Cómo aplicar objetos directiva de grupo a servidores de Terminal Services

En este artículo se describe cómo aplicar objetos directiva de grupo a servidores de Terminal Services.

Se aplica a: Windows Server 2012 R2
Número de KB original: 260370

Resumen

Los servidores de Microsoft Windows Server 2003 Terminal Services y Los servidores de Microsoft Windows 2000 Terminal Services están instalados para los usuarios en modo application server. Cuando los servidores de Terminal Services están en un dominio de Active Directory, el administrador de dominio implementa directiva de grupo objetos (GPO) en el servidor de Terminal Services para controlar el entorno de usuario. En este artículo se describe el proceso recomendado para aplicar GPO a Terminal Services sin afectar negativamente a otros servidores de la red.

Más información

Hay dos métodos para aplicar GPO a Terminal Services sin afectar negativamente a otros servidores de la red.

Método 1

Coloque los equipos de Terminal Server en su propia unidad organizativa (UO). Esta configuración permite que los valores de configuración del equipo pertinentes se coloquen en GPO que se aplican solo a los equipos de Terminal Server. Esta configuración no afecta a la experiencia del usuario en estaciones de trabajo o en otros servidores y le permite crear una experiencia de Terminal Server estrechamente controlada para los usuarios. Esta unidad organizativa no debe contener usuarios ni otros equipos para que los administradores de dominio puedan ajustar la experiencia de Terminal Services. La unidad organizativa también se puede delegar para el control en grupos subordinados, como operadores de servidor o usuarios individuales.

Para crear una nueva unidad organizativa para los servidores de Terminal Services, siga estos pasos:

  1. Haga clic en Inicio, seleccione Programas, Herramientas administrativasy, a continuación, haga clic en Usuarios y equipos de Active Directory.

  2. Expanda el panel izquierdo.

  3. Haga clic en domainname.xxx.

  4. En el menú Acción, haga clic en Nuevoy, a continuación, haga clic en Unidad organizativa.

  5. En el cuadro Nombre, escriba un nombre para el servidor de Terminal Services.

  6. Haga clic en Aceptar.

    La nueva unidad organizativa de Terminal Services ahora aparece en la lista del panel izquierdo y no contiene objetos predeterminados. Los servidores de Terminal Services residen en la unidad organizativa Equipos o en la unidad organizativa Controladores de dominio.

  7. Busque y, a continuación, haga clic en el servidor o servidores de Terminal Services, haga clic en Accióny, a continuación, haga clic en Mover.

  8. En el cuadro de diálogo Mover, haga clic en el nuevo servidor o servidores de Terminal Services y, a continuación, haga clic en Aceptar.

  9. Haga clic en la nueva unidad organizativa de Terminal Services para comprobar que el movimiento se ha producido correctamente.

Para crear un objeto directiva de grupo de Terminal Services, siga estos pasos:

  1. Haga clic en la nueva unidad organizativa de Terminal Services.

  2. En el menú Acción, haga clic en Propiedades.

  3. Haga clic en la pestaña directiva de grupo.

  4. Haga clic en Nuevo para crear el objeto New directiva de grupo.

  5. Haga clic en Editar para modificar el directiva de grupo.

    Nota:

    La mayoría de las opciones de configuración pertinentes se encuentran en Configuración del equipo, Configuración de seguridad o Directivas locales. Por ejemplo, en Asignación de derechos de usuario en la lista de la derecha, encontrará Iniciar sesión localmente. Esta configuración es necesaria para iniciar sesión en una sesión en Terminal Services. También encontrará Acceso a este equipo desde la red. Esta configuración es necesaria para conectarse al servidor fuera de una sesión de Terminal Services. Aquí también puede evitar que los usuarios puedan apagar el sistema. La carpeta Opciones de seguridad es donde se deben realizar muchas de las restricciones y donde hay una configuración similar al archivo NTConfig.pol en Windows NT 4.0 Server y Terminal Server Edition. La configuración de la parte del usuario de la directiva no se debe aplicar aquí porque los usuarios no se han colocado en esta unidad organizativa con el servidor de Terminal Services. Este artículo está escrito para la implementación de directivas de equipo.

  6. Cuando se completen las modificaciones, cierre el editor de directiva de grupo y, a continuación, haga clic en Cerrar para cerrar las propiedades de la unidad organizativa.

Método 2

Use la característica de bucle invertido directiva de grupo para aplicar la configuración de GPO de configuración de usuario a los usuarios solo cuando inicien sesión en Terminal Server. Cuando el procesamiento de bucle invertido de GPO está habilitado para los equipos de una unidad organizativa que contiene solo servidores terminales, esos equipos aplican la configuración de usuario del conjunto de GPO que se aplican a esa unidad organizativa. Además, esos equipos aplican la configuración de usuario de los GPO que están vinculados o heredados por la unidad organizativa que contiene la cuenta del usuario.

Esta implementación se describe en el siguiente artículo de Knowledge Base:
231287 procesamiento de bucle invertido de directiva de grupo

Cuando sea posible, Terminal Services debe instalarse en servidores miembros en lugar de en controladores de dominio porque los usuarios necesitan derechos de usuario Iniciar sesión localmente. Cuando el derecho Inicio de sesión local se asigna a los controladores de dominio, se asigna a todos los controladores de dominio del dominio debido a la base de datos compartida de Active Directory. De forma predeterminada, a los servidores miembros se les conceden derechos de usuario Iniciar sesión localmente en la directiva de seguridad local cuando Terminal Services está instalado en modo application server.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

186529 directiva local no permite iniciar sesión de forma interactiva

La cuenta de equipo del servidor de terminal server debe agregarse a las propiedades de seguridad del GPO que se va a crear para el bucle invertido. Para ello, siga estos pasos:

  1. Seleccione el GPO que se crea para el bucle invertido y, a continuación, haga clic en Propiedades.
  2. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Agregar.
  3. En el cuadro Seleccionar usuarios, equipos o grupos , seleccione la cuenta de equipo y haga clic en Aceptar.
  4. Haga clic en la cuenta de equipo en el cuadro Nombres de grupo o de usuario .
  5. En el cuadro Permisos para el nombre del equipo, haga clic para activar las casillas Leer y Aplicar directiva de grupo en la columna Permitir.
  6. Haga clic en Aceptar dos veces para cerrar y guardar la configuración de directiva.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de directiva de grupo.