Así que estás trabajando desde casa debido a la COVID-19 y estás utilizando el Escritorio Remoto para conectarte a tu ordenador de la oficina con Windows 10 a través del Protocolo de Escritorio Remoto (RDP). Accidentalmente (o quizás intencionadamente) seleccionas Apagar cuando haces clic en el botón de Inicio en tu sesión RDP, y como resultado, el ordenador de tu oficina se apaga.
¿Y ahora qué? Cómo se pone en marcha el ordenador de la oficina cuando no hay nadie en la oficina que pueda pulsar el botón de encendido del ordenador para arrancarlo de nuevo? Y lo que es más importante, ¿hay alguna forma de evitar que este tipo de cosas ocurran si eres el informático encargado de gestionar los ordenadores de los empleados de tu empresa?
Usando la directiva de grupo
Es complicado. Un método que se suele utilizar es habilitar la siguiente configuración de directiva de grupo:
Esta configuración se encuentra en:
Configuración del usuario \N – Plantillas administrativas \N – Menú de inicio y barra de tareas
Lo que hace es evitar que los usuarios seleccionen Apagar, Reiniciar, Reposo e Hibernar \N desde el menú de inicio o la pantalla de seguridad de Windows. Podría habilitar esta política en el GPO que está vinculado a la OU donde se encuentran las cuentas de usuario de los trabajadores remotos.
Tenga en cuenta que esto no puede impedir que los usuarios apaguen sus equipos remotos utilizando otros medios, como invocando el comando de apagado en un símbolo del sistema. Pero sí elimina la forma más obvia de que un usuario apague su PC de la oficina de forma irreflexiva cuando termine de hacer su trabajo del día.
Edición del Registro
¿Qué pasa si quiere ocultar la opción de apagado en el menú Inicio pero dejar todas las demás opciones presentes como Reiniciar, Reposo, Hibernar y también la opción de Desconexión para una sesión RDP? Resulta que esto se puede hacer editando una configuración del registro, pero la configuración que debes utilizar dependerá de la versión de Windows 10 que esté ejecutando tu PC. En concreto, en Windows 10 v.1803 o anterior establece el siguiente valor del registro igual a 1:
HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\Start\HideShutdown
Pero en Windows 10 v.1809 o posterior establezca este valor de registro igual a 1:
HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown\value
Aquí se ve como en Windows 10 v.1909
En un entorno gestionado puedes, por supuesto, utilizar las Preferencias de Política de Grupo (GPP) para desplegar configuraciones del Registro como esta en los equipos de los usuarios.
Eliminar los privilegios de apagado
¿Y si realmente quieres evitar que los usuarios apaguen sus equipos? Me refiero no sólo a ocultarles las formas más obvias de hacerlo sino a quitarles realmente los privilegios de apagado?
La política de grupo le permite hacer esto modificando los derechos de usuario en los equipos a los que se dirige el GPO que está editando. La configuración concreta en cuestión se encuentra en la siguiente ruta del Editor de directivas de grupo:
Configuración del equipo \NConfiguración de Windows \NConfiguración de seguridad \NDirectivas locales \NAsignación de derechos de usuario
Por defecto, las cuentas de usuario que son miembros de los grupos de administradores locales, operadores de copias de seguridad y usuarios tienen derecho a apagar el equipo. La forma más fácil de evitar que el usuario apague su máquina es simplemente eliminar el grupo de usuarios de la lista anterior. Pero antes de utilizar este enfoque «extremo» vea la sección titulada Cuidado con los daños colaterales más adelante en este artículo.
Otros enfoques para el acceso al escritorio remoto
Dificultar a los usuarios el apagado de sus PCs de oficina a través de una conexión de escritorio remoto es a veces más problemático de lo que vale, como veremos en breve. Debido a esto, algunos administradores evitan tratar de implementar este tipo de soluciones y, en su lugar, aceptan lo inevitable que es que algunos PC de los empleados acaben apagados al final de la jornada laboral – y luego tratan de implementar un enfoque para conseguir que arranquen de nuevo automáticamente antes de que llegue la mañana. Uno de los métodos que más se intentan para ello es el uso de Wake On Lan (WOL), una tecnología de red soportada por muchos adaptadores de red que permite encender el ordenador de forma remota cuando está durmiendo o hibernando o, en algunos casos, totalmente apagado. WOL funciona permitiendo que un «paquete mágico» (un paquete Ethernet especialmente diseñado) arranque la placa base haciendo que se inicie el sistema operativo.
Implementar WOL puede ser complicado. En primer lugar, requiere haber habilitado la funcionalidad WOL en la BIOS del sistema del ordenador, por lo que la placa base de su sistema tiene que soportar esta funcionalidad. En segundo lugar, requiere modificar la configuración del adaptador de red de la máquina. Para ello, abre el Administrador de dispositivos, expande el nodo Adaptadores de red y haz clic con el botón derecho del ratón en tu adaptador Ethernet para seleccionar Propiedades. Ahora, en la pestaña Avanzadas asegúrese de que Wake on Magic Packet está Activado así:
A continuación, cambie a la pestaña Administración de energía y asegúrese de que la configuración «Sólo permitir un paquete mágico para despertar el ordenador» está activada:
Ahora que ha activado WOL en la máquina necesita algún programa que pueda enviarle un paquete mágico cuando quiera arrancarla cuando la máquina se haya apagado. El software de gestión de sistemas que su empresa está utilizando probablemente ya tiene esta funcionalidad; de lo contrario, hay un montón de programas alrededor de usted puede elegir, muchos de ellos libres. TeamViewer es una de estas herramientas y se utiliza a menudo en entornos de servicio de asistencia. Hay que tener en cuenta una cosa: Se llama Wake On Lan por una razón. Algunos routers bloquearán el Magic Packet si procede de fuera de la red -por ejemplo, enviándolo a través de Internet-.
Otro enfoque es si sus PC tienen procesadores Intel que soportan la tecnología Intel Active Management (AMT) de la plataforma Intel vPro, que permite controlar remotamente los PC incluso cuando se bloquean o se apagan.
Prohibir el acceso al escritorio remoto: Cuidado con los daños colaterales
Hagas lo que hagas, asegúrate de conocer primero las dificultades o problemas que pueden surgir al implementar una solución que dificulte o impida a los usuarios remotos apagar los ordenadores de la oficina a través de RDP. La mayor consideración aquí es cómo esto puede afectar al soporte del servicio de asistencia para estos trabajadores remotos. Por ejemplo, a veces un usuario que trabaja desde su casa y utiliza el Escritorio Remoto para acceder a su ordenador de la oficina se encuentra con un problema de algún tipo con su ordenador de la oficina. El usuario llama al servicio de asistencia técnica y el técnico le indica algunos pasos para solucionar el problema. El usuario sigue estos pasos, pero el problema no se resuelve, por lo que el técnico de soporte lleva las cosas al siguiente nivel y le dice al usuario que intente realizar esa vieja solución de reiniciar el ordenador de la oficina. «¿Cómo puedo hacer eso? TI ha quitado esa opción de menú de mi máquina». Las cabezas se rascan mientras la llamada de soporte se alarga y el usuario se retrasa en su asignación de trabajo.
Sólo otro día en las trincheras de TI.
Imagen destacada:
0 comentarios