Licenciamento Windows Server 2022: diferença entre CAL e RDS CAL, modelos perpétuos e assinatura para Jump Server (PAM)

Entenda, de forma prática e sem mistérios, como licenciar Windows Server 2022 para cenários com Área de Trabalho Remota (RDS). Saiba onde a CAL comum termina e onde a RDS CAL começa, quando você precisa das duas e se é perpétuo ou por assinatura.

Contexto do projeto

Roberto precisa configurar um Remote Desktop Services (RDS) que funcionará como Jump Server num projeto de Privileged Access Management (PAM). Em outras palavras: os administradores vão abrir uma sessão interativa num servidor Windows Server 2022 (via RDP/RemoteApp) para, a partir dele, acessar outros ativos sensíveis com credenciais elevadas. O ponto crítico é garantir que o acesso seja legítimo do ponto de vista de licenciamento, evitando riscos de auditoria e interrupções em produção.

Resumo executivo

• Windows Server CAL (User ou Device) dá o direito de acesso aos serviços básicos do Windows Server (autenticação, arquivos, impressão, AD, etc.).
• RDS CAL (User ou Device) é adicional e necessária quando há sessão interativa via RDS (RDP/RemoteApp/VDI) em um Session Host.
• Para um Jump Server, cada usuário que se conecta precisa de uma Windows Server CAL e uma RDS CAL (no mesmo modelo: User ou Device conforme sua estratégia).
• CALs são tipicamente perpétuas (licença vitalícia para aquela versão). Assinaturas recorrentes aparecem sobretudo em modelos de service provider (SPLA) ou serviços de nuvem com licença incluída.
• Existe um período de cortesia de 120 dias após instalar o role RDS, mas expira: sem RDS CAL válida, as sessões deixam de ser concedidas.

Diferença entre Windows Server CAL e RDS CAL

Aspecto	Windows Server CAL	Windows Server RDS CAL
Finalidade	Habilita usuários/dispositivos a consumir serviços básicos do servidor (autenticação, compartilhamentos de arquivos, impressão, AD, DNS/DHCP, etc.).	Habilita usuários/dispositivos a se conectar via Serviços de Área de Trabalho Remota (RDP, RemoteApp, VDI) a um Session Host.
Necessidade	Obrigatória para qualquer acesso legítimo ao Windows Server, inclusive quando o servidor for somente DC, file‑server ou aplicação sem RDS.	Obrigatória além da CAL padrão sempre que houver sessão interativa em um host RDS; cada usuário/dispositivo que abrir sessão precisa de uma RDS CAL.
Combinação	Normalmente comprada isoladamente para workloads sem RDS.	Para um Jump Server, é preciso ambas: cada usuário em RDP deve ter Windows Server CAL + RDS CAL.
Modelo de licenciamento	Geralmente perpétua (por usuário ou por dispositivo). Assinatura aparece em ofertas específicas (p.ex., provedores de serviço).	Também perpétua (User CAL ou Device CAL). Subscrições recorrentes existem em programas voltados a provedores de serviço.
Gerenciamento	Não requer servidor de licenças dedicado.	Exige instalação e ativação de um Servidor de Licenças RDS (role Remote Desktop Licensing) para alocar e auditar RDS CALs.

Atenção à exceção de administração: até duas conexões RDP para administração em um Windows Server não exigem RDS CAL. Essa exceção não cobre cenários de uso como Jump Server para vários administradores ou sessões de usuário finais — nesses casos, o role RDS é necessário e, portanto, as RDS CALs também.

Licenças perpétuas ou por assinatura

Em ambientes corporativos tradicionais, tanto a Windows Server CAL quanto a RDS CAL são adquiridas como licenças perpétuas (direito de uso vitalício para a versão licenciada). Você pode comprá‑las no modelo User (por usuário) ou Device (por dispositivo). A assinatura recorrente aparece principalmente em dois cenários:

• Provedores de serviço (Service Provider License Agreement, SPLA): licenças “por uso”/mensais, adequadas para quem revende serviços multi‑cliente.
• Serviços de nuvem com licença incluída: em ofertas onde o fornecedor já embute o licenciamento por usuário/máquina (ex.: cloud PCs ou VDI como serviço), o cliente contrata o serviço e não compra as CALs separadamente.

Em ambos os casos, ao escolher perpétuo você paga uma vez e pode adicionar Software Assurance (SA) para benefícios como upgrades e direitos de mobilidade; ao escolher assinatura, o pagamento é recorrente e normalmente inclui direito a versões novas enquanto vigente.

Versão e compatibilidade de CALs

• Por versão principal: as CALs de Windows Server e de RDS são atreladas à major version do servidor. Ex.: Windows Server 2022 requer CALs 2022 (ou superiores quando permitido).
• Regra geral: CALs de versão mais nova costumam permitir acesso a servidores de versões anteriores (compatibilidade reversa), mas nunca o inverso (CAL antiga para servidor novo). Planeje a compra prevendo o ciclo de vida da solução.

Recomendações práticas para o Jump Server

1. Dimensione por usuário: em cenários PAM, o mesmo dispositivo pode ser usado por vários administradores em turnos diferentes. User CAL simplifica a gestão e reduz risco de subdimensionamento quando há mobilidade.
2. Compre ambas as licenças: a CAL padrão cobre o acesso ao domínio/serviços; a RDS CAL cobre a sessão interativa. Sem a primeira, seu login já está irregular; sem a segunda, a sessão RDP expira após o período de graça.
3. Automatize compliance: instale e ative o Remote Desktop Licensing e use o Remote Desktop Licensing Manager para registrar, alocar e auditar RDS CALs. Em Per Device, o servidor efetivamente “atribui” a CAL; em Per User, registre e reconcilie periodicamente.
4. Considere Software Assurance (SA): opcional, mas valioso. Garante atualizações de versão e direitos como mobilidade/uso em nuvem, úteis se o Jump Server for migrado ou se você precisar de benefícios de failover.
5. Assinatura só quando fizer sentido: avalie modelos por assinatura se você for provedor de serviços (SPLA) ou optar por consumo sob demanda em nuvem com licença incluída (por exemplo, VDI/Cloud PC baseados em Windows desktop, que não exigem RDS CAL do servidor).

Guia de implementação do licenciamento RDS no Windows Server 2022

Instalação dos roles

1. No Server Manager, adicione as funções Remote Desktop Services → Remote Desktop Session Host e Remote Desktop Licensing.
2. Alternativamente, via PowerShell: Install-WindowsFeature -Name RDS-RD-Server -IncludeManagementTools Install-WindowsFeature -Name RDS-Licensing -IncludeManagementTools

Ativação do Servidor de Licenças RDS

1. Abra o Remote Desktop Licensing Manager (licmgr.exe).
2. Clique com o botão direito no servidor → Ativar Servidor e conclua o assistente (internet ou telefone).
3. Depois de ativado, use Instalar Licenças para inserir suas RDS CALs (Per User ou Per Device).

Definição do modo de licenciamento e do servidor de licenças

Via Diretiva de Grupo (recomendado em farms):

• Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Licensing.
• Habilite Set the Remote Desktop licensing mode e escolha Per User ou Per Device.
• Habilite Use the specified Remote Desktop license servers e informe o(s) nome(s) do(s) servidor(es) de licenças.

Via PowerShell/registro (quando necessário):

# 2 = Per Device, 4 = Per User
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\RCM\Licensing Core' -Name LicensingMode -Value 4
New-Item -Path 'HKLM:\Software\Policies\Microsoft\Windows NT\Terminal Services' -Force | Out-Null
New-Item -Path 'HKLM:\Software\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers' -Force | Out-Null
New-Item -Path 'HKLM:\Software\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers\LicSrv01' -Force | Out-Null

Período de cortesia

Após instalar o Session Host, o Windows concede até 120 dias de uso sem RDS CAL para testes. Use esse tempo para validar capacidade e arquitetura, mas não como solução permanente: o ambiente passará a negar novas sessões quando expirar.

User CAL ou Device CAL? Matriz de decisão

Cenário	Recomendação	Racional
Vários admins usando estações diferentes, com mobilidade (home‑office, plantões)	User CAL	Mais simples: cada pessoa coberta pode usar qualquer dispositivo, inclusive temporário.
Quiosque compartilhado ou computadores fixos com turnos previsíveis	Device CAL	O custo fica amarrado ao equipamento; eficiente quando muitos usuários usam poucos dispositivos.
Ambiente VDI não persistente, hot desking	User CAL	Evita “estourar” o pool de Device CALs por conta de instâncias efêmeras.
Terceiros/fornecedores com acesso eventual ao Jump Server	User CAL (com governança)	Controle por identidade facilita auditoria e revogação quando o contrato termina.

Checklist de compliance e boas práticas

• Inventário de identidades: mantenha lista de usuários que acessam o Jump Server e sua correspondência com RDS User CAL (ou estações para Device CAL).
• Política de concessão: em Per Device, monitore a alocação automática e estabeleça processo de recovery de CALs em máquinas aposentadas.
• Auditoria: gere relatórios periódicos do RD Licensing Manager e reconcilie com o AD/IdP (quem tem permissão de logon em RDS deve ter CAL associada).
• HA do License Server: para farms, considere dois servidores de licenças. Session Hosts devem apontar para ambos.
• Documente versões: garanta que as CALs correspondem ao Windows Server 2022 (ou versão aplicável) usado nos Session Hosts.
• Integração com PAM: alinhe a estratégia de licenciamento com a de Just‑In‑Time e Just‑Enough‑Access. Atribuições temporárias também precisam de cobertura.

Erros comuns que custam caro

• Confiar nas 2 conexões administrativas para operação diária do Jump Server: isso é apenas para manutenção; não substitui o RDS.
• Comprar só RDS CAL achando que resolve: sem a Windows Server CAL, o acesso já nasce irregular.
• Ignorar a versão das CALs: versão errada = não conformidade e, possivelmente, negação de acesso.
• Misturar modo de licenciamento no meio da vida útil: trocar Per User por Per Device requer planejamento e atualização de políticas.
• Contagem “de cabeça” em Per User: o controle não é rigidamente imposto pelo servidor — sem processo de reconciliação, a empresa perde visibilidade.

Como comprovar conformidade em auditorias

1. Notas fiscais/chaves das CALs (Windows Server e RDS) arquivadas por ano e versão.
2. Extratos do RD Licensing Manager mostrando ativação do servidor, quantidade e tipo de RDS CALs.
3. Relatório de identidades com o grupo de segurança que autoriza logon RDS (ex.: G-Admins-JumpServer) e sua correspondência com licenças.
4. Políticas de GPO (prints/relatório de Resultant Set of Policy) que definem o modo de licenciamento e o(s) License Server(s).
5. Procedimento de Join/Leave para usuários privilegiados, incluindo revogação de acesso e liberação de CALs quando aplicável.

Perguntas frequentes

Preciso de CAL para acessar um compartilhamento de arquivos num DC?
Sim, isso requer a Windows Server CAL. RDS CAL só entra em cena quando há sessão interativa RDP/RemoteApp.

Um usuário que abre RDP no Jump Server precisa de quantas licenças?
Duas: 1× Windows Server CAL + 1× RDS CAL (ambas em User ou ambas em Device, conforme sua estratégia).

As CALs são anuais?
Não por padrão. São perpétuas para a versão adquirida. Assinaturas recorrentes aparecem em provedores de serviço (SPLA) e em ofertas de nuvem com licença incluída.

Posso misturar User e Device na mesma farm?
Sim. Você pode ter parte dos usuários cobertos por User CAL e parte por Device CAL. O importante é manter registros claros para auditoria.

Como funciona a compatibilidade de versão?
Regra geral: CAL de versão igual ou mais nova para acessar o servidor. Evite usar CALs antigas com servidor mais novo.

Se eu levar o Session Host para a nuvem IaaS, muda algo?
Não no princípio: RDS CAL ainda é exigida para sessões em Windows Server. Modelos mudam somente quando você usa serviços com licença embutida (por exemplo, ofertas baseadas em Windows 10/11 que dispensam RDS CAL de servidor).

Exemplo prático de dimensionamento

Cenário: 35 administradores, trabalho híbrido, acesso eventual de 5 terceiros, Jump Server único com possibilidade de expansão para uma farm.

• Modelo: User CAL para 40 pessoas (35 internos + 5 terceiros).
• Motivo: mobilidade alta, múltiplos dispositivos por usuário, acesso fora do escritório.
• Margem: adicione 10% de folga para contratações/plantões (4 CALs a mais) e governe o grupo de acesso por GPO/PIM.

Integração com PAM e governança

• Grupos de acesso temporário: combine PIM/JIT para conceder ingresso no grupo “Pode logar no Jump Server”. O controle de licença deve refletir esses períodos.
• Registros imutáveis: audite quem conectou, quando e de onde. Vincule cada identidade a uma CAL (User) ou cada estação a uma CAL (Device).
• Isolamento: o Jump Server deve ser mínimo e endurecido: sem aplicações desnecessárias, com clipboard e redirecionamentos controlados conforme política.

Passo a passo rápido para colocar no ar com conformidade

1. Instale os roles RD Session Host e RD Licensing.
2. Ative o License Server e instale suas RDS CALs (User/Device).
3. Defina por GPO o modo de licenciamento e a lista de License Servers.
4. Controle o grupo que pode abrir sessão no Jump Server (por exemplo, G-Admins-JumpServer), reconciliando com o inventário de licenças.
5. Valide durante o período de cortesia (até 120 dias), mas regularize antes da expiração.

Dicas complementares

• Teste de cortesia: após instalar o role RDS, o Windows concede um período de 120 dias sem RDS CALs para testes — aproveite‑o para validar a arquitetura antes da compra.
• Mistura de User e Device é permitida na mesma farm; apenas mantenha registros para auditoria.
• Se planeja nuvem híbrida, verifique se suas CALs estão cobertas por SA para direitos de mobilidade.

Quadro de decisão rápida

Pergunta	Resposta curta
Qual a diferença entre as licenças?	CAL comum permite acessar serviços básicos; RDS CAL é adicional e específica para sessões RDP/RemoteApp.
Preciso de ambas?	Sim, se o usuário fizer login e abrir sessão RDP no mesmo servidor (Jump Server).
São anuais ou perpétuas?	No licenciamento corporativo tradicional, perpétuas. Assinaturas recorrentes existem sobretudo em SPLA/serviços gerenciados.

Conclusão

Para um Jump Server em Windows Server 2022, a regra é simples: Windows Server CAL concede o direito de acessar o servidor; RDS CAL concede o direito de abrir sessões interativas. Você precisa das duas para cada usuário (ou dispositivo) que de fato usa o Jump Server. Prefira User CAL quando há mobilidade, terceirização e múltiplos dispositivos por pessoa; considere Device CAL quando o uso for preso a poucos equipamentos compartilhados. Planeje a compra pela versão correta, ative e gerencie o License Server, e trate o período de cortesia apenas como janela de validação. Assim, o componente de acesso privilegiado do seu PAM fica sólido do ponto de vista técnico e de conformidade.

Nota: este conteúdo tem caráter informativo e não substitui a avaliação contratual/tributária com seu parceiro de licenciamento. Regras comerciais podem variar por país e programa.