C�mo aplicar objetos de directiva de grupo a servidores de Servicios de Terminal Server

Id. de art�culo: 260370 - Ver los productos a los que se aplica este art�culo

Los servidores de Servicios de Terminal Server de Microsoft Windows Server 2003 y de Microsoft Windows 2000 se instalan en modo de servidor de aplicaciones. Cuando estos servidores est�n en un dominio de Active Directory, el administrador del dominio implementa objetos de directiva de grupo (GPO) en el servidor para controlar el entorno del usuario. En este art�culo se describe el proceso recomendado para aplicar GPO a Servicios de Terminal Server sin afectar negativamente a otros servidores de la red.

Volver al principio | Enviar comentarios

M�s informaci�n

Hay dos m�todos para aplicar GPO a Servicios de Terminal Server sin afectar negativamente a otros servidores de la red.

M�todo 1

Ponga los equipos con Terminal Server en su propia unidad organizativa (OU). Esta configuraci�n permite poner la configuraci�n de equipo relevante en los GPO que se aplican �nicamente a los equipos con Terminal Server. Esta configuraci�n no afecta a la experiencia de los usuarios de estaciones de trabajo o de otros servidores y le permite crear una experiencia de Terminal Server estrechamente controlada para los usuarios. Esta OU no debe contener usuarios ni otros equipos, de manera que los administradores de dominio puedan ajustar la experiencia de Servicios de Terminal Server. Tambi�n se puede delegar el control de la OU a grupos subordinados como operadores de servidores o usuarios individuales.

Para crear una nueva OU para los servidores de Servicios de Terminal Server, siga estos pasos:

Haga clic en Inicio, seleccione Programas y Herramientas administrativas y, a continuaci�n, haga clic en Usuarios y equipos de Active Directory.
Expanda el panel de la izquierda.
Haga clic en NombreDeDominio.xxx.
En el men� Acci�n, haga clic en Nueva y, a continuaci�n, haga clic en Unidad organizativa.
En el cuadro Nombre, escriba un nombre para el servidor de Servicios de Terminal Server.
Haga clic en Aceptar.

La nueva OU de Servicios de Terminal Server aparecer� en la lista del panel izquierdo y no contendr� ning�n objeto predeterminado. Los servidores de Servicios de Terminal Server residen en la OU Computers o en la OU Domain Controllers.
Busque y haga clic en el servidor o los servidores de Servicios de Terminal Server, haga clic en Acci�n y, despu�s, haga clic en Mover.
En el cuadro de di�logo Mover, haga clic en el nuevo servidor o servidores de Servicios de Terminal Server y, despu�s, haga clic en Aceptar.
Haga clic en la nueva OU Terminal Services para comprobar que la operaci�n de mover se ha realizado correctamente.

Para crear un objeto de directiva de grupo Terminal Services, siga estos pasos:

Haga clic en la nueva OU Terminal Services.
En el men� Acci�n, haga clic en Propiedades.
Haga clic en la ficha Directiva de grupo.
Haga clic en Nuevo para crear el nuevo objeto de directiva de grupo.
Haga clic en Editar para modificar la directiva de grupo.

NOTA: la mayor�a de las configuraciones importantes est�n bajo Configuraci�n del equipo, Configuraci�n de seguridad o Directivas locales. Por ejemplo, bajo Asignaci�n de derechos de usuario en la lista de la derecha ver� Iniciar sesi�n localmente. Esta opci�n es necesaria para iniciar sesi�n en Servicios de Terminal Server. Tambi�n ver� Tener acceso a este equipo desde la red. Esta opci�n es necesaria para conectar con el servidor fuera de una sesi�n de Servicios de Terminal Server. Aqu� es tambi�n donde puede impedir que los usuarios puedan apagar el sistema. La carpeta Opciones de seguridad es donde deben hacerse muchas de las restricciones y donde hay opciones similares al archivo NTConfig.pol en Windows NT 4.0 Server y Terminal Server Edition. La configuraci�n para la parte de usuario de la directiva no debe aplicarse aqu�, ya que no se ha puesto a los usuarios en esta OU con el servidor de Servicios de Terminal Server. Este art�culo se ha escrito para la implementaci�n de directivas de equipo.
Cuando haya terminado de realizar las modificaciones, cierre el Editor de directivas de grupo y haga clic en Cerrar para cerrar las propiedades de la OU.

M�todo 2

Utilice la caracter�stica de bucle invertido de Directiva de grupo para aplicar GPO de configuraci�n de usuarios a los usuarios s�lo cuando inicien sesi�n en servidores con Terminal Server. Cuando est� habilitado el procesamiento de bucle invertido de GPO para los equipos de una OU que s�lo contiene servidores de Terminal Server, esos equipos aplican la configuraci�n de usuario del conjunto de GPO que se aplican a dicha OU. Adem�s, esos equipos aplican la configuraci�n de usuario de los GPO vinculados a la OU, o heredados por la OU, que contiene la cuenta del usuario.

Esta implementaci�n se describe en el siguiente art�culo de Knowledge Base:

231287

(http://support.microsoft.com/kb/231287/ )

Bucle invertido al procesar la directiva de grupo

Las directivas del sistema de Windows NT 4.0 Terminal Services Edition tambi�n se implementan de manera diferente que en otros servidores Windows NT, como se describe en el siguiente art�culo de Knowledge Base:

192794

(http://support.microsoft.com/kb/192794/ )

C�mo aplicar a Terminal Server los valores de configuraci�n de la directiva del sistema

Cuando sea posible, se debe instalar Servicios de Terminal Server en servidores miembro en lugar de en controladores de dominio, ya que los usuarios necesitan derechos Iniciar sesi�n localmente. Cuando el derecho Iniciar sesi�n localmente se asigna a controladores de dominio, se asigna a todos los controladores del dominio debido a la base de datos compartida de Active Directory. Cuando sea posible, se debe instalar Servicios de Terminal Server en servidores miembro en lugar de en controladores de dominio, ya que los usuarios necesitan derechos Iniciar sesi�n localmente.

Para obtener informaci�n adicional acerca de los derechos Iniciar sesi�n localmente, haga clic en los n�meros de art�culo siguientes para verlos en Microsoft Knowledge Base:

247989

(http://support.microsoft.com/kb/247989/ )

Los controladores de dominio requieren el objeto de directiva de grupo "Inicio de sesi�n local" para las conexiones de clientes de Servicios de Terminal Server

234237

(http://support.microsoft.com/kb/234237/ )

Asignar derechos ?Inicio de sesi�n local? al controlador de dominio de Windows 2000

Windows NT 4.0 Terminal Services Edition tiene la misma preocupaci�n con los derechos Inicio de sesi�n local en los controladores de dominio debido a la base de datos com�n del Administrador de cuentas de seguridad (SAM) replicada desde el controlador principal de dominio (PDC) a todos los controladores de reserva.

Para obtener informaci�n adicional al respecto, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

186529

(http://support.microsoft.com/kb/186529/ )

Las directivas locales no le permiten iniciar sesi�n de forma interactiva

La cuenta de equipo de Terminal Server debe agregarse a las propiedades de seguridad del GPO que se crea para el bucle invertido. Para ello, siga estos pasos:

Seleccione el GPO que se crea para el bucle invertido y haga clic en Propiedades.
Haga clic en la ficha Seguridad y, a continuaci�n, haga clic en Agregar.
En el cuadro Seleccionar usuarios, equipos o grupos, seleccione la cuenta del equipo y haga clic en Aceptar.
Haga clic en la cuenta de equipo en el cuadro Nombres de grupos o usuarios.
En el cuadro Permisos para nombreDeEquipo, active las casillas de verificaci�n Leer y Aplicar directiva de grupo de la columna Permitir.
Haga clic dos veces en Aceptar para cerrar y guardar la configuraci�n de directiva.