Repara que a caixa de verificação "Negar a este utilizador permissões para iniciar sessão num Servidor de Anfitrião de Sessões de Ambiente de Trabalho Remoto" tem um comportamento diferente no Windows Server 2003 e no Windows Server 2008

Este artigo fornece ajuda para resolver um problema em que a funcionalidade Negar permissões a este utilizador para iniciar sessão num Servidor de Anfitrião de Sessões de Ambiente de Trabalho Remoto tem um comportamento diferente em versões diferentes do Windows Server.

Número original da BDC: 2258492

Sintomas

Poderá reparar que o comportamento das permissões Negar este utilizador para iniciar sessão num Servidor de Anfitrião de Sessões de Ambiente de Trabalho Remoto é diferente entre o Windows Server 2003 e o Windows Server 2008. No Windows Server 2003, esta definição chama-se Negar a este utilizador permissão para iniciar sessão em qualquer Servidor de Terminais.

Considere a seguinte configuração:

1. Servidor membro do Windows 2008 Server.

2. Servidor membro do Windows Server 2003.

3. No snap-in Utilizadores e Computadores do Active Directory, escolha um utilizador e aceda ao separador Perfil dos Serviços de Ambiente de Trabalho Remoto. Se o controlador de domínio estiver a executar o Windows Server 2003, este será denominado Perfil dos Serviços de Terminal. Aqui, defina a definição "Negar a este utilizador permissão para iniciar sessão num servidor anfitrião de sessões de ambiente de trabalho remoto" . Mais uma vez, no Windows Server 2003, chama-se "Negar a este utilizador permissão para iniciar sessão em qualquer Servidor de Terminais".

4. Defina este utilizador como membro do grupo "Utilizadores do Ambiente de Trabalho Remoto" ou do grupo local "Administradores" nos servidores windows Server 2003 e Windows Server 2008.

Agora, utilize as credenciais deste utilizador para iniciar sessão no servidor membro do Windows 2003 através de RDP. Irá reparar que este utilizador será bloqueado. No entanto, este utilizador poderá iniciar sessão no servidor do Windows Server 2008.

Motivo

Este é o comportamento padrão. No Windows Server 2003, esta definição é verificada independentemente de o servidor estar no modo Servidor de Terminal de Administração Remota ou no modo servidor de terminal de aplicações. No entanto, no Windows Server 2008, esta definição está selecionada num computador que tem apenas Os Serviços de Ambiente de Trabalho Remoto no Modo de Aplicação. O modo de Administração Remota não verifica este parâmetro. Se alterar o servidor do Windows Server 2008 para o Modo de Aplicação serviços de ambiente de trabalho remoto ao instalar a função, este utilizador não será negado ao iniciar sessão através de RDP.

Solução

Para negar um utilizador ou um início de sessão de grupo através de RDP, defina explicitamente o privilégio "Negar início de sessão através dos Serviços de Ambiente de Trabalho Remoto". Para tal, aceda a um editor de políticas de grupo (local para o servidor ou a partir de uma UO) e defina este privilégio:

1. Iniciar | Executar | Gpedit.msc se estiver a editar a política local ou escolher a política adequada e editá-la.

2. Configuração do Computador | Definições do Windows | Definições de Segurança | Políticas Locais | Atribuição de Direitos de Utilizador.

3. Localize e faça duplo clique em "Negar início de sessão através dos Serviços de Ambiente de Trabalho Remoto".

4. Adicione o utilizador e /ou o grupo ao qual pretende negar o acesso.

5. Selecione OK.

6. Execute gpupdate /force /target:computer ou aguarde pela próxima atualização da política para que esta definição entre em vigor.