Computadores fora do domínio não acessam mais a rede

Derrepente alguns computadores que estão fora do Domínio, começaram apresentar a mensagem de erro: “\\Servidor\ não está acessível. Talvez você não tenha permissão para usar este recurso de rede. Contate o administrador deste servidor para saber se você tem permissões de acesso. A conta referenciada está bloqueada no momento e pode não ser possível fazer logon.” Sendo que esses computadores sempre acessaram a rede normalmente, começaram apresentar esta mensagem de erro, o que fazer?

Você tentou de tudo:

* Verificou as policies de acesso ao servidor;
* Verificou o status da conta Guest;
* Já tentou excluir o computador da listagem de computadores cadastrado no AD;
* Já tentou até alterar o HOSTNAME do computador;

Enfim, verificou todo tipo de permissões de acesso ao servidor para usuários fora do domínio e está tudo normal, porém esses computadores não conseguem mais acessar o servidor, o que fazer?

A solução é mais simples do que você imagina! O problema está no Logon Cache do server, o logon cache é desconhecido pela maioria dos administradores de rede, é uma variável no Windows Server que especifica o número de vezes que um computador fora do domínio pode acessa-lo, e por padrão até mesmo no Windows 2003 Server ela vem definida como 10, ou seja, 10 acessos simultâneos por computadores fora da rede. Vale lembrar que em muitos casos o Windows não fecha o acesso ao server e mesmo com o computador client desconectado ele continua contando no Logon Cache e quando chega a 10 acaba bloqueando acessos externos através deste computador.

A solução é acessar o regedit e ir até a chave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\

Dentro dela procure a chave CachedLogonsCount e altere seu 0 é o mesmo que desabilitado, ou seja, acessos infinitos simultâneos de uma máquina x ao servidor.

Feito isso, confirme a alteração, reinicie o servidor e verifique o acesso do computador que estava bloqueado, funcionará perfeitamente.

Criando scripts de logon no WINDOWS 2003

Você pode usar scripts de logon para atribuir tarefas que serão executadas quando um usuário fizer logon em um determinado computador. Os scripts podem executar comandos do sistema operacional, definir variáveis de ambiente de sistema e chamar outros scripts ou programas executáveis. A família Windows Server 2003 oferece suporte a dois ambientes de script: o processador de comandos executa arquivos contendo comandos de linguagem em lotes e o Windows Script Host (WSH) executa arquivos contendo comandos do Microsoft Visual Basic Scripting Edition (VBScript) ou Jscript. Você pode usar um editor de texto para criar scripts de logon. Alguma tarefas mais executadas pelos scripts de logon incluem:

• Mapeamento de unidades de rede.
  
• Instalação e definição da impressora padrão de um usuário.
  
• Coleta das informações de sistema do computador.
  
• Atualização de assinaturas de vírus.
  
• Atualização de software.
  

O script de logon de exemplo a seguir contém comandos do VBScript que usam as interfaces de serviço do Active Directory (ADSI) para executar as três tarefas comuns baseadas nos membros de grupo de um usuário:

1. Ele mapeia a unidade H: para o diretório base do usuário chamando o método MapNetworkDrive do objeto WSH Network em combinação com a propriedade UserName desse mesmo objeto.
   
2. Ele usa o objeto IADsADSystemInfo da ADSI para obter o nome distinto do usuário atual, que, por sua vez, é usado para conectar-se ao objeto de usuário correspondente no Active Directory. Depois que a conexão é estabelecida, a lista de grupos dos quais o usuário é membro é recuperada através do atributo memberOf do usuário. A lista multivalorada de nomes de grupo é agrupada em uma única seqüência de caracteres através da função VBScript para facilitar a procura por nomes de grupo de destino.
   
3. Se o usuário atual for um membro de um dos três grupos definidos no topo do script, este mapeará a unidade G: do usuário para a unidade de grupo compartilhada e definirá a impressora padrão do usuário para que seja a impressora do grupo.
   

Para criar um script de logon de exemplo

1. Abra o Bloco de notas.
   
2. Copie e cole ou digite o seguinte:



echo off

net time %LOGONSERVER% /set /yes
path=%path%;

rem echo [APAGANDO TODOS OS COMPARTILHAMENTOS ANTIGOS]
rem net use * /delete /yes

echo [MAPEANDO UNIDADES PESSOAIS]

net use s: \\srvaplic\sistemas
net use j: \\srvaplic\dados
net use p: \\srvaplic\publico

rem call %LOGONSERVER%\netlogon\util.bat



3. No menu Arquivo, clique em Salvar como.


4. Em Salvar em, clique no diretório que corresponde à pasta compartilhada Netlogon do controlador de domínio (geralmente C:\WINDOWS\SYSVOL\sysvol\erm.com.br\scripts é o nome de domínio totalmente qualificado do domínio).
   


5. Em Salvar como tipo, clique em Todos os arquivos.
   


6. Em Nome_do_arquivo, digite um nome para o arquivo seguido de .bat e clique em Salvar. O WSH usa a extensão .bat para identificar arquivos que contenham comandos do BAT.

Como por Perfil Único no Windows 2003 (Também conhecido como perfil mandatório)

Olá !

Hoje quero tratar de um assunto extremamente interessante. O perfil mandatório.

O problema….

Temos um dominio, um servidor 2003 e vários usuários. A questão é que nenhum desses usuários pode salvar nada na máquina e também não possui um perfil movel. Ou seja, não pode salvar nada em lugar nenhum, a máquina deve se manter no estado original para sempre

A solução….

A solução é o tal Perfil mandatório.

Importante. Você deve possui um servidor Windows 2003 rodando Active Directory.

Para criar um Mandatory Profile (Perfil Único ou obrigatório) siga os passos abaixo:

1 – Abra o Active Directory Users and Computers. Para carregar a tela como mostra a figura 1.1.

Figura 1.1

2 – Crie um usuário chamado ” MODELO“. Esse usuário será necessário para que você possa criar um perfil pré-configurado.

3 – Efetue logon com o usuário “MODELO” em um computador com o Windows XP Professional, e faça as configurações necessárias as quais serão aplicadas para os usuários que receberão o perfil obrigatório, como, por exemplo, defina um papel de parede padrão para a sua empresa, configure as impressoras, e em seguida efetue logoff.

4 – No servidor com Windows Server 2003, abra o Windows Explorer e crie uma pasta compartilhada e defina as permissões de Full Control (Controle Total) em nível de Compartilhamento para o grupo Everyone (Todos) e Modify (Modificar) em nível de permissão NTFS para o grupo Everyone (Todos). No meu exemplo eu criei uma pasta chamada “Perfis“. Após criar e compartilhar a pasta feche o Windows Explorer.

5 – No computador com o Windows XP Professional, efetue logon com o usuário Administrator (Administrador) local.

6 – Clique com o botão direito do mouse em My Computer (Meu Computador) e selecione a opção Properties (Propriedades), e em seguida clique na guia Advanced (Avançado). Na área User Profiles (Perfil de Usuário), e em seguida, clique no botão Settings (Configurações).

7 – Selecione o Perfil chamado “MODELO“, e em seguida clique no botão Copy To (Copiar Para). Como mostra a figura 1.2.

Figura 1.2

8 – Na caixa de diálogo Copy To (Copiar para) no campo Copy profile to (Copiar o perfil para), como mostra a figura 1.3, digite o caminho UNC do compartilhamento, como por exemplo:

\\Servidor\Compartilhamento\NomedoPerfil

* Servidor é o nome da máquina onde você criou o compartilhamento.

* Compartilhamento é o nome do compartilhamento que você criou no item 4.

* NomedoPerfil é nome do perfil modelo criado anteriormente.

Figura 1.3

9 – No item Permitted to use (Uso Permitido) clique no botão Change (Alterar), e defina que o grupo Everyone (Todos) terá acesso para alterar o perfil, e em seguida clique no botão OK da caixa de diálogo Copy To (Copiar Para). Feche todas as caixas de diálogo.

10 – No servidor abra o Windows Explorer e localize a pasta compartilhada onde você salvou o perfil e altere o arquivo ntuser.dat para ntuser.man.

11 – Abra o Active Directory Users and Computers e clique duas vezes sobre um usuário que você pretende implementar o Mandatory Profile.

12 – Clique na guia Profile (Perfil), e no campo Profile Path (Caminho do Perfil), digite o caminho UNC que você digitou no item 8, e em seguida clique em OK. Como mostra a figura 1.4.

Figura4

Figura 1.4

13 – No computador com o Windows XP Professional efetue logon com a conta que você acabou de definir o Mandatory Profile. O resultado será um perfil personalizado por você, no qual o usuário não conseguirá salvar as alterações feitas no seu Desktop quando ele efetuar logoff.

Observaçôes:

Esse tópico foi desenvolvido baseado em um cliente Windows XP Professional, e um servidor Windows Server 2003.