Remote Desktop Services do Windows 2008 R2 em Domain Controller

Esta semana implantamos em uma empresa pequena o RDP do Windows 2008 R2, mas como a empresa utiliza apenas dois servidores (alem de firewall), obviamente os dois eram master e réplica do AD. O fato do servidor RDS ser um DC nos deu uma certa dor de cabeça.

SINTOMAS

  1. Não era possivel nenhum usuário se logar via RDP exceto o administrador. Os usuários já acessavam antes um servidor Windows 2003 que foi inutilizado, portanto não eram permissões.
  2. Não era possível imprimir pelo "Remote Desktop Easy Print" driver, a impressora era mapeada no servidor mas não saia na impressora fisica remota.

CAUSA

Obviamente, a causa era a mesma e fácil de se ver: As politicas de um Domain Controller não permitem acesso a usuários comuns nem no RDP nem na pasta SPOOL.

SOLUÇÃO

  1. Abra a GPO "Default Domain Controllers" Computer -> Windows Settings -> Local Policies -> User Rights e inclua o grupo "Remote Desktop Users" na politica Allow log...Remote Desktop Services. Com isso os usuários já poderão logar no servidor após executar o gpupdate /force no DC
  2. Resete as permissões na pasta de spooler (c:\Windows\System32\Spool) com o comando: Cacls.exe PRINTERS /e /g users:C 

Pronto !!!! Os usuários agora podem se logar no RDP e imprimem normalmente.

Se quiser mais detalhes do funcionamento da impressão no Windows 2008, recomendo o posto do ASK of Performance Team em http://blogs.technet.com/askperf/archive/2008/02/17/ws2008-terminal-services-printing.aspx.