Hoje ao chegar trabalhar me deparei um o display de um servidor Power Edge 1900 mostrando a seguinte mensagem: I1912 SEL FULL
SEL = System Event Log
Nele roda um Windows Server 2008 R2.
Para correção do problema acessei a iDrac do servidor, fui em Logs --> System Event Logs e apaguei os logs mais antigos.
Mostrando postagens com marcador Windows Server. Mostrar todas as postagens
Mostrando postagens com marcador Windows Server. Mostrar todas as postagens
segunda-feira, 16 de dezembro de 2013
quinta-feira, 3 de outubro de 2013
Reiniciar Servidor Windows atraves do Linux
Hoje me deparei com uma situação até então nova para mim, um dos meus servidores windows travou, justamente o que uso para conexão remota, o que me deixou impossibilitado de acessar ele remotamente, e eu não queria me locomover até a empresa para executar a reinicialização do sistema, então possuindo acesso a um servidor linux localizado no mesmo ambiente do servidor com o windows consegui realizar a reinicialização dele após pesquisar um pouco como proceder.
O comando para reiniciar foi:
net rpc SHUTDOWN -f -r -I ip_servidor -U dominio/nome_de_usuário%senha
Onde ip_servidor = ip do servidor que será reiniciado
Dominio = dominio da rede, se existir um, caso não exista, deixar em branco.
Usuario%senha = usuário com permissões no windows para realizar a tarefa.
Se deixarmos sem o -r o windows será desligado e não reiniciado.
Como desligar windows remotamente: http://www.guilhermebalestro.blogspot.com.br/2011/07/desligar-reiniciar-windows-xp.html
O comando para reiniciar foi:
net rpc SHUTDOWN -f -r -I ip_servidor -U dominio/nome_de_usuário%senha
Onde ip_servidor = ip do servidor que será reiniciado
Dominio = dominio da rede, se existir um, caso não exista, deixar em branco.
Usuario%senha = usuário com permissões no windows para realizar a tarefa.
Se deixarmos sem o -r o windows será desligado e não reiniciado.
Como desligar windows remotamente: http://www.guilhermebalestro.blogspot.com.br/2011/07/desligar-reiniciar-windows-xp.html
terça-feira, 10 de janeiro de 2012
Permitir mais de uma Sessão por Usuário no Terminal Service
Os servidores de TS permitem aos usuários abrirem mais de uma sessão com o mesmo login e senha, eu particularmente nunca necessitei disso, mas é mais uma opção que temos.
Para habilitar essa opção devemos estar logado no servidorde TS.
Ir em: Iniciar --> Ferramentas Administrativas --> Configuração dos Serviços do Terminal.
Clicar em Configuração do servidor, e desabilitar "Restringir cada Usuário a uma sessão"
Feito isso os usuários poderão se conectar a mais de uma sessão com o mesmo usuário sem fazer com que uma sessão derrube a outra.
Para habilitar essa opção devemos estar logado no servidorde TS.
Ir em: Iniciar --> Ferramentas Administrativas --> Configuração dos Serviços do Terminal.
Clicar em Configuração do servidor, e desabilitar "Restringir cada Usuário a uma sessão"
Feito isso os usuários poderão se conectar a mais de uma sessão com o mesmo usuário sem fazer com que uma sessão derrube a outra.
quinta-feira, 29 de dezembro de 2011
Alterando porta de acesso ao Terminal Service
Para aumentarmos a segurança dos servidores de TS é recomendável se alterar a porta de acesso, pois por padrão todos servidores de TS são acessados pela porta 3389, deixando o acesso pela porta padrão facilita a tentativa de invasão, pois basta saber o IP do servidor de TS que já se está na tela de login.
Com a alteração da porta muda a forma de acesso.
Para realizar essa alteração devemos acessar o servidor com permissões de administrador e ir em:
Iniciar --> Executar --> Regedit
No regedit ir em: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Dar clique duplo sobre a porta e escolher a nova porta.
Eu prefiro inserir o número em decimal, para isso basta clicar em decimal e inserir o número da nova porta.
Pronto, a porta está alterada.
Caso a alteração não entre em vigor imediatamente basta reiniciar o terminal service.
Agora para acessar o servidor de terminal service devemos inserir o IP:Porta
Esse laboratório foi realizado utilizando computador com Windows Server 2003 configurado para ser servidor de terminal e acessado através de um Windows XP SP3.
Com a alteração da porta muda a forma de acesso.
Para realizar essa alteração devemos acessar o servidor com permissões de administrador e ir em:
Iniciar --> Executar --> Regedit
No regedit ir em: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Dar clique duplo sobre a porta e escolher a nova porta.
Eu prefiro inserir o número em decimal, para isso basta clicar em decimal e inserir o número da nova porta.
Pronto, a porta está alterada.
Caso a alteração não entre em vigor imediatamente basta reiniciar o terminal service.
Agora para acessar o servidor de terminal service devemos inserir o IP:Porta
Esse laboratório foi realizado utilizando computador com Windows Server 2003 configurado para ser servidor de terminal e acessado através de um Windows XP SP3.
quinta-feira, 21 de julho de 2011
GPMC do Windows 2003 no Windows XP
No post anterior mostrei que é possível ter as ferramentas administrativas do Windows 2003 no Windows XP, no entando para administradores de servidores de AD é necessário mais que isso, precisamos de acesso também ao Group Policy Management Console (GPMC), para isso a Microsoft disponibiliza em seu site a ferramenta para download.
Após baixar o executável seria só instalar, pois bem, pra mim não foi só isso. Após baixar tentei instalar e recebi a seguinte mensagem:
"Please install the Microsoft .NET Framework before installing Microsoft Group Policy Management Console with SP1"
Eu possuo instalado em meu computador as versões 2.0, 3.0, 3.5 e 4.0 do Microsoft. NET Framework, mas em pesquisas constatei que cada versão é independente uma da outra e a versão necessária para o GPMC é a 1.1.
Acessei o site da Microsoft em busca dessa versão, localizei, porém ao instalar recebia a seguinte mensagem:
"O patch de atualização não pode ser instalado pelo serviço Windows Installer porque o programa a ser atualizado pode estar ausente ou o patch de atualização pode ter atualizado uma versão diferente do programa. Verifique se o programa a ser atualizado existe em seu computador e se você tem o patch de atualização correto."
Tentei vários downloads do site da Microsoft e não deu certo, realizei várias tentativas até que consegui com essa versão aqui LINK para DOWNLOAD que esta no Baixaki. Após a instalação do Microsoft .NET Framework 1.1 SP1 consegui realizar a instalação do GPMC.
Durante a instalação ainda recebi uma outra mensagem:
"GPMC requires the installation of MSXML4 SP2.
GPMC setup can install MSXML4 for you, but only in the language in which you are installing GPMC. The language of GPMC you are installing does not match that of your system. It is recommended that you obtain the proper language version of the MSXML4 before continuing with GPMC setup. MSXML4 SP" is available from http://www.microsoft.com/downloads.
Do you want to continue with the installation and install the English version of MSXML4 SP2 anyway?"
Mas essa mensagem não é nada demais, somente informa que a linguagem que vai ser instalada o MSXML4 SP2 é a mesma do GPMC, ou seja, em inglês, basta clicar em sim que a instalação do GPMC será concluída.
Isso foi testado com Windows XP SP3 e GPMC SP1.
Gerenciando Windows 2003 pelo Windows XP
É apenas uma rápida e simples dica, porém muitas pessoas não sabem que é possível Gerenciar um Windows Server 2003 através do Windows XP sem ter que realizar uma conexão remota. Basta baixar um Patch disponibilizado pela Microsoft em seu site.
Basta realizar a instalação do Patch no Windows XP e terá disponível as Ferramentas Administrativas necessárias para administração do servidor. Esse Patch conhecido como Adminpak está disponível para download em:
http://www.microsoft.com/downloads/details.aspx?FamilyID=86b71a4f-4122-44af-be79-3f101e533d95&DisplayLang=pt-br
Trabalho com ele utilizando Windows Server 2003 e Windows XP, e realmente ganho muito tempo sem ter que me conectar no servidor, ou ter que me locomover até ele.
Basta realizar a instalação do Patch no Windows XP e terá disponível as Ferramentas Administrativas necessárias para administração do servidor. Esse Patch conhecido como Adminpak está disponível para download em:
http://www.microsoft.com/downloads/details.aspx?FamilyID=86b71a4f-4122-44af-be79-3f101e533d95&DisplayLang=pt-br
Trabalho com ele utilizando Windows Server 2003 e Windows XP, e realmente ganho muito tempo sem ter que me conectar no servidor, ou ter que me locomover até ele.
terça-feira, 12 de julho de 2011
Bloqueando Acesso ao Registro do Windows XP
Bloqueio simples e importante para se implantar em um domínio, o bloqueio de acesso ao registro do Windows.
Esses bloqueios mostrados aqui, são todos feito através do gpedit.msc, através dessa ferramente existente no windows server é possível bloquear e configurar muitas opções para as máquinas que estão no domínio.
Bem, para realizarmos esse bloqueio primeiramente devemos criar uma policy, após criada devemos editá-la e ir em: Configurações de Usuários >> Modelos Administrativos >> Sistema
Localizar: Impedir Acesso a Ferramentas de Edição do Registro e Ativá-la.
Explicação dessa diretiva:
Desativa o editor do Registro do Windows, Regedit.exe.
Se esta configuração estiver ativada e o usuário tentar iniciar um editor do Registro, uma mensagem explicará que a ação é proibida por uma configuração.
Se esta configuração estiver ativada e o usuário tentar iniciar um editor do Registro, uma mensagem explicará que a ação é proibida por uma configuração.
Agora basta aplicar essa policy a OU desejada, que ao tentar executar o regedit o usuário receberá uma mensagem avisando que a edição do registro foi bloqueada pelo administrador.
Para realização de testes utilizei Windows Server 2003 Standard e Windows XP.
terça-feira, 5 de julho de 2011
Bloquear UltraSurf
Hoje irei mostrar como fiz para bloquear o UltraSurf.
Para quem nao sabe o UltraSurf é um programa portátil (não requer instalação) que tem por finalidade burlar o bloquei da internet, ele seta o proxy para o IP 127.0.0.1 na porta 9666, isso mesmo no ip local da máquina, a maneira mais efetiva porém cansativa de realizar esse bloqueio foi através de bloqueio de HASH.
Para fazer isso em seu domínio acesse seu Windows Server e vá em Group Policy Management e crie uma nova policy com o nome de sua preferência e edite-a.
Vá em: Configurações de Usuários >> Configurações do Windows >> Configurações de Segurança >> Diretivas de restrição de Software >> Regras adicionais
Clique com o botão direito e vá em: Nova Regra de Hash
Clicar em Procurar e localizar o executável do UltraSurf, como são várias versões, para o bloqueio ser efetivo tem que localizar na internet as versões anteriores e ir realizando o bloqueio de hash uma a uma. Após isso é só aplicar a policy para a OU desejada.
Quando o usuário tentar executar o programa receberá uma mensagem na tela avisando que foi bloqueado pelo administrador.
Existem anti-virus que colaboram para o bloqueio, por exemplo o que eu utilizo não permite o download diretamente da página pois detecta como uma página perigosa.
Para as versões mais antigas ele não permitia a execução do UltraSurf, porém com a versão que testei ele aceitou. Portanto terei que efetuar o bloqueio por Hash.
Nesse post foi utilizado: Worry Free Business Security 5, UltraSurf 10.05 e Windows Server 2003.
sexta-feira, 10 de junho de 2011
Habilitando mais de uma sessão por Usuário no Terminal Service
Quando configuramos um servidor de Terminal, por default o usuário pode ter somente uma sessão logada, mas poucos sabem que é possível ter várias sessões logadas para o mesmo usuário, e para fazer isso precisamos somente de alguns cliques.
- Acessar o Servidor de Terminal
- Ir em: Ferramentas Administrativas >> Configuração dos Serviços de Terminal
- Na console ir em Configurações do Servidor >> Restringir cada usuário a uma sessão
- Colocar não.
Pronto, apartir desse momento é possível abrir várias sessões com o mesmo usuário simultaneamente. A grande desvantagem disso é que não é possivel recuperar uma sessão desconectada.
- Acessar o Servidor de Terminal
- Ir em: Ferramentas Administrativas >> Configuração dos Serviços de Terminal
- Na console ir em Configurações do Servidor >> Restringir cada usuário a uma sessão
- Colocar não.
Pronto, apartir desse momento é possível abrir várias sessões com o mesmo usuário simultaneamente. A grande desvantagem disso é que não é possivel recuperar uma sessão desconectada.
Removendo Outlook Express do Windows Server 2003
No Windows Server 2003 não aparece a opção de remover o Outlook Express através do painel de controle >> adicionar/remover programas >> adicionar/remover componentes do windows.
Para fazer com que ele apareça e seja possível sua desinstalação é necessário seguir os seguintes passos.
- Acessar a pasta windows\inf
- Abrir o arquivo sysoc.inf
- Localizar a linha OEAccess=ocgen.dll,OcEntry,oeaccess.inf,hide,7
- Substituir ela pela linha OEAccess=ocgen.dll,OcEntry,oeaccess.inf,,7
Após isso o Outlook Express irá aparecer no adicionar e remover componetes do windows e será possível sua desinstalação.
Para fazer com que ele apareça e seja possível sua desinstalação é necessário seguir os seguintes passos.
- Acessar a pasta windows\inf
- Abrir o arquivo sysoc.inf
- Localizar a linha OEAccess=ocgen.dll,OcEntry,oeaccess.inf,hide,7
- Substituir ela pela linha OEAccess=ocgen.dll,OcEntry,oeaccess.inf,,7
Após isso o Outlook Express irá aparecer no adicionar e remover componetes do windows e será possível sua desinstalação.
terça-feira, 17 de maio de 2011
Bloqueando Acesso ao Prompt de Comando
Para os administradores de rede quanto mais bloqueios for possível fazer, melhor, o objetivo sempre é deixar o usuário o mais "amarrado" possível, pois sempre existe aquele usuário com um conhecimento mais avançado que tenta burlar as regras. Como diz aquele tradicional frase dos administradores de rede "O usuário tem direito a não ter direitos", somente lendo isso nos parece muita rigidez, mas deixem os usuários "soltos" e verão o caos que se tornará sua vida, passará a trabalhar de bombeiro somente, pois terá um problema em cima do outro para resolver.
Abaixo vou mostrar como fazer para deixar o usuário sem acesso ao prompt de comando, e assim limitar as informações sobre o sistema que ele poderá ver.
Para fazermos isso existe uma diretiva de grupo.
Ir em Configurações de Usuários --> Modelos Administrativos --> Sistema
Ativar "Impedir Acesso ao Prompt de Comando"
Explicação dessa diretiva:
Impede que os usuários executem o prompt de comando interativo, Cmd.exe. Esta configuração também determina se arquivos em lotes (.cmd e .bat) podem ser executados no computador.
Se você ativar esta configuração e o usuário tentar abrir uma janela de comando, o sistema exibe uma mensagem explicando que uma configuração impede a ação.
Obs.: não impeça o computador de executar arquivos em lotes se o computador usa scripts de arquivos em lotes de logon, logoff, inicialização ou desligamento ou para usuários que utilizam serviços de terminal.
Aplicar a diretiva na OU desejada.
Após aplicada quando o usuário tentar executar o CMD receberá a seguinte mensagem:
Devemos ter cuidado quando habilitamos essa diretiva pois a própria Microsoft que seja desativado o processamento de scrips de inicialização. Essa opção deve ser marcada somente se realmente não é utilizado scrips de logon / logoff.
Abaixo vou mostrar como fazer para deixar o usuário sem acesso ao prompt de comando, e assim limitar as informações sobre o sistema que ele poderá ver.
Para fazermos isso existe uma diretiva de grupo.
Ir em Configurações de Usuários --> Modelos Administrativos --> Sistema
Ativar "Impedir Acesso ao Prompt de Comando"
Explicação dessa diretiva:
Impede que os usuários executem o prompt de comando interativo, Cmd.exe. Esta configuração também determina se arquivos em lotes (.cmd e .bat) podem ser executados no computador.
Se você ativar esta configuração e o usuário tentar abrir uma janela de comando, o sistema exibe uma mensagem explicando que uma configuração impede a ação.
Obs.: não impeça o computador de executar arquivos em lotes se o computador usa scripts de arquivos em lotes de logon, logoff, inicialização ou desligamento ou para usuários que utilizam serviços de terminal.
Aplicar a diretiva na OU desejada.
Após aplicada quando o usuário tentar executar o CMD receberá a seguinte mensagem:
Devemos ter cuidado quando habilitamos essa diretiva pois a própria Microsoft que seja desativado o processamento de scrips de inicialização. Essa opção deve ser marcada somente se realmente não é utilizado scrips de logon / logoff.
sexta-feira, 25 de março de 2011
Alterando Papel de Parede por Policy
Boa tarde pessoal,
Abaixo vou mostrar como alterar o papel de parede utilizando as policies do Windows Server.
É uma dica muito simples, mas que talvez possa ajudar alguém.
Eu particularmente gosto muito dessa opção que temos de padronizar o papel de parede pois assim evitamos que os usuários coloquem fotos sem relação ao trabalho, tenho o costume de mudar seguidamente para o desktop não ficar sempre na mesma monotonia, mas isso varia de pessoa para pessoa.
Vamos colocar a mão na massa então.
Iniciar --> Executar --> GPMC.MSC
Irá abrir o gerenciador.
Ir em: Group Policy Objects --> New
Eu aconselho sempre criar as policies e depois referenciar com a OU, porém é posível criar a policy diretamente na OU clicando com o botão direito sobre a OU desejada e indo em: Create and Link a GPO Here.
Inserir um nome que facilite a identificação ao que se refere a policy que será criada.
Clicar com o botão direito sobre a nova policy e ir em Edit.
Ir em: Configurações do Usuário --> Modelos Administrativos --> Área de Trabalho --> Active Desktop
Dar duplo clique sobre "Ativar Active Desktop", ativar e clicar em Aplicar - OK.
Explicação dessa diretiva:
"Permite papel de parede em HTML e JPEG. Ativa o Active Desktop e impede que os usuários o desativem.
Esta configuração impede que os usuários tentem ativar ou desativar o Active Desktop quando ele está sendo controlado por uma diretiva.
Se você desativar ou não definir esta configuração, o Active Desktop será desativado por padrão, mas os usuários poderão ativá-lo.
Obs.: se as configurações 'Ativar o Active Desktop' e 'Desativar o Active Desktop' forem ativadas, a segunda será ignorada. Se a configuração 'Ativar shell clássico' (em Configuração do usuário\Modelos administrativos\Componentes do Windows\Windows Explorer) for ativada, o Active Desktop será desativado e as duas configurações serão ignoradas." - Informação retirada da própria policy.
Próximo passo é informar onde está localizado o arquivo que será o papel de parede, lembrando que deve estar em um pasta compartilhada para que os usuários consigam abri-lo.
Ir em: Configurações do Usuário --> Modelos Administrativos --> Área de Trabalho --> Active Desktop
Dar duplo clique sobre "Papel de Parede do Active Desktop"
Ativar e informar o caminho da imagem. Aplicar - OK.
Explicação dessa diretiva: "Especifica o plano de fundo da área de trabalho (papel de parede) exibido nas áreas de trabalho de todos os usuários.
Esta configuração permite que você especifique o papel de parede da área de trabalho dos usuários e impede que os usuários alterem a imagem ou sua apresentação. O papel de parede especificado pode ser armazenado em um arquivo de bitmap (*.bmp), JPEG (*.jpg) ou HTML (*.htm, *.html).
Para usar esta configuração, digite o caminho completo qualificado e o nome do arquivo que armazena a imagem do papel de parede. Você pode digitar um caminho local, como C:\Windows\web\wallpaper\home.jpg, ou um caminho UNC, como \\Servidor\Compartilhamento\Logo.bmp. Se o arquivo especificado não estiver disponível quando o usuário faz logon, nenhum papel de parede é exibido. Os usuários não podem especificar papéis de parede alternativos. Você também pode usar esta configuração para especificar que a imagem do papel de parede deve ficar centralizada, lado a lado ou ampliada. Os usuários não poderão alterar esta especificação."
Pronto, está criada a policy, agora basta você escolher a OU em que será aplicada, clicar com o botão direito sobre ela e fazer um link da policy com a OU.
segunda-feira, 21 de março de 2011
Removendo Usuário do Grupo de Administradores por Script
Para quem trabalha com administração de redes sabe bem o problema que é ter os usuários com permissão de administrador nas máquinas. Por menor que seja a rede sempre dá trabalho ter que ir máquina por máquina removendo os usuários do grupo de admin.
Por questões de segurança é aconselhável deixar sempre os usuários somente com as permissões necessárias para a execução da função.
Abaixo mostro como fazer para remover os usuários do grupo de Administradores através de Script de Inicialização.
Acesse o Group Policy Management
Criar um nova GPO, escolher o nome e ir em editar.
Configurações do Computador --> Configurações do Windows --> Scripts (Inicialização/Encerramento)
No bloco de notas digitar o seguinte script:
Set objNetwork = CreateObject("WScript.Network")
strComputer = objNetwork.ComputerName
strUsuario = objNetwork.username
strGrupo = "Administradores"
strDominio = "dominio"
Set objGrupo = GetObject("WinNT://" & strComputer & "/" & strGrupo & ",group")
objGrupo.remove("WinNT://"& strDominio & "/" & strUsuario & ", group")
Se os Windows forem em inglês alterar strGrupo = "Administrator"
Salvar o arquivo com a extensão .VBS. Para encriptar o script visualizar post Encriptando Scripts VBS com o Microsoft Script Encoder
Adicionar o arquivo criado.
Aplicar - OK
Script de inicialização está criado, agora devemos informar em qual OU (Unidade Organizacional) que ele será aplicado.
Esse script eu aplico nas OU das minhas estações, para que todos sejam removido, mas caso alguém deva ficar como Administrador deve-se ter cuidado para que o computador desse usuário não esteja na OU, ou que esse script seja incluído nas configurações de usuários.
Pronto, está criado nossa policy que irá remover os usuários do grupo de administradores locais.
Essa policy não deve ficar muito tempo configurada, pois quando o script não encontra nenhum usuário para remover ele mostra uma mensagem de erro similar a essa:
O script desse post foi retirado do site: Script Center
Por questões de segurança é aconselhável deixar sempre os usuários somente com as permissões necessárias para a execução da função.
Abaixo mostro como fazer para remover os usuários do grupo de Administradores através de Script de Inicialização.
Acesse o Group Policy Management
Criar um nova GPO, escolher o nome e ir em editar.
Configurações do Computador --> Configurações do Windows --> Scripts (Inicialização/Encerramento)
No bloco de notas digitar o seguinte script:
Set objNetwork = CreateObject("WScript.Network")
strComputer = objNetwork.ComputerName
strUsuario = objNetwork.username
strGrupo = "Administradores"
strDominio = "dominio"
Set objGrupo = GetObject("WinNT://" & strComputer & "/" & strGrupo & ",group")
objGrupo.remove("WinNT://"& strDominio & "/" & strUsuario & ", group")
Se os Windows forem em inglês alterar strGrupo = "Administrator"
Salvar o arquivo com a extensão .VBS. Para encriptar o script visualizar post Encriptando Scripts VBS com o Microsoft Script Encoder
Adicionar o arquivo criado.
Aplicar - OK
Script de inicialização está criado, agora devemos informar em qual OU (Unidade Organizacional) que ele será aplicado.
Esse script eu aplico nas OU das minhas estações, para que todos sejam removido, mas caso alguém deva ficar como Administrador deve-se ter cuidado para que o computador desse usuário não esteja na OU, ou que esse script seja incluído nas configurações de usuários.
Pronto, está criado nossa policy que irá remover os usuários do grupo de administradores locais.
Essa policy não deve ficar muito tempo configurada, pois quando o script não encontra nenhum usuário para remover ele mostra uma mensagem de erro similar a essa:
O script desse post foi retirado do site: Script Center
quarta-feira, 11 de agosto de 2010
Controlador de Dominio como Terminal Service
Boa noite pessoal,
Hoje vou explicar como fazer um controlador de dominio trabalhar como um servidor de terminal tambem.
Bom pessoal, muitas empresas com uma estrutura pequena optam por utilizar no mesmo servidor os servicos de TS e DC, é compreensivel essa escolha pois nem sempre se faz necessário um investimento as vezes considerado alto para uma estrutura pequena, porem, sempre é bom ter um segundo DC para nao ficar totalmente dependente dele, pois caso haja algum desastre com ele, a empresa para.
Para utilizar um DC como servidor de terminal basta ativaremos uma diretiva de segurança e adicionarmos o grupo de Usuarios da Area de Trabalho Remota.
Primeiramente abra o GPMC, localize a GPO Default Domain Controllers Policy, um clique com o botao direito e ir em EDIT.
Com o Editor de Objetos aberto navegue até:
Configuraçoes do Computador - Configuracoes do Windows - Configuracoes de Seguranca - Diretivas Locais - Atribuicao de Direito de Usuario.
Localize a Diretiva: Permitir Logon Pelos serviços de Terminal
Ative-a e clique em Adicionar usuário ou grupo. Ai entao adicione o grupo Usuarios da Area de Trabalho Remota.
Aplique a diretiva.
Agora é só testar, o usuario que for membro do grupo Usuarios da Area de Trabalho Remota, conseguira conectar no TS.
Lembre-se, adicione ao grupo Usuarios da Area de Trabalho Remota somente os usuários que voce realmente quer que se conecte ao servidor.
Outro ponto que devemos ter cuidado pois confunde é que a GPO a ser alterada é a Default Domain Controllers Policy que é que aplica para os controladores de dominio, nao devemos confundir com a Default Domain Policy.
Bom, era isso por hoje.
Hoje vou explicar como fazer um controlador de dominio trabalhar como um servidor de terminal tambem.
Bom pessoal, muitas empresas com uma estrutura pequena optam por utilizar no mesmo servidor os servicos de TS e DC, é compreensivel essa escolha pois nem sempre se faz necessário um investimento as vezes considerado alto para uma estrutura pequena, porem, sempre é bom ter um segundo DC para nao ficar totalmente dependente dele, pois caso haja algum desastre com ele, a empresa para.
Para utilizar um DC como servidor de terminal basta ativaremos uma diretiva de segurança e adicionarmos o grupo de Usuarios da Area de Trabalho Remota.
Primeiramente abra o GPMC, localize a GPO Default Domain Controllers Policy, um clique com o botao direito e ir em EDIT.
Com o Editor de Objetos aberto navegue até:
Configuraçoes do Computador - Configuracoes do Windows - Configuracoes de Seguranca - Diretivas Locais - Atribuicao de Direito de Usuario.
Localize a Diretiva: Permitir Logon Pelos serviços de Terminal
Ative-a e clique em Adicionar usuário ou grupo. Ai entao adicione o grupo Usuarios da Area de Trabalho Remota.
Aplique a diretiva.
Agora é só testar, o usuario que for membro do grupo Usuarios da Area de Trabalho Remota, conseguira conectar no TS.
Lembre-se, adicione ao grupo Usuarios da Area de Trabalho Remota somente os usuários que voce realmente quer que se conecte ao servidor.
Outro ponto que devemos ter cuidado pois confunde é que a GPO a ser alterada é a Default Domain Controllers Policy que é que aplica para os controladores de dominio, nao devemos confundir com a Default Domain Policy.
Bom, era isso por hoje.
Assinar:
Postagens (Atom)