none
Grupos para Área de Trabalho Remota RRS feed

  • Pergunta

  • Olá, em meu ambiente tenho um servidor com o serviço do Active Directory e outro com o sistema da empresa em que os usuários acessam através de Remote Apps, entre outros servidores não relevantes para o caso. Todos os servidores em questão tem Windows Server 2012 R2 instalados.

    Sendo assim meu problema é: No setor de TI da minha empresa existem funcionários além dos Sys Admins como o pessoal do setor de desenvolvimento por exemplo, e nesse modo há necessidades de que os usuários que utilizam os Remote Apps tenham sua seção finalizada, seja por travamento de algum programa ou questões técnicas do pessoal do desenvolvimento, só que não é de desejo da empresa e nem uma boa pratica pra administração do servidor que todos os usuários do departamento de TI sejam administradores do servidor de remote app. Dessa forma pergunto em que grupo de usuário devo colocá-los para que eles possam obter essa função (desconectar usuários e/ou fazer logoff)? Ou se devo criar algo no AD?

    terça-feira, 1 de março de 2016 18:54

Respostas

  • No servidor onde a função de RDS está instalada, abra o Windows PowerShell como Administrator e execute o seguinte comando:

    Get-WmiObject -Namespace "root/CIMv2/TerminalServices" -Class Win32_TSPermissionsSetting | ? {$_.TerminalName -eq "RDP-Tcp"} | Select-Object -ExpandProperty StringSecurityDescriptor


    No resultado provavelmente não haverá nenhum grupo de domínio, então, para inserir um grupo de domínio chamado ServiceDesk com permissões para desconectar um sessão, por exemplo, execute o seguinte comando:

    (Get-WmiObject -Namespace "root/CIMv2/TerminalServices" -Class Win32_TSPermissionsSetting | ? {$_.TerminalName -eq "RDP-Tcp"}).AddAccount("DomainName\ServiceDesk",2)


    Após isso, execute novamente o primeiro comando e veja se o grupo está sendo apresentado na propriedades StringSecurityDescriptor.

    Esta é a forma de tratar este tipo de situação no Windows Server 2012 e posteriores por não estar presente a console do RDS Session Host. A título de conhecimento, caso precise retornar as configurações para o estado padrão, o comando é:

    (Get-WmiObject -Namespace "root/CIMv2/TerminalServices" -Class Win32_TSPermissionsSetting | ? {$_.TerminalName -eq "RDP-Tcp"}).RestoreDefaults()

    Infelizmente não há uma forma muito granular de fornecer permissões. Teste no final e veja se o grupo possui as permissões que você espera que tenha sem estar associado ao grupo Administrators local.


    • Editado 4HorsemenOfDaIT segunda-feira, 7 de março de 2016 18:36
    • Marcado como Resposta Marcos SJ segunda-feira, 14 de março de 2016 20:34
    segunda-feira, 7 de março de 2016 18:35

Todas as Respostas

  • Olá Roberto,

    Neste caso você deve editar as propriedades de segurança e conceder permissão de acesso especial Desconectar.

    No link abaixo você encontrará maiores detalhes de como fazer isso.

    (Configurar permissões para conexões dos Serviços de Área de Trabalho Remota)

    https://technet.microsoft.com/pt-br/library/cc753032.aspx 

    Abs,


    Alex Silva - MCSE | MCSA | MCITP | MCTS | MCP | MCT - http://zedump.wordpress.com | Twitter: @zedump

    • Marcado como Resposta Marcos SJ terça-feira, 1 de março de 2016 20:53
    • Não Marcado como Resposta Roberto Gama quinta-feira, 3 de março de 2016 14:26
    terça-feira, 1 de março de 2016 19:35
  • Li o artigo que você me indicou amigo, porém ele se refere a recursos do Window Server 2008, algo que está completamente diferente no Window Server 2012 o qual é meu caso, nesse modo não achei as respetivas funções referenciadas.
    quarta-feira, 2 de março de 2016 14:02
  • Essa resposta não se aplica ao server 2012, será que existe algum artigo mais atualizado para esta versão?
    quinta-feira, 3 de março de 2016 19:57
  • Olá,

    Veja se este artigo ajuda.

    https://technet.microsoft.com/pt-BR/library/hh831447.aspx

    Estou verificando no meu lab outras opções em seguida informarei.

    Abs,


    Alex Silva - MCSE | MCSA | MCITP | MCTS | MCP | MCT - http://zedump.wordpress.com | Twitter: @zedump

    sexta-feira, 4 de março de 2016 18:58
  • Olá,

    No link abaixo você encontrará maiores detalhes sobre Remote Desktop Management Server.

    https://blogs.technet.microsoft.com/askperf/2012/10/30/windows-8-windows-server-2012-remote-desktop-management-server/

    Abs,


    Alex Silva - MCSE | MCSA | MCITP | MCTS | MCP | MCT - http://zedump.wordpress.com | Twitter: @zedump

    segunda-feira, 7 de março de 2016 16:04
  • No servidor onde a função de RDS está instalada, abra o Windows PowerShell como Administrator e execute o seguinte comando:

    Get-WmiObject -Namespace "root/CIMv2/TerminalServices" -Class Win32_TSPermissionsSetting | ? {$_.TerminalName -eq "RDP-Tcp"} | Select-Object -ExpandProperty StringSecurityDescriptor


    No resultado provavelmente não haverá nenhum grupo de domínio, então, para inserir um grupo de domínio chamado ServiceDesk com permissões para desconectar um sessão, por exemplo, execute o seguinte comando:

    (Get-WmiObject -Namespace "root/CIMv2/TerminalServices" -Class Win32_TSPermissionsSetting | ? {$_.TerminalName -eq "RDP-Tcp"}).AddAccount("DomainName\ServiceDesk",2)


    Após isso, execute novamente o primeiro comando e veja se o grupo está sendo apresentado na propriedades StringSecurityDescriptor.

    Esta é a forma de tratar este tipo de situação no Windows Server 2012 e posteriores por não estar presente a console do RDS Session Host. A título de conhecimento, caso precise retornar as configurações para o estado padrão, o comando é:

    (Get-WmiObject -Namespace "root/CIMv2/TerminalServices" -Class Win32_TSPermissionsSetting | ? {$_.TerminalName -eq "RDP-Tcp"}).RestoreDefaults()

    Infelizmente não há uma forma muito granular de fornecer permissões. Teste no final e veja se o grupo possui as permissões que você espera que tenha sem estar associado ao grupo Administrators local.


    • Editado 4HorsemenOfDaIT segunda-feira, 7 de março de 2016 18:36
    • Marcado como Resposta Marcos SJ segunda-feira, 14 de março de 2016 20:34
    segunda-feira, 7 de março de 2016 18:35