Então, está a trabalhar a partir de casa por causa do COVID-19 e está a utilizar o Remote Desktop para se ligar ao seu computador de escritório Windows 10 através do Remote Desktop Protocol (RDP). Selecciona acidentalmente (ou talvez intencionalmente) Desligar quando clica no botão Iniciar na sua sessão de RDP, e como resultado, o seu computador de escritório desliga-se.
P>Agora o quê? Como é que põe o seu computador do escritório a funcionar quando não está ninguém no escritório que possa premir o botão de energia do seu computador para o arrancar novamente? E mais importante, existe alguma forma de evitar que este tipo de coisas aconteça se for a pessoa de TI responsável pela gestão dos computadores dos funcionários da sua empresa?
Utilizar a Política de Grupo
É complicado. Uma abordagem frequentemente utilizada é permitir a seguinte configuração da Política de Grupo:
Esta configuração pode ser encontrada em:
Configuração do Utilizador \ Modelos Administrativos \ Menu Iniciar e Barra de Tarefas
O que faz é impedir os utilizadores de seleccionar Desligar, Reiniciar, Dormir, e Hibernar a partir do menu Iniciar ou do ecrã de Segurança do Windows. Pode activar esta política no GPO que está ligado à OU onde se encontram as contas de utilizadores de trabalhadores remotos.
Notem que isto não pode impedir os utilizadores de desligarem os seus computadores remotos utilizando outros meios, como por exemplo, invocando o comando de desligamento num prompt de comando. Mas remove a forma mais óbvia para um utilizador desligar impensadamente o seu PC de escritório quando termina o seu trabalho do dia.
Editar o Registo
E se quiser esconder a opção de desligar no menu Iniciar mas deixar todas as outras opções presentes como Reiniciar, Dormir, Hibernar, e também a opção Desconectar para uma sessão RDP? Acontece que pode fazer isto editando uma configuração de registo, mas a configuração que precisa de utilizar dependerá da versão do Windows 10 que o seu PC está a executar. Especificamente, no Windows 10 v.1803 ou anterior, defina o seguinte valor de registo igual a 1:
p>HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\Start\HideShutdown
Mas no Windows 10 v.1809 ou mais tarde definir este valor de registo igual a 1:
p>HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown\valuep>Aqui é o que parece no Windows 10 v.1909:
Num ambiente gerido pode, evidentemente, utilizar Preferências de Políticas de Grupo (GPP) para implementar configurações de Registo como esta nos computadores dos utilizadores.
Remover privilégios de encerramento
E se realmente quiser evitar que os utilizadores desliguem os seus computadores? Quero dizer não só esconder deles as formas mais óbvias de o fazer, mas também retirar-lhes os seus privilégios de encerramento?
A política do grupo permite-lhe fazer isto modificando os direitos do utilizador nos computadores visados pelo GPO que está a editar. A configuração particular envolvida pode ser encontrada no seguinte caminho no Group Policy Editor:
Configuração do Computador \ Definições do Windows \ Definições de Segurança \ Políticas Locais \ Atribuição de Direitos de Utilizador\ Encerrar o Sistema
Por defeito, as contas de utilizador que são membros dos administradores locais, operadores de backup, e grupos de utilizadores têm o direito de encerrar o computador. A forma mais fácil de impedir que o utilizador desligue a sua máquina é simplesmente remover o grupo de utilizadores da lista acima. Mas antes de usar esta abordagem “extrema” ver a secção intitulada Cuidado com os danos colaterais mais adiante neste artigo.
Outras abordagens ao acesso remoto à área de trabalho
Dificultar aos utilizadores o encerramento dos seus PCs de escritório através de uma ligação remota à área de trabalho é por vezes mais problemático do que vale, como veremos em breve. Devido a isto, alguns administradores evitam tentar implementar tais soluções e, em vez disso, aceitam o inevitável que alguns PCs de funcionários acabem por ser desligados no final do dia de trabalho – e depois tentam implementar uma abordagem para os arrancar automaticamente antes da manhã chegar. Um dos métodos mais frequentemente tentados para o fazer é utilizar Wake On Lan (WOL), uma tecnologia de rede apoiada por muitos adaptadores de rede que permitem que o computador seja ligado remotamente quando está a dormir ou a hibernar ou, em alguns casos, completamente desligado. WOL funciona permitindo que um “pacote mágico” (um pacote Ethernet especialmente criado) arranque a placa-mãe fazendo com que o sistema operativo seja lançado.
Implementar WOL pode ser complicado. Primeiro, requer que tenha activado a funcionalidade WOL na BIOS do sistema do computador, pelo que a placa mãe do seu sistema tem de suportar esta funcionalidade. Em segundo lugar, requer a modificação das definições do adaptador de rede da máquina. Para o fazer, abre o Gestor de Dispositivos, expande o nó Adaptadores de Rede, e clica com o botão direito do rato no seu adaptador Ethernet para seleccionar Propriedades. Agora, no separador Avançado certifique-se de que Wake on Magic Packet está Activado desta forma:
Comutador seguinte para o separador Gestão de Energia e certifique-se de que a definição “Apenas permitir que um pacote mágico acorde o computador” está activada:
Agora que activou WOL na máquina precisa de algum programa que possa enviar um pacote mágico para ela quando quiser arrancar quando a máquina tiver sido desligada. O software de gestão de sistemas que a sua empresa está a utilizar provavelmente já tem esta funcionalidade; caso contrário, há muitos programas à sua volta que pode escolher, muitos deles gratuitos. O TeamViewer é uma destas ferramentas e é frequentemente utilizado em ambientes de helpdesk. Uma coisa a ter em mente: Chama-se Wake On Lan por uma razão. Alguns routers bloquearão o Magic Packet se este vier de fora da rede – por exemplo, enviando-o através da Internet.
Outra abordagem é se os seus PCs tiverem processadores Intel que suportem a Tecnologia de Gestão Activa Intel (AMT) da plataforma Intel vPro que lhe permite controlar remotamente os PCs mesmo quando estes falham ou estão desligados.
Banquear o acesso remoto à área de trabalho: Cuidado com os danos colaterais
P>Faça o que fizer, tenha a certeza de saber primeiro sobre quaisquer dificuldades ou problemas que possam surgir quando implementar uma solução que torne difícil ou impossível aos utilizadores remotos desligar os seus computadores de escritório via RDP. A maior consideração aqui é como isto pode afectar o apoio do helpdesk a estes trabalhadores remotos. Por exemplo, por vezes um utilizador que trabalhe a partir de casa e utilize o Remote Desktop para aceder ao seu computador do escritório irá encontrar um problema qualquer com o seu computador do escritório. O utilizador telefona para o helpdesk e o técnico de apoio acompanha o utilizador através de alguns passos de resolução de problemas. O utilizador segue estas etapas mas o problema não é resolvido, por isso o técnico de apoio leva as coisas para o nível seguinte e diz ao utilizador para tentar executar aquela velha solução de reiniciar o seu computador de escritório. “Como posso fazer isso? IT retirou essa opção do menu da minha máquina”. As cabeças são riscadas quando a chamada de suporte se arrasta e o utilizador fica para trás na sua tarefa de trabalho.
Mais um dia nas trincheiras do IT.
Imagem em destaque:
0 comentários