Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
Quem não tem problemas com o suporte das estações de trabalho que atire o primeiro mouse.
Brincadeiras à parte, a manutenção e suporte das estações de trabalho é uma das mais custosas tarefas na maioria das empresas. Muitos problemas podem ser resolvidos ou minimizados apenas realizando algumas configurações adicionais no servidor.
Com este passo-a-passo você vai saber:
- Limitar ou bloquear o acesso ao Painel de Controle para os usuários.
- Configurar os “Meus Documentos” e configurações pessoais para um ambiente centralizado.
- Bloquear o acesso aos drivers (A:, C:, D:) ou mesmo portas USB.
- Limitar os programas que o usuário pode executar, minimizando problemas com segurança.
Mãos à obra.
Uma breve teoria
Desde a versão do Windows Server 2000 existe um serviço chamado Active Directory ou mais comumente chamado de AD.
O AD é utilizado como o controlador de domínio (autenticação de usuários) mas ele é muito mais que isto. É também um serviço de diretório e gestão de políticas (Group Policy ou GPO) onde se pode controlar e gerenciar todos os equipamentos (impressoras, servidores e estações de trabalho) de sua empresa de maneira centralizada (apenas para computadores com Windows 2000/XP/Vista ou superior). Veja aqui como instalar o AD.
Se você não tem um ambiente disponível para testes, use gratuitamente os nossos laboratórios virtuais em https://www.microsoft.com/virtuallabs (recomendo acessar o Windows 2003 Server e depois o tópico Group Policy).
Passo-a-passo
Este passo-a-passo não tem a intenção de explorar todos os pontos do AD e GPO, apenas mostrar que com poucos minutos de configuração você já consegue minimizar muitos dos problemas da empresa em relação a padronização das configurações das estações de trabalho e aumento de segurança.
O Active Directory é acessado através do menu Start / Control Panel / Administrative Tools / Active Directory Users and Computers (também chamado de ADUC)
Aqui toda a estrutura de sua empresa pode ser criada, dividindo os usuários por processos, departamentos ou localidades, facilitando a aplicação das políticas da empresa, estas divisões chama-se Unidades Organizacionais (Organizational Unit ou OU). Por exemplo usuários da área de Marketing possuem acesso ao drive A: (disquete) pois existe uma aplicação específica que necessita disto.
Com o ADUC aberto, selecione a OU desejada e clique com o botão direito, neste exemplo selecionei a OU Sales and Marketing.
Clique com o botão direito e selecione Properties. Selecione a aba Group Policy.
Para ambientes sem o snap-in Group Policy Management a criação da GPO é diretamente nesta tela (usuários de Windows 2000 Server). Para usuários de Windows 2003 vamos clicar em Open para abrir o Group Policy Management.
Com o botão direito sobre a OU desejada, selecione Create and Link a GPO here.
Especifique um nome, neste caso coloquei “Config de desktop”. Clique com o botão direito sobre esta GPO e selecione Edit (conforme figura abaixo).
Abre-se então a tela para edição dos objetos da GPO (esta tela é a mesma para o ambiente Windows 2000 Server ou Windows 2003 Server).
Aqui estão listadas todas as GPO para serem aplicadas no nível de máquina (Computer Configuration) ou no nível de usuário (User Configuration).
O uso de um ou de outro irá variar conforme suas necessidades. A idéia básica aqui é entender quando uma limitação deve ser forçosamente aplicado à um computador ou a um usuário. Por exemplo a empresa possui um totem onde os usuários fazem acesso pontual das informações da empresa. Talvez seja necessário aplicar políticas mais restritivas neste computador, mesmo que o usuário tenha muitos privilégios ou necessite especificamente de um software instado.
Vamos à nossa configuração.
Em User Configuration acesse Administrative Templates / Control Panel e selecione Prohibit access to the Control Panel. Veja uma descrição da política é mostrada à esqueda do painel.
De um duplo clique sobre o objeto Prohibit access to the Control Panel e habilite-o.
Agora todos os usuários desta OU não possuem mais o acesso ao Painel de Controle. E o que é melhor, o Painel de Controle não é nem mais visível.
Configuração específicas sobre o Painel de Controle podem ser feitas como por exemplo permitir ou não que o usuário altere as configurações de resolução do vídeo.
Vamos para a próxima. Em User Configuration acesse Windows Settings / Folder Redirection.
Esta política permite não apenas redirecionar a pasta Meus Documentos do usuário para o servidor, mas também todas as configurações de aplicativos, desktop e menu iniciar. O resultado é que em qualquer máquina que este usuário se logar ele terá a mesma experiência como se estivesse em sua própria máquina, minimizando o impacto por exemplo de mudança de computadores ou panes inesperadas.
Vamos para a nossa terceira regra para limitar o acesso aos drives.
Em User Configuration acesse Administrative Templates / Windows Component / Windows Explorer.
Existem duas políticas aqui para esta função que são Hide these specified drives in My Computer e Prevent access to drives from My Computer .
A primeira apenas retira visualmente o drive do Windows Explorer e a segunda não permite que o usuário grave arquivos (o Windows e todos os seus componentes operam normalmente).
Basta então habilitá-las para o drive específico e pronto.
E para a nossa última regra temos a restrição de execução de programas.
Vá em User Configuration acesse Administrative Templates / System e selecione a política Run only allowed specific Windows applications.
Escolha a lista de aplicativos que deseja permitir a execução como por exemplo WINWORD.EXE, NOTEPAD.EXE, CALC.EXE, etc.
Minha sugestão é varrer as políticas disponíveis e aplicá-las em um ambiente de testes, por exemplo uma OU criada especificamente para este fim.
E é isto, um ambiente bem administrado, seguro, com menos impacto no usuário final e menos custos para a área de TI, que pode estar focada em trabalhos focados no negócio da empresa.