Alternativas de Acceso Remoto y Control de usuarios
opciones de implementación
En muchas ocasiones necesitamos alternativas que nos permitan manejar un control de los accesos a los sistemas en los usuarios finales, la necesidad de establecer configuraciones y perfiles de acceso que puedan restringir el acceso a las aplicaciones y a las mismas configuraciones de la PC que utiliza el usuario, a continuación te comparto algunas opciones que pudieras tomar en cuenta, unas de rápida implementación y otras definitivamente requerirá de inversión, veamos…
Roaming Profiles
Esto pueda que sea algo que ya muchos no lo recuerden pero si estás en un entorno donde poseas Microsoft Active Directory, pudieras tomar en consideración la implementación de perfiles de usuarios tipo viajero (roaming), de forma general es un perfil de usuario es un entorno de trabajo de una estación con Windows donde se puede definir el escritorio, documentos, accesos directos, favoritos en el navegador, variables de entorno, etc.
Con esta alternativa, no importa si el usuario presta el equipo de otro para ingresar a la red, siempre estará visualizando sus accesos e información que corresponde a su perfil.
Los pasos de forma general para crear un ROAMING PROFILE sería:
DEFINICION DEL PERFIL
- Tomar una PC de referencia
- Ingresar con un usuario según el perfil que se estará trabajando (de algun área administrativa, call center, etc.)
- Instalar las aplicaciones necesarias en dicha PC y definir los accesos directos y cualquier otra configuración personalizada que sea requerido
- Creación de mapeos de red de ser requeridos
COPIAR PERFIL
- Copiar el perfil creado en la estación de trabajo de referencia hacia una ubicación compartida (el perfil se encuentra en C:\users )
- Establecer los permisos de acceso requeridos y asignación hacia los usuarios que van a requerir tener acceso a dicho perfil
Una vez tengas los pasos previos finalizados deberás de ir a la configuración del usuario dentro del Active Directory y en la sección de PERFIL indicar la ruta en donde el usuario estará leyendo el perfil que tendrá asignado.
CONSIDERACIONES IMPORTANTES – esta configuración es ideal para usuarios que se encuentran en la misma red donde se estará leyendo el perfil compartido, por lo que esta solución brinda un acceso definido y cerrado para que el usuario no pueda realizar modificaciones.
Links con guías detalladas de implementación: GUIA 1 y GUIA 2
Hyper-v Virtual Desktop Infrastructure (VDI)
Acá si estamos hablando ya de un escenario de acceso remoto, perdón pero realmente la utilización de los ROAMING PROFILES es una forma muy efectiva para controlar el comportamiento y accesos de los usuarios…
La implementación de Hyper-v VDI es una solución en donde muy similar al caso anterior, se crea una PC de referencia, solo que en este caso no para copar el perfil, sino para tomar dicha PC como modelo o en estos ambientes se llama GOLDEN IMAGE, ya que será la imagen de la PC que se tomará como referencia para la creación de las PCs virtuales que se le estarán creando para que se puedan conectar los usuarios.
ASPECTOS INTERESANTES
En Hyper-v VDI el acceso a las estaciones de trabajo se puede brindar ya sea por un escritorio remoto (RPD – Remote Desktop Protocol) o vía Web usando el navegador de Internet, esto es parte de los ROLES que se definen y se habilitan al instalar este rol en el servidor donde se estará realizando la implementación. Mucho cuidado que cuando la cantidad de estaciones de trabajo que se estarán virtualizando se requerirá de distribuir estos roles en otros servidores, básicamente hacer más grande la infraestructura.
Un aspecto importante a resaltar de esta solución es que podrás crear dos esquemas de equipos virtuales a entregar a los usuarios, unas podrías ser tipo POOLED estas son PCs virtuales temporales que se le entrega al usuario y existen durante el usuario mantenga su sesión activa, posterior a eso estas máquinas se eliminan típicamente, esto quiere decir que el usuario no debe de guardar sus cosas en este tipo de máquinas, es acá en donde aparece el concepto de ROAMING PROFILE ya que sin importar que máquina le entreguemos al usuario, dicho usuario tendrá siempre acceso a sus recursos compartidos y aplicaciones.
El otro tipo de máquinas que se pueden crear en este ambiente son las PERSONALES o DEDICADAS estos equipos se entrega y se asignan de manera específica a un usuario, acá el usuario tiene propiedad sobre dicho recurso. Esta alternativa en dependencia del tamaño de las máquinas que se creen estará demandando mucho más recursos de los servidores.
Te comparto una excelente guía para que puedas implementar un escenario de laboratorio de este tipo de solución: GUIA Hyper-v VDI
Hyper-v Remote APP
Hoy siempre con el mismo componente base de Hyper-v pero en lugar de crear máquinas virtuales para los usuarios, se utiliza un servidor de Windows Server para que las aplicaciones que estén instaladas en dicho servidor se publiquen en un CATALOGO WEB y que el usuario pueda utilizarse como si estuvieran instaladas en su PC local, a esta solución se le llama REMOTE APP.
Al momento de estar instalando el ROL de Remote Desktop Services la funcionalidad que hay que seleccionar se llama SESION-BASED DESKTOP DEPLOYMENT, esto suena muy similar que el escenario anterior, pero en lugar de crear máquinas virtuales, se publican las aplicaciones del servidor.
- Esta solución te permitirá hacer muchas cosas interesantes como por ejemplo:
- Publicar grupos de aplicaciones (agruparlas)
- Asignar aplicaciones a usuarios para que no todos los usuarios tengan acceso a todas las aplicaciones
- Todo está integrado con Active Directory
Efectivamente, esta implementación al igual que la del escenario anterior requiere de que tengas licenciamiento de RDS (una por usuario).
Esta alternativa evitará que tengas que preparar PC x PC o realizar configuraciones particulares para ciertas aplicaciones en múltiples equipos, al final como puedes ver, el acceso a las aplicaciones queda centralizado en un servidor, por lo que solo necesitas preparar un equipo con las aplicaciones requeridas (el servidor) y brindar acceso a los usuarios a través de un URL que el servidor estará proporcionando.
Te comparto una guía con los pasos de implementación para que puedas realizar una implementación de pruebas: GUIA Hyper-v REMOTE APP
Soluciones de Nube
Ahora bien, si lo que andas buscando son alternativas de NUBE podrías implementar bajo un esquema de IaaS (Infraestructura como Servicio) pudieras implementar todo lo anterior en servidores que puedas tener operando en nube sin problema, pero si lo deseas como altenativas propias de nube algunas de ellas podrían ser:
WINDOWS 365 – CLOUD PC
Acá Microsoft presentó esta solución que esta muy bien ya que se integra al portal de Microsoft 365 (antes Office 365), se puede integrar a tu Active Directory local y a través de configuraciones de red podrías hacer que dichas máquinas accedan a servidores locales en caso de que así se requiera. Windows 365 lo puedes contratar por el tipo de subscripción y el precio es en base al tamaño de la PC
Link informativo: Microsoft Windows 365
AMAZON WORKSPACE
Esta solución es muy similar, pero hay que aclarar que AMAZON no ofrece sistemas operativo tipo cliente en su portafolio, por lo que las “PCs” que te entregan en este servicio, son servidores Windows Servers 2016 y en la literatura vas a leer algo que dice “Windows 10 Experience..” asi que cuidado, por si tus aplicaciones no funcionan bien en sistemas operativo de servidor.
La lógica es la misma, te entregan PCs las cuales se asignan a un usuario, este usuario se autentica con Active Directory ya sea local o de nube y el usuario puede tener acceso a dicho recursos desde una APP o desde el navegador.
Link informativo: Amazon AWS Workspace
Espero esta información te sea de utilidad!