Добрый день, уважаемые форумчане.
Я только начинаю осваивать системное администрирование, поэтому большая просьба сильно не пинать и объяснить на пальцах.
Задача такая: есть компьютерный класс из 21 компа: 18 компов студенческих, 2 компа преподавательских, 1 сервер.
Нужно организовать сеть со следующими условиями:
1) Преподавательские компы должны иметь выход в интернет. Студенческие компы не должны выходить в инет.
2) Преподаватели со своих компов, должны НЕЗАМЕТНО для студентов подключаться к их компам и наблюдать, что они делают, а в случае ошибки студента, поправлять их.
3) На студенческих компах, должны быть максимально ограничены права, а именно: запретить запуск и скрыть от студента командную строку, "Выполнить", Панель управления, Локальные диски, игры и т.д. Запретить менять время и фон рабочего стола. Вообщем сделать так, чтобы они могли только запускать 3 программы и ничего больше своими шаловливыми ручками сделать не смогли.
4) Необходимо продумать, как будет организован процесс сохранения файлов и документов, которые создают студенты.

Прикрепляю схемку сети.

Вообщем, как вижу решение этой задачи я: накатить на сервер Windows Server 2008R2 Standart. Как я понимаю, необходимо дальше установить и настроить роль DHCP.
По поводу авторизации пользователей - хотел сначала делать домен, но потом решил отказаться от него. Будет рабочая группа. Как я понимаю, на сервере необходимо установить прокси сервер, что бы через него запрещать и разрешать доступ компьютеров к интернету.
Для слежения за студентами - я думаю использовать VNC сервер.
А вот по поводу сохранения файлов - пока точно не решил. Не знаю, что лучше, если студенты будут сохранять документы на общий сетевой диск, или на каждом локальном компе.

Вообщем, хочется услышать мнения и советы людей, которым было не лень всё это читать :)
Заранее спасибо.

Как у вас всё сложно и не обычно.
Если вы не планируете ад тогда зачем виндовс серв?
По нормальному вам надо поставить шлюз, на шлюз поставить к примеру kerio
и в керио расписать права для каждого айпи адреса.
DHCP это автаматическая раздача айпи адресов зачем она вам?

Если хотите поставить ограничения на учетке с доступами к определённым ресурсам то вам тогда нужно поднимать АД который вы так не хотите., но для АД вам уже нужен вин сервер и не забывайте что для поднятие ад сначала надо поднять дНС так как АД является его компонентом.
Удачи в начинаиях



Увидел схему
на месте сервера у вас должен быть шлюз а на шлюзе у вас будет kerio (тоесть прокся) значит интернет у вас будет идти через апределенный айпи адрес а этот адрес будет контролировать прокся

1) на сервере настроить контроллер домена (http://www.exonix.ru/?9pdi3vyrjkgv0ootds2uiv4.htm).
2) на сервере настроить DHCP (http://www.exonix.ru/?f7kpcq16na4pomyrzh4nyyg.htm).
3) файлы пользователей можно перенаправлять на сервер (http://technet.microsoft.com/ru-ru/library/cc732275.aspx).
4) с помощью групповых политик запрещаете пользователям горячие клавиши и runas\выполнить, запрещаете другие настройки. Все настройки запретов прекрасно гуглятся. Если не найдёте - в отдельную тему.
5) с помощью DHCP позже я расскажу как запретить доступ к интернету. Предварительно с помощью доменный политик запретите пользователям менять сетевые настройки.
6)
2) Преподаватели со своих компов, должны НЕЗАМЕТНО для студентов подключаться к их компам и наблюдать, что они делают, а в случае ошибки студента, поправлять их »
так не бывает. если будут помогать - то не заметно уже не получится.
По подключится к рабочему столу можно с помощью терминального доступа с сервера. Где-то была тема... позже дам ссылку.

не забывайте что для поднятие ад сначала надо поднять дНС »
во время поднятия АД ДНС сам настроится (http://www.exonix.ru/resource/image/2008R2/12.png), и ДНС не является компонентом АД. Это отдельная служба работающая совместно с АД.

Как у вас всё сложно и не обычно.
Если вы не планируете ад тогда зачем виндовс серв?
По нормальному вам надо поставить шлюз, на шлюз поставить к примеру kerio
и в керио расписать права для каждого айпи адреса.
DHCP это автаматическая раздача айпи адресов зачем она вам?
Если хотите поставить ограничения на учетке с доступами к определённым ресурсам то вам тогда нужно поднимать АД который вы так не хотите., но для АД вам уже нужен вин сервер и не забывайте что для поднятие ад сначала надо поднять дНС так как АД является его компонентом.
Удачи в начинаиях »

Это всё понятно, но хочется научиться работать с WinServer 2008. Для личного опыта, так сказать.

1) на сервере настроить контроллер домена.
2) на сервере настроить DHCP. »

Такой вопрос - как будет происходить авторизация пользователей? Считаем, что у меня 20 пользователей, соответственно я завожу 20 учётных записей. Ничего страшного не будет, если под одной и той же учётной записью будут ходить несколько студентов? Просто всего студентов человек 200-250, и на каждого заводить учётку - это долго и сложно.А компов студенческих всего 18.......

А, да, ещё один вопрос - чисто практический. Как вообще принято делать, когда настраиваешь сеть - сначала на физическом уровне подключаешь все компы, свитчи, сервер и потом настраиваешь программную часть или наоборот?

Просто всего студентов человек 200-250, и на каждого заводить учётку - это долго и сложно »
можно автоматизировать процесс. или создайте 18 учёток, по одной на компьютер.
сначала на физическом уровне подключаешь все компы, свитчи, сервер и потом настраиваешь программную часть или наоборот? »
представим вы хотите наоборот. т.е. вам нужно обновить программу или Windows, но сеть то у вас не работает - откуда качать обновления?

и да, на месте сервера я рекомендую использовать маршрутизатор. для 18 компов хватит и домашнего (тем более, что выход в инет будет только у сервера и учителей). Посмотрите модели Dlink и Asus.

Итак. Начал настраивать контроллер домена вот по этой (http://www.exonix.ru/?9pdi3vyrjkgv0ootds2uiv4.htm) инструкции. Сначала "собрал" всю сеть - соединил все компы через через свитч. Потом, делал всё по инструкции и застопорился на моменте, когда нужно "Единственные необходимые настройки ДНС сервера - добавление "внешнего" ДНС сервера (куда будут перенаправляться интернет-запросы) и создание обратной зоны для вашей сети (выделено красным). Спискок ДНС для перенаправления уже может содержать предыдущий ДНС сервер или список будет пустой в случае, если никаких ДНС не было указано перед установкой."

Я не очень понял, что делать если список пустой? Нужно создавать обратную зону и что там указывать или же не нужно ничего создавтаь?

Ещё такой вопрос: у меня в сервере две сетевые карты, назовём их условно "Карта 1" и "Карта 2".
Как я понимаю, необходимо сделать так, чтобы одна карта "смотрела" в интернет, а другая карта "смотрела" в мою локальную сеть. "Карта1" смотрит в интернет. Конфигурация "Карты 1" такова: Ip-адрес - 10.0.68.13. Маска - 255.255.255.0. Шлюз - 10.0.68.1. DNS1 - 193.ХХХ.ХХХ.ХХХ - это все данные, которые предоставил админ сети. DNS2, как я понял из инструкции выше, должен быть 127.0.0.1. С этой картой проблем нет.

"Карта 2" смотрит в локальную сеть. Как её правильно настроить? Что то до меня не доходит...

Я не очень понял, что делать если список пустой? »
добавить внешние ДНС.
Нужно создавать обратную зону и что там указывать или же не нужно ничего создавтаь? »
нужно, указывать ID вашей сети.
Ещё такой вопрос: у меня в сервере две сетевые карты, назовём их условно "Карта 1" и "Карта 2". »
на контроллере домена ??? в самом начале статьи написано, что делать с интерфейсами. Там есть ссылки.
Но я не рекомендую настраивать контроллер домена на шлюзе для интернета. Не безопасно, и не практично.

DNS2, как я понял из инструкции выше, должен быть 127.0.0.1 »

нет, это не так. Почитайте про назначение, функции и настройку DNS сервиса прежде, чем поднимать домен.

astomper7, он про ДНС 2 написал.

exo, просто стараюсь, вопреки мелкософту, не использовать петлевой адрес - было несколько прецедентов. Считаю, что корректнее на DC указывать в качестве первичного dns самого себя, а вторичного - адрес другого DC

astomper7, а если нет вторичного (имеется ввиду второй по следовательности установки)?
просто стараюсь, вопреки мелкософту »
а я стараюсь следовать многим их рекомендациям (http://technet.microsoft.com/en-us/library/ff807362(v=ws.10).aspx). им виднее, они же делают винду...

Конфигурация "Карты 1" такова: Ip-адрес - 10.0.68.13. Маска - 255.255.255.0. Шлюз - 10.0.68.1. DNS1 - 193.ХХХ.ХХХ.ХХХ »
DNS1 - 193.ХХХ.ХХХ.ХХХ - его быть не должно (пустое место)
DNS2, как я понял из инструкции выше, должен быть 127.0.0.1 »
его тоже быть не должно (пустое место)
"Карта 2" смотрит в локальную сеть. Как её правильно настроить? »
Например:
ip 192.168.0.1
маска 255.255.255.0
dns 127.0.0.1

а если нет вторичного (имеется ввиду второй по следовательности установки)? »

Горе тому, кто останавливается на таком выборе... Да и неразумно - не воспользуешься многими полезностями - полноценным dfs, например.

а я стараюсь следовать многим их рекомендациям. им виднее, они же делают винду... »

На том же технете, помню, по поводу dns мнения расходились даже у завзятых MS евангелистов)))

Горе тому, кто останавливается на таком выборе... »
ну если вы сможете руководство уговорить на покупку второго сервера. не все себе могут это позволить.
На том же технете, помню, по поводу dns мнения расходились даже у завзятых MS евангелистов))) »
их там нет, там простые люди отвечают. такие же как и мы с вами, у которых своя работа. ну, может они умнее )))ip 192.168.0.1
маска 255.255.255.0
dns 127.0.0.1 »
О_О вот только это с astomper7 обсуждаем сейчас, я и ссылку дал на первоисточник...

своя работа. ну, может они умнее ))) »

Либо-либо...

Цитата zai:
ip 192.168.0.1
маска 255.255.255.0
dns 127.0.0.1 » »

Может, это и есть он (Умный)? :yes:

Считаю, что корректнее на DC указывать в качестве первичного dns самого себя »
можно и указать, тогда придется и на первой сетевой ("Карты 1") указать его тоже (без 127.0.0.1 вообще), для win 2003 нужны имено такие настройки, а на win 2008 r2 это не очень корректно работает.

Либо-либо... »
не будем разводить флейм. там действительно много специалистов разбирающихся в продуктах Microsoft, но не состоящие у них в штате.
а на win 2008 r2 это не очень корректно работает »
всё там прекрасно работает, если делать правильно (http://technet.microsoft.com/ru-ru/library/cc772564.aspx), а если что-то уже случилось - то чиним (http://support.microsoft.com/kb/272294/ru). на практике оказалось справедливо и для 2008 R2.

всё там прекрасно работает »
Работать все будет в любом случае. Обьясни мне зачем нужно указывать dns КД на интерфейсе который выходит в интернет?

dns КД на интерфейсе который выходит в интернет? »
перечитал сообщение:
"Карта1" смотрит в интернет. Конфигурация "Карты 1" такова: Ip-адрес - 10.0.68.13. Маска - 255.255.255.0. Шлюз - 10.0.68.1. DNS1 - 193.ХХХ.ХХХ.ХХХ - это все данные, которые предоставил админ сети. DNS2, как я понял из инструкции выше, должен быть 127.0.0.1.
если интернет карту исключить "Нажмите кнопку Дополнительнои снимите флажок Зарегистрировать DNS для данного подключения", то в 90% (у меня раз за всю практику ДНС на внешке влиял) не важно что будет там в ДНС, а так петля 127 там действительно не к месту, но там и не ДК в ДНС указан:
193.ХХХ.ХХХ.ХХХ - это реальный адрес, скорее всего от провайдера.

не важно что будет там в ДНС »
поэтому я и написал:
его быть не должно (пустое место) »