Controle Remoto Sem Permissão – RDS Windows Server 2012 R2 Via GPO

Nesse artigo vamos mostrar como alterar as permissões de controle remoto ou sombra, no Remote Desktop Service no Windows Server 2012 R2. Com as mudanças no serviços de RDS, muitos administradores não encontraram uma forma de configurar via console as permissões para acesso da sessão do usuário. Esse opção é muito utilizada no Windows Server 2008 R2 para monitorar usuários ou até mesmo facilitar o acesso para uma manutenção sem permissão. No Windows Server 2012 R2, essa configuração só é possível via Group Policy, pois essa opção não está disponível nas configurações do RDS.

Primeiramente acesse a GPO que deseja editar, e faça o seguinte caminho:

Configurações do Usuário/Políticas/Modelos Administrativos/Componentes do Windows/Serviços da Área de Trabalho Remota/Host de Sessão da Área de Trabalho Remota/Conexões/Definir regras para o controle remoto de sessão do usuário…

Confira a imagem abaixo:

Habilite a regra e defina qual regra deseja aplicar e qual se encaixa melhor para seu ambiente. Veja que possuímos as opções abaixo:

  1. Controle remoto não permitido;
  2. Controle Total com permissão do usuário;
  3. Controle Total sem permissão do usuário; 
  4. Exibir Sessão com permissão do usuário;
  5. Exibir Sessão sem permissão do usuário.

No exemplo abaixo escolhemos a opção para “Controle Total sem permissão do usuário”, ou seja, o administrador irá conectar sem pedir qualquer autorização ou mensagem na tela do usuário final.

Com isso você terá o controle das sessões e poderá conectar via sombra nos serviços da área de trabalho remota. Esperamos que essa dica ajude a todos que estavam procurando por essa configuração e se adequando ao novo RDS do Windows Server 2012 R2.

Executar Apenas Aplicativos do Windows (Via GPO)

Nesse artigo vamos mostrar como configurar uma GPO para executar apenas programas específicos no Windows. Esse recursos bloqueia as aplicações que você desejar em um ambiente com Windows Server e estações Windows Client. Esse recurso está presente desde o Windows Server 2003 e sempre gerou muitas dúvidas entre os administradores. 

O recurso tem algumas particularidades que devem ser analisadas com cuidado. O recurso efetua o bloqueio apenas no Windows Explorer, isso significa se o usuário estiver acesso ao prompt de comando ou gerenciador de tarefas, esse programas, mesmo listados no bloqueio, serão executados normalmente. Portanto, essa GPO dever ser aplicada juntamente com o bloqueio do gerenciador de tarefas e o prompt de comando.

Existe duas GPO bem parecidas que vamos mostrar agora na prática e explicar qual é a melhor para ser aplicada em seu cenário Windows Server.

Primeiramente abra a console de gerenciamento da GPO dentro de “Ferramentas Administrativas”. Veja que na escolhemos abaixo a opção “Executar apenas programas específicos no Windows”.

Importante: Muito cuidado, pois essa GPO é bem poderosa e pode impedir seu acesso ao servidor mesmo sendo administrador total do sistema. Nunca aplique essa GPO para o usuário administrador para evitar problemas de acesso e permissões ao server.

Outra opções é incluir apenas os programas que devem ser bloqueados, diferente da GPO acima que colocamos apenas o que será executado. Essa opção é menos perigosa e pode ser aplicada tranquilamente em seu cenário.

Esperamos que essa dica ajude a todos os administradores que utilizam o Windows Server em seus cenários e que sirva de mais uma opção para bloqueio de aplicativos Windows sem a necessidade de utilização de softwares terceiros.

Bloqueando Active Directory e Outros Snap-in (Via GPO)

Nesse artigo vamos mostrar como bloquear o acesso ao Active Directory e outros Snap-ins via GPO. Essa tarefa é muito procurada por administradores de servidores, que necessitam efetuar o bloqueio em um determinado cenário. É sempre bom ressaltar que essa GPO deve ser tratada separadamente, para evitar problema de acesso negado aos Snap-ins do servidor, pois se trata de uma restrição muito forte. Sempre escolha o bloqueio via GPO, pois muitos administradores tentam o bloqueio via NTFS através do arquivo mmc.exe.

Primeiramente devemos abrir a console de gerenciamento “Group Policy Management”, criar uma GPO para sua unidade organizacional e clicar em “Edit.”. Confira na imagem abaixo:

Expanda a “User Configuration”, “Administrative Templates Policy”, “Windows Components”, “Microsoft Management Console”. Você vai encontrar as principais consoles de gerenciamento do Windows Server. Na imagem abaixo, optamos por bloquear o nosso “Active Directory”, mas você poderá optar por qual console deseja efetuar esse bloqueio. Confira na imagem abaixo o caminho:

Ao abrir a opção “Active Directory Users and Computers”, clique em “Disable” para impedir o acesso ao seu Active Directory:

Você pode utilizar essa GPO, em cenários com servidores de Remote Desktop, onde os usuários conectam diretamente no servidor. Poderá utilizar também para restringir grupos de treinamentos de TI, onde o trabalho é liberado por camadas e de acordo com projetos. Sempre aplicar essa GPO em uma política separada, para evitar qualquer bloqueio de gerenciamento em seu servidor. Lembre-se de deixar os usuários administrativos fora dessa política.

Esperamos que essa dica ajude a todos os administradores e iniciantes nos servidores Microsoft e no mundo de Group Policy.

Distribuindo Certificado Digital A1 Via GPO Nesse artigo vamos mostrar como distribuir certificados digitais via GPO. Muitas empresas procuram uma forma de distribuir esses certificados de modo centralizado e sem precisar passar informações de segurança para o usuário final. Esse procedimento automatiza e centraliza todos os seus certificados digitais e ainda distribuí de forma rápida para diferentes tipos de departamentos conforme sua necessidade. Para que esse procedimento funcione, você deve possuir um domínio (Active Directory) com sua saúde 100%, dois scripts e seus certificados A1. Veja na imagem abaixo o que iremos utilizar para que essa distribuição tenha sucesso: Importante: Você deve escolher um caminho para compartilhamento e dar as permissões necessárias para que os scripts sejam executados corretamente. O caminho escolhido em nosso exemplo, foi a pasta “Scripts” dentro da estrutura SYSVOL. Abrindo o primeiro script “Certificados”, veja a linha para a importação do A1. Não esqueça de inserir a senha do seu certificado conforme o exemplo abaixo. Você deve se preocupar com a segurança desses scripts e tratar suas permissões NTFS, pois as senhas dos certificados ficarão armazenadas dentro desses arquivos. Abrindo o script “Import-Certificate-Silently”, você encontrará o código que fará a importação do seu certificado A1 de forma silenciosa para o navegador. Observe que o caminho onde escolher armazenar o certificado é muito importante e deve estar correto para que tudo funcione de acordo. Por último, mostramos o nosso certificado A1 com extensão .pfx. Esse certificado é protegido por senha e será de exemplo em nosso artigo. Você precisa criar uma GPO com o nome que desejar e vincular a unidade organizacional onde os usuários utilizarão os certificados. Você pode organizar da forma que desejar, por departamentos ou usuários. Edite a GPO que desejar, como mostra a imagem abaixo: Navegue em “User Configuration” – “Windows Settings” – “Scripts Logon/Logout” e abre a opção “Logon”: Adicione o caminho do arquivo .vbs “Import-Certificate-Silently” e clique em OK: Faça o login com sua estação de trabalho e verá o certificado importado em seu navegador “Internet Explorer”. Esperamos que essa dica seja útil a todos que desejam organizar seus certificados A1 e manter em sigilo suas senhas para nunca passar ao usuário final. Centralizar certificados é uma ótima forma de manter a segurança de suas informações contra vazamento e fraudes internas.

Nesse artigo vamos mostrar como distribuir certificados digitais via GPO. Muitas empresas procuram uma forma de distribuir esses certificados de modo centralizado e sem precisar passar informações de segurança para o usuário final. Esse procedimento automatiza e centraliza todos os seus certificados digitais e ainda distribuí de forma rápida para diferentes tipos de departamentos conforme sua necessidade.

Para que esse procedimento funcione, você deve possuir um domínio (Active Directory) com sua saúde 100%, dois scripts e seus certificados A1. Veja na imagem abaixo o  que iremos utilizar para que essa distribuição tenha sucesso:

Importante: Você deve escolher um caminho para compartilhamento e dar as permissões necessárias para que os scripts sejam executados corretamente. O caminho escolhido em nosso exemplo, foi a pasta “Scripts” dentro da estrutura SYSVOL.

Abrindo o primeiro script “Certificados”, veja a linha para a importação do A1. Não esqueça de inserir a senha do seu certificado conforme o exemplo abaixo. Você deve se preocupar com a segurança desses scripts e tratar suas permissões NTFS, pois as senhas dos certificados ficarão armazenadas dentro desses arquivos.

Abrindo o script “Import-Certificate-Silently”, você encontrará o código que fará a importação do seu certificado A1 de forma silenciosa para o navegador. Observe que o caminho onde escolher armazenar o certificado é muito importante e deve estar correto para que tudo funcione de acordo.

Por último, mostramos o nosso certificado A1 com extensão .pfx. Esse certificado é protegido por senha e será de exemplo em nosso artigo.

Você precisa criar uma GPO com o nome que desejar e vincular a unidade organizacional onde os usuários utilizarão os certificados. Você pode organizar da forma que desejar, por departamentos ou usuários. Edite a GPO que desejar, como mostra a imagem abaixo:

Navegue em “User Configuration”“Windows Settings”“Scripts Logon/Logout” e abre a opção “Logon”:

Adicione o caminho do arquivo .vbs “Import-Certificate-Silently” e clique em OK:

Faça o login com sua estação de trabalho e verá o certificado importado em seu navegador “Internet Explorer”.

Esperamos que essa dica seja útil a todos que desejam organizar seus certificados A1 e manter em sigilo suas senhas para nunca passar ao usuário final. Centralizar certificados é uma ótima forma de manter a segurança de suas informações contra vazamento e fraudes internas.