Impedindo, via GPO, que usuários acessem estações com perfis temporários

Neste post você aprenderá, por meio console de Gerenciamento de Política de Grupo, a criar um GPO que impeça que usuários do domínio acessem estações com perfis temporários.

Quem nunca passou por uma situação de pegar um atendimento de um usuário e o mesmo informar que os arquivos dele tinham sido apagados? Ou, que a impressora do setor já não estava aparecendo mais nas configurações do perfil? Com perfis temporários, isso pode acontecer. Mas antes de te ensinar como você criar um GPO para impedir que alguém acesse por meio de um perfil temporário, vou explicar como o Windows carrega um perfil temporário na hora do logon de um usuário. 

Quando um usuário acessa a estação, por meio da sua conta, o Windows tenta acessar a pasta encontrada em C:\Users\ com o nome do perfil da conta que o mesmo está tentando se autenticar. Caso o Windows não possa acessar a pasta do perfil do usuário ou se o perfil contiver erros que o impeçam de ser carregado, o Windows fará o logon do usuário com um perfil temporário, como é visto na figura 1.1, na qual demonstra que há um usuário entrando com um perfil temporário na estação. 

Figura 1.1 - Você entrou com um perfil temporário - Windows

Figura 1.1 – Você entrou com um perfil temporário – Windows

Para corrigir esse problema, o administrador de rede tem que fazer a correção do perfil do usuário que se encontra com defeito. Normalmente essa correção é feita acessando o regedit e navegando em: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion, procurando ali a “pasta” “ProfileList” e excluindo a chave do usuário que contém o erro do perfil. Vale lembrar que há outros métodos para fazer essa correção, mas como não é o foco deste post, não citarei.

Agora que você aprendeu o motivo de acontecer um perfil temporário e resumidamente como corrigir, você vai aprender como impedir que usuários do domínio acessem estações por meio de um, via GPO.

Impedindo que os Usuários do Domínio Usem Perfis Temporários Para Acessar As Estações – Group Policy.

1. O primeiro passo é acessar o Controlador de Domínio por meio de algum usuário que tenha privilégios suficientes para criar um GPO. Exemplos destes, são: Administrador, Usuários que pertençam ao grupo de Administradores do Domínio, etc.

2. Feito o logon no Controlador de Domínio, acesse o console Gerenciamento de Política de Grupo. O mesmo pode ser encontrado na pasta Ferramentas Administrativas, localizado em: Painel de Controle\Sistema e Segurança\Ferramentas Administrativas, como é visto na figura 1.2 a seguir.

1

Figura 1.2 – Ferramentas Administrativas – Windows Server.

3. Com o console Gerenciamento de Política de Grupo aberto crie um GPO no local que deseja vinculá-lo. No exemplo da figura 1.3 a seguir foi criado o GPO a nível de Domínio, logo abaixo do nome do domínio diegogouveia.com.br. Com isso, todos os usuários que acessarem as estações do domínio diegogouveia.com.br e tiverem com algum problema no seu perfil não conseguirão logar com um perfil temporário. 

1

Figura 1.3 – GPO BloquearPerfisTemp – Windows Server.

4. Agora clique com o botão direito do mouse no GPO que criou. No menu de opções que surgirá clique em Editar… Será aberta a janela do Editor de Gerenciamento de Política de Grupo do GPMC. Nela navegue em: Configurações do Computador > Políticas > Modelos Administrativos > Sistema > Perfis de Usuário. Aqui procure pela política Não Conectar Usuários Com Perfis Temporários. Dê um duplo clique do mouse na mesma. Será aberta a janela de Propriedades da Política. Nela marque a opção Habilitado, conforme é ilustrado na figura 1.4. 

Figura 1.4 - GPO Não conectar Usuários com Perfis Temporários

Figura 1.4 – GPO Não conectar Usuários com Perfis Temporários

5. Clique em Aplicar e depois em OK. Feche a janela Editor de Gerenciamento de Politica de Grupo. Feche o console Gerenciamento de Política de Grupo. Agora reinicie as estações nas quais o GPO foi vinculado e, na medida que forem reinicializadas, as mesmas receberão o GPO e ao usuário acessar com um usuário que tenha algum problema será feito o logoff, assim não logando com um usuário temporário. 

Diego Gouveia

Mais artigos deste autor »

Nascido e residente de Fortaleza – CE, Diego Lima é graduado em Análise de Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor), escreve para diversas comunidades técnicas e é autor dos livros: Tudo sobre GPOs no Windows Server e Administrando o Active Directory com o PowerShell. Atualmente é Analista de TI e busca sempre aprender mais para o seu crescimento profissional.


4 Comentários

Rodrigo
1

Olá Diego, obrigado por compartilhar.
Quando aplicado a gpo, ao tentar logar e carregar o perfil temporário, o Windows simplesmente fará logoff sem mensagem nenhuma ou exibirá algo que indique o erro do perfil temporário?

Gabriel
2

Olá Diego,
Matéria bastante interessante para atendimento de suporte. Mas surgiu uma dúvida que a mesma do colega acima: realizando essa configuração via GPO, o windows não permitirá o logon do perfil ou irá logar sem apresentar a mensagem de perfil temporário.

Carlos Jr
3

Diego,
poderia postar uma matéria com as informações de correção deste problema. Tenho um parque de +/- 500 máquinas e o erro é recorrente diariamente.

Rosemberg
4

A dúvida do pessoal, segundo a política, será feito Logoff automático
Essa configuração de política fará o logoff automático de um usuário quando o Windows não puder carregar seu perfil.
Se o Windows não puder acessar a pasta do perfil do usuário ou se o perfil contiver erros que o impeçam de ser carregado, o Windows fará o logon do usuário com um perfil temporário. Essa configuração de política permite que o administrador desative esse comportamento, impedindo que o Windows faça o logon do usuário com um perfil temporário.
Se você habilitar essa configuração de política, o Windows não fará o logon de um usuário com um perfil temporário. O Windows fará o logoff do usuário se seu perfil não puder ser carregado.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!