Configuración de Terminal Server y Active Directory en Windows Server 2003

Para instalar los servicios de terminal server en nuestro Windows seguiremos estos pasos:

En primer lugar accederemos a "Inicio" - "Configuración" - "Panel de control".

Seleccionaremos "Agregar o quitar programas". Seleccionaremos "Agregar o quitar componentes de Windows". Marcaremos "Terminal Server":

Tras seleccionar "Terminal Server" pulsaremos "Siguiente" para iniciar la instalación. Nos mostrará una ventana de selección de permisos predeterminados para la compatibilidad con aplicaciones, con las dos opciones siguientes:

o Seguridad total

o Seguridad media

Seleccionaremos el nivel de seguridad que más se ajuste a las necesidades de las aplicaciones y software de nuestra organización y pulsaremos "Siguiente".

Para efectos de esta práctica seleccionaremos seguridad media, pulsaremos "Finalizar" para concluir la instalación de Terminal Server.

Reiniciamos el equipo.

Una vez reiniciado el equipo, abrimos el panel de administración del servidor, y podemos observar que el rol “Terminal Server” de nuestro servidor esta ahora activo.

Hacemos clic en “Open Terminal Services Configuration”

Desde esta consola Microsoft Management Console, podremos configurar las opciones de Terminal Server. Podremos cambiar el nivel de seguridad de "Seguridad media" a "Seguridad total", para ello accederemos a la carpeta "Configuración de servidor" en la parte izquierda y en la parte derecha haremos doble clic sobre "Compatibilidad de permisos":

Desde la parte izquierda, seleccionando la carpeta "Conexiones", en la parte derecha aparecerá "RDP-Tcp", pulsaremos con el botón derecho sobre "RDP-Tcp" y seleccionaremos "Propiedades".

Lo que nos interesa revisar en esta parte es, en la pestaña "Permisos" indicar los grupos de seguridad y usuarios a los que queramos permitir el acceso por Terminal Server, que de forma predeterminada sólo se permite acceso al servidor a los grupos "Administradores" y "Remote Desktop Users "

También podremos limitar el número de colores máximo, conectar unidades del cliente, conectar impresoras, establecer impresora principal del cliente como predeterminada, asignación del portapapeles, puertos COM, audio, etc. Si utilizamos estas opciones se suplantará la configuración individual de cada usuario por esta. De forma predeterminada se establecerá esta configuración de usuario por usuario.

INSTALACIÓN DE ACTIVE DIRECTORY

Una vez instalado Windows 2003 Server, deberemos instalar y configurar active directory. Para ello, accederemos a “Inicio -> Todos los programas -> Herramientas administrativas -> Administre su servidor”.

En “Administrar las funciones de su servidor”, deberemos pulsar en “Agregar o quitar función” (add or remove a rol).

Pulsaremos en “Siguiente” y el asistente detectará la configuración de la conexión de área local, para configurar el servidor.

Seleccionaremos la opción de “Configuración típica de un servidor principal” y pulsaremos en “Siguiente”.

En la siguiente pantalla escribiremos el nombre DNS completo para el nuevo dominio de Active Directory que queremos configurar, por ejemplo, prueba.local, y pulsaremos en “Siguiente”.

Aceptaremos el nombre de dominio NETBIOS por default y pulsaremos en “Siguiente”.

La siguiente pantalla nos muestra un resumen con las opciones seleccionadas. Pulsaremos en el botón “Siguiente” y comenzará la instalación del Active Directory y el servidor DNS.

Una vez finalizado el proceso, el servidor se ha configurado además de como Servidor de archivos, como: Controlador de Dominio (Active Directory, Servidor DNS y Servidor DHCP).

CREACIÓN DE USUARIOS

Desde el panel de administración del servidor, en la nueva sección de Active Directory, damos clic en la opción “Manage users and computers in Active Directory”.

En esta nueva ventana, nos mostrará el nombre de dominio creado durante la configuración del servidor DNS, en este momento crearemos una nueva unidad organizativa para ese dominio dando clic derecho sobre el nombre de dominio, en el menú desplegado seleccionar “New” y a continuación “Organizational Unit”.

El siguiente paso será crear los usuarios dentro de nuestra nueva unidad organizativa, para esto damos clic derecho en el nuevo elemento creado, dentro del menú desplegado seleccionar “New” y a continuación “User”, ahora deberemos introducir las credenciales del nuevo usuario.

Una vez terminado este proceso, debemos hacer al usuario miembro del grupo “Remote Desktop Users” para que pueda accesar a los servicios de Terminal Server.

Dando clic derecho sobre el usuario seleccionaremos la opción “Add to a group…”, en la nueva ventana, escribir en la sección correspondiente el nombre del grupo al que queremos unir este usuario, damos clic en “Check Names” para comprobar que exista y a continuación en OK.

ACCESO DESDE UNA MÁQUINA CLIENTE

Una vez teniendo nuestro usuario creado y configurado podemos ingresar a nuestro perfil desde una máquina cliente que sea parte del dominio, para este ejemplo se usará un cliente con Windows XP, previamente unido a nuestro dominio.

Solo nos bastará con introducir las credenciales del usuario creado en el inicio de Windows XP para poder accesar.

APLICACIÓN DE POLÍTICAS DE GRUPO

Por medio de políticas de grupo deshabilitaremos algunas características en las sesiones de los usuarios creados en Active Directory, para hacer esto, desde la consola de administración de usuarios y equipos de Active Directory, damos clic derecho sobre nuestra unidad organizativa, en el menú desplegable seleccionamos “Properties”.

En la nueva ventana, nos desplazamos a la pestaña llamada “Group Policy” y crearemos una nueva directiva mediante el botón “New”, seleccionamos un nombre para la nueva directiva y seleccionamos “Edit”.

Ahora estamos dentro del editor del grupo de políticas donde podremos configurar diferentes características en las sesiones de los usuarios, así, por ejemplo, para redireccionar la carpeta “My Documents” de los usuarios, tendremos que navegar hacia el siguiente directorio:

User configuration -> Windows Settings -> Folder Redirection -> Y la carpeta que queremos configurar para redireccionar.

Otro ejemplo seria para evitar que los usuarios tengan acceso al panel de control habría que navegar hasta la siguiente ruta:

User configuration -> Administrative Templates -> Control Panel -> y habilitar el valor de la configuración llamada “Prohibit acces to the Control Panel”

Hechos los cambios necesarios, simplemente cerramos el editor y aplicamos los cambios, para asegurarnos que las políticas se aplicarán, tenemos que ejecutar el comando “gpupdate /force” dentro de la ventana “Run” en el menú Inicio.

CONFIGURACIÓN DE MANDATORY Y ROAMING PROFILE

Los pasos para copiar un perfil en un file share( que en este caso será una carpeta compartida en nuestro Active Directory) y convertirlo en mandatory son los siguientes:

1. Abrir Panel de Control

2. Doble clic en el icono Sistema

3. Seleccionar la pestaña Avanzado

4. Dar clic en el botón configuración en la sección de perfil de usuario

5. Seleccionar el perfil que pensemos utilizar y dar clic en el botón “copiar a”

6. Escribir la ruta que hemos creado para guardar el perfil, clic “OK”

7. El último paso es cambiar el nombre del perfil que hemos de copiado a la carpeta compartida de Ntuser.dat a Ntuser.man.

Una vez que este el mandatory profile creado y guardado en una carpeta compartida, se puede asignar a un perfil de usuario de la siguiente manera:

Abrimos la consola de administración de usuarios y equipos de Active Directory, seleccionamos nuestra Unidad Organizativa y creamos o seleccionamos al usuario al que se le va a aplicar el mandatory profile.

Damos clic derecho sobre el usuario, del menú desplegable seleccionamos propiedades.

En la nueva ventana seleccionamos la pestaña “Profile” y en el campo “Profile Path” escribimos la ruta del directorio donde guardamos previamente el mandatory profile (Ntuser.man).

Por último damos Clic en OK.

Un roaming profile se configura de la misma manera, la única diferencia es que al perfil guardado no se le cambia la extensión y se deja como Ntuser.dat