[exo]

Цитата Moor:

стоит ли держать сервер в DMZ или лучше поднять на нем VPN? »

у вас есть внешние клиенты?

Цитата Moor:

хотя вроде в брандмауэре настроено все »

а в линксисе?

Цитата Moor:

Во-вторых, как правильнее создать шаблон для новых юзеров, чтобы дать им доступ по RDP »

добавить в группу "Пользователи удалённого рабочего стола"

[Moor]

Цитата exo:

у вас есть внешние клиенты? »

Да, менеджеры в командировках должны иметь доступ.

Цитата exo:

а в линксисе? »

Не берусь утверждать, но я полагал, что перевод в DMZ полностью переводит все внешние коннекты на указанный IP. Если я ошибаюсь, буду очень благодарен за помощь.

Цитата exo:

добавить в группу "Пользователи удалённого рабочего стола" »

В этом случае им будут доступны все пользовательские приложения? Хотелось бы автоматизировать добавление пользователя - сразу добавляется в нужные группы для RDP и доступа к файлам и принтерам.

[WindowsNT]

1. При минимуме знаний просто не получится. Научить вас работать в рамках ответов форума тоже невозможно. Этой профессии нужно учиться. Минимально необходимый комплект учебников: MCITP: Server Administrator + Windows Server TCP/IP Protocols and Services.


2. Сразу бросается в глаза — вы говорите о какой-то помойке.
Это компания, обслуживающая мусорную свалку? Нет? Тогда не употребляйте слова подобного рода.

3. Наличие антивирусного монитора на сервере — на мой взгляд, криминал. Я бы позаботился о безопасности по-настоящему:
1. Строго! Наличие прав Администратора исключительно и безоговорочно только у администратора. Сам администратор обладает двумя учётными записями (рядовой и административной), причём административную применяет только по доказанной необходимости.
2. Обязательно! На всех машинах настроить политику Application Whitelisting (Software Restriction Policies или AppLocker).
3. Обязательно! Вовремя устанавливать обновления на систему и приложения. Для рабочих станций организовать WSUS.
4. Следует также настроить и прочие политики безопасности (например, Account Lockout).
Антивирусной программы в этом списке нет. Для внятного обеспечения всего упомянутого наличие домена обязательно.

4. Обеспечьте резервное копирование. Например, для включения Shadow Copies требуется всего пара щелчков, а помощь их при восстановлении данных неоценима. Например, не придётся бегать с криками "помогите, 1С зашифрован", как это делают абсолютно некомпетентные "администраторы", словившие вирус LockDir. Резервное копирование одними только Shadow Copies не ограничивается, если что.

5. Если вы не знаете, что такое DMZ, то оно вам не нужно. Удалённый доступ к RDP вполне обеспечивается простым перенаправлением порта на маршрутизаторе. Но я бы выбрал нестандартный порт и защитил RDP-соединения цифровыми сертификатами.

[exo]

Цитата Moor:

Да, менеджеры в командировках должны иметь доступ. »

если у них Винды, можно попробовать настроить Direct Access.
Если ноутубуки - зашифровать...

Цитата Moor:

Не берусь утверждать, но я полагал, что перевод в DMZ полностью переводит все внешние коннекты на указанный IP »

я тоже не берусь утверждать, но у меня три сервера в DMZ - и каждый я настраивал вручную...

Цитата Moor:

В этом случае им будут доступны все пользовательские приложения? »

с правами простого пользователя. т.е. установить они ничего не смогут.

[Moor]

Я - некомпетентный администратор, даже не буду с этим пробовать спорить. Во всяком случае, это касается WinServer, который я вижу второй раз в жизни. Если потребуется - буду читать учебники, но потребуется ли мне в будущем админить этот сервер, пока неизвестно. То, что мне требуется его настроить - скорее форм-мажор, чем нормальная ситуация. Прошу считать это дисклаймером.

Помойка - это фактически обменник. Дольше 2 недель там живет только 10% файлов.

Антивирус на сервере вряд ли можно назвать криминалом. Однако все меры по предотвращению установки ПО кем-то, кроме администратора, будут приняты. Ваше предложение по политике разделения прав даже для админа совершенно справедливо, я уже это сделал.

Цитата WindowsNT:

На всех машинах настроить политику Application Whitelisting (Software Restriction Policies или AppLocker) »

Будьте добры, поподробнее. Загонять юзеров в сложности мне не требуется, на своих компах они вольны делать все (пока что).
Обновления ставятся абсолютно все, кроме разве что незначительных вроде обновления принтерных драйверов. Как на сервере, так и на станциях. В том числе и на невиндовых станциях.

Цитата WindowsNT:

Следует также настроить и прочие политики безопасности (например, Account Lockout) »

Опять же, если можно - расскажите поподробнее, какие политики вы считаете необходимыми для сети вроде моей. И что они дадут. И что мне даст домен, как в нем себя поведут невиндовые машины.

Цитата exo:

если у них Винды, можно попробовать настроить Direct Access. Если ноутубуки - зашифровать... »

У всех ноуты. Или под Win7, или под Mac OS. Есть еще и iPad, но это будем считать тоже макосью

Цитата exo:

я тоже не берусь утверждать, но у меня три сервера в DMZ - и каждый я настраивал вручную... »

Тогда придется в VPN - юзерам снаружи требуются и RPD, и CRM, которая работает только на IIS, и файлы.

[exo]

Цитата Moor:

И что мне даст домен, как в нем себя поведут невиндовые машины. »

смотря как их настроить. Linux и МАС OS отлично вводятся в домен.
Только если у вас один сервер - я не рекомендую вам домен. Сервер терминалов и контроллер домена - это ещё страннейший криминал (к тому же, требующий больших знаний для правильной настройки)

[Moor]

Сервер один, да. Больше не будет серверов. И его-то взяли под 1С, я просто стараюсь оградить его от чужих лапок и поставить на нем все, что требует постоянно работающей машины.

[exo]

Цитата Moor:

И его-то взяли под 1С, я просто стараюсь оградить его от чужих лапок и поставить на нем все, что требует постоянно работающей машины. »

DMZ, проброс портов (хоть стандартных, хоть не стандартных), пользователи с ограниченными правами, настройка политики сервера.

О настройке политики сервера. Можно настроить так, что при входе на терминальный сервер у пользователя будет запускаться только программа 1С. Не будет рабочего стола, пуск и пр. Принтеры будут доступны в 1С.
К сожалению, я не помню как это всё настроить (там есть один момент, который позволяет обойти "скрытность")

[WindowsNT]

Application Whitelisting — "белый список" разрешённых для запуска программ. Например, вы указываете "разрешаю запускать всё из папки Program Files и \\Server\Data\1C\1c.exe; всё остальное запрещено". Для пользователей это будет выглядеть так: приносимые ими на флешках или скачиваемые с интернетов программы запускаться не будут, будет работать только 1С, офис, Adobe. Для вас это будет выглядеть так: практически стопроцентная невозможность запуска вирусов с флешек и кэша браузера, а также никаких "левых" программ.

Если под "юзерами" вы имеете в виду пользователей, то "делать всё" равняется отсутствию безопасности. Всё — форматировать диски? Запускать вирусы? Удалять данные?
Под "сложностями" тогда будем понимать безотказную безвирусную работу компьютерной системы.



Необходимо настроить целый ряд политик и параметров безопасности. Откройте GPEdit.msc на одной машине и полистайте секции Computer Configuration, User Configuration. Как минимум, должен быть включён DEP (Data Execution Prevention), Account Lockout, уровень аутентификации LanManager поднят до NTLMv2 (запрещены LM/NTLM), включены цифровые подписи на SMB-сессии, включён ряд параметров аудита: успешные удаления документов из общих папок, неуспешных попыток входа и т.п.



Домен даёт два преимущества:
1. Централизованная регистрация учётных записей. Создал пользователя один раз, добавил в группы — он распознаётся на всех машинах сразу. Назначать привилегии, доступ в такой системе гораздо проще. Без домена вам придётся регистрировать каждого пользователя на каждой рабочей станции, а на сладкое останется управление параметрами сотен учётных записей.
2. Централизованное управление. Включил, к примеру, AppLocker один раз — все машины подчинились. Указал в доменной политике установить на все машины скайп — все исполнили. Указал требуемые для 1С региональные настройки один раз — у всех пользователей они установились.

Если какая-то сторонняя система не поддерживает домены, то зачем тогда вам такая система?
Криминала совмещения терминала с контроллером не вижу.