locked
Acesso Remoto de estação do dominio. RRS feed

  • Pergunta

  • Pessoal,

    Seguinte, preciso fazer acesso remoto das estações que estao no AD, mas por padrao o 2008 só libera os RDPs de admins, quero poder acessar o perfil do usuario com a login do proprio user e nao com login de admin.

    Como habilito essa configuração? atualmente quando tento aparece essa mensagem...

    A conexão foi negada porque a conta de usuarios não é autorizada para logon remoto.

    obrigado a todos.

    segunda-feira, 13 de fevereiro de 2012 18:01

Respostas

  • Elias Motta,

    Pode sim utilizar a mesma GPO, uma vez que a GPO do boqueio de acesso a dispositivos USB é aplicada em computadores.

    Para efeito de organização creio que a melhor forma é adicionar uma nova GPO com um nome amigável para efeito de modificação fica mais fácil localizar quais GPOs estão tais modificações, porém não há problema algum se vc utilizar a mesma GPO, até proque através do console "gpmc.msc" é possivel enxergar toda politica aplicada para cada GPO criada de forma fácil.

    Para configurar sugiro o seguinte:

    Abra o Group Policy Object Editor "gpmc.msc"

    vá em:

    Computer configuration / Windows Settings / Security Settings / Resctricted Groups

    Botão direito no "Restricteds Groups" e Add Group (Selecionar o grupo que contém todos usuários que você deseja permissão para acesso remoto) e então será aberta janela referente as propriedades deste Grupo mencionado e em "This Group is a member of" clicar em add e adicionar "Usuários da área de trabalho remota" e "Remote users Desktop" , ou seja, para não haver problemas com idioma sugiro adicionar tanto em português como inglês e não esquecer de digitar corretamente o nome dos grupos em questão da mesma forma que o windows cria como padrão no XP / vista / seven etc etc. Quando vc especifica Administradores e Administrators você está mencionar o grupo local das estações.

    Abraços !


    Richard Farias | INFO EVERY DAY



    • Editado Richard Farias terça-feira, 14 de fevereiro de 2012 21:43
    • Marcado como Resposta Elias Motta quarta-feira, 15 de fevereiro de 2012 12:15
    terça-feira, 14 de fevereiro de 2012 18:18
  •  

    Elias Motta,

    Conforme descrição da sua necessidade eu entendo que para acessar remotamente qualquer estação do domínio utilizando a conta do próprio usuário é necessário que o mesmo seja membro local do grupo "Usuários da área de trabalho remota" das suas respectivas estações , ou seja, já que a conta dos usuários em questão não são administrares locais é necessário add cada usuário em sua respectiva estação como membro deste grupo citado.

    Aconselho até criar uma GPO e utilizar o grupo do AD "Domain users" para que o mesmo seja adicionado no grupo "Usuários da área de trabalho remota" e "Remote Desktop Users" e assim não será necessário adicicionar uma a uma.

    Importante: O grupo "Administradores" local de cada estação já tem permissão padrão para acessar a área de trabalho remota, caso a conta em questão não seja membro deste grupo é necessário explicitar as permissões de cada usuário no grupo "Usuários da área de trabalho remota".

    Abraço !


    Richard Farias | INFO EVERY DAY



    • Editado Richard Farias terça-feira, 14 de fevereiro de 2012 21:40
    • Marcado como Resposta Elias Motta quarta-feira, 15 de fevereiro de 2012 12:16
    segunda-feira, 13 de fevereiro de 2012 22:25
  • Richard... 100% deu certinho nossa configuração... muito obrigado irmao pela ajuda e tua atenção!! , agora consigo capturar o perfil do user sem precisar me deslocar , eu demorei pra responder porque a estacao que eu estava fazendo o teste estava com o serviço de terminal bloqueado no firewall,,, agora vou ver como faço pra liberar isso por GPO.


    Resumo das configs passada pelo Richard Farias. (Richard confere pra ver se esta ok!)

    Fazer acesso remoto das estações que estao no AD.

    RICHARD - Conforme descrição da sua necessidade eu entendo que para acessar remotamente qualquer estação do domínio utilizando a conta do próprio usuário é necessário que o mesmo seja membro local do grupo "Usuários da área de trabalho remota" das suas respectivas estações , ou seja, já que a conta dos usuários em questão não são administrares locais é necessário add cada usuário em sua respectiva estação como membro deste grupo citado.

    Aconselho até criar uma GPO e utilizar o grupo do AD "Domain users" para que o mesmo seja adicionado no grupo "Usuários da área de trabalho remota" e "Remote Desktop Users" e assim não será necessário adicionar uma a uma.

    Importante: O grupo "Administradores" local de cada estação já tem permissão padrão para acessar a área de trabalho remota, caso a conta em questão não seja membro deste grupo é necessário explicitar as permissões de cada usuário no grupo "Usuários da área de trabalho remota".

    Elias - Richard pode me dar uma ajuda com a gpo? pra fazer a adição das contas na diretiva local?

    Duvida... tenho uma gpo que faz bloqueio de usb, poderia ser usada essa gpo pra diretiva local? ou eh melhor criar uma nova?


    RICHARD - Pode sim utilizar a mesma GPO, uma vez que a GPO do boqueio de acesso a dispositivos USB é aplicada em computadores.

    Para efeito de organização creio que a melhor forma é adicionar uma nova GPO com um nome amigável para efeito de modificação fica mais fácil localizar quais GPOs estão tais modificações, porém não há problema algum se vc utilizar a mesma GPO, até porque através do console "gpmc.msc" é possível enxergar toda politica aplicada para cada GPO criada de forma fácil.

    Para configurar sugiro o seguinte

    Abra o Group Policy ObjectEditor "gpmc.msc"

    vá em..

    Computer configuration / Windows Settings / Security Settings / Resctricted Groups

    Botão direito no "Restricteds Groups"e Add Group(Selecionar o grupo que contém todos usuários que você deseja permissão para acesso remoto)e então será aberta janela referente as propriedades deste Grupo mencionado e em "This Group is a member of"clicar em adde adicionar "Usuários da área de trabalho remota" e "Remote users Desktop", ou seja, para não haver problemas com idioma sugiro adicionar tanto em português como inglês e não esquecer de digitar corretamente o nome dos grupos em questão da mesma forma que o windows cria como padrão no XP / vista / seven etc etc. Quando vc especifica ""Usuários da área de trabalho remota" e "Remote Desktop Users"você está a mencionar o grupo local das estações.

    Abraços !



    • Marcado como Resposta Elias Motta quarta-feira, 15 de fevereiro de 2012 12:15
    • Editado Elias Motta quarta-feira, 15 de fevereiro de 2012 12:25
    quarta-feira, 15 de fevereiro de 2012 12:09

Todas as Respostas

  • Elias,

    Insira os usuários que deseja que faça acesso remoto na máquina no grupo remote desktop users.


    Elmo Baraúna, SSA-Ba - FSCTP / MCP / MCDST / MCTS / MCSA / MCT http://infraestruturaealgomais.blogspot.com

    segunda-feira, 13 de fevereiro de 2012 18:28
  • O Usuario ja esta no grupo remote desktop users.. talvez nao estou sendo bem claro...

    Eu quero fazer é o acesso remoto nas estações do AD pra fazer administração... porem quando tento com meu login que eh de admin o remote funciona legal, porem o que eu quero eh fazer o acesso usando a credencial  do usuário.

    segunda-feira, 13 de fevereiro de 2012 18:59
  • Caro Elias Motta :

                 Tente o seguinte : No seu servidor RDP, execute o comando SECPOL.MSC

                 No console que abrirá, vá até o caminho CONFIGURAÇÕES DE USUÁRIO -> DIRETIVAS LOCAIS -> ATRIBUIÇÃO DE DIREITOS DE USUÁRIO.

                 Clique duas vezes na diretiva PERMITIR LOGON PELOS SERVICOS DE TERMINAL.

                 A partir daí, adicione o grupo desses usuários que você quer que se conectem por RDP e faça o teste.

    Espero ter ajudado.

    Abraços.


    LLMC

    segunda-feira, 13 de fevereiro de 2012 19:36
  • Olá Elias,

    Pelo que entendi, você quer a partir de qualquer máquina "estação" acessar qualquer outra máquina "estação" utilizando a conta de usuário correspondente a estação em questão, é isso ?

    Abraços !


    Richard Farias | INFO EVERY DAY

    segunda-feira, 13 de fevereiro de 2012 19:57
  • Na verdade quero acessar qualquer maquina do AD a partir da minha maquina, não tenho necessidade de acessar de outras maquinas!

    eu trabalhalhava em workgroup anteriormente e naquele modo conseguia fazer login com a credencial do user, agora que migrei pra DOMINIO nao consigo mais acessar as estações com as credenciais dos users, somente com credencial de admim, como preciso ver oque esta acontecendo no perfil do usuario tenho q me deslocar ate a maquina do usuario, seria melhor fazer remoto :-)

    obrigado pela atencao.


    • Editado Elias Motta segunda-feira, 13 de fevereiro de 2012 20:14
    segunda-feira, 13 de fevereiro de 2012 20:14
  • Para este fim, seria melhor usar software de terceiros, como VNC ou Teamviewer.



    MCITP Enterprise Support Windows Vista, MCITP Enterprise Support Windows 7, MCITP Server Administrator, MCTS Windows Server 2008 Applications Infrastructure, Configuring, ITIL v3

    • Sugerido como Resposta Rodrigo Ataíde terça-feira, 14 de fevereiro de 2012 16:55
    segunda-feira, 13 de fevereiro de 2012 21:08
  •  

    Elias Motta,

    Conforme descrição da sua necessidade eu entendo que para acessar remotamente qualquer estação do domínio utilizando a conta do próprio usuário é necessário que o mesmo seja membro local do grupo "Usuários da área de trabalho remota" das suas respectivas estações , ou seja, já que a conta dos usuários em questão não são administrares locais é necessário add cada usuário em sua respectiva estação como membro deste grupo citado.

    Aconselho até criar uma GPO e utilizar o grupo do AD "Domain users" para que o mesmo seja adicionado no grupo "Usuários da área de trabalho remota" e "Remote Desktop Users" e assim não será necessário adicicionar uma a uma.

    Importante: O grupo "Administradores" local de cada estação já tem permissão padrão para acessar a área de trabalho remota, caso a conta em questão não seja membro deste grupo é necessário explicitar as permissões de cada usuário no grupo "Usuários da área de trabalho remota".

    Abraço !


    Richard Farias | INFO EVERY DAY



    • Editado Richard Farias terça-feira, 14 de fevereiro de 2012 21:40
    • Marcado como Resposta Elias Motta quarta-feira, 15 de fevereiro de 2012 12:16
    segunda-feira, 13 de fevereiro de 2012 22:25
  • Amigo Elias, utiliza o dameware para esse trabalho, utilizo no meus clientes e estou muito satisfeito, vc instala o cliente da sua propria maquina.

    http://www.dameware.com/Downloads.aspx

    Espero ter ajudado

    Abraços.


    Valmor Lima MCP | MCSA | MCTS | MCITP

    segunda-feira, 13 de fevereiro de 2012 22:28
  • Vou tentar esse modo Richard, aviso se deu certo, obrigado... era por esse caminho que eu estava pensando em resolver.
    terça-feira, 14 de fevereiro de 2012 15:27
  • Richard pode me dar uma ajuda com a gpo? pra fazer a adicao das contas na diretiva local?

    Duvida... tenho uma gpo que faz bloqueio de usb, poderia ser usada essa gpo pra diretiva local? ou eh melhor criar uma nova?

    obrigado pela ajuda.

    Elias

    terça-feira, 14 de fevereiro de 2012 16:35
  • Elias Motta,

    Pode sim utilizar a mesma GPO, uma vez que a GPO do boqueio de acesso a dispositivos USB é aplicada em computadores.

    Para efeito de organização creio que a melhor forma é adicionar uma nova GPO com um nome amigável para efeito de modificação fica mais fácil localizar quais GPOs estão tais modificações, porém não há problema algum se vc utilizar a mesma GPO, até proque através do console "gpmc.msc" é possivel enxergar toda politica aplicada para cada GPO criada de forma fácil.

    Para configurar sugiro o seguinte:

    Abra o Group Policy Object Editor "gpmc.msc"

    vá em:

    Computer configuration / Windows Settings / Security Settings / Resctricted Groups

    Botão direito no "Restricteds Groups" e Add Group (Selecionar o grupo que contém todos usuários que você deseja permissão para acesso remoto) e então será aberta janela referente as propriedades deste Grupo mencionado e em "This Group is a member of" clicar em add e adicionar "Usuários da área de trabalho remota" e "Remote users Desktop" , ou seja, para não haver problemas com idioma sugiro adicionar tanto em português como inglês e não esquecer de digitar corretamente o nome dos grupos em questão da mesma forma que o windows cria como padrão no XP / vista / seven etc etc. Quando vc especifica Administradores e Administrators você está mencionar o grupo local das estações.

    Abraços !


    Richard Farias | INFO EVERY DAY



    • Editado Richard Farias terça-feira, 14 de fevereiro de 2012 21:43
    • Marcado como Resposta Elias Motta quarta-feira, 15 de fevereiro de 2012 12:15
    terça-feira, 14 de fevereiro de 2012 18:18
  • Elias,

    Somente para infromação, na minha ultima resposta sobre como configurar a GPO ..eu acabei errando e já corrigi, ou seja, não são os grupos administrares e administrators, os grupos são:

    ""Usuários da área de trabalho remota" e "Remote Desktop Users"

    Abraços !


    Richard Farias | INFO EVERY DAY

    terça-feira, 14 de fevereiro de 2012 21:46
  • Sim eu percebi e coloquei o grupo correto estou fazendo o teste, logo posto... obrigado Richard.
    quarta-feira, 15 de fevereiro de 2012 11:16
  • Richard... 100% deu certinho nossa configuração... muito obrigado irmao pela ajuda e tua atenção!! , agora consigo capturar o perfil do user sem precisar me deslocar , eu demorei pra responder porque a estacao que eu estava fazendo o teste estava com o serviço de terminal bloqueado no firewall,,, agora vou ver como faço pra liberar isso por GPO.


    Resumo das configs passada pelo Richard Farias. (Richard confere pra ver se esta ok!)

    Fazer acesso remoto das estações que estao no AD.

    RICHARD - Conforme descrição da sua necessidade eu entendo que para acessar remotamente qualquer estação do domínio utilizando a conta do próprio usuário é necessário que o mesmo seja membro local do grupo "Usuários da área de trabalho remota" das suas respectivas estações , ou seja, já que a conta dos usuários em questão não são administrares locais é necessário add cada usuário em sua respectiva estação como membro deste grupo citado.

    Aconselho até criar uma GPO e utilizar o grupo do AD "Domain users" para que o mesmo seja adicionado no grupo "Usuários da área de trabalho remota" e "Remote Desktop Users" e assim não será necessário adicionar uma a uma.

    Importante: O grupo "Administradores" local de cada estação já tem permissão padrão para acessar a área de trabalho remota, caso a conta em questão não seja membro deste grupo é necessário explicitar as permissões de cada usuário no grupo "Usuários da área de trabalho remota".

    Elias - Richard pode me dar uma ajuda com a gpo? pra fazer a adição das contas na diretiva local?

    Duvida... tenho uma gpo que faz bloqueio de usb, poderia ser usada essa gpo pra diretiva local? ou eh melhor criar uma nova?


    RICHARD - Pode sim utilizar a mesma GPO, uma vez que a GPO do boqueio de acesso a dispositivos USB é aplicada em computadores.

    Para efeito de organização creio que a melhor forma é adicionar uma nova GPO com um nome amigável para efeito de modificação fica mais fácil localizar quais GPOs estão tais modificações, porém não há problema algum se vc utilizar a mesma GPO, até porque através do console "gpmc.msc" é possível enxergar toda politica aplicada para cada GPO criada de forma fácil.

    Para configurar sugiro o seguinte

    Abra o Group Policy ObjectEditor "gpmc.msc"

    vá em..

    Computer configuration / Windows Settings / Security Settings / Resctricted Groups

    Botão direito no "Restricteds Groups"e Add Group(Selecionar o grupo que contém todos usuários que você deseja permissão para acesso remoto)e então será aberta janela referente as propriedades deste Grupo mencionado e em "This Group is a member of"clicar em adde adicionar "Usuários da área de trabalho remota" e "Remote users Desktop", ou seja, para não haver problemas com idioma sugiro adicionar tanto em português como inglês e não esquecer de digitar corretamente o nome dos grupos em questão da mesma forma que o windows cria como padrão no XP / vista / seven etc etc. Quando vc especifica ""Usuários da área de trabalho remota" e "Remote Desktop Users"você está a mencionar o grupo local das estações.

    Abraços !



    • Marcado como Resposta Elias Motta quarta-feira, 15 de fevereiro de 2012 12:15
    • Editado Elias Motta quarta-feira, 15 de fevereiro de 2012 12:25
    quarta-feira, 15 de fevereiro de 2012 12:09
  • Valeu amigo, deu certo para mim

    VAGNER TOMAZ

    quarta-feira, 21 de fevereiro de 2018 16:32