none
Desafio TS RRS feed

  • Pergunta

  • Meus caros,

    Como proibir TS em um servidor para apenas um usuário através de GPO e permitir para outros usuários?

    Se as configurações de TS ficam na sessão "Computer" da GPO, como posso proibir apenas um usuário?

    Desde já agradeço,


    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    terça-feira, 11 de maio de 2010 12:41

Respostas

  • Meus caros,

    Encontrei hoje procurando por outra coisa.

    Na Default Domain Controller Security Settings, vá até Local Polices > User Rights Assignment > Deny log on through Terminal Services.

    Lá é possível adicionar usuários e grupos que NÃO irão acessar via TS. Pior que não deixa de ser uma GPO :-P

    Agradeço a todos que contribuíram e não deixaram o post morrer.

    Obrigado!


    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    • Marcado como Resposta Luiz Mercante quarta-feira, 12 de maio de 2010 23:09
    quarta-feira, 12 de maio de 2010 23:09

Todas as Respostas

  • Você quer que um usuario em particular não acesse o TS? É isso?

    Porque não tira ele do grupo usuarios da area de trabalho remota?

    terça-feira, 11 de maio de 2010 14:57
  • Não, eu tenho a seguinte questão de prova para resolver:

    Criar uma GPO que proiba o usuário "Teste" de acessar o servidor remotamente. Acontece que não encontrei na GPO uma forma de especificar quem pode acessar ou não porque as configurações de TS ficam na parte "Computers" da GPO.

     

    Valeu

     


    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    terça-feira, 11 de maio de 2010 17:25
  • Vc crie um grupo e dentro desse grupo vc coloca o s usuarios para acesso.

    Em Terminal service configuration opção de permissao vc ADD esse grupo!!

    Entao so quem estiver nesse grupo tera acesso!


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 11 de maio de 2010 17:42
  • Perfeito. Na prática resolveria a situação mas é uma questão de prova.

    A questão é:

    6-Crie uma GPO que proíbe acesso via TS para o usuário Teste.

    Me disseram que não há como fazer isso via GPO, e eu também não encontrei nada. Alguém resolve esta?


    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    terça-feira, 11 de maio de 2010 19:44
  • Tem uma opção na GPO a nivel de maquina:

    chamada: Negar logon pelo serviço de terminal e outra Permitir logon pelo serviço de terminal

     

     


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 11 de maio de 2010 20:05
  • Na GPO, use filtragem de segurança.

     

    http://technet.microsoft.com/pt-br/library/cc781988(WS.10).aspx

     

    Abraços,

     

    terça-feira, 11 de maio de 2010 20:11
  • Então Luiz, via GPO acho que não dá...mas tem outros métodos como:

    Vá na conta de usuário da pessoa no AD e vá na aba "Terminal Services Profile"

    lá embaixo vai ter um check box "Deny this user permissions to log on to any Terminal Services"

     

    ou:

     

    vá em executar digite tscc.msc

    depois vá em connections , e clique com o botão direito em RDP-Tcp e em propriedades.

    vá na aba permissions e adicione o usuário e de a permissão de negar.


    Danilo Peixoto MCP, CSSA (Certified SonicWALL Security Administrator)
    • Sugerido como Resposta Valdemir_Bu quarta-feira, 12 de maio de 2010 18:43
    terça-feira, 11 de maio de 2010 20:20
  • Danilo, é possivel sim. COm filtragem de segurança no GPMC.

     

    Abraços,

     

    terça-feira, 11 de maio de 2010 20:29
  • Coronel,

    Pode me dar umas dicas de como se usa esta filtragem? Acho que é isso que estão perguntando então...


    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    terça-feira, 11 de maio de 2010 23:18
  • Pois é, voce tem razao Coronel, é possível sim..

    agora que eu dei uma pesquisada melhor verifiquei


    Danilo Peixoto MCP, CSSA (Certified SonicWALL Security Administrator)
    quarta-feira, 12 de maio de 2010 02:31
  • Vc colocando o usuario dentro do Negar logon pelo serviço de terminal ja ira funcionar....

    Acredito que o que o Corenal esta falando e na parte de delegation da GPO...


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 12 de maio de 2010 11:48
  • sim. o caminho é o seguinte :

    Configuração do computador > Configurações do windows > configurações de segurança > diretivas locais > atribiução de direitos do usuário

    localizar a diretiva "negar logon pelos serviços de terminal".

     

     


    Danilo Peixoto MCP, CSSA (Certified SonicWALL Security Administrator)
    • Sugerido como Resposta Valdemir_Bu quarta-feira, 12 de maio de 2010 18:43
    quarta-feira, 12 de maio de 2010 15:47
  • Meus caros,

    Encontrei hoje procurando por outra coisa.

    Na Default Domain Controller Security Settings, vá até Local Polices > User Rights Assignment > Deny log on through Terminal Services.

    Lá é possível adicionar usuários e grupos que NÃO irão acessar via TS. Pior que não deixa de ser uma GPO :-P

    Agradeço a todos que contribuíram e não deixaram o post morrer.

    Obrigado!


    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    • Marcado como Resposta Luiz Mercante quarta-feira, 12 de maio de 2010 23:09
    quarta-feira, 12 de maio de 2010 23:09
  • Essa policy se aplica aos controladores de dominio!!!
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quinta-feira, 13 de maio de 2010 11:54
  • Isso mesmo... mas acabei de encontrar nas polices comuns... tem em todas as polices, é só procurar e habilitar...


    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    quinta-feira, 13 de maio de 2010 15:51