dmitmal Опубликовано 16 сентября, 2009 Жалоба Поделиться Опубликовано 16 сентября, 2009 На данный момент существует следующая проблема: необходимо создать отдельный gpo для некоторых пользователей на сервере терминалов W2k8. Можно ли создать gpo без поднятия AD? (в документации Microsoft об этом ничего не говорится). Если поднимать AD, то что будет происходить, когда админ с другого сервера DC будет подключаться к машине TS? Как вообще может повлиять установка AD DC на работу сервера терминалов? (ведь MS явно не рекомендует этого делать) Кто делал такую связку подскажите какие могут быть проблемы с этим?? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 16 сентября, 2009 Жалоба Поделиться Опубликовано 16 сентября, 2009 dmitmal Вы не совсем ясно описали, в каком сейчас состоянии находится TS. Поэтому буду исходить из нормальной ситуации, когда TS находится в домене и пользователи, естественно, имеются в виду тоже доменные. Тогда: Можно ли создать gpo без поднятия AD? Да. Можно создать GPO без поднятия DC (AD) на TS. Хоть с помощью GPMC, хоть с помощью GPO Editor. Если поднимать AD, то что будет происходить, когда админ с другого сервера DC будет подключаться к машине TS? Он за ним (DC) сидит и работает что ли? :no: Ну если с DC этого же домена, то ничего особенного. Да и с другого тоже, если будет подключаться к TS с учетной записью вашего домена. Как вообще может повлиять установка AD DC на работу сервера терминалов? В худшую сторону. Нежелательно совмещать роли DC и TS. Кто делал такую связку подскажите какие могут быть проблемы с этим? В такой связке не вижу смысла. Если вы работаете в домене и уже есть DC. Если же у вас отдельно стоящий TS, то это другая ситуация. От вас нужно больше информации. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 17 сентября, 2009 Автор Жалоба Поделиться Опубликовано 17 сентября, 2009 Вы не совсем ясно описали, в каком сейчас состоянии находится TS.Поэтому буду исходить из нормальной ситуации, когда TS находится в домене и пользователи, естественно, имеются в виду тоже доменные Согласен, что описал ситуацию не до конца. На самом деле, TS не в домене. Сервер терминалов в отдельной подсети. Закрыты все порты кроме удаленного подключения (жесткая политика безопасности) Да. Можно создать GPO без поднятия DC (AD) на TS. Хоть с помощью GPMC, хоть с помощью GPO Editor. run->mmc->GPO editor->browse->users-> здесь видим только два GPO: Administrators и Non-Administrators. Как создать новый объект политики непонятно. Набираем в гугле "Windows Server 2008 create GPO" - дает описание в случае, когда AD уже установлена. В худшую сторону. Нежелательно совмещать роли DC и TS. Не DC и TS, а роль "Active Directory Domain Services" и TS. Хотя это тоже не желательно, но, как я понимаю, в моем случае единственный верный путь. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 17 сентября, 2009 Жалоба Поделиться Опубликовано 17 сентября, 2009 dmitmal: Согласен, что описал ситуацию не до конца. На самом деле, TS не в домене. Сервер терминалов в отдельной подсети. Закрыты все порты кроме удаленного подключения (жесткая политика безопасности) Теперь все более понятно. В этом случае все делается несколько по другому. Вам нужно использовать LGPO. Что вы, собственно, и пробовали сделать. run->mmc->GPO editor->browse->users-> здесь видим только два GPO: Administrators и Non-Administrators. Как создать новый объект политики непонятно. LGPO можно применять как на всех пользователей: Run -> mmc Menu - File - Add/Remove Snap-in - Group Policy Object Editor - Add - Browse - Users - None-Administrators - OK - Finish. Так и на каждого пользователя персонально: 1) Add/Remove Snap-in - Group Policy Object Editor - Add - Browse - Users - «Username1» - OK - Finish. 2) Add/Remove Snap-in - Group Policy Object Editor - Add - Browse - Users - «Username2» - OK - Finish. 3) И так далее...... Не DC и TS, а роль "Active Directory Domain Services" и TS. Хотя это тоже не желательно, но, как я понимаю, в моем случае единственный верный путь. Это «оно» и есть. :D Попытавшись добавить роль Active Directory Domain Services, вы как раз и запустите процедуру подготовки к повышению уровня вашего TS с рядового сервера до уровня DC и поднятия AD в вашей сети. Про «единственный верный путь» вам решать, но я бы его не советовал, если использование LGPO решит все вопросы. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 17 сентября, 2009 Автор Жалоба Поделиться Опубликовано 17 сентября, 2009 LGPO можно применять как на всех пользователей: Run -> mmc Menu - File - Add/Remove Snap-in - Group Policy Object Editor - Add - Browse - Users - None-Administrators - OK - Finish. Так и на каждого пользователя персонально: 1) Add/Remove Snap-in - Group Policy Object Editor - Add - Browse - Users - «Username1» - OK - Finish. 2) Add/Remove Snap-in - Group Policy Object Editor - Add - Browse - Users - «Username2» - OK - Finish. 3) И так далее...... Так в том-то и проблема, что пользователей будет больше 100... Двумя стандартными группами Administrators и Non-Administrators боюсь дело не обойдется. Нужна более тонкая настройка групповых политик. Это «оно» и есть. Попытавшись добавить роль Active Directory Domain Services, вы как раз и запустите процедуру подготовки к повышению уровня вашего TS с рядового сервера до уровня DC и поднятия AD в вашей сети. Про «единственный верный путь» вам решать, но я бы его не советовал, если использование LGPO решит все вопросы. Дело в том, что помимо роли "Active Directory Domain Services" на W2k8 присутствует роль "Active Directory Lightweight Directory Services". В документации говорится, что "Вы можете производить развертывание служб каталогов для приложений, ориентированных на работу с каталогами. При этом Вы избавляетесь от необходимости развертывания доменов и лесов, а также использования единой схемы каталога в пределах всего леса." Но почему-то про возможность гибкой настройки GP ничего не сказано :D Кто знаком с этой ролью сервера скажите, на что она вообще способна. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 17 сентября, 2009 Жалоба Поделиться Опубликовано 17 сентября, 2009 (изменено) Множественная локальная групповая политика (MLGPO) здесь не поможет, она оперирует понятиями: все пользователи, все администраторы, все не-администраторы, конкретный пользователь. Добавлять созданные локальные группы в ее фокус нельзя. Дело в том, что помимо роли "Active Directory Domain Services" на W2k8 присутствует роль "Active Directory Lightweight Directory Services". В документации говорится, что "Вы можете производить развертывание служб каталогов для приложений, ориентированных на работу с каталогами. При этом Вы избавляетесь от необходимости развертывания доменов и лесов, а также использования единой схемы каталога в пределах всего леса." Но почему-то про возможность гибкой настройки GP ничего не сказано Выделено мною. Если отсутствует доменная структура, то о каких групповых политиках может идти речь? Эта роль для программ, которым необходим LDAP. Нет там GP. Исходя из ситуации, оптимальным мне видится включение терминального сервера в домен. При этом соблюдаются все условия по управлению политиками для пользователей и безопасности. Соединение же обоих ролей - в основном громадная дыра в безопасности, не в последнюю очередь из-за того, что приходится давать пользователям права интерактивного входа на КД. У вас же Согласен, что описал ситуацию не до конца. На самом деле, TS не в домене. Сервер терминалов в отдельной подсети. Закрыты все порты кроме удаленного подключения (жесткая политика безопасности) сами себе противоречите. Допускаю, что терминал вообще где-то в удаленной сети и связь с ним через интернет. В таком случае - vpn до основной сети. Изменено 17 сентября, 2009 пользователем Maikll Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 17 сентября, 2009 Жалоба Поделиться Опубликовано 17 сентября, 2009 dmitmal: У вас раньше речь шла: "gpo для некоторых пользователей на сервере", сейчас вы говорите, что: "пользователей будет больше 100...". Раньше была: "установка AD DC", потом: "Не DC и TS, а роль "Active Directory Domain Services"", а сейчас уже: "роль "Active Directory Lightweight Directory Services"" Неужели нельзя было сразу сказать, для скольких пользователей вам нужно применять GPO, какую роль вы собираетесь добавлять на TS, и в каком состоянии он находится? Чтобы получить ответ, надо правильно задать вопрос. А роль AD LDS (бывш. ADAM) никаких возможностей по гибкому управлению GPO для пользователей вам не предоставит. Что она умеет и чего не умеет подробно расписано здесь. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 18 сентября, 2009 Автор Жалоба Поделиться Опубликовано 18 сентября, 2009 Maikll, Исходя из ситуации, оптимальным мне видится включение терминального сервера в домен. При этом соблюдаются все условия по управлению политиками для пользователей и безопасности. Согласен, но что если задачу необходимо решить в рамках одного сервера? Соединение же обоих ролей - в основном громадная дыра в безопасности, не в последнюю очередь из-за того, что приходится давать пользователям права интерактивного входа на КД. А разве нельзя запретить всё пользователям теми же политиками безопасности? Если можно, приведите еще примеры проблем, которые могут возникнуть в такой связке. Timba, У вас раньше речь шла:"gpo для некоторых пользователей на сервере", сейчас вы говорите, что: "пользователей будет больше 100...". говоря "некоторых", я имел в виду то, что мне надо будет создать несколько gpo. Количество пользователей может быть 10 или 100 (суть вопроса от этого не меняется) Раньше была:"установка AD DC", потом: "Не DC и TS, а роль "Active Directory Domain Services"", а сейчас уже: "роль "Active Directory Lightweight Directory Services"" Неужели нельзя было сразу сказать, для скольких пользователей вам нужно применять GPO, какую роль вы собираетесь добавлять на TS, и в каком состоянии он находится? Чтобы получить ответ, надо правильно задать вопрос. Здесь я сам еще до конца не разобрался, поэтому и хотел здесь это обсудить. Сейчас уже стало понятно, что GPO - это компонент ДОМЕННЫХ служб. А роль AD LDS (бывш. ADAM) никаких возможностей по гибкому управлению GPO для пользователей вам не предоставит.Что она умеет и чего не умеет подробно расписано здесь. А вот здесь все для себя прояснил. Спасибо. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 18 сентября, 2009 Жалоба Поделиться Опубликовано 18 сентября, 2009 Согласен, но что если задачу необходимо решить в рамках одного сервера? Microsoft не рекомендует, но и не запрещает подобное. When installed on a domain controller, Terminal Server performance is affected because of the additional memory, network traffic, and processor time required to perform the tasks of a domain controller in a domain. Технически препятствий нет. Можно установить хоть все возможные роли, но и разбираться с возможными проблемами в итоге придется тоже вам. А разве нельзя запретить всё пользователям теми же политиками безопасности? Если можно, приведите еще примеры проблем, которые могут возникнуть в такой связке. В первую очередь нужно понимать, что для TS и DC абсолютно разные требования по нагрузке и использованию системных ресурсов. Мы же не знаем ваших задач в терминале, может там видео кодируют. Может сложится ситуация, что нагрузка на терминал будет мешать работе DC, в результате чего последний будет весьма продолжительно пускать пользователей по сети или rdp. Теоретически, имея возможность интерактивного локального входа, пользователь может запустить неприятный эксплойт и повысить свои привилегии, что на КД особо чревато. Опять же, может возникнуть обратная ситуация, когда в результате накатывания политик безопасности или установки защитного ПО перестанет работать куча стороннего ПО, что для ДК неважно, а вот для ТС фатально. Подобных примеров можно привести немало. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.