Como aplicar objetos da Diretiva de grupo em servidores com Serviços de terminal

Os servidores Microsoft Windows Server 2003 e Microsoft Windows 2000 com Serviços de terminal são instalados para os usuários no modo Servidor de aplicativos. Quando os servidores com Serviços de terminal estão em um domínio do Active Directory, o administrador do domínio implementa objetos da Diretiva de grupo (GPOs) no servidor com Serviços de terminal para controlar o ambiente do usuário. Este artigo descreve o processo recomendado de aplicação dos GPOs nos Serviços de terminal para que não haja efeitos adversos nos demais servidores da rede.

Há dois métodos para aplicar GPOs em Servidos de terminal sem que haja efeitos adversos nos demais servidores da rede.

Método 1

Colocar os computadores do Terminal Server na própria unidade organizacional (UO). Essa configuração permite que as configurações mais importantes do computador sejam colocadas em GPOs que se aplicam apenas a computadores com Terminal Server. Ela não afeta a prática do usuário nas estações de trabalho ou outros servidores, além de permitir a criação de uma experiência totalmente controlada do Terminal Server por parte dos usuários. Essa UO não deve conter usuários ou outros computadores, para que os administradores do domínio possam aprimorar a experiência dos Serviços de terminal. Ela também pode ser delegada para controle a grupos subordinados, como operadores de servidor ou usuários individuais.

Para criar uma nova UO para os servidores com Serviços de terminal, execute as seguintes etapas:

1. Clique em Iniciar, aponte para Todos os programas, para Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
2. Expanda o painel à esquerda.
3. Clique em nome_do_domínio.xxx.
4. No menu Ação, clique em Novo e em Unidade organizacional.
5. Na caixa Nome, digite um nome para o servidor dos Serviços de terminal.
6. Clique em OK.
   
   Agora a nova UO dos Serviços de terminal aparece na lista do painel à esquerda e sem objetos padrão. Os servidores dos Serviços de terminal estão nas UOs dos computadores ou dos controladores de domínio.
7. Localize e clique no servidor ou servidores dos Serviços de terminal, clique em Ação e em Mover.
8. Na caixa de diálogo Mover, clique no servidor ou servidores dos Serviços de terminal e clique em OK.
9. Clique na nova UO dos Serviços de terminal para verificar se a transferência ocorreu corretamente.

Para criar um objeto da Diretiva de grupo dos Serviços de terminal, execute as seguintes etapas:

1. Clique na nova UO dos Serviços de terminal.
2. No menu Ação, clique em Propriedades.
3. Clique na guia Diretiva de grupo.
4. Clique em Novo para criar o objeto da Nova diretiva de grupo.
5. Clique em Editar para modificar a Diretiva de grupo.
   
   OBSERVAÇÃO: A maioria das configurações mais importantes está em Configuração do computador, Configurações de segurança ou Diretivas locais. Por exemplo, em Atribuição de direitos de usuário, na lista à direita, está Efetuar logon local. A configuração é obrigatória para fazer logon em uma sessão dos Serviços de terminal. Também é possível localizar Acesso a este computador pela rede. A configuração é obrigatória para se conectar a um servidor externo a uma sessão dos Serviços de terminal. Este também é o local em que se você impede os usuários de desligarem o sistema. A pasta Opções de segurança é onde muitas das restrições devem ser feitas e onde há configurações semelhantes ao arquivo NTConfig.pol no Windows NT 4.0 Server e Terminal Server Edition. As configurações relacionadas à parte do usuário da diretiva não devem ser aplicadas aqui porque os usuários não foram colocados na UO com o servidor dos Serviços de terminal. Este artigo foi escrito para a implementação da diretiva de computador.
6. Quando as modificações forem concluídas, feche o editor da Diretiva de grupo e clique em Fechar para fechar as Propriedades da UO.

Método 2

Usar o recurso de loopback da Diretiva de grupo para aplicar as configurações da diretiva Configuração do usuário aos usuários apenas quando eles fizerem o logon nos Terminal Servers. Quando o processamento de loopback da diretiva está habilitado para os computadores de uma UO contendo apenas os Serviços de terminal da Microsoft, esses computadores aplicam as configurações Configuração do usuário a partir do conjunto de diretivas que se aplicam à UO em especial. Além disso, eles aplicam as configurações a partir das diretivas vinculadas ou herdadas pela UO que contém a conta do usuário.

Essa implementação está descrita no seguinte artigo da Base de Dados de Conhecimento da Microsoft:
As Diretivas de sistema no Windows NT 4.0 Terminal Services Edition também são implementadas de maneira diferente em relação aos demais servidores com Windows NT, conforme descreve o seguinte artigo da Base de Dados de Conhecimento da Microsoft: Quando possível, os Serviços de terminal devem ser instalados em servidores membros, e não em controladores de domínio, uma vez que os usuários precisam de direitos Efetuar logon local. Quando o direito Efetuar logon local é atribuído aos controladores de domínio, ele é atribuído a todos os controladores no domínio porque o banco de dados do Active Directory é compartilhado. Por padrão, os servidores membros recebem os direitos de usuário Efetuar logon local na Diretiva de segurança local durante a instalação dos Serviços de terminal no modo Servidor de aplicativos.

Para obter informações adicionais sobre os direitos Efetuar logon local, clique no seguinte número para exibir o artigo na Base de Dados de Conhecimento da Microsoft: O Windows NT 4.0 Terminal Services Edition apresenta a mesma preocupação com os direitos Fazer logon local em relação aos controladores de domínio por conta do banco de dados SAM (Gerenciador de contas de segurança) ser replicado do controlador de domínio primário (PDC) para todos os controladores de domínio de backup.

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento da Microsoft:

A conta do computador do Terminal Server deve ser adicionada às propriedades de segurança da diretiva criada para o loopback. Para fazer isso, execute as seguintes etapas:

1. Selecione a diretiva criada para o loopback e clique com o botão direito do mouse em Propriedades.
2. Clique na guia Segurança e em Adicionar.
3. Na caixa Selecionar usuários, computadores ou grupos, selecione a conta do computador e clique em OK.
4. Clique na conta do computador na caixa Nomes de grupo ou de usuário.
5. Na caixa Permissões para nome do computador, marque as caixas de seleção Leitura e Aplicar diretiva de grupo na coluna Permitir.
6. Clique em OK duas vezes para fechar e salvar as configurações da diretiva.