Como aplicar objectos de política de grupo a servidores de serviços de terminal

Os servidores de terminais do Microsoft Windows Server 2003 e do Microsoft Windows 2000 são instalados, para os utilizadores, no modo de de servidor de aplicações. Quando os servidores de serviços de terminal se encontram num domínio do Active Directory, o administrador do domínio implementa objectos de política de grupo (GPOs, Group Policy objects) ao servidor de serviços de terminal para controlar o ambiente de utilizador. Este artigo descreve o processo recomendado para aplicar GPOs aos serviços de terminal sem afectar negativamente outros servidores da rede.

Existem dois métodos para aplicar GPOs aos serviços de terminal sem afectar negativamente outros servidores da rede.

Método 1

Coloque os computadores servidores de terminais numa unidade organizacional (UO) própria. Esta configuração permite a colocação de definições de configuração de computador relevantes em GPOs que se apliquem exclusivamente a computadores servidores de terminais. Esta configuração não afecta a experiência do utilizador em estações de trabalho ou noutros servidores e permite-lhe criar uma experiência de servidor de terminais controlada de forma rigorosa para os utilizadores. Esta UO não deve conter utilizadores ou outros computadores para que os administradores do domínio possam optimizar a experiência dos serviços de terminal. O controlo da UO também pode ser delegado a grupos subordinados, como operadores de servidor ou utilizadores individuais.

Para criar uma nova UO para os servidores de serviços de terminal, siga estes passos:

1. Clique em Iniciar (Start), aponte para Programas (Programs), aponte para Ferramentas administrativas (Administrative Tools) e clique em Utilizadores e computadores do Active Directory (Active Directory Users and Computers).
2. Expanda o painel esquerdo.
3. Clique em nome_domínio.xxx.
4. No menu Acção (Action), clique em Novo (New) e clique em Unidade organizacional (Organizational Unit).
5. Na caixa Nome (Name), escreva um nome para o servidor de serviços de terminal.
6. Clique em OK.
   
   A nova OU dos serviços de terminal é apresentada na lista do painel esquerdo e não contém objectos predefinidos. Os servidores de serviços de terminal residem na UO de computadores ou na UO de controladores de domínio.
7. Localize e clique no servidor ou servidores de serviços de terminal, clique em Acção (Action) e clique em Mover (Move).
8. Na caixa de diálogo Mover (Move), clique no novo servidor (ou servidores) de serviços de terminal e clique em OK.
9. Clique na nova UO de serviços de terminal para verificar se a mudança teve êxito.

Para criar um objecto de política de grupo para serviços de terminal, siga estes passos:

1. Clique na nova UO dos serviços de terminal.
2. No menu Acção (Action), clique em Propriedades (Properties).
3. Clique no separador Política de grupo (Group Policy).
4. Clique em Novo (New) para criar o novo objecto de política de grupo.
5. Clique em Editar (Edit) para modificar a política de grupo.
   
   NOTA: a maioria das definições relevantes encontram-se em Configuração do computador (Computer Configuration), Definições de segurança (Security Settings) ou Políticas locais (Local Policies). Por exemplo, em Atribuição de direitos de utilizadores (User Rights Assignment) na lista da direita, encontra Iniciar sessão localmente (Log on Locally). Esta definição é necessária para iniciar uma sessão nos serviços de terminal. Também encontrará Aceder a este computador a partir da rede (Access this computer from the network). Esta definição é necessária para ligar ao servidor sem ser através de uma sessão dos serviços de terminal. Aqui poderá também impedir que os utilizadores tenham a possibilidade de encerrar o sistema. É na pasta Opções de segurança (Security Options) que deve ser feita a maioria das restrições e é onde existem definições semelhantes às do ficheiro NTConfig.pol do Windows NT 4.0 Server e Terminal Server Edition. Definições para a parte de utilizador da política devem ser aplicadas aqui porque os utilizadores não foram colocados nesta UO com o servidor de serviços de terminal. Este artigo foi escrito para implementação de política de computador.
6. Quando concluir as modificações, feche o editor da política de grupo e clique em Fechar (Close) para fechar as propriedades da UO.

Método 2

Utilize a funcionalidade de loopback da política de grupo para aplicar as definições do GPO Configuração do utilizador (User Configuration) a utilizadores apenas quando estes iniciarem sessão nos servidores de terminal. Quando o processamento de loopbacks de GPO estiver activado nos computadores de uma UO que contenha apenas servidores de terminais, esses computadores aplicam as definições de Configuração do utilizador (User Configuration) a partir do conjunto de GPOs que se aplicam a essa UO. Além disso, esses computadores aplicam as definições de Configuração do utilizador (User Configuration) a partir de GPOs que estão ligados a ou são herdados pela UO que contém a conta do utilizador.

Esta implementação é descrita no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
As políticas de sistema também são implementadas de forma diferente no Windows NT 4.0 Terminal Services Edition e em outros servidores de Windows NT, como é descrito no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): Quando possível, os serviços de terminal devem ser instalados em servidores membro, e não em controladores de domínio, porque os utilizadores necessitam de direitos de utilizador para Iniciar sessão localmente (Log on Locally). Quando este direito é atribuído a controladores de domínio, é atribuído a todos os controladores do domínio devido à base de dados partilhada do Active Directory. Por predefinição, os direitos de utilizador para Iniciar sessão localmente (Log on Locally) são atribuídos aos servidores membro na política de segurança local quando os serviços de terminal são instalados no modo de servidor de aplicações.

Para obter informações adicionais sobre direitos para iniciar sessão localmente, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): No Windows NT 4.0 Terminal Services Edition, existe a mesma preocupação relativamente aos direitos para Iniciar sessão localmente (Log on Locally) para controladores de domínio devido à base de dados comum do gestor de contas de segurança (SAM, Security Accounts Manager) replicada a partir do controlador de domínio principal (PDC, primary domain controller) para todos os controladores de domínio de reserva.

Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

A conta de computador do servidor de terminais deve ser adicionada às propriedades de segurança do GPO a ser criado para o loopback. Para o fazer, siga estes passos:

1. Seleccione o GPO criado para o loopback e clique em Propriedades (Properties).
2. Clique no separador Segurança (Security) e clique em Adicionar (Add).
3. Na caixa Seleccionar utilizadores, Computadores ou Grupos (Select Users, Computers, or Groups), seleccione a conta de computador e clique em OK.
4. Clique na conta de computador na caixa Nomes de grupo ou de utilizador (Group or user names).
5. Na caixa Permissões para nome_do_computador (Permissões para nome_do_computador), clique para seleccionar as caixa de verificação Ler (Read) e Aplicar política de grupo (Apply Group Policy) na coluna Permitir (Allow).
6. Clique em OK duas vezes para fechar e guardar as definições da política.