次の方法で共有


Passo-a-passo - Protegendo e gerenciando as estações de trabalho sem softwares adicionais

Quem não tem problemas com o suporte das estações de trabalho que atire o primeiro mouse.

Brincadeiras à parte, a manutenção e suporte das estações de trabalho é uma das mais custosas tarefas na maioria das empresas. Muitos problemas podem ser resolvidos ou minimizados apenas realizando algumas configurações adicionais no servidor.

Com este passo-a-passo você vai saber:

- Limitar ou bloquear o acesso ao Painel de Controle para os usuários.

- Configurar os “Meus Documentos” e configurações pessoais para um ambiente centralizado.

- Bloquear o acesso aos drivers (A:, C:, D:) ou mesmo portas USB.

- Limitar os programas que o usuário pode executar, minimizando problemas com segurança.

Mãos à obra.

 

Uma breve teoria

Desde a versão do Windows Server 2000 existe um serviço chamado Active Directory ou mais comumente chamado de AD.

O AD é utilizado como o controlador de domínio (autenticação de usuários) mas ele é muito mais que isto. É também um serviço de diretório e gestão de políticas (Group Policy ou GPO) onde se pode controlar e gerenciar todos os equipamentos (impressoras, servidores e estações de trabalho) de sua empresa de maneira centralizada (apenas para computadores com Windows 2000/XP/Vista ou superior). Veja aqui como instalar o AD.

Se você não tem um ambiente disponível para testes, use gratuitamente os nossos laboratórios virtuais em https://www.microsoft.com/virtuallabs (recomendo acessar o Windows 2003 Server e depois o tópico Group Policy).

 

Passo-a-passo

Este passo-a-passo não tem a intenção de explorar todos os pontos do AD e GPO, apenas mostrar que com poucos minutos de configuração você já consegue minimizar muitos dos problemas da empresa em relação a padronização das configurações das estações de trabalho e aumento de segurança.

O Active Directory é acessado através do menu Start / Control Panel / Administrative Tools / Active Directory Users and Computers (também chamado de ADUC)

Aqui toda a estrutura de sua empresa pode ser criada, dividindo os usuários por processos, departamentos ou localidades, facilitando a aplicação das políticas da empresa, estas divisões chama-se Unidades Organizacionais (Organizational Unit ou OU). Por exemplo usuários da área de Marketing possuem acesso ao drive A: (disquete) pois existe uma aplicação específica que necessita disto.

Com o ADUC aberto, selecione a OU desejada e clique com o botão direito, neste exemplo selecionei a OU Sales and Marketing.

Clique com o botão direito e selecione Properties. Selecione a aba Group Policy.

Para ambientes sem o snap-in Group Policy Management a criação da GPO é diretamente nesta tela (usuários de Windows 2000 Server). Para usuários de Windows 2003 vamos clicar em Open para abrir o Group Policy Management.

Com o botão direito sobre a OU desejada, selecione Create and Link a GPO here.

Especifique um nome, neste caso coloquei “Config de desktop”. Clique com o botão direito sobre esta GPO e selecione Edit (conforme figura abaixo).

Abre-se então a tela para edição dos objetos da GPO (esta tela é a mesma para o ambiente Windows 2000 Server ou Windows 2003 Server).

Aqui estão listadas todas as GPO para serem aplicadas no nível de máquina (Computer Configuration) ou no nível de usuário (User Configuration).

O uso de um ou de outro irá variar conforme suas necessidades. A idéia básica aqui é entender quando uma limitação deve ser forçosamente aplicado à um computador ou a um usuário. Por exemplo a empresa possui um totem onde os usuários fazem acesso pontual das informações da empresa. Talvez seja necessário aplicar políticas mais restritivas neste computador, mesmo que o usuário tenha muitos privilégios ou necessite especificamente de um software instado.

Vamos à nossa configuração.

Em User Configuration acesse Administrative Templates / Control Panel e selecione Prohibit access to the Control Panel. Veja uma descrição da política é mostrada à esqueda do painel.

De um duplo clique sobre o objeto Prohibit access to the Control Panel e habilite-o.

Agora todos os usuários desta OU não possuem mais o acesso ao Painel de Controle. E o que é melhor, o Painel de Controle não é nem mais visível.

Configuração específicas sobre o Painel de Controle podem ser feitas como por exemplo permitir ou não que o usuário altere as configurações de resolução do vídeo.

Vamos para a próxima. Em User Configuration acesse Windows Settings / Folder Redirection.

Esta política permite não apenas redirecionar a pasta Meus Documentos do usuário para o servidor, mas também todas as configurações de aplicativos, desktop e menu iniciar. O resultado é que em qualquer máquina que este usuário se logar ele terá a mesma experiência como se estivesse em sua própria máquina, minimizando o impacto por exemplo de mudança de computadores ou panes inesperadas.

Vamos para a nossa terceira regra para limitar o acesso aos drives.

 

Em User Configuration acesse Administrative Templates / Windows Component / Windows Explorer.

Existem duas políticas aqui para esta função que são Hide these specified drives in My Computer e Prevent access to drives from My Computer .

A primeira apenas retira visualmente o drive do Windows Explorer e a segunda não permite que o usuário grave arquivos (o Windows e todos os seus componentes operam normalmente).

 

Basta então habilitá-las para o drive específico e pronto.

 

E para a nossa última regra temos a restrição de execução de programas.

Vá em User Configuration acesse Administrative Templates / System e selecione a política Run only allowed specific Windows applications.

Escolha a lista de aplicativos que deseja permitir a execução como por exemplo WINWORD.EXE, NOTEPAD.EXE, CALC.EXE, etc.

 

Minha sugestão é varrer as políticas disponíveis e aplicá-las em um ambiente de testes, por exemplo uma OU criada especificamente para este fim.

 

E é isto, um ambiente bem administrado, seguro, com menos impacto no usuário final e menos custos para a área de TI, que pode estar focada em trabalhos focados no negócio da empresa.