locked
Restringir acesso de computadores à área de trabalho remota de windows server 2003 RRS feed

  • Pergunta

  • Olá

    Estou com o seguinte problema em um servidor 2003 r2: Possuo dez licenças cal por dispositivo e alguns usuários que possuem permissão para acessar a área de trabalho remota do windows. Os usuários deveriam conectar somente de algumas estações de trabalho específicas, porém alguns deles teêm conhecimento do endereço do servidor e conectam indiscriminadamente de diferentes estações de trabalho. Gostaria de saber se há alguma forma de selecionar previamente os computares que podem estabelecer uma conexão remota com o server 2003, pois isso tem gerado um desperdício no uso das licenças cal.

    terça-feira, 16 de outubro de 2012 03:47

Respostas

  • Alan, 

    existe uma forma paleativa.

    Seria vc criar uma regra de firewall dentro do windows liberando a porta 3389 do servidor para essa maquina.
    Porém, ou a maquina precisa ter o ip fixo ou vc precisa fazer uma reserva de mac address para a maquina.

    Você também pode aplicar as regras de firewall através de GPO facilitando sua vida, porém existe a necessidade de realizar alguns testes.

    GPO

    Windows Settings - Security Settings - Windows Firewall - Windows Fi - Inbound Rules 

    Abraço 

    Vinícius Kleber

    • Marcado como Resposta Paul Haro quarta-feira, 24 de outubro de 2012 10:17
    quarta-feira, 17 de outubro de 2012 00:48
  • Alan,

    Já tentou ligar na Microsoft para verificar se há algum custo, caso você altere o tipo de licenciamento, de dispositivo para usuário.

    Obrigado.


    Paul Haro - Microsoft Certified Professional

    • Marcado como Resposta Paul Haro quarta-feira, 24 de outubro de 2012 10:18
    quinta-feira, 18 de outubro de 2012 13:26

Todas as Respostas

  • Amigo,

    Porque você não restringe o acesso do usuário a uma única sessão:

    Obrigado.


    Paul Haro - Microsoft Certified Professional

    terça-feira, 16 de outubro de 2012 19:38
  • O problema não são os logins simultâneos e sim o usuário utilizar um pc para conectar ao servidor via remote desktop, utilizar uma cal que vai ficar atrelado aquele pc que só vai expirar daqui há uns 90 dias e depois outro e mais outro...

    terça-feira, 16 de outubro de 2012 22:46
  • Alan, 

    existe uma forma paleativa.

    Seria vc criar uma regra de firewall dentro do windows liberando a porta 3389 do servidor para essa maquina.
    Porém, ou a maquina precisa ter o ip fixo ou vc precisa fazer uma reserva de mac address para a maquina.

    Você também pode aplicar as regras de firewall através de GPO facilitando sua vida, porém existe a necessidade de realizar alguns testes.

    GPO

    Windows Settings - Security Settings - Windows Firewall - Windows Fi - Inbound Rules 

    Abraço 

    Vinícius Kleber

    • Marcado como Resposta Paul Haro quarta-feira, 24 de outubro de 2012 10:17
    quarta-feira, 17 de outubro de 2012 00:48
  • Pra mim não seria prático, pois este servidor também é acessado externamente.
    quarta-feira, 17 de outubro de 2012 01:01
  • Alan,

    Qual opção não é prática ?

    Obrigado.


    Paul Haro - Microsoft Certified Professional

    quarta-feira, 17 de outubro de 2012 13:25
  • Caro Paul,

    Se eu restringir cada usuário para uma única sessão, isso somente vai impossibilitar de o usuário logar via ts a partir de mais de uma estação de trabalho ao mesmo tempo, porém ele ainda vai ter a possibilidade de fechar a conexão remota e conectar a partir de outra máquina, está correto?

    O que eu preciso seria impedir que sejam usadas novas licenças ts cal por dispositivos.

    Acho que o mais pertinente seria ter adquirido licenças por usuário, mas por enquanto o pessoal aqui não está disposto a mexer no bolso, então estou tentando encontrar alguma forma de impedir que sejam utilizadas todas as licenças de dispositivos sem necessidade.

    quarta-feira, 17 de outubro de 2012 17:35
  • Alan,

    Já tentou ligar na Microsoft para verificar se há algum custo, caso você altere o tipo de licenciamento, de dispositivo para usuário.

    Obrigado.


    Paul Haro - Microsoft Certified Professional

    • Marcado como Resposta Paul Haro quarta-feira, 24 de outubro de 2012 10:18
    quinta-feira, 18 de outubro de 2012 13:26
  • Alan, eu acho que não ficou muito claro...

    Você vai aplicar as regras de firewall, nas estações e não no servidor.

    Não vai existir regras em cima do servidor, e sim das estações. Então, quando alguém fazer alguma acesso externo, não implicará em nada.

    Porém vc precisa organizar e separar as estações que vc queria que acesse o servidor.

    abraço !


    Vinícius Kleber

    sexta-feira, 19 de outubro de 2012 18:32
  • Vinícius,

    Desculpe, mas acho que não entendi direito como configurar as regras de firewall nas estações.

    Possuo um servidor Server 2003 R2 e aproximadamente 75 estações, sendo 90% delas windows XP Pro. Seu eu configurar as regras de firewall nas estações, teria que criar uma regra outbound no firewall, correto? Porém esta não é suportada no windows XP.

    Além disso, no meu roteador tenho configurado um DNS Dinâmico e direcionado a porta 3389 para o meu servidor, pois 3 máquinas acessam o servidor externamente. A princípio minha ideia era ter como "autorizar" previamente ou somente através de um login com privilégios administrativos os dispositivos que podem acessar o servidor via ts, para não ter o problema de uma pessoa ir em qualquer outro PC e realizar o acesso. Analogamente, seria como ingressar um computador no domínio,  somente logins com privilégios administrativos ou delegados para a função poderiam autorizá-los no servidor.

    sexta-feira, 19 de outubro de 2012 22:57
  • Paul,

    Não cheguei a verificar esta possibilidade, porém no meu cenário atual eu tenho mais usuários do que máquinas que acessam remotamente, pois alguns usuários compartilham computadores, principalmente quando o acesso é realizado externamente. Estudarei esse caso para ver se vale a pena essa mudança.

    Obrigado.

    sexta-feira, 19 de outubro de 2012 23:12
  • Boa noite Allan,

    Segue imagens abaixo:

    Marque a máquina para fazer logon somente na estação que desejar:

    Negar usuário a fazer logon na área de trabalho remota.

    E o melhor, mude a porta do seu rdp de 3389 para qualquer outra exemplo:  44589. Assim nem aparecerá a tela do terminal. Vá no regedit e digite portnumber mude todas que aparecer como 3389 e altera para desejada. Reinicie o server e pronto.

    Vinicius Mozart

    quinta-feira, 25 de outubro de 2012 22:30