Después de instalar el servicio de rol de Puerta de enlace de Escritorio remoto y configurar un certificado para el servidor de Puerta de enlace de Escritorio remoto, debe crear las Directivas de autorización de conexiones de Escritorio remoto (CAP de RD), los grupos de equipos y las Directivas de autorización de recursos de Escritorio remoto (RAP de RD).
En este tema se describe cómo las CAP de RD, los grupos de equipos y las RAP de RD permiten controlar el acceso de usuario remoto a los recursos (equipos) de red interna cuando dichos usuarios se conectan a la red interna a través de Internet por la Puerta de enlace de Escritorio remoto.
CAP de RD
Las CAP de RD permiten especificar quién puede conectarse a un servidor de Puerta de enlace de Escritorio remoto. Puede especificar un grupo de usuarios que existe en el servidor de Puerta de enlace de Escritorio remoto local o en Servicios de dominio de Active Directory. También puede especificar otras condiciones que los usuarios deben cumplir para obtener acceso a un servidor de Puerta de enlace de Escritorio remoto. Puede enumerar condiciones específicas en cada CAP de RD. Por ejemplo, podría requerir que un grupo de usuarios usara una tarjeta inteligente para conectarse a través de Puerta de enlace de Escritorio remoto.
 | Importante |
A los usuarios se les concede acceso a un servidor de Puerta de enlace de Escritorio remoto si cumplen las condiciones especificadas en la CAP de RD. También debe crear una Directiva de autorización de recursos de Escritorio remoto (RAP de RD). Una RAP de RD permite especificar los recursos de red (equipos) a los que los usuarios pueden conectarse a través de Puerta de enlace de Escritorio remoto. Los usuarios no se pueden conectar a recursos de red a través de este servidor de Puerta de enlace de Escritorio remoto hasta que se crea una CAP de RD y una RAP de RD. |
Para obtener información acerca de cómo crear CAP de RD, vea el tema acerca de la Administración de directivas de autorización de conexiones de Escritorio remoto (CAP de RD).
RAP de RD
Las RAP de RD permiten especificar los recursos de la red interna a los que los usuarios remotos pueden conectarse a través de un servidor de Puerta de enlace de Escritorio remoto. Cuando cree una RAP de RD, puede crear un grupo de equipos (una lista de equipos en la red interna a la que desea que se conecten los usuarios remotos) y asociarla a la RAP de RD.
A los usuarios remotos que se conectan a una red interna a través de un servidor de Puerta de enlace de Escritorio remoto se les concede acceso a los equipos de la red si cumplen las condiciones especificadas en al menos una CAP de RD y una RAP de RD.
 | Nota |
Cuando asocia un grupo de equipos administrados con Puerta de enlace de Escritorio remoto a una RAP de RD, puede admitir nombres de dominio completos (FQDN) y nombres de NetBIOS agregando ambos nombres al grupo de equipos administrados con Puerta de enlace de Escritorio remoto por separado. Cuando asocia un grupo de seguridad de Active Directory a una RAP de RD, los nombres FQDN y NetBIOS se admiten automáticamente si el equipo de red interna al que se está conectando el cliente pertenece al mismo dominio que el servidor de Puerta de enlace de Escritorio remoto. Si el equipo de la red interna pertenece a un dominio diferente al del servidor de Puerta de enlace de Escritorio remoto, los usuarios deben especificar el FQDN del equipo de la red interna. |
Para obtener información acerca de cómo crear RAP de RD, vea el tema acerca de la Administrar directivas de autorización de recursos de Escritorio remoto (RAP de RD).
En conjunto, las CAP de RD y las RAP de RD ofrecen dos niveles de autorización para permitirle configurar un nivel más específico de control de acceso a los equipos de una red interna.
Grupos de recursos de red y grupos de equipos administrados con la puerta de enlace de Escritorio remoto asociados a las RAP de RD
Los usuarios remotos se pueden conectar a través de la Puerta de enlace de Escritorio remoto a los recursos de red interna de un grupo de seguridad o un grupo de equipos administrados con la Puerta de enlace de Escritorio remoto. El grupo puede ser cualquiera de los siguientes:
- Seleccionar un grupo de recursos de red de Servicios de dominio de Active Directory. El grupo de recursos de red ya existe en Servicios de dominio de Active Directory.
- Seleccionar un grupo existente administrado por la puerta de enlace de Escritorio remoto o crear uno nuevo. Puede configurar un grupo de equipos administrado por la Puerta de enlace de Escritorio remoto o seleccionar uno existente con Administrador de puerta de enlace de Escritorio remoto después de la instalación.
Un grupo de equipos administrados con Puerta de enlace de Escritorio remoto no aparecerá en Usuarios y grupos locales en el servidor de Puerta de enlace de Escritorio remoto ni se puede configurar con Usuarios y grupos locales. - Permitir que los usuarios se conecten a cualquier recurso de red. En este caso, los usuarios se pueden conectar a cualquier equipo de la red interna al que pudieran conectarse cuando usan la Conexión a Escritorio remoto.