen activos aunque el usuario ya no esté conectado de forma activa. De forma predeterminada, estas sesiones desconectadas se mantienen durante un tiempo ilimitado en el servidor.

Si habilita esta configuración de directiva, las sesiones desconectadas se eliminarán del servidor una vez transcurrido el tiempo especificado. Para aplicar el comportamiento predeterminado que mantiene las sesiones desconectadas por tiempo ilimitado, seleccione “Nunca”. En sesiones de la consola, los límites de tiempo de las sesiones desconectadas no se aplican.

Si deshabilita o no establece esta configuración de directiva, las sesiones desconectadas se mantienen durante un tiempo ilimitado. Se pueden especificar límites de tiempo para sesiones desconectadas en la ficha Sesiones de la herramienta Configuración de Terminal Services.

– Establecer el límite de tiempo para sesiones activas, pero en inactividad, de Terminal Services: Esta configuración de directiva permite especificar la cantidad máxima de tiempo durante el que una sesión activa de Terminal Services puede estar inactiva (es decir, sin la intervención del usuario) antes de que se desconecte automáticamente.

Si habilita esta configuración de directiva, debe seleccionar el límite de tiempo deseado en la lista desplegable Límite de la sesión inactiva. Terminal Services desconectará automáticamente las sesiones activas que no se hayan usado en el tiempo límite especificado. El usuario recibe una advertencia dos minutos antes de que se desconecte la sesión, lo que le permite presionar una tecla o mover el mouse para mantener activa la sesión. En sesiones de la consola, los límites de tiempo de las sesiones inactivas no se aplican.

Si deshabilita o no establece esta configuración de directiva, Terminal Services permite mantener las sesiones activas pero sin usar durante un tiempo ilimitado. Se pueden especificar límites de tiempo para sesiones activas, pero en inactividad, en la ficha Sesiones de la herramienta Configuración de Terminal Services.

Si desea que Terminal Services termine (en lugar de que desconecte) una sesión cuando se alcanza el límite de tiempo, se puede configurar la directiva “Configuración del equipoPlantillas administrativasComponentes de WindowsTerminal ServicesTerminal ServerLímites de tiempo de sesiónTerminar sesión cuando se alcancen los límites de tiempo”.

– Establecer el límite de tiempo para sesiones activas de Terminal Services: Esta configuración de directiva permite especificar la cantidad máxima de tiempo durante el que una sesión de Terminal Services puede estar activa antes de que se desconecte automáticamente.

Si habilita esta configuración de directiva, debe seleccionar el límite de tiempo deseado en la lista desplegable Límite de sesión activa. Terminal Services desconectará automáticamente las sesiones activas una vez transcurrido el tiempo límite especificado. El usuario recibe una advertencia dos minutos antes de que se desconecte la sesión de Terminal Services, lo que le permite guardar los archivos abiertos y cerrar programas. En sesiones de la consola, los límites de tiempo de las sesiones activas no se aplican.

Si deshabilita o no establece esta configuración de directiva, Terminal Services permite mantener activas las sesiones durante un tiempo ilimitado. Se pueden especificar límites de tiempo para sesiones activas en la ficha Sesiones de la herramienta Configuración de Terminal Services.

Si desea que Terminal Services termine (en lugar de que desconecte) una sesión cuando se alcanza el límite de tiempo, se puede configurar la directiva “Configuración del equipoPlantillas administrativasComponentes de WindowsTerminal ServicesTerminal ServerLímites de tiempo de sesiónTerminar sesión cuando se alcance el límite de tiempo”.

– Terminal sesiones cuando se alcancen los límites de tiempo: Especifica si se termina una sesión de Terminal Services que ha agotado el tiempo de espera en lugar de desconectarla.

Puede usar esta opción para que Terminal Services termine una sesión (es decir, se cierra la sesión de usuario y se elimina la sesión del servidor) cuando se alcance el límite de tiempo de sesiones activas o inactivas. De forma predeterminada, Terminal Services desconecta sesiones que alcanzan sus límites de tiempo.

Los límites de tiempo están establecidos localmente por el administrador del servidor o en directivas de grupo. Consulte “Establecer el límite de tiempo para las sesiones activas de Terminal Services” y “Establecer el límite de tiempo para las sesiones activas, pero en inactividad, de Terminal Services”.

Si el estado se establece en Habilitado, Terminal Services termina cualquier sesión que alcance el límite de tiempo de espera.

Si el estado se establece en Deshabilitado, Terminal Services siempre desconecta una sesión que ha agotado el tiempo de espera, incluso si el administrador del servidor ha especificado otra acción.

Si el estado se establece en No configurado, Terminal Services desconecta una sesión que ha agotado el tiempo de espera, a no ser que la configuración local especifique otra acción.

– Establecer el límite de tiempo para cerrar sesiones RemoreApp: Esta configuración de directiva permite especificar cuánto tiempo permanecerá en estado desconectado una sesión RemoteApp del usuario antes de que ésta se cierre desde el servidor de Terminal Server.

De manera predeterminada, si un usuario cierra un programa RemoteApp, la sesión se desconecta desde el servidor de Terminal Server.

Si habilita esta configuración de directiva, cuando un usuario cierre un programa RemoteApp, la sesión RemoteApp permanecerá en estado desconectado hasta que se alcance el límite de tiempo especificado. Cuando se alcanza el límite de tiempo especificado, la sesión RemoteApp se cierra desde el servidor de Terminal Server. Si el usuario inicia un programa RemoteApp antes de que se alcance el límite de tiempo, se volverá a conectar a la sesión desconectada en el servidor de Terminal Server.

Si deshabilita o no establece esta configuración de directiva, cuando un usuario cierra un programa RemoteApp, la sesión se desconecta desde el servidor de Terminal Server.

TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Terminal Server” > “Perfiles” tenemos las siguientes configuraciones:

– Establecer directorio principal de usuario de TS: Especifica si Terminal Services usa el recurso compartido de red especificado o una ruta de directorio local como la raíz del directorio principal del usuario para una sesión de Terminal Services.

Para usar esta opción, seleccione la ubicación del directorio principal (de red o local) de la lista desplegable de ubicación. Si decide colocar el directorio en un recurso compartido de red, escriba la ruta de acceso raíz del directorio principal como NombreDelEquipoNombreDelRecursoCompartido y, después, seleccione la letra de unidad a la cual desea asignar el recurso compartido de red.

Si decide mantener el directorio principal en el equipo local, escriba la ruta de acceso raíz del directorio principal como “Unidad:RutaDeAcceso” (sin comillas), sin variables de entorno ni puntos suspensivos. No especifique un marcador de posición para el alias de usuario, porque Terminal Services lo anexa automáticamente durante el inicio de sesión.

– Usar perfiles obligatorios en el servidor de Terminal Server: Esta configuración de directiva permite especificar si Terminal Services usa un perfil obligatorio para todos los usuarios que se conectan de forma remota al servidor de Terminal Server.

Si habilita esta configuración de directiva, Terminal Services usa la ruta de acceso especificada en la configuración de directiva “Establecer ruta de acceso del perfil de usuario móvil de TS” como carpeta raíz para el perfil de usuario obligatorio. Todos los usuarios que se conectan remotamente al servidor de Terminal Server usan el mismo perfil de usuario.

Si deshabilita o no establece esta configuración de directiva, los usuarios que se conectan remotamente al servidor de Terminal Server no usan los perfiles de usuario obligatorios.

– Establecer ruta de acceso del perfíl de usuario móvil de TS: Esta configuración de directiva permite especificar la ruta de acceso de red que usa Terminal Services para perfiles de usuario móvil.

De manera predeterminada, Terminal Services almacena todos los perfiles de usuario de forma local en el servidor de Terminal Server. Puede usar esta configuración de directiva para especificar un recurso compartido de red en que se puedan almacenar los perfiles de usuario de manera centralizada, lo que permitirá que un usuario obtenga acceso al mismo perfil para las sesiones en todos los servidores de Terminal Server que estén configurados para usar el recurso compartido de red para perfiles de usuario.

Si habilita esta configuración de directiva, Terminal Services usará la ruta de acceso especificada como directorio raíz para todos los perfiles de usuario. Los perfiles se guardan en subcarpetas que llevan el nombre de cuenta de cada usuario.

Para establecer esta configuración de directiva, escriba la ruta de acceso al recurso compartido de red con el formato nombreDeEquiponombreDeRecursoCompartido. No especifique un marcador de posición para el nombre de cuenta de usuario, porque Terminal Services lo agrega automáticamente cuando el usuario inicia sesión y se crea el perfil. Si el recurso compartido de red especificado no existe, Terminal Services mostrará un mensaje de error en el servidor de Terminal Server y almacenará los perfiles de usuario de forma local en el servidor de Terminal Server.

Si deshabilita o no establece esta configuración de directiva, los perfiles de usuario se almacenan de forma local en el servidor de Terminal Server. Puede configurar la ruta de acceso de un perfil de usuario en la ficha Perfil de Terminal Services del cuadro de diálogo Propiedades de la cuenta de usuario.

TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Terminal Server” > “Redirección de dispositivo o recurso” tenemos las siguientes configuraciones:

– Permitir redirección de audio: Especifica si los usuarios pueden elegir dónde reproducir la salida de audio del equipo remoto durante una sesión de Terminal Services (redirección de audio).

Los usuarios pueden usar la opción “Sonido de equipo remoto” en la ficha Recursos locales de Conexión a Escritorio remoto para elegir si reproducen el audio remoto en el equipo remoto o en el equipo local. Los usuarios también pueden deshabilitar el audio.

De manera predeterminada, los usuarios no pueden aplicar redirección de audio cuando se conectan mediante Terminal Services a un servidor que ejecuta Windows Server 2003. Los usuarios que se conectan a un equipo que ejecuta Windows XP Professional pueden aplicar redirección de audio de manera predeterminada.

Si el estado se establece en Habilitado, los usuarios podrán aplicar redirección de audio.

Si el estado se establece en Deshabilitado, los usuarios no podrán aplicar redirección de audio.

Si el estado se establece en No configurado, no se especificará la redirección de audio en el nivel de directiva de grupo. Sin embargo, un administrador podrá seguir habilitando o deshabilitando la redirección de audio con la herramienta Configuración de Terminal Services.

– No permitir redirección del Portapapeles: Especifica si impedir el uso compartido del contenido del Portapapeles (redirección del Portapapeles) entre un equipo remoto y un equipo cliente durante una sesión de Terminal Services.

Puede usar esta opción para impedir que los usuarios redirijan información del Portapapeles a y desde el equipo remoto y el equipo local. De forma predeterminada, Terminal Services permite la redirección del Portapapeles.

Si el estado se establece en Habilitado, los usuarios no podrán redirigir información del Portapapeles.

Si el estado se establece en Deshabilitado, Terminal Services siempre permitirá la redirección del Portapapeles.

Si el estado se establece en No configurado, la redirección del Portapapeles no se especificará en el nivel de directiva de grupo. Sin embargo, un administrador podrá seguir deshabilitando la redirección del Portapapeles usando la herramienta Configuración de Terminal Services.

– No permitir redirección de puertos COM: Especifica si se impide o no la redirección de datos a los puertos COM de cliente desde el equipo remoto en una sesión de Terminal Services.

Puede usar esta opción para impedir que los usuarios redirijan datos a periféricos de puertos COM o asignen puertos COM locales mientras mantienen una sesión de Terminal Services. De forma predeterminada, Terminal Services permite esta redirección de puertos COM.

Si el estado se establece en Habilitado, los usuarios no pueden redirigir datos del servidor al puerto COM local.

Si el estado se establece en Deshabilitado, Terminal Services siempre permite la redirección de puertos COM.

Si el estado se establece en No configurado, la redirección de puertos COM no se especificará en el nivel de directiva de grupo. Sin embargo, un administrador podrá seguir deshabilitando la redirección de puertos COM usando la herramienta Configuración de Terminal Services.

– No permitir redirección de unidad: Especifica si impedir la asignación de unidades cliente en una sesión de Terminal Services (redirección de unidad).

De forma predeterminada, Terminal Services asigna unidades cliente automáticamente al conectarse. Las unidades asignadas aparecen en el árbol de carpetas de sesión en el Explorador de Windows o en Mi PC con el formato <letraDeUnidad> en <nombreDeEquipo>. Puede usar esta opción para invalidar este comportamiento.

Si el estado se establece en Habilitado, no se permite la redirección de la unidad de cliente en sesiones de Terminal Services.

Si el estado se establece en Deshabilitado, se permite siempre la redirección de la unidad de cliente.

Si el estado se establece en No configurado, la redirección de la unidad de cliente no se especificará en el nivel de directiva de grupo. Sin embargo, un administrador podrá seguir deshabilitando la redirección de unidad de cliente mediante la herramienta Configuración de Terminal Services.

– No permitir redirección de puertos LPT: Especifica si se impide la redirección de datos a puertos LPT de cliente durante una sesión de Terminal Services.

Puede usar esta opción para impedir a los usuarios asignar puertos LPT locales y redirigir datos desde el equipo remoto a periféricos de puertos locales LPT. De forma predeterminada, Terminal Services permite esta redirección de puertos LPT.

Si el estado se establece en Habilitado, los usuarios de una sesión de Terminal Services no pueden redirigir datos del servidor al puerto LPT local.

Si el estado se establece en Deshabilitado, la redirección de puertos LPT siempre estará permitida.

Si el estado se establece en No configurado, la redirección de puertos LPT no se especificará en el nivel de directiva de grupo. Sin embargo, un administrador podrá seguir deshabilitando la redirección de puertos locales LPT usando la herramienta Configuración de Terminal Services.

– No permitir redirección de dispositivo Plug and Play compatible: Esta configuración de directiva permite controlar la redirección de los dispositivos Plug and Play compatibles, como los dispositivos portátiles de Windows, al equipo remoto de una sesión de Terminal Services.

De forma predeterminada, Terminal Services permite la redirección de los dispositivos Plug and Play compatibles. Los usuarios pueden usar la opción “Más” en la ficha Recursos locales de Conexión a Escritorio remoto para seleccionar los dispositivos Plug and Play compatibles que se redireccionan al equipo remoto.

Si se habilita esta configuración de directiva, los usuarios no pueden redireccionar sus dispositivos Plug and Play compatibles al equipo remoto.

Si se deshabilita o no se configura esta configuración de directiva, los usuarios pueden redireccionar sus dispositivos Plug and Play compatibles al equipo remoto.

– No permitir la redirección de dispositivos de tarjeta inteligente: Esta configuración de directiva permite controlar la redirección de los dispositivos de tarjeta inteligente en una sesión de Terminal Services.

Si habilita esta configuración de directiva, los usuarios de Terminal Services no podrán usar una tarjeta inteligente para iniciar una sesión de Terminal Services.

Si deshabilita esta configuración de directiva o no la establece, se permitirá la redirección de dispositivos de tarjeta inteligente. De forma predeterminada, Terminal Services redirige automáticamente los dispositivos de tarjeta inteligente durante la conexión.

– Permitir redirección de zona horaria: Esta configuración de directiva determina si el equipo cliente redirige su configuración de zona horaria a la sesión de Terminal Services.

Si habilita esta configuración de directiva, los clientes que puedan redirigir su zona horaria enviarán dicha información al servidor. La hora de base del servidor se usará para calcular la hora de la sesión actual (hora de sesión actual = hora de base del servidor + zona horaria del cliente).

Si deshabilita o no establece esta configuración de directiva, el equipo cliente no redirige la información de su zona horaria y la zona horaria de la sesión coincidirá con la del servidor.

TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Terminal Server” > “Redirección de impresora” tenemos las siguientes configuraciones:

– No establecer impresora de cliente predeterminada como impresora predeterminada en una sesión: Esta configuración de directiva permite especificar si la impresora de cliente predeterminada se configura automáticamente como la impresora predeterminada en una sesión de Terminal Services.

De manera predeterminada, Terminal Services designa automáticamente la impresora de cliente predeterminada como la impresora predeterminada de la sesión de Terminal Services. Puede usar esta opción para invalidar este comportamiento.

Si habilita esta configuración de directiva, la impresora predeterminada será la impresora especificada en el equipo remoto.

Si deshabilita esta configuración de directiva, Terminal Server asignará automáticamente la impresora de cliente predeterminada y la configurará como predeterminada al conectarse.

Si no establece esta configuración de directiva, la impresora predeterminada no se especificará en el nivel de directiva de grupo. Sin embargo, un administrador puede configurar la impresora predeterminada para sesiones de clientes usando la herramienta Configuración de Terminal Services.

– No permitir redirección de impresoras de cliente: Esta configuración de directiva permite especificar si se impide la asignación de impresoras de cliente en sesiones de Terminal Services.

Puede usar esta configuración de directiva para evitar que los usuarios redirijan trabajos de impresión del equipo remoto a una impresora conectada al equipo local (cliente). De manera predeterminada, Terminal Services permite esta asignación de impresoras de cliente.

Si habilita esta configuración de directiva, los usuarios no pueden redirigir trabajos de impresión del equipo remoto a una impresora de cliente local en sesiones de Terminal Services.

Si deshabilita esta configuración de directiva, los usuarios pueden redirigir trabajos de impresión con la asignación de impresoras de cliente.

Si no establece esta configuración de directiva, la asignación de impresoras de cliente no se especificará en el nivel de directiva de grupo. Sin embargo, un administrador podrá seguir deshabilitando la asignación de impresoras de cliente con la herramienta Configuración de Terminal Services.

– Especificar el comportamiento del controlador de impresora de retroceso de Terminal Server: Esta configuración de directiva permite especificar el comportamiento del controlador de impresora de retroceso de Terminal Server.

De manera predeterminada, el controlador de impresora de retroceso de Terminal Server está deshabilitado. Si Terminal Server no tiene un controlador de impresora que coincida con la impresora del cliente, ninguna impresora estará disponible para la sesión de Terminal Server.

Si habilita esta configuración de directiva, el controlador de impresora de retroceso también se habilita y el comportamiento predeterminado para Terminal Server consistirá en buscar un controlador de impresora adecuado. Si no puede encontrar ninguno, la impresora del cliente no estará disponible. Puede elegir cambiar este comportamiento predeterminado. Las opciones disponibles son:

“No hacer nada si ninguno se encuentra”: en caso de que ningún controlador de impresora coincida, el servidor intentará buscar un controlador adecuado. Si no puede encontrar ninguno, la impresora del cliente no estará disponible. Éste es el comportamiento predeterminado.

“Usar PCL si ninguno se encuentra”: si no se puede encontrar ningún controlador de impresora adecuado, se usará el controlador de impresora de retroceso de Lenguaje de control de impresora (PCL) como valor predeterminado.

“Usar PS si ninguno se encuentra”: si no se puede encontrar ningún controlador de impresora adecuado, se usará el controlador de impresora de retroceso de PostScript (PS) como valor predeterminado.

“Mostrar PCL y PS si ninguno se encuentra”: si no se puede encontrar ningún controlador adecuado, se mostrarán los controladores de impresora de retroceso basados en PS y PCL.

Si deshabilita esta configuración de directiva, el controlador de retroceso de Terminal Server también se deshabilita y Terminal Server no intentará usarlo.

Si no se establece esta configuración de directiva, el comportamiento del controlador de impresora de retroceso se desactiva de manera predeterminada.

– Usar controlador de impresora Easy Print de Terminal Services primero: Esta configuración de directiva permite especificar si se usará primero el controlador de impresora Easy Print de Terminal Services para instalar todas las impresoras del cliente.

Si habilita o no establece esta configuración de directiva, el servidor de Terminal Server intentará usar en primer lugar el controlador de impresora Easy Print de Terminal Services para instalar todas las impresoras del cliente. Si, por alguna razón, no se puede usar el controlador de impresora Easy Print de Terminal Services, se usará un controlador de impresora en el servidor de Terminal Server que coincida con la impresora del cliente. Si el servidor de Terminal Server no tiene ningún controlador de impresora que coincida con la impresora del cliente, ésta no estará disponible para la sesión de Terminal Services.

Si deshabilita esta configuración de directiva, el servidor de Terminal Server intentará encontrar un controlador de impresora adecuado para instalar la impresora del cliente. Si el servidor de Terminal Server no tiene ningún controlador de impresora que coincida con la impresora del cliente, el servidor intentará usar el controlador de impresora Easy Print de Terminal Services para instalar la impresora del cliente. Si, por alguna razón, no se puede usar el controlador de impresora Easy Print de Terminal Services, la impresora del cliente no estará disponible para la sesión de Terminal Services.

– Redirigir sólo la impresora predeterminada del cliente: Esta configuración de directiva permite especificar si la única impresora que se redirige en las sesiones de Terminal Services es la impresora predeterminada del cliente.

Si habilita esta configuración de directiva, sólo se redirigirá la impresora predeterminada del cliente en las sesiones de Terminal Services.

Si deshabilita o no establece esta configuración de directiva, se redirigirán todas las impresoras del cliente en las sesiones de Terminal Services.

TS GPO

En “Configuración del equipo” > “Plantillas Administrativas” > “Componentes de Windows” > “Terminal Services” > “Terminal Server” > “Seguridad” tenemos las siguientes configuraciones:

– Plantilla de certificado de autenticación de servidor: Esta configuración de directiva permite especificar el nombre de la plantilla de certificado que determina qué certificado se selecciona de forma automática para autenticar un servidor de Terminal Server.

Se necesita un certificado para autenticar un servidor de Terminal Server cuando se usa SSL (TLS 1.0) para dar seguridad a la comunicación entre un cliente y un servidor de Terminal Server durante las conexiones RDP.

Si se habilita esta configuración de directiva, se debe especificar un nombre de plantilla de certificado. Cuando se selecciona automáticamente un certificado para autenticar un servidor de Terminal Server, sólo se considerarán los certificados creados mediante la plantilla de certificado especificada. La selección automática de certificado sólo tiene lugar cuando no se ha seleccionado un certificado específico.

Si no se encuentra ningún certificado que haya sido creado con la plantilla de certificado especificada, el servidor de Terminal Server emitirá una solicitud de inscripción de certificado y usará el certificado actual hasta que la solicitud finalice. Si se encuentra más de un certificado creado con la plantilla de certificado especificada, se seleccionará el certificado con fecha de caducidad posterior y que coincida con el nombre actual del servidor de Terminal Server.

Si se deshabilita o no se configura esta configuración de directiva, se usará un certificado autofirmado de forma predeterminada para autenticar el servidor de Terminal Server. Se puede seleccionar un certificado específico para autenticar el servidor de Terminal Server en la ficha General de la herramienta Configuración de Terminal Services.

– Establecer el nivel de cifrado de conexión de cliente: Especifica si es necesario usar un nivel de cifrado específico para proteger las comunicaciones entre clientes y servidores de Terminal Server durante las conexiones de Protocolo de escritorio remoto (RDP).

Si habilita esta opción, todas las comunicaciones entre clientes y servidores de Terminal Server realizadas durante conexiones remotas deben usar el método de cifrado aquí especificado. De forma predeterminada, el nivel de cifrado se establece en Alto. Los métodos de cifrado disponibles son:

* Alto: la opción Alto cifra los datos enviados desde el cliente al servidor y desde el servidor al cliente usando cifrado de alta seguridad de 128 bits. Use este nivel de cifrado en entornos que contengan únicamente clientes de 128 bits (por ejemplo, clientes que ejecuten Conexión a Escritorio remoto). Los clientes que no admitan este nivel de cifrado no podrán conectarse a los servidores de Terminal Server.

* Cliente compatible: la opción Cliente compatible cifra los datos enviados entre el cliente y el servidor con la seguridad de clave máxima compatible con el cliente. Use este nivel de cifrado en entornos que contengan clientes no compatibles con el cifrado de 128 bits.

* Bajo: la opción Bajo cifra únicamente los datos enviados desde el cliente al servidor usando cifrado de 56 bits.

Si deshabilita esta opción o no la configura, el nivel de cifrado que se usará en las conexiones remotas a servidores de Terminal Server no se aplicará mediante la directiva de grupo. Sin embargo, puede configurar un nivel de cifrado necesario para estas conexiones mediante la Configuración de Terminal Services.

Importante:
La compatibilidad con FIPS puede configurarse mediante la opción “Criptografía del sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash” en la directiva de grupo (en Configuración del equipoConfiguración de WindowsConfiguración de seguridadDirectivas localesOpciones de seguridad) o mediante la opción “Compatible con FIPS” en la Configuración de Terminal Server. La opción Compatible con FIPS cifra y descifra los datos enviados entre el cliente y el servidor con los algoritmos de cifrado del Estándar federal de procesamiento de información (FIPS) 140-1, mediante módulos criptográficos de Microsoft. Use este nivel de cifrado cuando las comunicaciones entre clientes y servidores de Terminal Server requieran el máximo nivel de cifrado. Si ya se ha habilitado el cumplimiento con FIPS mediante la configuración de la directiva de grupo “Criptografía del sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash”, dicha opción invalida el nivel de cifrado especificado en esta configuración de directiva de grupo o en la Configuración de Terminal Services.

– Solicitar la contraseña siempre al conectar: Especifica si Terminal Services pide siempre al cliente una contraseña al conectarse.

Puede usar esta opción para exigir la petición de una contraseña a los usuarios que se conecten a Terminal Services, aunque ya hayan proporcionado la contraseña en el cliente de Conexión a Escritorio remoto.

De forma predeterminada, Terminal Services permite a los usuarios iniciar sesión de forma automática si especifican una contraseña en el cliente de Conexión a Escritorio remoto.

Si el estado se establece en Habilitado, los usuarios no podrán iniciar sesión automáticamente en Terminal Services al especificar su contraseña en el cliente de Conexión a Escritorio remoto. Se les pedirá una contraseña para iniciar sesión.

Si el estado se establece en Deshabilitado, los usuarios siempre podrán iniciar sesión automáticamente en Terminal Services al especificar su contraseña en el cliente de Conexión a Escritorio remoto.

Si el estado se establece en No configurado, el inicio de sesión automático no se especificará en el nivel de directiva de grupo. No obstante, un administrador podrá seguir aplicando la petición de contraseña con la herramienta Configuración de Terminal Services.

– Requerir comunicación RPC segura: Especifica si un servidor de Terminal Server requiere comunicaciones RPC seguras con todos los clientes o permite comunicaciones no seguras.

Puede usar esta opción para reforzar la seguridad de la comunicación RPC con los clientes al permitir sólo peticiones autenticadas y cifradas.

Si el estado se establece en Habilitado, el servidor de Terminal Server acepta peticiones de clientes RPC que admiten peticiones seguras y no permite la comunicación no segura con clientes que no sean de confianza.

Si el estado se establece en Deshabilitado, el servidor de Terminal Server siempre solicita seguridad para todo el tráfico RPC. Sin embargo, se permite la comunicación no segura para los clientes RPC que no responden a la petición.

Si el estado se establece en No configurado, se permite la comunicación no segura.

– Requerir el uso de un nivel de seguridad especifico para conexiones remotas (RDP): Especifica si es necesario usar un nivel de seguridad específico para proteger las comunicaciones entre clientes y servidores de Terminal Server durante las conexiones de Protocolo de escritorio remoto (RDP).

Si habilita esta opción, todas las comunicaciones entre clientes y servidores de Terminal Server realizadas durante conexiones remotas deben usar el método de seguridad aquí especificado. Los métodos de seguridad disponibles son:

* Negotiate: el método Negotiate aplica el método más seguro compatible con el cliente. Si se admite la versión 1.0 de Seguridad de la capa de transporte (TLS), se usa para autenticar el servidor de Terminal Server. Si no se admite TLS, se usa el cifrado de Protocolo de escritorio remoto (RDP) nativo para proteger las comunicaciones, pero no se autentica el servidor de Terminal Server.

* RDP: el método RDP usa el cifrado RDP nativo para proteger las comunicaciones entre el cliente y el servidor de Terminal Server. Si selecciona esta opción, el servidor de Terminal Server no se autentica.

* SSL (TLS 1.0): el método SSL requiere el uso de TLS 1.0 para autenticar el servidor de Terminal Server. Si no se admite TLS, la conexión no se establece satisfactoriamente.

Si deshabilita esta opción o no la configura, el método de seguridad que se usará en las conexiones remotas a servidores de Terminal Server no se aplicará mediante la directiva de grupo. Sin embargo, puede configurar un método de seguridad necesario para estas conexiones mediante la Configuración de Terminal Services.

– No permitir a los administradores locales personalizar permisos: Especifica si se deshabilitan los derechos del administrador para personalizar los permisos de seguridad en la herramienta Configuración de Terminal Services.

Se puede usar esta configuración para evitar que los administradores cambien los grupos de usuarios en la ficha Permisos de la herramienta Configuración de Terminal Services. De forma predeterminada, los administradores pueden realizar tales cambios.

Si el estado se establece en Habilitado, la ficha Permisos de la herramienta Configuración de Terminal Services no se puede usar para personalizar los descriptores de seguridad por conexión o para cambiar los descriptores de seguridad predeterminados para un grupo existente. Todos los descriptores de seguridad son de sólo lectura.

Si el estado se establece en Deshabilitado o No configurado, los administradores del servidor disponen de plenos privilegios de lectura/escritura con respecto a los descriptores de seguridad de la ficha Permisos de la herramienta Configuración de Terminal Services.

– Requerir la autenticación del usuario para las conexiones remotas mediante Autenticación a nivel de red: Esta configuración de directiva permite especificar si será necesaria la autenticación de usuarios para las conexiones remotas al servidor de Terminal Server mediante la Autenticación a nivel de red. Esta configuración de directiva mejora la seguridad, ya que requiere que la autenticación de usuarios tenga lugar antes en el proceso de conexión remota.

Si habilita esta configuración de directiva, sólo los equipos cliente que admitan la Autenticación a nivel de red podrán conectarse al servidor de Terminal Server.

Para determinar si un equipo cliente admite la Autenticación a nivel de red, inicie Conexión a Escritorio remoto en el equipo cliente, haga clic en el icono de la esquina superior izquierda del cuadro de diálogo Conexión a Escritorio remoto y haga clic en Acerca de. En el cuadro de diálogo Acerca de Conexión a Escritorio remoto, busque la frase “Compatible con Autenticación a nivel de red”.

Si deshabilita o no establece esta configuración de directiva, la Autenticación a nivel de red no es necesaria para la autenticación de usuarios antes de permitir conexiones remotas al servidor de Terminal Server.

Puede especificar que la Autenticación a nivel de red sea necesaria para la autenticación de usuarios mediante Configuración de Terminal Services o la ficha Acceso remoto en Propiedades del sistema.

Importante: si se deshabilita o no se establece esta configuración de directiva, la seguridad se verá afectada, puesto que la autenticación de usuarios tendrá lugar más adelante en el proceso de conexión remota.

www.bujarra.com – Héctor Herrero – nheobug@bujarra.com – v 1.0


Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!

Últimos Posts de: Héctor Herrero (ver todos)