Configuración de WinRM a través de la directiva de grupo en equipos Windows

La administración remota de Windows, conocida comúnmente como WinRM, es un protocolo desarrollado por Microsoft que facilita la administración remota de equipos. Utiliza el protocolo WS-Management, que está diseñado específicamente para administrar de forma remota servidores y escritorios de Windows. Este artículo le guiará sobre cómo configurar WinRM de forma eficaz a través de objetos de directiva de grupo (GPO) en equipos Windows.

Cómo configurar WinRM a través de GPO en máquinas Windows

Para configurar WinRM usando GPO, siga los pasos que se describen a continuación:

1. Cambie su conexión de red a Privada o Dominio
2. Verifique si WinRM está habilitado en su dispositivo
3. Utilice la consola de administración de políticas de grupo para configurar WinRM
4. Forzar la actualización de la configuración de GPO en Windows

Profundicemos en cada paso en detalle.

1] Cambie su conexión a privada o de dominio

Para habilitar WinRM, debe estar conectado a una red privada o de dominio. Si actualmente está en una red pública, siga estos pasos para cambiar al tipo de red adecuado:

1. Abra la configuración de Windows usando Win + I.
2. Vaya a Red e Internet.
3. Seleccione Wi-Fi y haga clic en su conexión Wi-Fi.
4. Seleccione Red privada.

Si utiliza Ethernet, asegúrese de aplicarle los mismos cambios. Una vez que haya completado esto, continúe con el siguiente paso.

2] Verifique si WinRM está habilitado en su dispositivo

El siguiente paso es determinar si WinRM ya está habilitado en su sistema. Normalmente, los sistemas Windows Server tendrán esta función preinstalada, mientras que puede que no sea el caso de los sistemas cliente Windows. Para comprobarlo, abra PowerShell con privilegios de administrador e ingrese el siguiente comando:

WinRM enumerate winrm/config/listener

Si recibe un mensaje de error como el siguiente, significa que WinRM no está activado:

WSManFaultMessage = El cliente no puede conectarse al destino especificado en la solicitud. Verifique que el servicio en el destino esté ejecutándose y aceptando solicitudes. Consulte los registros y la documentación del servicio WS-Management que se ejecuta en el destino, normalmente IIS o WinRM. Si el destino es el servicio WinRM, ejecute el siguiente comando en el destino para analizar y configurar el servicio WinRM: “winrm quickconfig” .

Número de error: -2144108526 0x80338012

Para habilitarla, ejecute el comando winrm quickconfig. Sin embargo, tenga en cuenta que esto solo habilita la función en la máquina local, mientras que la configuración a través de GPO la aplica a todos los usuarios del dominio.

3] Configurar WinRM mediante la consola de administración de políticas de grupo

La consola de administración de directivas de grupo (GPMC) es la interfaz a la que debe recurrir para administrar la configuración de directivas de grupo en varios dominios y bosques. Los cambios que realice aquí afectarán a todos los usuarios conectados a su Active Directory. A continuación, le indicamos cómo configurar los ajustes de WinRM:

1. Abra GPMC buscándolo en el menú Inicio.
2. Seleccione su contenedor de Active Directory (Unidad organizativa) y cree un nuevo GPO llamado corpEnableWinRM.
3. Abra el nuevo GPO para editarlo y vaya a Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Servicios del sistema.
4. Busque el Servicio remoto de Windows (WS-Management) y configure su modo de inicio en Automático.
5. Vaya a Políticas de computadora > Preferencias.
6. Seleccione Configuración del Panel de control y luego Servicios.
7. Para crear un nuevo servicio, seleccione Nuevo > Servicio, ingrese WinRM como nombre del servicio y haga clic en Reiniciar el servicio dentro de la pestaña Recuperación.
8. Vaya a Configuración del equipo > Políticas > Plantillas administrativas > Componentes de Windows > Administración remota de Windows (WinRM) > Servicio WinRM.
9. Busque Permitir la administración remota del servidor a través de WinRM y haga doble clic en él para editarlo.
10. Configúrelo en Habilitado y especifique las direcciones IP o subredes en el cuadro de filtro IPv4/IPv6. Para permitir todas las direcciones IP, déjelo como *.
11. Cree una regla de Firewall de Windows Defender para conexiones WinRM en los puertos predeterminados TCP/5985 y TCP/5986 dirigiéndome a Equipo > Políticas > Configuración de Windows > Configuración de seguridad > Firewall de Windows con seguridad avanzada > Reglas de entrada.
12. Seleccione las reglas predefinidas para la Administración remota de Windows y cree la regla.
13. Por último, vaya a Configuración del equipo > Políticas > Plantillas administrativas > Componentes de Windows > Shell remoto de Windows, busque Permitir acceso a Shell remoto y habilítelo.

Ahora ha configurado correctamente una regla de GPO para WinRM.

4] Forzar a Windows a actualizar la configuración de GPO

Para aplicar la nueva configuración de GPO en los dispositivos cliente, ejecute GPUdate.exe. Abra el Símbolo del sistema con derechos administrativos e ingrese el siguiente comando:

gpupdate /force

Este comando obliga al sistema a procesar todas las políticas configuradas dentro del controlador de dominio y aplicarlas.

Si desea confirmar que WinRM se ha habilitado, ejecute WinRM enumerate winrm/config/listener. Esto proporcionará los detalles de configuración del receptor.

¡Y eso es todo!

¿Cómo habilitar WinRM a través de GPO?

Para habilitar WinRM a través de objetos de directiva de grupo, la política fundamental que se debe configurar es “Permitir la administración remota de servidores a través de WinRM”. Asegúrese de seguir los pasos necesarios para aplicar esta configuración correctamente a sus sistemas cliente.

¿Cómo habilitar WinRM desde la línea de comandos?

Para habilitar WinRM mediante la línea de comandos, abra PowerShell o el símbolo del sistema con privilegios elevados y ejecute winrm quickconfigo Enable-PSRemoting –Force. Para comprobar el estado actual de WinRM, ejecute WinRM enumerate winrm/config/listener.

Fuente