Прошу помощи разобраться с групповыми политиками
 

Всем доброго дня!
Ситуация следующая: я всю жизнь работал эникейщиком и с серверными продуктами сталкивался крайне редко и мало.
В организации(20 компов) произошёл крах всей инфраструктуры. Админ по непонятным причинам пропал сразу после этого :)
Собственно, задачи следующие: терминальный сервер, хранилка с разными правами доступа.
Есть железный сервер на Ксеоне, два RAID-1.
Что я сделал: Накатил лиц. 2012R2 Essentials, завёл роли dc, dns,в GPO сделал подразделение "office", настроив для него политику.
Сделал Hyper-V, на которой завёл rds и пролицензировал его.
В чём мне требуется помощь\разъяснение:
1. Нужно-ли заводить пользователей на RDS или они будут браться из dc, при авторизации на вирт. машине?
2. Нужно-ли создавать и настраивать отдельную групповую политику для администраторов или правами будет управлять группа domain admins?
3. Как мне сделать хранение профилей пользователей на сервере на отдельном raid?
4. Как, собственно, обеспечивается разграничивание прав доступа к личным папкам на сервере?
5. Может-быть, я вообще всё делаю неправильно? :)
Всем, кто откликнется, большое спасибо за помощь.
Я надеюсь, что опытные товарищи, не пройдут стороной.
Доброго вам здравия :)

Если сервер RDS введен в домен, то пользователей заводить не надо. Необходимо только на сервере RDS добавить пользователей которым необходим доступ через RDP в группу Remote Desktop Users.
Не понятно о каких именно правах идет речь.
Настроить через групповую политику перенаправление профилей пользователей в папку на нужном RAID.
Личные папки это папка с профилем пользователя или какие то другие папки?
Если Вы все это подымаете на одном физическом сервере, то лучше так не делать.

Спасибо большое за помощь.
Видимо я не совсем понимаю различие между подразделением с примененной к нему политикой и групп в AD.
Как правильно настроить делегирование GPO?Это через default domain policy лучше делать?
Это папки каждого пользователя, в которых будут хранится файлы каждого пользователя, куда разрешён доступ только пользователю либо администраторам.
Спасибо, я это понимаю, но бюджета больше, увы, нет у организации.

Вы хотите делегировать настройку GPO какому то отдельному пользователю или имеется ввиду что то другое?
Default политики лучше никогда не трогать, если нужно применить какие параметры с использованием групповой политики, то лучше создавать новую.
При настройке перемещения профилей пользователей с использованием групповой политики на папку профиля пользователя устанавливаются такие права что только он имеет к ней доступ. Если необходимо чтобы администраторы так же имели доступ к папкам профиля необходимо включить параметр политики:Конфигурация компьютера/Шаблоны администрирования/Система/Профили пользователей->Добавляет группу безопасности «Администраторы» к перемещаемым профилям пользователя.

Нет, я просто хочу правильно настроить применение GPO. Если будет выглядеть таким образом: пользователь>член группы "пользователи домена"> является членом подразделения "office" cо связанным объектом GPO, то будет-ли это правильно?
Или если я перенесу его в другое подразделение с другой GPO, то применятся-ли к пользователю новые правила GPO?
И если я включу его в группу админов домена, то какие правила к нему применятся?
Очень извиняюсь за нубость в данном вопросе, просто не могу понять, как применяются права к пользователям.

Если фильтрах безопасности для данного GPO прописан данный пользователь или прописано что применять к "Прошедшие проверку", то да правильно.
Если фильтр безопасности для данного GPO настроен правильно - то да применяться.
У него будет все права которые есть у группы администраторов домена - он сможет сделать все что захочет.
Права пользователя определяются либо принадлежностью его к той или иной группе, либо назначаются непосредственно пользователю, все зависит от того какого типа задача должна быть решена и какие права и на выполнение каких действий должны быть предоставлены пользователю.

Может-быть есть какой-нить качественный гайд по настройке 2012R2 на этапе ввода юзеров в домен и выдачи им различных прав?
А то я просто тут достану всех на форуме :)
В инете много инфы разрозненной и не совсем относящейся к моим проблемам.

И ещё раз всем доброго дня!
Подскажите, пожалуйста, как настроить, чтоб пользователям, которые находятся по RDP в Hyper-V, была доступна та, или иная папка из файлового хранилища?
И ещё вопрос, как лучше всего осуществлять бэкап Hyper-V?
Спасибо заранее за уделённое мне время :)

Либо логон скрипт который подключает сетевую папку как диск либо используйте расширения групповой политики.
Что Вы собираетесь бэкапить виртуальные машины или сам хост Hyper-V?