AD на сервере терминалов - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - AD на сервере терминалов (http://forum.oszone.net/showthread.php?t=150689)

AD на сервере терминалов

На данный момент существует следующая проблема: необходимо создать отдельный gpo для некоторых пользователей на сервере терминалов W2k8.
Можно ли создать gpo без поднятия AD? (в документации Microsoft об этом ничего не говорится). Если поднимать AD, то что будет происходить, когда админ с другого сервера DC будет подключаться к машине TS? Как вообще может повлиять установка AD DC на работу сервера терминалов? (ведь MS явно не рекомендует этого делать) Кто делал такую связку подскажите какие могут быть проблемы с этим??

dmitrymal, в чём конкретно задача состоит?
gpedit.msc - можно много чего настроить, но это не совсем то.

Цитата:

Цитата dmitrymal

Если поднимать AD, то что будет происходить, когда админ с другого сервера DC будет подключаться к машине TS?

"Админ другого DC" - понятие абстрактное. Есть учётки на данном конкретном сервере. Вот, из этого конкретного понятия сервер и будет исходить.

Цитата:

Цитата dmitrymal

Как вообще может повлиять установка AD DC на работу сервера терминалов?

Повлияет некоторыми тормозами. "Не рекомендует" - не значит "запрещает".

Цитата:

Цитата dmitrymal

какие могут быть проблемы с этим??

На контроллере домена придётся разрешить группе терминальных пользователей еще и локальный вход.

dmitrymal,

AD на сервере терминалов это страшный сон любого антишника!

Создать много политик без AD нельзя.

Если на AD использовать сервер терминалов для пользователей, то тебе придётся перекраивать всю политику контроллера домена иначе ничего не заработает.

Вообще-то не вижу смысла устраивать такой винегрет. Надежнее AD посадить на слабую машину, но отдельно или использовать среду виртуализации.

Angry Demon,

Цитата:

dmitrymal, в чём конкретно задача состоит?
gpedit.msc - можно много чего настроить, но это не совсем то.

гибкая настройка GP (а именно создание нескольких GPO для начала)
А вообще на TS будет запускаться приложение вроде 1С. Все это делается для увеличения скорости работы конечных пользователей.

Цитата:

Повлияет некоторыми тормозами. "Не рекомендует" - не значит "запрещает".

А при наличии этих "тормозов" сервер терминалов не потеряет свою основную функцию??

Цитата:

На контроллере домена придётся разрешить группе терминальных пользователей еще и локальный вход

не совсем понял зачем или не так объяснил.

Anton04, Angry Demon,

Сервер терминалов - сам по себе. Находится в отдельной подсети. Открыт порт только для удаленных подключений (такая схема представлена как жесткое условие). Соответственно все пользователи будут создаваться на нем. Вопрос в том, чтобы настроить групповые политики, после чего все должно работать с минимальным количеством глюков и тормозов.

Цитата:

Цитата dmitrymal

А при наличии этих "тормозов" сервер терминалов не потеряет свою основную функцию??

А с чего он дожен что-то терять? Если есть сомнения в плане "потянет ли", то нужно сообщить конфигурацию сервера и количество пользователей.

Цитата:

Цитата dmitrymal

не совсем понял зачем или не так объяснил

Иначе не пустит DC+TS пользователя. Выдаст сообщение: "Интерактивный вход в систему на данном компьютере запрещен локальной политикой". Параметр, о котором я говорил, надо менять в политике контроллера домена.

Цитата:

Цитата dmitrymal

Открыт порт только для удаленных подключений

Имеется в виду, только RDP?

Цитата:

Имеется в виду, только RDP?

именно так.

Цитата:

В этом смысле все должно быть хорошо. Сервер новый и мощный.

Цитата:

С этим я уже разобрался. TS не в домене, так что подобных проблем быть не должно...

Как я понимаю, все таки придется добавить роль "Active Directory Domain Services"?

Цитата:

Цитата dmitrymal

TS не в домене

Если на сервере будет DC, то будет в домене.