Windows Server - Control Remoto para Soporte - WindowServer

15/12/2017 Windows Server: Control Remoto para Soporte | WindowServer
WindowServer
El blog de los paso a paso
Inicio Windows Server: Control Remoto para Soporte

He visto en muchas ocasiones a personal de soporte usar aplicaciones de terceros
Buscar en el Blog con para hacer control remoto de máquinas de usuarios ¿sabe que esto se puede
Google hacer utilizando solamente el sistema operativo?
Buscar Hay diferentes posibilidades, en esta nota veremos cómo, por ejemplo, personal
que se dedica a hacer soporte a usuarios finales puede tomar control remoto de
las máquinas de estos últimos
Buscar en el blog con
Wordpress Se puede configurar por Directivas de Grupo (GPOs) para que ante un llamado
telefónico, con sólo conocer la dirección IP, o nombre de máquina del usuario se
Buscar pueda hacer la conexión
Es una opción no tan conocida por dos motivos, el primero porque Microsoft lo
Categorías llama “Asistencia Remota”, y segundo porque la implementación por omisión
requiere comunicación previa a través de correo, o lo que antes era el Mesenger.
Elegir categoría Pero se puede hacer en forma mucho más directa: sólo con dirección IP o nombre
de máquina
Archivos por mes La estructura que utilizaré para la demostración son 3 máquinas:
Elegir mes
dc1.guillermod.com.ar
Windows Server 2012 R2
Seguir el blog Controlador de Dominio
PC-Usuario
Ingrese su correo para ser Windows 8.1 que está utilizando un usuario (“User Uno” = u1)
Parte del Dominio
avisado de nuevas notas
PC-Soporte
Windows 8.1 que está utilizando el soporte (“Soporte Uno” = s1)
Introduce tu email
Aunque puede adaptarse fácilmente, para que sea claro para esta demostración
Avisarme he creado tres Unidades Organizativas:
PCs-Usuarios
Más recientes Que contiene la cuenta de máquina PC-Usuario
Uso de Máquinas Virtuales en
PCs-Soporte
Que contiene la cuenta de máquina PC-Soporte
el Hogar
Usuarios
Windows Server 2016 – Agregar o Que contiene la cuenta del usuario (“Usuario Uno” = u1), la cuenta del
Cambiar Idioma soporte (“Soporte Uno = s1) y un grupo global “Soporte-Usuarios” que
DNS – Dominios y la Zona “_msdcs” incluye a la cuenta del soporte
Hyper-V Server 2016 Gratis –
Administración Gráfica Remota del La siguientes tres capturas de pantalla aclararán mejor
Servidor en Grupo de Trabajo
Hyper-V Server 2016 Gratis –
Administración Gráfica Remota de
Hyper-V en Grupo de Trabajo
Google Translate
English Albanian Arabic
Bulgarian Catalan Chinese
Simplified Chinese Traditional
Croatian Czech Danish Dutch
Estonian Filipino Finnish French
Galician German Greek Hebrew
https://windowserver.wordpress.com/2015/05/12/windows-server-control-remoto-para-soporte/ 1/24
Hindi Hungarian Indonesian

Italian Japanese Korean Lativian
Lithuanian Maltese Norwegian
Polish Portuguese Romanian
Russian Serbian Slovak
Slovenian Spanish Swedish Thai
Turkish Ukrainian Vietnamese
Guillermo Delprato
Enterprise Mobility - Cloud and

Datacenter Management
MCSA
MCITP
Desde
Participación en Foros
Microsoft Technet
MVPStream
Publicaciones de MVPs Latam
Blogs y sitios
recomendados
El Deza – Infraestructura de Redes
MVPStream
Proteger Mi PC
Tectimes – Un blog de tecnología
Universidad Net
Comenzaré creando y editando una GPO que se aplicará a las máquinas de los
Iniciar sesión usuarios para permitir que el soporte se conecte sabiendo sólo nombre o dirección
IP de la máquina
Registrarse
Acceder Esta GPO la debemos enlazar a la Unidad Organizativa PCs-Usuarios
RSS de las entradas
RSS de los comentarios
WordPress.com
Blog Stats
4,014,990 hits
Entradas y Páginas
Populares
Windows Server 2012 (R2): Crear
un Dominio - Instalación del Primer
Controlador de Dominio
Solución: Las Máquinas que se
Salen del Dominio
Windows Server 2012: Remote
Desktop - Quick Start (Parte 1) Pueden darle el nombre que prefieran, pero que sea claro
Windows Server 2012 (R2):
Configurar Servidor VPN
Windows Server 2012: Instalando y
Configurando DHCP
Windows Server 2012 (R2) - Instalar
.NET Framework 3.5
Maestros de Operaciones (FSMO

Roles) - Parte 1
Windows Server 2012 R2:
Activación Automática de Máquinas
Virtuales (AVMA - Automatic Virtual
Machine Activation)
Cambiar Perfil de Red Pública a
Privada o Privada a Pública (Fácil)
Active Directory: Verificar la
Replicación de Controladores de
Dominio (Repost)
Y la editamos para hacer la configuración necesaria
Debemos acceder a “Computer Configuration / Policies / Administrative Templates

/ System / Remote Assistance” y editar “Configure Offer Remote Assistance”
Debemos marcar la opción “Enable”, e ingresar por el botón “Show” para agregar
a la cuenta de usuario o grupo que podrá hacer la asistencia remota. En mi caso
usaré al grupo Soporte-Usuarios creado a tal efecto
Y en la misma GPO debemos habilitar la reglas del cortafuego para permitir la

conexión, para lo cual debemos llegar a “Computer Configuration / Policies /
Windows Settings / Security Settings / Window Firewall with … / Windows Firewall
… / Inbound Rules” y crear una nueva regla, como muestran las siguentes
pantallas
Debemos seleccionar “%windir%\System32\msra.exe”
Permitiendo la conexión, y sólo cuando detecta una red de Dominio
Para no bajar la seguridad, podemos inclusive especificar que estos ejecutables

se podrán conectar sólo a determinados puertos (TCP-135) para lo cual debemos
ingresar a las propiedades y especificarlo como se muestra
Siguendo el mismo procedimiento anterior debemos permitir la conexión de

“raserver.exe” incluyendo la configuración de TCP-135
Quedará finalmente así
Ahora nos falta crear y configurar la otra GPO, la que permite a los usuarios que
hacen soporte puedan conectarse directamente
Así que crearé y enlazaré una GPO a la Unidad Organizativa llamada PCs-
Soporte
Como siempre, darle un nombre descriptivo y editarla
Debemos llegar a “Computer Configuration / Policies / Administrative Templates /

System / Remote Assistance” y habilitar “Configure Solicited Remote Assistance”
Ya tenemos todo listo, sólo falta probar y demostrar la funcionalidad
Debemos asegurarnos que estas nuevas GPOs se apliquen a las máquinas PC-
USUARIO y PC-SOPORTE. Lo podemos hacer con GPUPDATE y si quieren
verificar la aplicación con GPRESULT
Inciamos sesión con el usuario u1 en PC-USUARIO, y con s1 en PC-SOPORTE.

Utilizando el comando WHOAMI muestro el usuario que tiene sesión abierta en
cada máquina
Suponiendo que el usuario u1 ha llamado pidiendo soporte (ayuda …) entonces s1

comienza el proceso de conexión, utilizando MSRA.EXE
Y seguimos el asistente como se muestra
Ingresamos el nombre o dirección IP de la máquina a la cual nos conectaremos
Le quedará una pantalla negra, hasta que el usuario acepte el soporte
El usuario deberá aceptar que el soporte pueda ver su pantalla
A partir de lo anterior el usuario verá en su pantalla una ventana informativa
Y el soporte comenzará a ver la pantalla del usuario. Aclaración: he achicado la

ventana para que se vea claramente que el sopore además de ver su propia
pantalla puede ver la del usuario
Pudiendo ya ver la pantalla del usuario, el soporte puede pedir tomar control
remoto de la máquina del usuario
Y el usuario debe autorizar al soporte para que tome control remoto de su

máquina
Pudiendo el soporte tomar el control remoto de la máquina de usuario tal cual

como si estuviera en el teclado de la misma
Esto es notificado al usuario que en cualquier momento puede interrumpirlo
El soporte puede abrir una ventana de “Chat” para poder dialogar con el usuario
Al tratarse de máquinas virtuales no puedo probar si en caso de disponer de
micrófono y parlantes también podrían mantener una conversación en forma oral
Con esto último doy por finalizada la nota, que creo que se trata de un tema
interesante, y que puede aliviar no sólo el trabajo de soporte, sino que además no
es complicado, y que no son necesarias aplicaciones de terceros que a veces
comprometen la seguridad
Anuncios
Free 74-409
Exam e-Book
Prepare for 74-409
exams. Download Free e-
Book Now!
veeam.com
PÁGALO
SIN RIESGOS
CON PAYPAL
Abrir cuenta
Tu voto:
10 Votes
Compártelo
 LinkedIn 9  Google  Twitter  Correo electrónico  Imprimir
 Me gusta
A un bloguero le gusta esto.
Relacionado
Actualizar Dominio Eliminar un Controlador Windows Server 2012:

Windows 2003 a de Dominio Que Ya No Actualizando un Dominio
Windows Server 2012 Existe (Fácil) Windows Server 2008
R2 En "Active Directory - R2
En "Active Directory - Directorio Activo" En "Active Directory -
Directorio Activo" Directorio Activo"
By Guillermo Delprato, on 12/05/2015 at 07:55, under Active Directory - Directorio Activo, How To
- Step-by-step - Paso a paso, Soporte, Windows Server, Windows Server 2012, Windows Server
2012 R2. Etiquetas: active directory, Active Directory - Directorio Activo, Directivas de Grupo,
gpo, How To - Step-by-step - Paso a paso, Remote Assistance, Soporte, Tips, windows server,
Windows Server 2012 R2. 31 comentarios
Post a comment or leave a trackback: Trackback URL.
« Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con
L2TP-IPSec [Parte 5 de 5]
Controladores de Dominio de Sólo Lectura (RODCs): Preparando la
Infraestructura (Parte 1 de 3) »
Comentarios
Francisco On 12/05/2015 at 08:42 Permalink | Responder
¿El usuario que solicita la asistencia tiene que abrir una ventana de comandos y
escribir el comando whoami? Si es así, creo que hay pocos usuarios que sepan
hacer eso.
Guillermo Delprato On 12/05/2015 at 09:35 Permalink | Responder
No, Francisco, no :)
Lo hago en la demo para que los que la lean vean que realmente que estoy
usando en cada máquina virtual la cuenta de usuario correspondiente
Se supone que el usuario conoce el nombre con el que inició sesión. Le
alcanza sólo con eso, y cómo comunicarse con el que le presta ayuda
Diego On 12/05/2015 at 11:20 Permalink | Responder
Desde que versión de S.O. cliente permite esto? Gracias.
Hola Diego, desde XP seguro, anterior no sé

Revisa este enlace: Asistencia Remota No Solicitada:
https://windowserver.wordpress.com/2011/02/10/asistencia-remota-no-
solicitada/
Jeso... On 12/05/2015 at 11:22 Permalink | Responder
Está genial tu articulo amigo, aprecio mucho tu ayuda, te recomendaré con mis
colegas. Saludos desde México.
¡Gracias Jeso…! :)
Saludos desde Argentina
Nacho On 12/05/2015 at 12:11 Permalink | Responder
Es el sistema que uso en la oficina para conexiones remotas.

Funciona perfectamente con Windows 2003.
Sólo le encuentro 2 fallos.
1) Si hay que ejecutar algún programa que necesite permisos de administrador la
ventana se queda en negro.
2) No existe la posibilidad de conectarse sin intervención del usuario, a veces el
usuario no está delante de su ordenador y sería muy útil.
Gracias por la entrada Guillermo.
Hola Nacho, los dos inconvenientes que le encuentras son por diseño, así que
dudo que eso cambie a futuro
1) Como estás realmente tomando la sesión del usuario no funcionarán las
aplicaciones ejecutadas como administrador, ya que estás con las
credenciales del usuario que inició sesión en dicha máquina
2) Esto está hecho por seguridad y tiene como finalidad que nadie pueda
“espiar” a un usuario sin que él lo sepa. El “dueño” de los datos es el usuario.
Un administrador puede acceder a los mismos no importa cómo los proteja el
usuario, pero la idea es que este soporte lo haga una persona que no tenga
privilegios de administrador
Y además hay aplicaciones, de terceros, que permite “espiar” al usuario pero
no forman parte del sistema operativo. Recuerdo hace años haber visto una
que se encargaba de fotografiar la pantalla del usuario con una frecuencia
configurable, almacenaba la info en un servidor, y luego si querías podías ver
la información como si fuera una película. Claro, esto tiene como finalidad
atrapar usuarios infieles
Jonattan Dominguez On 13/05/2015 at 10:59 Permalink | Responder
Guillermo, Mil gracias por tus grandes aportes
¡Gracias Jonattan! Todavía no encuentro el motivo por que Microsoft lo tiene

tan “escondido” el tema
Guillermo On 13/05/2015 at 11:15 Permalink | Responder
Excelente Nota. Muchas gracias por la ayuda. Saludos.
¡Gracias por el comentario Guillermo!
Antonio Ferrer On 13/05/2015 at 17:34 Permalink | Responder
Gracias!!!
Sin duda un blog de referencia TIC para los hispanohablantes
¡Gracias Antonio! Espero que sea útil a todos
Marlon On 17/05/2015 at 22:19 Permalink | Responder
Hola Guillermo, dime si estoy equivocado pero lo que entendi es que el personal
de soporte podra realizar el remoto con la sesion abierta en ese momento. En
todo caso cual seria la diferencia de hacer escritorio remoto (mstsc) e introducir
las credenciales del usuario.
No estás equivocado Marlon, es así :)

La asistencia remota permite que el soporte vea y pueda tomar control remoto
de *la sesión del usuario*
En cambio escritorio remoto lo que hace es abrir *una nueva sesión* con las
credenciales del soporte. No permite ver el escritorio de un usuario
En un sistema operativo de escritorio, si un soporte accede por escritorio
remoto, le cierra la sesión al usuario
Nicolás Hermida Cadel On 20/05/2015 at 15:02 Permalink | Responder
Guillermo, lo he probado y se me ha presentado problemas cuando se requiere

una elevación de permisos. Al mostrarse la ventana del UAC la sesión remota
pierde visión de la misma, hasta que el usuario que está frente al equipo no
ponga las credenciales de una sesión de administrador. Esto es poco práctico ya
que como soporte debemos realizar tareas que requieran elevación, ¿hay forma
de modificar esto? Gracias.
Hola Nicolás, a mi entender no lo permite, y está bien :), ya que es por

seguridad
El “control remoto” en realidad es “control comparatido”, y por lo tanto
permitiría a un usuario, no sólo actuar como administrador, sino que si te
desconectara quedaría con un aplicación/consola con privilegios del
administrador que hayas usado
Hace ya varias versiones, Windows va mejorando la seguridad, para darte un
ejemplo: antes RD permitía una sesión interactiva y dos RD, pero ahora es
sólo 2 como máximo ¿por qué? Pues porque la sesión interactiva es diferente
a la sesión de cuando ejecutas “como administrador”, son dos sesiones, y por
lo tanto puede haber una sola RD cuando estás trabajando desde “el teclado”
Si quieres conectar otra sesión RD te pregunta si quieres desconectar a
alguno de los otros. Por lo menos esto lo he comprobado con W2012R2
Si, por supuesto que la seguridad molesta :D
Francisco B. On 21/05/2015 at 11:22 Permalink | Responder
Muy buen tutorial Guillermo, exelente! Vi soluciuones con VNC donde estaba por
desplegar, pero me parecio bastante facil este y opte..
Hasta ahora funciona muy bien
Francisco B.
¡Me alegro te sea útil Francisco!
Hector Urrego On 18/09/2015 at 17:16 Permalink | Responder
Guillermo buenas tardes, como siempre felicitandole por su tiempo y su

excelente material; estoy intentando probarlo pero me arroja el error “No se
puede enviar oferta de ayuda” compruebe lo siguiente que cuente con permisos,
que el equipo este encendido y que existe un problema en la red, dame una
ayudita gracias
Hola Hector, ¡Gracias por el comentario!

Si el mensaje de error es no poder enviar, entonces el primer lugar a revisar
es la segunda GPO ¿te haz dado cuenta que son dos? una GPO para los
clientes, y otra GPO la que está enlazada a la OU “PCs-Soporte”
Hector Urrego On 18/09/2015 at 19:03 Permalink
Amigo las elimine y las volvi a crear y me sigue dando el mismo error
Guillermo Delprato On 18/09/2015 at 19:24 Permalink
No hay mucho que pueda hacer de acá, sólo que revises que en algún
lugar debe haber algún problema
Marlon Mejía Nuñez On 08/01/2016 at 11:23 Permalink | Responder
Hola Guillermo, consulta: Cuando tomo la sesión del usuario y quiero, por
ejemplo cambiar la ip o instalar algún programa (con la sesión del usuario), me
pide contraseña de administrador o de alguna cuenta con privilegios como debe
de ser y es en ese momento cuando el remoto se pone en pausa (pantalla negra)

. Hay alguna solución para eso ? . Gracias
No, no tiene solución. cuando tomas control de la sesión de usuario es el

mismo usuario aunque lo manejes remotamente
Y como el UAC se pone “encima” de todo incluye tu control
Por lo menos que yo sepa :)
Marlon Mejía Nuñez On 08/01/2016 at 13:43 Permalink
Ok, Gracias Guillermo
Fernando Trasvent On 05/08/2016 at 13:31 Permalink | Responder
Hola Guillermo, tengo un problema, no encuentro la manera de que se apliquen

las directivas de grupos a las UO en cuestion. ¿Que crees que pueda ser esto?
Hola Fernando, hay miles de causas posibles :)

Postea la pregunta en un foro de soporte, por ejemplo los de Technet en
https://social.technet.microsoft.com/Forums/es-ES/home
Y proporciona datos, para que alguien pueda ayudarte. Con “No funciona”
nadie sabe qué estás haciendo :)
Coldfran On 11/09/2016 at 23:09 Permalink | Responder
Hola Guillermo! a mi además del tema de credenciales de Administrador, que ya

explicaste que es por seguridad, el cual me parece lógico pero que se podría
mejorar (encontrar la forma de ingresarlas sin debilitar la seguridad), lo que me
gustaría es que se pudiera poner la pantalla del usuario en negro por un
momento(con su permiso si fuera necesario :)) par poder entrar a ciertas
configuraciones que no queremos que el usuario conozca y esté manipulando.
El tema es porque los standares de seguridad establecen que el usuario es

“dueño” de su información, y esto debe cumplirse. Entonces si tú puedes
tomar la pantalla de usuario y manipularla sin su consentimiento y sin ver lo
que haces es un problema. Fíjate que el usuario con simplemente pulsar
“ESC” te deja afuera, por si te ve meterte donde no debes
Este espacio es para comentarios sobre la nota. No es un sitio de

soporte
Introduce aquí tu comentario...
Crea un blog o un sitio web gratuitos con WordPress.com. | .

Windows Server - Control Remoto para Soporte - WindowServer

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows Server - Control Remoto para Soporte - WindowServer

Transféré par

Droits d'auteur :

Formats disponibles

15/12/2017 Windows Server: Control Remoto para Soporte | WindowServer

Inicio Windows Server: Control Remoto para Soporte

Hindi Hungarian Indonesian

Enterprise Mobility - Cloud and

Publicaciones de MVPs Latam

Maestros de Operaciones (FSMO

Y la editamos para hacer la configuración necesaria

Debemos acceder a “Computer Configuration / Policies / Administrative Templates

Y en la misma GPO debemos habilitar la reglas del cortafuego para permitir la

Debemos seleccionar “%windir%\System32\msra.exe”

Permitiendo la conexión, y sólo cuando detecta una red de Dominio

Para no bajar la seguridad, podemos inclusive especificar que estos ejecutables

Siguendo el mismo procedimiento anterior debemos permitir la conexión de

Quedará finalmente así

Como siempre, darle un nombre descriptivo y editarla

Debemos llegar a “Computer Configuration / Policies / Administrative Templates /

Ya tenemos todo listo, sólo falta probar y demostrar la funcionalidad

Inciamos sesión con el usuario u1 en PC-USUARIO, y con s1 en PC-SOPORTE.

Suponiendo que el usuario u1 ha llamado pidiendo soporte (ayuda …) entonces s1

Y seguimos el asistente como se muestra

Ingresamos el nombre o dirección IP de la máquina a la cual nos conectaremos

Le quedará una pantalla negra, hasta que el usuario acepte el soporte

El usuario deberá aceptar que el soporte pueda ver su pantalla

A partir de lo anterior el usuario verá en su pantalla una ventana informativa

Y el soporte comenzará a ver la pantalla del usuario. Aclaración: he achicado la

Y el usuario debe autorizar al soporte para que tome control remoto de su

Pudiendo el soporte tomar el control remoto de la máquina de usuario tal cual

Esto es notificado al usuario que en cualquier momento puede interrumpirlo

 LinkedIn 9  Google  Twitter  Correo electrónico  Imprimir

Actualizar Dominio Eliminar un Controlador Windows Server 2012:

Francisco On 12/05/2015 at 08:42 Permalink | Responder

Guillermo Delprato On 12/05/2015 at 09:35 Permalink | Responder

Diego On 12/05/2015 at 11:20 Permalink | Responder

Desde que versión de S.O. cliente permite esto? Gracias.

Guillermo Delprato On 12/05/2015 at 12:07 Permalink | Responder

Hola Diego, desde XP seguro, anterior no sé

Jeso... On 12/05/2015 at 11:22 Permalink | Responder

Guillermo Delprato On 12/05/2015 at 12:06 Permalink | Responder

Nacho On 12/05/2015 at 12:11 Permalink | Responder

Es el sistema que uso en la oficina para conexiones remotas.

Guillermo Delprato On 12/05/2015 at 12:46 Permalink | Responder

Jonattan Dominguez On 13/05/2015 at 10:59 Permalink | Responder

Guillermo, Mil gracias por tus grandes aportes

Guillermo Delprato On 13/05/2015 at 15:59 Permalink | Responder

¡Gracias Jonattan! Todavía no encuentro el motivo por que Microsoft lo tiene

Guillermo On 13/05/2015 at 11:15 Permalink | Responder

Excelente Nota. Muchas gracias por la ayuda. Saludos.

Guillermo Delprato On 13/05/2015 at 15:59 Permalink | Responder

¡Gracias por el comentario Guillermo!

Antonio Ferrer On 13/05/2015 at 17:34 Permalink | Responder

Guillermo Delprato On 14/05/2015 at 07:14 Permalink | Responder

¡Gracias Antonio! Espero que sea útil a todos

Marlon On 17/05/2015 at 22:19 Permalink | Responder

Guillermo Delprato On 18/05/2015 at 08:38 Permalink | Responder

No estás equivocado Marlon, es así :)

Nicolás Hermida Cadel On 20/05/2015 at 15:02 Permalink | Responder

Guillermo, lo he probado y se me ha presentado problemas cuando se requiere

Guillermo Delprato On 20/05/2015 at 17:16 Permalink | Responder

Hola Nicolás, a mi entender no lo permite, y está bien :), ya que es por

Francisco B. On 21/05/2015 at 11:22 Permalink | Responder

Guillermo Delprato On 21/05/2015 at 13:25 Permalink | Responder

¡Me alegro te sea útil Francisco!

Hector Urrego On 18/09/2015 at 17:16 Permalink | Responder