Eu tenho um Windows 2008 Terminal Server. A configuração do Terminal Server (servidor de licenças, agente de sessão, etc) é gerenciada pela política de grupo. Se eu quiser desativar o logon via:
change logon /disable
A mensagem de erro: "Connections are currently ENABLED by Group Policy for this machine, unable to change."
Existe uma maneira inteligente de corrigir isso?
entre. Existe alguma maneira de olhar para o banco de dados do agente de sessão?
Há uma configuração de política de grupo que define isso explicitamente, localizada aqui: Configuração do Computador - > Modelos Administrativos - > Componentes do Windows - > Serviços de terminal - > "Permitir que os usuários se conectem remotamente via serviços de terminal"
Para corrigir o problema, você precisa cancelar (não 'desativar') isso no GPO. Após uma atualização de política, você deve recuperar a capacidade de controlar a disponibilidade de logon.
Você também pode remover a capacidade da Diretiva de Grupo de realmente aplicar essa configuração configurando as permissões sem o Sistema. Mark Russinovich tem um bom artigo sobre como fazer isso.
Isto é ligeiramente melhor que uma Tarefa Agendada para alterar o valor do registro. Eu não chamaria isso de elegante, embora:)
Mas, realmente, a maneira correta de fazer isso é desabilitar a Diretiva de Grupo (como Chris Thorpe disse) ou desabilitar a herança para a UO do servidor e criar outro GPO sem essa diretiva específica.
EDIT: Você também pode usar o filtro WMI para excluir esse servidor específico de receber toda a política. Observe que, se um determinado GPO for filtrado, as políticas do GPO INTEIRO não serão aplicadas. Se você seguir esse caminho, eu recomendaria que a diretiva de conexão do Terminal Server fosse dividida em um novo GPO, para que o restante das configurações não seja ignorado.
Informações do Microsoft TechNet: link
Filtrando com base no nome do computador (role para baixo até a resposta): link