На данный момент существует следующая проблема: необходимо создать отдельный gpo для некоторых пользователей на сервере терминалов W2k8.
Можно ли создать gpo без поднятия AD? (в документации Microsoft об этом ничего не говорится). Если поднимать AD, то что будет происходить, когда админ с другого сервера DC будет подключаться к машине TS? Как вообще может повлиять установка AD DC на работу сервера терминалов? (ведь MS явно не рекомендует этого делать) Кто делал такую связку подскажите какие могут быть проблемы с этим??

dmitrymal, в чём конкретно задача состоит?
gpedit.msc - можно много чего настроить, но это не совсем то.

Если поднимать AD, то что будет происходить, когда админ с другого сервера DC будет подключаться к машине TS?
"Админ другого DC" - понятие абстрактное. Есть учётки на данном конкретном сервере. Вот, из этого конкретного понятия сервер и будет исходить.

Как вообще может повлиять установка AD DC на работу сервера терминалов?
Повлияет некоторыми тормозами. "Не рекомендует" - не значит "запрещает".

какие могут быть проблемы с этим??
На контроллере домена придётся разрешить группе терминальных пользователей еще и локальный вход.

dmitrymal,

AD на сервере терминалов это страшный сон любого антишника!

Создать много политик без AD нельзя.

Если на AD использовать сервер терминалов для пользователей, то тебе придётся перекраивать всю политику контроллера домена иначе ничего не заработает.

Вообще-то не вижу смысла устраивать такой винегрет. Надежнее AD посадить на слабую машину, но отдельно или использовать среду виртуализации.

Angry Demon,

dmitrymal, в чём конкретно задача состоит?
gpedit.msc - можно много чего настроить, но это не совсем то.

гибкая настройка GP (а именно создание нескольких GPO для начала)
А вообще на TS будет запускаться приложение вроде 1С. Все это делается для увеличения скорости работы конечных пользователей.

Повлияет некоторыми тормозами. "Не рекомендует" - не значит "запрещает".

А при наличии этих "тормозов" сервер терминалов не потеряет свою основную функцию??

На контроллере домена придётся разрешить группе терминальных пользователей еще и локальный вход

не совсем понял зачем или не так объяснил.

Anton04, Angry Demon,

Сервер терминалов - сам по себе. Находится в отдельной подсети. Открыт порт только для удаленных подключений (такая схема представлена как жесткое условие). Соответственно все пользователи будут создаваться на нем. Вопрос в том, чтобы настроить групповые политики, после чего все должно работать с минимальным количеством глюков и тормозов.

А при наличии этих "тормозов" сервер терминалов не потеряет свою основную функцию??
А с чего он дожен что-то терять? Если есть сомнения в плане "потянет ли", то нужно сообщить конфигурацию сервера и количество пользователей.

не совсем понял зачем или не так объяснил
Иначе не пустит DC+TS пользователя. Выдаст сообщение: "Интерактивный вход в систему на данном компьютере запрещен локальной политикой". Параметр, о котором я говорил, надо менять в политике контроллера домена.

Открыт порт только для удаленных подключений
Имеется в виду, только RDP?

Имеется в виду, только RDP?

именно так.

А с чего он дожен что-то терять? Если есть сомнения в плане "потянет ли", то нужно сообщить конфигурацию сервера и количество пользователей.

В этом смысле все должно быть хорошо. Сервер новый и мощный.

Иначе не пустит DC+TS пользователя. Выдаст сообщение: "Интерактивный вход в систему на данном компьютере запрещен локальной политикой". Параметр, о котором я говорил, надо менять в политике контроллера домена.

С этим я уже разобрался. TS не в домене, так что подобных проблем быть не должно...

Как я понимаю, все таки придется добавить роль "Active Directory Domain Services"?

TS не в домене
Если на сервере будет DC, то будет в домене.