In No Windows Server® 2008 R2, pode utilizar o Gestor de servidor para realizar algumas tarefas de gestão em computadores remotos. Para gerir um computador remotamente utilizando o Gestor de servidor, pode ligar o Gestor de servidor a um computador remoto do mesmo modo que ligaria consolas de Gestão da Microsoft (MMCs) noutras tecnologias.

Cenários de gestão remota suportados

Os seguintes cenários de gestão remota são suportados a partir do Gestor de servidor no Windows Server 2008 R2.

  • Servidor para servidor   O Gestor de servidor numa instalação completa do Windows Server 2008 R2 pode ser utilizado para gerir funções e funcionalidades que estão instaladas noutro servidor que executa o Windows Server 2008 R2.

  • Servidor para Server Core   O Gestor de servidor numa instalação completa do Windows Server 2008 R2 pode ser utilizado para gerir funções e funcionalidades que estão instaladas numa instalação Server Core do Windows Server 2008 R2.

  • Cliente para servidor   O Gestor de servidor é instalado como parte das Ferramentas de administração do servidor remoto num computador que executa o Windows® 7. Isto pode ser utilizado para gerir funções e funcionalidades num computador que executa a instalação completa ou a instalação Server Core do Windows Server 2008 R2.

Computador de origemPara Computador RemotoDomínio C (adicionado como anfitrião fidedigno)

Domínio A

Domínio B

Grupo de trabalho

Domínio A

Domínio B

Grupo de trabalho

Notas
  • Se estiver a gerir um computador remoto a partir de um computador que executa o Windows 7, inicie o serviço Gestão Remota do Windows (WinRM) para permitir a adição de anfitriões fidedignos. Abra uma sessão de Linha de Comandos com direitos de utilizador elevados; para tal, clique em Iniciar, clique em Todos os Programas, clique em Acessórios, clique com o botão direito do rato em Linha de Comandos e, em seguida, clique em Executar como administrador. Escreva o seguinte e clique em Enter: net start winrm
  • Para ligações remotas num cenário Grupo de Trabalho para Grupo de Trabalho/Domínio, o computador remoto tem de ser adicionado à lista de anfitriões fidedignos no computador de origem. Para isso, execute o seguinte comando no computador de origem numa janela de Linha de Comandos aberta com direitos de utilizador elevados.
  • winrm set winrm/config/client @{TrustedHosts="RemoteComputerName"}
  • Para ligações remotas num cenário Grupo de Trabalho para Grupo de Trabalho/Domínio, se um utilizador não tiver sessão iniciada através da conta de administrador incorporada do computador de origem, a seguinte chave de registo do WinRM tem de ser configurada para permitir o acesso a partir do computador de origem. Esta alteração é necessária devido a uma limitação do Controlo de Conta de Utilizador (UAC) em contas não de administrador que são membros do grupo Administradores. Para alterar esta chave de registo, execute o seguinte comando no computador de origem numa janela de linha de comandos aberta com direitos de utilizador elevados.
  • reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
  • Por predefinição, o WinRM permite um máximo de cinco ligações a um computador remoto para estarem activas por utilizador. Para aumentar o limite, execute o seguinte comando no computador de origem, em que X representa o número de ligações que pretende permitir, numa linha de comandos aberta com direitos de utilizador elevados.
  • winrm s winrm/config/winrs @{MaxShellsPerUser="X"}

Considerações de segurança para gestão remota através do Gestor de Servidor

Importante

Tem de ser membro do grupo Administradores nos computadores que pretende gerir através do Gestor de Servidor.

Visto que a capacidade de gestão remota do Gestor de servidor é fornecida através da utilização da tecnologia do Windows PowerShell, a gestão remota do Gestor de servidor herda as considerações de segurança do Windows PowerShell. Um utilizador malicioso pode tentar roubar credenciais de início de sessão fornecidas por um administrador através de uma ligação remota mas, geralmente, este é um risco pouco significativo. Outras ameaças potenciais que representam um risco pouco significativo incluem a modificação de DLLs (dynamic link libraries) por parte de utilizadores maliciosos ou tentativas para obter ou identificar pessoalmente dados no ficheiro de registo do Gestor de servidor. Os utilizadores que têm direitos para aceder ao computador local podem ler os ficheiros de registo do Gestor de servidor mas os ficheiros de registo não contêm informações pessoais ou de conta sensíveis, tais como palavras-passe.

Tarefas que podem ser efectuadas num servidor remoto através do Gestor de Servidor

Pode efectuar as seguintes tarefas no Gestor de servidor num computador remoto.

  • Ver o estado da actualização automática do Windows

  • Executar análises do Analisador de Melhores Práticas nas funções. Para mais informações, consulte Executar e Filtrar Análises no Analisador de Melhores Práticas.

  • Ver ou alterar o estado do Programa de Melhoramento da Experiência do Cliente Windows (PMEC)

  • Configurar os Relatórios de Erros do Windows

  • Ver ou alterar as informações da Firewall do Windows

  • Ver e gerir funções a partir de home pages de funções

    Nota

    Para utilizar ferramentas ou snap-ins específicos de funções ou funcionalidades numa consola do Gestor de servidor que está ligada a um servidor remoto, essas ferramentas têm de ser instaladas no computador de origem utilizando as Ferramentas de administração do servidor remoto.

  • Ver definições da Configuração de Segurança Avançada do Internet Explorer

  • Gerir serviços a partir de uma home page de função

Tarefas que não podem ser efectuadas remotamente através do Gestor de Servidor

Para minimizar sobretudo riscos de segurança nos servidores, não é possível efectuar as seguintes tarefas numa sessão remota do Gestor de servidor.

  • Adicionar ou remover funções, serviços de função e funcionalidades

  • Configurar definições do Ambiente de Trabalho Remoto

  • Configurar Propriedades do Sistema

  • Procurar novas funções

  • Alterar as definições de actualização automática do Windows

  • Alterar definições de rede

  • Alterar o nome do computador ou a associação ao domínio

  • Alterar as definições da Configuração de Segurança Avançada do Internet Explorer

  • Executar o Assistente de Configuração de Segurança, se o computador de origem for um servidor que executa o Windows Server 2008 R2

Activar ou desactivar a gestão remota no Windows Server 2008 R2

Para ajudar a proteger os servidores contra o acesso não autorizado, e antes de os administradores poderem ligar-se a um computador que executa o Windows Server 2008 R2 remotamente através do Gestor de servidor, a gestão remota do Gestor de servidor tem de estar activa no computador de destino.

Antes de configurar um servidor para gestão remota através do Gestor de servidor, tem de activar várias definições de Política de Grupo que controlam excepções da Firewall do Windows. Siga os passos indicados na secção Para definir a Política de Grupo para gestão remota do Gestor de Servidor para garantir que nenhuma definição de Política de Grupo substitui a configuração do servidor relativamente à gestão remota.

Nota

Os procedimentos indicados nesta secção só podem ser efectuados num computador que executa o Windows Server 2008 R2. Não pode activar ou desactivar a gestão remota num computador que executa o Windows 7 porque não é possível gerir o Windows 7 através do Gestor de servidor.

Para definir a Política de Grupo para gestão remota do Gestor de Servidor

  1. No computador que pretende gerir remotamente, abra o Editor de Políticas de Grupo Local. Para isso, clique em Iniciar, clique em Executar, escreva gpedit.msc na caixa Abrir e prima Enter.

  2. Expanda Configuração do Computador, Modelos Administrativos, Componentes do Windows, Gestão Remota do Windows e seleccione Serviço WinRM.

  3. No painel de detalhes, faça duplo clique em Permitir a configuração automática de serviços de escuta.

  4. Seleccione Activado e clique em OK.

  5. No painel da árvore, expanda Definições do Windows, Definições de Segurança, Firewall do Windows com Segurança Avançada e Firewall do Windows com Segurança Avançada.

  6. Clique com o botão direito do rato em Regras de Entrada e clique em Nova Regra.

  7. No Assistente de Novas Regras de Entrada, na página Tipo de Regra, seleccione Predefinida.

  8. No menu pendente Predefinida, seleccione Gestão do Registo de Eventos Remoto. Clique em Seguinte.

  9. Na página Regras Predefinidas, clique em Seguinte para aceitar as novas regras.

  10. Na página Acção, seleccione Permitir a ligação e clique em Concluir. Permitir a ligação é a selecção predefinida.

  11. Repita os passos 5 a 10 para criar novas regras de entrada para os dois tipos adicionais seguintes de regra predefinida.

    • Gestão do Serviço Remoto

    • Gestão Remota da Firewall do Windows

  12. Feche o Editor de Políticas de Grupo Local.
Para configurar a gestão remota do Gestor de Servidor através da interface do Windows

  1. No computador que pretende gerir remotamente, abra o Gestor de servidor. Para abrir o Gestor de servidor, clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Gestor de servidor.

  2. Na área Resumo do Servidor da home page do Gestor de servidor, clique em Configurar a Gestão Remota do Gestor de Servidor.

  3. Efectue um dos seguintes procedimentos.

    • Para permitir que este computador seja gerido remotamente através do Gestor de servidor, seleccione Activar a gestão remota deste servidor a partir de outros computadores.

    • Para impedir que este computador seja gerido remotamente através do Gestor de servidor, desmarque a caixa de verificação Activar a gestão remota deste servidor a partir de outros computadores.

    • Se pretender activar a gestão remota mas não conseguir alterar a definição, siga os passos indicados no procedimento Para definir a Política de Grupo para gestão remota do Gestor de Servidor e avance para o passo seguinte.

  4. Clique em OK.

  5. Verifique se as excepções às seguintes regras da firewall estão activadas e não são desactivadas pelas definições da Política de Grupo.

    • Gestão do Serviço Remoto (NP de Entrada)

    • Gestão do Serviço Remoto (RPC)

    • Gestão do Serviço Remoto RPC-EPMAP)

    • Gestão do Registo de Eventos Remoto (NP de Entrada)

    • Gestão do Registo de Eventos Remoto (RPC)

    • Gestão do Registo de Eventos Remoto (RPC-EPMAP)

    • Gestão Remota da Firewall do Windows (RPC)

    • Gestão Remota da Firewall do Windows (RPC-EPMAP)

    Para tal, efectue o seguinte.

    1. Abra o snap-in Firewall do Windows com Segurança Avançada efectuando um dos seguintes procedimentos:

      • Na área Informações de Segurança da janela principal do Gestor de Servidor, clique em Ir para a Firewall do Windows.

      • No painel da árvore do Gestor de Servidor, expanda Configuração e clique em Firewall do Windows com Segurança Avançada.

      • Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Firewall do Windows com Segurança Avançada.

    2. Na área Introdução do painel de detalhes Firewall do Windows com Segurança Avançada, clique em Regras de Entrada.

    3. Na lista de regras, localize as regras que são especificadas neste passo.

    4. Se Não for apresentado na coluna Activado relativamente a qualquer das regras especificadas, faça duplo clique na regra para abrir a caixa de diálogo Propriedades da regra.

    5. No separador Geral da caixa de diálogo Propriedades da regra, seleccione Activado. Clique em OK.

      Nota

      Embora a gestão remota através do Gestor de Servidor continue a ser possível se as excepções à firewall de Gestão do Registo de Eventos Remoto estiverem desactivadas, o tempo de ligação remota pode ser muito lento, consoante o número de funções e funcionalidades que estão a ser executadas no computador que pretende gerir, a menos que estejam activadas excepções a estas regras da firewall. Recomendamos que active as regras da firewall da Gestão do Registo de Eventos Remoto para impedir atrasos na ligação.

Para configurar a gestão remota do Gestor de Servidor através do Windows PowerShell

  1. No computador que pretende gerir remotamente, abra uma sessão do Windows PowerShell com direitos de utilizador elevados. Para isso, clique em Iniciar, clique em Todos os Programas, clique em Acessórios, clique em Windows PowerShell, clique com o botão direito do rato no atalho Windows PowerShell e clique em Executar como administrador.

  2. Na sessão do Windows PowerShell escreva o seguinte e prima Enter.

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

  3. Escreva o seguinte e prima Enter para activar todas as excepções à regra da firewall necessárias.

    Configure-SMRemoting.ps1 -force -enable

Para configurar a gestão remota na opção de instalação Server Core do Windows Server 2008 R2

  1. No computador que pretende gerir remotamente, na linha de comandos que se abre por predefinição quando um membro do grupo Administradores inicia sessão no computador que executa a opção de instalação Server Core do Windows Server 2008 R2, escreva o seguinte e prima Enter.

    Dism.exe /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets /FeatureName:BestPractices-PSH-Cmdlets

  2. Depois de a instalação estar concluída, feche todas as aplicações e reinicie o computador.

    Para verificar se o Windows PowerShell e os cmdlets para o Gestor de servidor, assim como o Analisador de Melhores Práticas estão instalados, experimente introduzir o comando oclist que devolve uma lista de todas as funcionalidades do Windows instaladas no computador.

  3. Depois de o sistema operativo ter sido carregado, inicie sessão no computador, no mínimo, como um membro do grupo de Administradores local.

  4. Na janela Linha de Comandos que se abre depois de ter iniciado sessão no computador, escreva o seguinte para abrir uma sessão do Windows PowerShell e prima Enter.

    powershell

  5. Na sessão do Windows PowerShell escreva o seguinte e prima Enter.

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

  6. Escreva o seguinte e prima Enter para activar todas as excepções à regra da firewall necessárias.

    Configure-SMRemoting.ps1 -force -enable

Ligação a computadores remotos através do Gestor de Servidor

Efectue o seguinte para gerir um servidor remoto através do Gestor de servidor.

Para ligar a outro computador através do Gestor de Servidor

  1. Abra o Gestor de servidor. Para abrir o Gestor de servidor, clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Gestor de servidor.

  2. No painel da árvore, clique com o botão direito do rato em Gestor de Servidor e clique em Ligar a outro computador.

  3. Na caixa de diálogo Ligar a Outro Computador, introduza o nome ou o endereço IP de outro computador que esteja a executar o Windows Server 2008 R2 na caixa de texto Outro computador ou procure outro servidor na rede. Clique em OK.

    Na caixa de texto Outro computador, pode especificar um nome NetBIOS, um FQDN (fully-qualified domain name), um endereço IPv4 ou um endereço IPv6. Se não for especificado um número de porta, é utilizado o número de porta predefinido. Seguem-se exemplos de formatos que é possível especificar na caixa de texto Outro computador.

    • ComputerName

    • ComputerName:PortNumber

    • Endereço IP: n.n.n.n

    • Endereço IPv6: [n:n:n:n]

    • Endereço IPv4 com número de porta: n.n.n.n:PortNumber

    • Endereço IPv6 com número de porta: [n:n:n:n]:PortNumber

    Nota

    Se um administrador tiver alterado o número de porta predefinido do computador, tem de ser aberta a porta não predefinida na Firewall do Windows para permitir ligações de recepção nessa porta. A porta 5985 é aberta por predefinição quando o WinRM é configurado como é descrito na secção Para definir a Política de Grupo para gestão remota do Gestor de Servidor neste tópico. As portas não predefinidas mantêm-se bloqueadas até serem abertas. Para mais informações sobre como desbloquear uma porta na Firewall do Windows, consulte a Ajuda da Firewall do Windows. Para mais informações sobre como configurar o WinRM, numa sessão de Linha de Comandos, escrevawinrm help e prima Enter.

    Depois de se ligar a um computador remoto, repare que o nome do computador altera-se na consola do Gestor de servidor. O nome do computador no nó Gestor de servidor do painel da árvore, o campo Nome completo do computador na área Resumo do Servidor do Gestor de servidor, assim como o nome do computador no cabeçalho da consola são todos alterados para o nome do computador remoto ao qual o utilizador está ligado. Visto que o Gestor de servidor resolve endereços IP para FQDNs, se estiver ligado a um computador remoto utilizando um endereço IP, a consola do Gestor de servidor apresenta o FQDN do computador remoto.

    Nota

    Se estiver a estabelecer uma ligação a um computador num domínio diferente utilizando um endereço IP, a ligação remota poderá falhar devido às limitações do Servidor DNS que podem impossibilitar a resolução do endereço IP para um nome de anfitrião. Se esta situação ocorrer, experimente estabelecer a ligação especificando um FQDN.

Para executar o cmdlet Get-WindowsFeature do Gestor de Servidor num computador remoto a partir de uma sessão do Windows PowerShell

  1. Abra uma sessão do Windows PowerShell com direitos de utilizador elevados. Para isso, clique em Iniciar, clique em Todos os Programas, clique em Acessórios, clique em Windows PowerShell, clique com o botão direito do rato no atalho Windows PowerShell e clique em Executar como administrador.

  2. Escreva o seguinte, em que ComputerName é o nome do computador remoto que executa o Windows Server 2008 R2 e UserName é o nome de um utilizador que é membro do grupo Administradores no computador remoto e prima Enter.

    Enter-PSSession <NomeComputador> –credential <NomeUtilizador>

  3. É-lhe pedido que introduza a palavra-passe numa caixa de diálogo segura. Escreva a palavra-passe e prima Enter.

  4. Na sessão do Windows PowerShell, escreva o seguinte para carregar o snap-in Gestor de servidor e prima Enter.

    Import-Module ServerManager

  5. Escreva o seguinte e prima Enter.

    Get-WindowsFeature

  6. Após os resultados do cmdlet Get-WindowsFeature serem apresentados na sessão do Windows PowerShell, escreva o seguinte para fechar a sessão do Windows PowerShell e prima Enter.

    Exit-PSSession

Gerir múltiplos computadores utilizando o Gestor de Servidor e a MMC

Também pode criar uma Consola de Gestão da Microsoft (MMC) personalizada que contenha múltiplos snap-ins Gestor de servidor, cada um direccionado para gerir um computador remoto diferente.

Para gerir múltiplos computadores utilizando o Gestor de Servidor e a MMC

  1. Para abrir a Consola de Gestão da Microsoft, clique em Iniciar, clique em Executar, escreva mmc e, em seguida, clique em OK.

  2. No menu Ficheiro, clique em Adicionar/Remover Snap-in.

  3. Na lista Snap-ins disponíveis, seleccione Gestor de Servidor.

  4. Clique em Adicionar para adicionar o Gestor de servidor à lista Snap-ins seleccionados.

  5. Repita o passo anterior o número de vezes necessário para adicionar snap-ins Gestor de servidor à MMC. Clique em OK.

  6. No painel da árvore da nova MMC, clique com o botão direito do rato no nó superior de um snap-in Gestor de servidor e clique em Ligar a Outro Computador.

  7. Na caixa de diálogo Ligar a Outro Computador, introduza o nome ou o endereço IP de outro computador na caixa de texto Outro computador ou procure outro servidor na rede. Clique em OK.

    Depois de se ligar a um computador remoto, repare que o nome do computador altera-se no nó Gestor de servidor do painel da árvore.

  8. Se tiver snap-ins Gestor de servidor adicionais na MMC, repita este procedimento a partir do passo 6 para ligar snap-ins Gestor de servidor adicionais a outros computadores remotos.

  9. No menu Ficheiro, clique em Guardar para guardar a MMC personalizada.

Gestão remota a partir do Windows 7

Embora não seja possível gerir computadores que executam o Windows 7 através do Gestor de servidor, pode instalar o Gestor de servidor num computador que executa o Windows 7 instalando as Ferramentas de administração do servidor remoto. As Ferramentas de administração do servidor remoto para o Windows 7 estão disponíveis para transferência no Web site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=131280). Depois de as Ferramentas de administração do servidor remoto estarem instaladas, pode ligar uma consola do Gestor de servidor a um computador remoto que executa o Windows Server 2008 R2 e efectuar as tarefas de gestão no servidor de destino que estão identificados na secção Tarefas que podem ser efectuadas num servidor remoto através do Gestor de Servidor neste tópico.

Depois de instalar as Ferramentas de administração do servidor remoto num computador que executa o Windows 7, tal como acontece num computador que executa o Windows Server 2008 R2, pode criar uma MMC do Gestor de servidor personalizada para gerir múltiplos computadores remotos que executam o Windows Server 2008 R2. Para criar uma MMC do Gestor de servidor personalizada num computador que executa o Windows 7 e as Ferramentas de administração do servidor remoto, consulte Gerir múltiplos computadores utilizando o Gestor de Servidor e a MMC neste tópico.

Para gerir remotamente a partir de um computador que executa o Windows 7

  1. Instale as Ferramentas de administração do servidor remoto no computador que está a executar o Windows 7.

    Transfira o pacote Ferramentas de administração do servidor remoto a partir do Web site da Microsoft e siga as instruções fornecidas na página do Centro de Transferências para instalar as Ferramentas de administração do servidor remoto.

    Para utilizar ferramentas ou snap-ins específicos de funções ou funcionalidades numa consola do Gestor de servidor que está ligada a um servidor remoto, essas ferramentas têm de ser instaladas no computador de origem utilizando as Ferramentas de administração do servidor remoto.

  2. Depois de as Ferramentas de administração do servidor remoto serem instaladas, abra o Gestor de servidor. Para abrir o Gestor de servidor, clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Gestor de servidor.

  3. No painel da árvore, clique com o botão direito do rato em Gestor de Servidor e clique em Ligar a outro computador.

  4. Na caixa de diálogo Ligar a Outro Computador, introduza o nome ou o endereço IP de um computador que esteja a executar o Windows Server 2008 R2 na caixa de texto Outro computador ou procure outro servidor na rede. Clique em OK.

    Depois de se ligar a um computador remoto, repare que o nome do computador é apresentado na consola do Gestor de servidor. Pode ver o nome do computador ao qual está ligado no nó Gestor de servidor do painel da árvore, o campo Nome completo do computador na área Resumo do Servidor do Gestor de servidor e o nome do computador no cabeçalho da consola.

Sumário