¿Cómo habilitar el escritorio remoto mediante directivas de grupo? [Guía completa]

Para los administradores de TI que gestionan varios ordenadores en un dominio de red, el acceso remoto al escritorio es una herramienta vital. Permite solucionar problemas de forma eficaz, instalar software y gestionar el sistema en general sin tener que visitar físicamente cada equipo.

Imagínate que gestionas una red de ordenadores en una empresa. En lugar de visitar cada equipo individualmente para habilitar el escritorio remoto, la directiva de grupo te permite configurar este parámetro de forma centralizada, lo que te ahorra mucho tiempo y esfuerzo.

Se trata de una potente característica de los entornos Windows Server que proporciona un método centralizado para configurar los parámetros de un grupo de ordenadores. Este artículo te guiará a través de la habilitación del acceso a escritorio remoto en equipos de destino utilizando la directiva de grupo.

Parte 1: Cómo instalar el Administrador de servidores en Windows 10

Antes de sumergirnos en el proceso de instalación, vamos a establecer una comprensión clara de RSAT y Server Manager. RSAT es un conjunto de herramientas diseñadas para gestionar roles y características en máquinas Windows Server desde un cliente remoto Windows 10.

Server Manager, incluido dentro de RSAT, actúa como el eje central para administrar estos servidores. Proporciona una interfaz intuitiva para supervisar el estado del servidor, configurar roles y características, y realizar diversas tareas administrativas.

Estas son las directrices paso a paso:

Paso 1: Comprueba los requisitos del sistema

Asegúrate de que tu versión de Windows 10 es Professional o Enterprise, ya que Server Manager no se puede instalar en la edición Home de Windows 10.

Paso 2: Abre la Configuración de Windows

1. Pulsa Win + I o escribe "Configuración" en el menú de inicio para abrir la ventana de Configuración.

2. Navega hasta Aplicaciones y funciones -> Características opcionales.

Paso 3: Añadir una función e instalar el Administrador de servidores

1. Haz clic en "Añadir una función" en la parte superior de la página.

2. En el cuadro de búsqueda, escribe "Administrador de servidores" para encontrar la función. En la lista, seleccione "RSAT: Administrador de servidores" marcando la casilla situada junto a él. Haz clic en el botón "Añadir" para iniciar el proceso de instalación.

Ten paciencia en esta etapa. La instalación puede tardar unos minutos.

Paso 4: Instalar las herramientas de administración de directivas de grupo RSAT

Después de añadir el administrador de servidores, también es necesario instalar las "RSAT: Herramientas de gestión de directivas de grupo". El procedimiento es el mismo que para instalar el administrador de servidores.

1. Sólo tienes que ir a Ajustes, hacer clic en "Apps".

2. Escribe "funciones opcionales" en la barra de búsqueda y selecciona "Añadir una función opcional" en el menú desplegable.

3. Ahora, escribe "RSAT: Herramientas de gestión de directivas de grupo" en la barra de búsqueda y márcala.

4. A continuación, haz clic en el botón "Añadir".

La aplicación tardará unos instantes en instalarse.

Paso 5: Acceder al Administrador de servidores

Una vez instalado, puedes acceder a Administrador de servidores buscándolo en el menú Inicio o escribiendo servermanager en PowerShell o Símbolo del sistema.

Paso 6: Gestionar tus servidores

¡Enhorabuena! Has instalado correctamente el Administrador de servidores en tu PC con Windows 10 y estás listo para administrar tus servidores de manera más eficiente.

Con el Administrador de servidores abierto, ahora puedes añadir o eliminar funciones y características, crear grupos de servidores y administrar servidores de forma remota.

Parte 2: Cómo habilitar el Escritorio remoto mediante la directiva de grupo

He aquí una guía paso a paso para permitir la directiva de grupo rdp o habilitar el acceso remoto al escritorio mediante la directiva de grupo:

Paso 1: Crear un GPO para habilitar el Escritorio Remoto

1. Abre la Consola de administración de directivas de grupo (GPMC). Puedes acceder a ella buscando "gpmc.msc" en el menú Inicio de Windows.

2. Como alternativa, abre la aplicación Administrador de servidores en el menú Inicio de Windows. En la barra superior, haz clic en la opción "Herramientas" y selecciona "Gestión de directivas de grupo" en el menú desplegable.

3. Despliega los nodos de bosque y dominio en el panel de la izquierda. A continuación, haz clic con el botón derecho del ratón en "Objeto de directiva de grupo (GPO)" y selecciona "Nuevo" en el menú desplegable.

4. Proporciona un nombre descriptivo para el GPO (objeto de directiva de grupo), como "Permitir escritorio remoto". A continuación, haz clic en "Aceptar" para crear el nuevo GPO para permitir el escritorio remoto.

Paso 2: Habilitar Permitir a los Usuarios Conectarse Remotamente Utilizando Servicios de Escritorio Remoto

1. En la consola GPMC, haz clic con el botón derecho del ratón en la GPO recién creada y selecciona "Editar". Esto iniciará el Editor de administración de directivas de grupo (GPME). Además, el gpo permitir escritorio remoto sin problemas.

2. Navega hasta la siguiente ubicación dentro de la configuración de la directiva de grupo:

Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio remoto > Host de sesión de Escritorio remoto > Conexiones.

3. A continuación, localiza la configuración de directiva denominada "Permitir a los usuarios conectarse remotamente mediante Servicios de Escritorio remoto". A continuación, haz doble clic en esta configuración de directiva.

4. Aparecerá un nuevo menú emergente relativo a permitir a los usuarios conectarse remotamente utilizando los Servicios de Escritorio Remoto. Esta casilla indica una opción "No configurado".

5. En la nueva ventana, selecciona la opción "Activado". Haz clic en "Aplicar" y "Aceptar" para guardar los cambios.

Paso 3: Activar la autenticación a nivel de red para conexiones remotas

1. Estando aún dentro del GPME, navega a: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio remoto > Host de sesión de Escritorio remoto > Seguridad.

2. A continuación, localiza la configuración de directiva denominada "Requerir autenticación de usuario para conexiones remotas mediante autenticación de nivel de red". Haz doble clic en esta configuración de directiva.

3. Selecciona la opción "Activado" para mejorar la seguridad. La autenticación a nivel de red (NLA) añade una capa adicional de seguridad durante las conexiones de escritorio remoto. Haz clic en "Aplicar" y "Aceptar" para guardar los cambios.

Paso 4: Permitir el Puerto 3389 (Puerto de Escritorio Remoto) a través del Firewall de Windows

Por defecto, el Firewall de Windows puede bloquear las conexiones entrantes en el puerto 3389, el puerto estándar utilizado para el acceso remoto al escritorio.

1. En el GPME, ve a Configuración del equipo > Directivas > Plantillas administrativas > Red > Conexión de red > Firewall de Windows Defender > Perfil de dominio.

2. Busca la configuración de directiva denominada "Firewall de Windows Defender con seguridad avanzada".

3. A continuación, haz clic con el botón derecho del ratón en "Reglas de entrada" y selecciona "Nueva regla" en el menú desplegable.

4. Marque la casilla "Predefinido". A continuación, baja y selecciona "Escritorio remoto".

5. Haz clic en el botón "Siguiente".

6. Por lo tanto, verás todo lo relacionado con "Asistente para nuevas reglas de entrada"

7. Haz clic en el botón "Siguiente".

8. Permite la conexión y pulsa sobre el botón "Finalizar".

Ahora, verás que tu política de grupo está activada con la indicación de la marca verde.

Paso 5: Actualizar la directiva de grupo y comprobar la configuración de Escritorio remoto

Después de configurar los parámetros necesarios en el GPO, es fundamental aplicar la política en los equipos de destino. Por lo tanto, tenemos que tomar nuestra política de grupo de escritorio remoto habilitado y luego aplicarla a nuestras unidades organizativas de servidores.

Así que todos los servidores se encuentran dentro de una OU de servidores, por lo que podemos tomar mi escritorio remoto habilitado y luego arrastrarlo sobre los servidores. A continuación, aparecerá una nueva ventana emergente llamada "Administración de directivas de grupo" y pulsa "Aceptar" para vincularlo a eso.

Ahora si seleccionamos servidores, podemos ver que tenemos habilitado el escritorio remoto enlazado.

Utilizar el símbolo del sistema

También puede actualizar manualmente la directiva de grupo en los equipos de destino ejecutando gpupdate /force desde el símbolo del sistema.

1. Para ello, abre la aplicación "Símbolo del sistema".

2. A continuación, ejecutar gpupdate /force desde el símbolo del sistema y pulsar " Intro". Tardará unos instantes en actualizarse correctamente tanto la política de equipo como la política de usuario.

3. Ahora, volvemos a las propiedades del sistema y pulsamos sobre la pestaña "Remoto". Vemos que "Permitir conexión remota a este equipo" está marcada y no podemos cambiarla.

Porque está establecido por la política de grupo. Tambien "Permitir conexiones solo usando autenticacion a nivel de red" que tambien esta marcada y no puede ser cambiada ya que esta establecida por la politica de grupo.

A continuación, si llegamos a nuestro Firewall de Windows y, a continuación, en virtud de las normas vinculadas, sólo queremos asegurarnos de que nuestro escritorio remoto reglas de entrada se establecen así.

Sin embargo, podemos ver que tenemos usuario de escritorio remoto en "Puerto 3389" y que está configurado para ser activado. Tiene la marca verde que significa que no habrá ningún problema de firewall para conectarse con el escritorio remoto desde la red local.

Conexión

Una vez que se haya completado la actualización de la política y los demás ajustes estén bien, deberá verificar el acceso al escritorio remoto en un ordenador de destino. Para realizar esta función rápidamente, puedes utilizar la aplicación "Conexión a Escritorio remoto" para intentar una conexión.

1. Abre "Conexión a Escritorio Remoto" en tu PC y pon el nombre de tu ordenador (nombre de usuario) y pulsa "conectar".

2. A continuación, introduce tu contraseña y pulsa la opción "Aceptar".

Tardará unos segundos en conectarse a ese servidor inicial utilizando la conexión de escritorio remoto.

Y ya está. ¡Enhorabuena! Por fin has aprendido a habilitar el Escritorio Remoto utilizando la Directiva de Grupo.

Parte 3: Extra: Cómo añadir derechos de administrador a los ordenadores de destino

Por defecto, los usuarios que intentan conectarse a escritorios remotos pueden necesitar derechos de administrador local en el equipo de destino. A continuación se explica cómo configurar la directiva de grupo para permitir el acceso remoto a grupos de usuarios específicos:

Paso 1: Dentro del GPME, navega a: Configuración del equipo > Configuración de Windows > Configuración de seguridad > Grupos restringidos

Paso 2: Haz clic con el botón derecho del ratón en "Grupos restringidos" y selecciona "Agregar grupo".

Paso 3: En el campo "Grupo", escribe el nombre del grupo de seguridad que contiene los usuarios a los que deseas conceder acceso al escritorio remoto.

Paso 4: Haz clic en "Comprobar nombres" para verificar que se reconoce el nombre del grupo.

Paso 5: Haz clic en "Aceptar" para añadir el grupo.

Paso 6: En la sección "Este grupo es miembro de", haz clic en "Añadir".

Paso 7: Escribe "Usuarios de Escritorio Remoto" en el campo "Introduce los nombres de los objetos a seleccionar" y vuelve a hacer clic en "Comprobar Nombres".

Paso 8: Haz clic en "Aceptar" para añadir el grupo "Usuarios de Escritorio Remoto". Esto concede al grupo de seguridad especificado permiso para conectarse remotamente utilizando Escritorio Remoto.

Paso 9: Haz clic en "Aplicar" y "Aceptar" en todas las ventanas abiertas para guardar los cambios en el Editor de directivas de grupo.

Bonus para empresas: Mejorar la eficiencia de los administradores de TI para el acceso remoto y la gestión de escritorio

El acceso remoto al escritorio es importante para los administradores de TI que gestionan varios ordenadores en un dominio de red. Si tu empresa tiene la necesidad de acceder y gestionar remotamente ordenadores de sobremesa y dispositivos móviles, puedes probar AirDroid Remote Support.

AirDroid Remote Support es una completa solución empresarial de acceso y asistencia remotos. Proporciona asistencia o colaboración remotas instantáneas y es ideal para las operaciones de TI. Los administradores de TI pueden supervisar a distancia el estado de los dispositivos o aplicaciones corporativos en tiempo real, realizar ajustes de configuración o mantenerlos funcionando de forma óptima.

Consideraciones clave

1# Entornos de grupo de trabajo frente a entornos de dominio

Esta guía se centra en la habilitación del acceso remoto a escritorios en ordenadores unidos a un dominio, que se gestionan de forma centralizada a través del Directorio Activo.

Para grupos de trabajo, se necesita un enfoque menos centralizado. Es probable que tengas que configurar el Escritorio Remoto en cada máquina individualmente.

Pero los pasos básicos siguen siendo similares: habilitar el escritorio remoto, configurar los permisos de usuario y asegurarse de que las reglas del cortafuegos permiten las conexiones remotas.

2# Pruebas y validación

Antes de desplegar cualquier objeto de directiva de grupo (GPO) en un gran número de equipos, es crucial validar la configuración en un entorno que no sea de producción. Esto podría implicar la creación de una OU separada que contenga una muestra representativa de equipos.

Al probar el GPO en este entorno aislado, puedes identificar y rectificar cualquier problema potencial antes de que afecte a tus sistemas de producción principales.

3# Autenticación multifactor (AMF)

Aunque la autenticación a nivel de red (NLA) ofrece una capa de seguridad para las conexiones de escritorio remoto, puede mejorarse aún más implementando la autenticación multifactor (MFA).

MFA requiere que los usuarios proporcionen un factor de verificación adicional más allá del nombre de usuario y la contraseña. Puede ser un código de una aplicación de autenticación, un escáner de huella dactilar o un token de seguridad.

Al requerir MFA, se reduce significativamente el riesgo de acceso no autorizado a la red, incluso si los atacantes consiguen robar las credenciales de un usuario.

4# Compatibilidad con el cliente

También es importante tener en cuenta la compatibilidad del software cliente de escritorio remoto.Asegúrese de que la versión de Remote Desktop Connection (RDC) utilizada para conectarse remotamente es compatible con la versión del sistema operativo que se ejecuta en los ordenadores de destino.

Microsoft publica periódicamente actualizaciones de RDC, por lo que es aconsejable mantener actualizados tanto el software del cliente como el del servidor para obtener un rendimiento y una seguridad óptimos.

Reflexiones finales

En pocas palabras, la habilitación de Escritorio remoto a través de la directiva de grupo ofrece una forma centralizada y eficaz de gestionar varios equipos en un entorno de dominio de Windows.

Siguiendo los pasos descritos en esta guía, puede capacitar a los administradores de TI y especialistas de soporte para solucionar problemas de forma remota, instalar software y gestionar sistemas con mayor facilidad.