locked
GPO de usuário bloqueio Workstation (não aplicar para todas as máquinas) RRS feed

  • Pergunta

  • Bom dia!

    Pesquisei bastante sobre o assunto, porém não consegui realizar os procedimentos que eu quero, também não achei algo tão específico que eu quero. Vamos lá.


    Aqui na empresa temos uma GPO no windows server 2012 que faz o bloqueio de tela após 180segundos e para desbloquear é necessário colocar a senha novamente (Configuração do usuário>Diretivas>Modelos Administrativos>Painel de controle>Personalização).

    Até aí tudo bem, funciona muito bem, porém como isso é uma GPO de usuário ele vai aplicar a TODAS as máquinas que você logar e aí que mora o problema.

    Temos serviço de RDS também, utilizamos pra acessar o sistema da empresa, como está tudo no mesmo domínio a política se aplica também aos servidores de RDS. Então está lá, você usando a máquina normal e digitando seus pareceres no CRM e um pouco que você deixa de mexer a tela bloqueia no RDS (o que é a maior chatice).

    Alguém da uma ideia de como poder fazer para que a GPO se aplique pras máquinas workstation mas não se aplique aos servidores, servidores de RDS, etc..?

    Já tentei ir em "Filtros de segurança" da GPO onde diz "As configurações deste GPO só podem se aplicar aos grupos, usuários e computadores a seguir:". A ideia era adicionar o grupo de servidores e fazer uma negação, mas não há como fazer isso, inclusive por ser uma GPO de usuário acho que isso não se aplicaria.


    • Editado Guilherme MB terça-feira, 17 de janeiro de 2017 11:13
    terça-feira, 17 de janeiro de 2017 11:12

Respostas

  • Olá Guilherme,

    Você pode criar na GPO em questão um filtro WMI, onde você informa que a GPO só irá se aplicar nos sistemas operacionais Windows 7, Windows 8, Windows 10, entre outros, desta forma não será aplicada nos servidores que rodam Windows Server 2008, 2012, etc.

    Veja este artigo, explica muito bem como você criar o filtro e especificar com base no sistema operacional que você quer que a GPO se aplique http://www.cooperati.com.br/2013/07/19/incremente-suas-gpos-com-filtros-wmi/

    Veja também https://technet.microsoft.com/pt-br/library/jj717288(v=ws.11).aspx

    Abraços!

    __________________________________________

    Paulo Sergio Aguiar Trigueiro | MCP

    Skype: paulo.satrigueiro




    quarta-feira, 25 de janeiro de 2017 13:28

Todas as Respostas

  • Bom dia!

    Pode aplicar apenas nas OUs específicas que vão utilizar esta GPO.


    Erik R. Filippini MCP | MTA | MCSA 2012 | MCSE Server Infrastructure | VCP-DCV 5 | VCP-DCV 6 | ITIL V3 ** Caso responda sua pergunta, favor marcar como resposta **

    terça-feira, 17 de janeiro de 2017 13:28
  • Entendo, mas a questão é que é uma GPO de usuário, e o mesmo usuário eu uso para os servidores de RDS tanto quanto para os do desktop.

    Para o Desktop não vejo problemas em bloquear a tela, porém para os servidores de RDS não é legal que bloqueie, pois temos que ficar botando senha toda hora pra desbloquear e poder dar o parecer no sistema.

    terça-feira, 17 de janeiro de 2017 16:28
  • Boa tarde Guilherme MB

    Alguma atualização a respeito do seu caso?

    Atenciosamente.


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    sexta-feira, 20 de janeiro de 2017 19:35
  • Infelizmente não consegui resolver ainda.
    quarta-feira, 25 de janeiro de 2017 00:24
  • Guilherme, você está tentando olhar para a esquerda e para a direita ao mesmo tempo (risos). Se os funcionários tivessem usuários distintos para acessar o computador local e o TS, daria certo, mas ficaria um processo também chato. Tente convencer a gerência a alterar o tempo de inatividade para 900 segundos, talvez 180 seja muito pouco. Não há o que fazer nesse caso, infelizmente.
    quarta-feira, 25 de janeiro de 2017 10:01
  • Olá Guilherme,

    Você pode criar na GPO em questão um filtro WMI, onde você informa que a GPO só irá se aplicar nos sistemas operacionais Windows 7, Windows 8, Windows 10, entre outros, desta forma não será aplicada nos servidores que rodam Windows Server 2008, 2012, etc.

    Veja este artigo, explica muito bem como você criar o filtro e especificar com base no sistema operacional que você quer que a GPO se aplique http://www.cooperati.com.br/2013/07/19/incremente-suas-gpos-com-filtros-wmi/

    Veja também https://technet.microsoft.com/pt-br/library/jj717288(v=ws.11).aspx

    Abraços!

    __________________________________________

    Paulo Sergio Aguiar Trigueiro | MCP

    Skype: paulo.satrigueiro




    quarta-feira, 25 de janeiro de 2017 13:28
  • Era algo assim que eu estava querendo.. Vou tentar nessa semana ainda e caso eu consiga marco a sua resposta.

    Se tivesse algo pra colocar grupo de segurança de computadores para tais políticas não serem aplicadas a tais grupos com uma negação ou apenas para serem aplicadas a tais grupos de computadores, resolveria..

    Vou tentar a sua e aviso. Muito obrigado.

    quinta-feira, 26 de janeiro de 2017 02:15
  • Pois é.. rs..

    Vou tentar mais alguma coisa antes de chegar a esse ponto de aumentar o tempo..

    Obrigado pela resposta..

    quinta-feira, 26 de janeiro de 2017 02:16
  • A ideia do Paulo Sérgio é ótima, não me lembrava que os filtros WMI fazem filtragem por SO. Guilherme, não esqueça do feedback, por favor!
    • Editado Bruno T. A. Guerra quinta-feira, 26 de janeiro de 2017 09:58 Correção ortográfica
    quinta-feira, 26 de janeiro de 2017 09:54
  • Olá Guilherme,

    Você pode criar na GPO em questão um filtro WMI, onde você informa que a GPO só irá se aplicar nos sistemas operacionais Windows 7, Windows 8, Windows 10, entre outros, desta forma não será aplicada nos servidores que rodam Windows Server 2008, 2012, etc.

    Veja este artigo, explica muito bem como você criar o filtro e especificar com base no sistema operacional que você quer que a GPO se aplique http://www.cooperati.com.br/2013/07/19/incremente-suas-gpos-com-filtros-wmi/

    Veja também https://technet.microsoft.com/pt-br/library/jj717288(v=ws.11).aspx

    Abraços!

    __________________________________________

    Paulo Sergio Aguiar Trigueiro | MCP

    Skype: paulo.satrigueiro




    Funcionou perfeitamente, Paulo. Muito obrigado.

    Fiz da seguinte forma, conforme o link que você me passou, fiz alteração para que a política apenas aplique para workstation. Então o Filtro ficou assim: select * from Win32_OperatingSystem where ProductType="1"

    Isso se deve a seguinte explicação :

    "Para restringir a consulta apenas a clientes ou servidores, adicione uma cláusula que inclui o parâmetro ProductType. Para filtrar apenas para sistemas operacionais clientes, como Windows 8 ou Windows 7, use somente ProductType="1". Para sistemas operacionais de servidores que não são controladores de domínio, use ProductType="3". Para controladores de domínio apenas, use ProductType="2". Esta é uma distinção útil, porque muitas vezes você quer evitar que os GPOs sejam aplicados aos controladores de domínio em sua rede." De acordo com o Link que foi passado.

    Após isso, apliquei o filtro na GPO e tudo funcionou perfeitamente. Agradeço novamente pelo esforço da galera e principalmente do Paulo.

    PS: Ia postar imagens do que foi feito, porém a Technet está informando que minha conta não foi verificada.

    quinta-feira, 26 de janeiro de 2017 19:50
  • Ótimo Guilherme,

    Fico muito feliz que minha postagem tenha sido útil na resolução do seu problema e de futuros colegas que venham a necessitar utilizar essa solução.

    Agradeço pelo seu feedback.

    Também agradeço o empenho e esforço de todos!

    Abraços!

    __________________________________________

    Paulo Sergio Aguiar Trigueiro | MCP

    Skype: paulo.satrigueiro



    quinta-feira, 26 de janeiro de 2017 19:58
  • Muito bom. Excelente solução Paulo. Abraço a todos.
    quinta-feira, 26 de janeiro de 2017 22:26