Доброго времени суток.

Перейду сразу к делу, столкнулся с администрированием в первые.
Имеется Windows Server 2008 R2
И машины

Сервер № 1
Системная плата Kraftway GEG
Тип ЦП 2x QuadCore Intel Xeon E5620, 2400 MHz (18 x 133)
память 26гб
ж/д KINGMAX SSD SATA-III 60 GB
WDC WD20EARS-00MVWB0 SATA-II 2000 ГБ
Диск #3 - Adaptec Array (233 ГБ)
Диск #4 - Adaptec Array (273 ГБ)
На raid 5

Сервер №2
Системная плата Gigabyte GA-EP45-DS3L
Тип ЦП QuadCore Intel Core 2 Quad Q9400, 2666 MHz (8 x 333)
модуль 4х1гб
ж/д SAMSUNG HD103UJ SATA-II 1000 ГБ
WDC WD3200AAKS-00B3A0 SATA-II 320 ГБ
WDC WD3200AAKS-75L9A0 SATA-II 320 ГБ

Сервер № 3
Системная плата Gigabyte GA-H77M-D3H
Тип ЦП QuadCore Intel Core i5-3550, 3500 MHz (35 x 100)
модуль 2 х 4 ГБ
ж/д WDC WD2500AAKX-22ERMA0 SATA-III 250 ГБ

1. На Сервере должно точно стоять серверная 1С Предприятие, что бы все 80 машин имели к ней доступ(это организует другой человек), но мне кажется что машина не выдержит нагрузку, в среднем будет работать ~40 человек
-Нужен совет от человека который уже опытен в этих делах и мог бы точно сказать стоит ли абгрейдить оборудование или купить новое.
2. На сервере должен быть установлен Directum, на нём работают примерно человек 50 человек, как сказал предыдущий администратор(Сервер № 3 кое как справляется с 15~20 человек)
3. На сервере должны быть общие папки пользователей для быстрого обмена, или что то другое.
4. На сервере должен делаться бэкап БД.
Пока не знаю как мне всё это организовать на 3-х машинах, так что тоже очень нужен совет.

Парк машин примерно около 80 в разных городах.

Хотелось бы реализовать следующее:
1. Контролировать Учётные записи пользователей, права и ещё чего-нибудь.
2. Контролировать программы, веб-ресурсы, скачиваемые файлы и т.д
3. Контролировать у пользователей USB порты, что бы включать им USB порт с моего разрешения.
4. Сделать так что бы можно было скрытно наблюдать за их рабочим столом.
5. Сделать так что бы можно было управлять ихним рабочим столом для помощи и решения различных проблем удалённо
6. Сделать так что бы можно было войти на любой компьютер в сети и любого места с разными правами доступа. (Ниже файл прикреплён "2" это сеть)
Например У меня права администратора, у директора права наблюдателя, а пользователь мог просто зайти на своё рабочее место из дома и работать удалённо.
7. Ну и хотелось бы найти хороший способ(удобный) обмена информацией между сотрудниками.
8. Если есть в этом смысл, то организовать собственный почтовый сервер
не знаю какая нагрузка будет на машины и какой будет трафик, но пока самый быстрый канал 10мбит/1мбит В крайнем случае поменяем тариф на чуть быстрее.
9. Как можно больше автоматизировать процесс, и как уже говорил что бы из любого места я мог попасть на любой компьютер организации и решить возникшую проблему.

Ещё такие моменты, сказали что если что то выделят деньги на ПО и оборудование, но в пределах разумного.
Пока планируем купить 1С Предприятие и Касперский, возможно и ещё что нибудь.

Начал изучение, и тоже нужен совет.
1. Стоит ли ставить Active Directory (AD) ?
Если я правильно понимаю то это база данных рабочих столов которая хранится на отдельном сервере, и пользователь использует свой компьютер для конекта к серверу и работает уже на сервере(как удалённый рабочий стол) или я ошибаюсь?
И такой вопрос а программы которые ему нужны будут запускаться с его компьютера или те что на сервере?
2. DHCP, DNS, NAT, Шлюз кто нибудь объясните нормальным русским языком что это?
Читал очень много про ВСЁ но информации очень много много и очень тяжело всё переварить, а хочется не только тупо всё поставить, но и понять как работает(самому интересно), если кто может дайте ссылки где про это понятно написано, википедию понять не могу всё смутно и каша в голове из за не знания многих терменов.
4. remote desktop gateway, Если я правильно понимаю это шлюз, но не понимаю зачем он и какие плюсы? и как с ним будет остальное работать?
4. Заинтересовали 2 продукта Kaspersky endpoint security и Kaspersky Small Office Security 2, кто уже пробовал их? отпишитесь плз как работают?, надёжны ли? и как всё будет совместимо с вышеперечисленным?
5. Ну и посоветуйте программу для удалённого администрирования, что бы можно было удовлетворить выше написанному.
6. И ещё Microsoft Exchange Server что это? это общий почтовый сервер в интернете или его нужно к себе на серверную машину ставить?

Спасибо что всё это прочитали, сори за нубство.

Ну давайте по пунктам.
1. Контролировать Учётные записи пользователей, права и ещё чего-нибудь. - AD
2. Контролировать программы, веб-ресурсы, скачиваемые файлы и т.д - шлюз+прокси (kerio, TMG, usergate)
3. Контролировать у пользователей USB порты, что бы включать им USB порт с моего разрешения. - AD + GPO (Group policy object)
4. Сделать так что бы можно было скрытно наблюдать за их рабочим столом. - софт для удаленного управления, UltraVNC например, через GPO также устанавливается незаметно.
5. Сделать так что бы можно было управлять ихним рабочим столом для помощи и решения различных проблем удалённо - см. пункт 4
6. Сделать так что бы можно было войти на любой компьютер в сети и любого места с разными правами доступа. - Удаленный рабочий стол с разграничением прав доступа.
7. Ну и хотелось бы найти хороший способ(удобный) обмена информацией между сотрудниками. - Файл-сервер с продуманной системой папок, почтовый сервер
8. Если есть в этом смысл, то организовать собственный почтовый сервер - смысл то есть, Exchange например предоставляет богатые возможности и по обмену e-mail, и по обмену файлами, и по организации работы сотрудников, и еще много чего, но это отдельная сложная тема, за которую пока лучше не браться.
9. Как можно больше автоматизировать процесс, и как уже говорил что бы из любого места я мог попасть на любой компьютер организации и решить возникшую проблему. - см. п.5, 6

Далее
1. Стоит ли ставить Active Directory (AD) ? - Однозначно, на рабочих группах ваши пожелания реализовать нереально. Понимаете неправильно. AD - база данных, которая хранит настройки и учетные данные пользователей для единой авторизации и управления ими. То о чем вы говорите называется Сервер терминалов, он к AD отношения не имеет. Программы к AD не нужны, это встроенныя роль в Win 2008r2 например.
2. DHCP, DNS, NAT, Шлюз кто нибудь объясните нормальным русским языком что это?
DHCP - сервер, который автоматически выдает пользователям IP адреса, маску подсети, IP адрес шлюза по умолчанию, IP адреса ДНС (еще много чего может выдать, но это само часто используемое). Применяется для автоматизации настройки сети клиентов.
DNS - сервер, преобразующий имена компьютеров вида www.google.ru в адрес вида 173.194.40.152 (именно по ним компы общаются между собой). Требуется для работы AD.
NAT - сетевая трансляция адресов, придумана для решения нехватки адресов в интернете. Если у ваших компьютеров адреса типа 192.168.2.2, 192.168.2.3 и т.д., а адрес шлюза 192.168.2.1, то с NAT при выходе в интернет адреса ваших компов будут подменяться на адрес шлюза и обратно.
Шлюз - устройство, обеспечивающее взаимодействие между 2 подсетями, простой пример - между вашей сетью и Интернетом.
4. remote desktop gateway - шлюз для удаленных рабочих столов, позволяет запускать приложения прямо из браузера не подключаясь к серверу терминалов, как в локальной сети так и через интернет.
4. Заинтересовали 2 продукта Kaspersky endpoint security и Kaspersky Small Office Security 2, кто уже пробовал их? отпишитесь плз как работают?, надёжны ли? и как всё будет совместимо с вышеперечисленным? - пробовал Endpoint Security, ну работают и работают, что про них особо скажешь. Поимите все вышеперечисленное - это системные сервисы, а касперский это приложение, вопрос совместимости между ними просто не стоит.
5. Ну и посоветуйте программу для удалённого администрирования, что бы можно было удовлетворить выше написанному. - см. п. 5, 6 выше.
6. И ещё Microsoft Exchange Server что это? - корпоративный почтовый сервер, устанавливается соответственно себе на сервер)), для организации как внутренней так и внешней электронной почты.

ИМХО вашего железа для всех этих задач явно не хватит. Так же посоветую нанять опытного админа, так как сами вы (судя по вашему уровню знаний) это пока врядли сможете реализовать, на изучение всего этого нужно довольно много времени, не говоря уже о рабочей реализации (без обид).

uel, ух как! У меня бы терпения не хватило расписывать. Наверное.

uel, молодец, согласен с winbond. И добавить-то особо нечего.

uel,
2. Контролировать программы, веб-ресурсы, скачиваемые файлы и т.д - шлюз+прокси (kerio, TMG, usergate) »
А разве Kaspersky endpoint security и Kaspersky Small Office Security 2 не смогут это реализовать?
И такой вопрос С AD если пользователь будет заходить на сервер с AD для авторизации, то на его компьютере ПО ни какое не нужно? т. е можно поставить 1 антивирус на AD на всех пользователей?

4. remote desktop gateway - шлюз для удаленных рабочих столов, позволяет запускать приложения прямо из браузера не подключаясь к серверу терминалов, как в локальной сети так и через интернет. »
А если сделать такой вариант для пользователей, а
4. Сделать так что бы можно было скрытно наблюдать за их рабочим столом. - софт для удаленного управления, UltraVNC например, через GPO также устанавливается незаметно. »
для себя. Но опять же вопрос UltraVNC вроде конектится по IP а у меня нет на каждом компе в сети IP. как быть?
8. Если есть в этом смысл, то организовать собственный почтовый сервер - смысл то есть, Exchange например предоставляет богатые возможности и по обмену e-mail, и по обмену файлами, и по организации работы сотрудников »
А если я потом этот сервер до кручу, так можно? или может вообще пользоваться хостинг почтой продолжать и не заморачиваться?

на его компьютере ПО ни какое не нужно? т. е можно поставить 1 антивирус на AD на всех пользователей? »

нет

А если сделать такой вариант для пользователей, а
Цитата uel:
4. Сделать так что бы можно было скрытно наблюдать за их рабочим столом. - софт для удаленного управления, UltraVNC например, через GPO также устанавливается незаметно. »
для себя. Но опять же вопрос UltraVNC вроде конектится по IP а у меня нет на каждом компе в сети IP. как быть? »

dameware - как вариант

8. Если есть в этом смысл, то организовать собственный почтовый сервер - смысл то есть, Exchange например предоставляет богатые возможности и по обмену e-mail, и по обмену файлами, и по организации работы сотрудников »
А если я потом этот сервер до кручу, так можно? или может вообще пользоваться хостинг почтой продолжать и не заморачиваться? »

Если вы в ближайшей перспективе собираетесь самостоятельно этим заниматься - то не заморачивайтесь.

А разве Kaspersky endpoint security и Kaspersky Small Office Security 2 не смогут это реализовать? »

нет. Антивирус - это не прокси.

нет. Антивирус - это не прокси. »
Контроль доступа к интернету и запуска программ

Kaspersky Small Office Security помогает повысить производительность труда сотрудников компании. Вы можете контролировать использование ими интернета и приложений, ограничивать скачивание файлов, а также легко и быстро создавать развернутые отчеты о том, как используются компьютеры компании в рабочее время.

Попробовал установил и действительно можно всем сотрудником сети запрещать запуск программ и закрывать доступ в интернет на любой ресурс, можно даже доступ в интернет и на компьютер ограничивать...
Может там прокси встроенный?

dameware - как вариант »
почитал про эту программу, очень много наворотов, очень заинтересовала программка.
А скажите есть ли русская локализация её? или может планируется? кто в курсе отпишитесь.

И такой вопрос если на ранних этапах я не установлю AD а сделаю просто на каждом компьютере по учётной записи с ограничеными правами я смогу пользоваться этой прогой для выполнения поставленных выше задач? или под AD заточена?

И есть ли у когонибудь информация по нагрузке сервера с AD на 1\10 пользователей? и какой канал интернета нужен для комфортной работы сотрудников с AD на 1\10 сотрудников.

magnus-1,
Но опять же вопрос UltraVNC вроде конектится по IP
Точно не помню насчет IP, но что мешает сделать ping <hostname>, выяснить адрес и законектится? Сам уже им давно не пользуюсь, начал баловаться SCCM.
а у меня нет на каждом компе в сети IP. как быть? Это как?
А если сделать такой вариант для пользователей - Если вы про remote desktop gateway, то это и есть для пользователей, заточка скорее на работу через интернет, в локалке особого смысла в нем не вижу.
А если я потом этот сервер до кручу, так можно?или может вообще пользоваться хостинг почтой продолжать и не заморачиваться? - Докрутить можно потом, Exchange не обязателен для AD или чего либо еще. Конечно можно пользоваться хостинг почтой. У меня на работе Google Apps бесплатный, когда-то давал 50 бесплатных почтовых ящиков, сейчас правда 10, им и пользуемся, но это от того что на данный момент нет возможности получить статический IP. Тут скорее вопрос в том, что вы доверяете конфиденциальные данные сторонней компании, а так же в том, что не можете сами контролировать переписку сотрудников.
Попробовал установил и действительно можно всем сотрудником сети запрещать запуск программ и закрывать доступ в интернет на любой ресурс, можно даже доступ в интернет и на компьютер ограничивать...
Может там прокси встроенный? - Сам этим продуктом не пользовался, там скорее функции персонального файрвола, прокси врядли. Дело в том что доступ то вы контролируете, но именно для всех. А если встанет задача дать доступ одной группе пользователей (руководство например) полный доступ к нету, второй группе ограниченный, третьей вообще все закрыть кроме определенных сайтов и т.д., то с помощью касперского вы эту задачу замучаетесь решать. Для таких целей существуют пограничные файрволы для защиты периметра сети, которые решают такие задачки без особых сложностей (Kerio Control, Microsoft Forefront TMG, Usergate). Другая проблема что TMG больше не развивается, а Kerio и Usergate не поддерживают win 2012 и вроде как и не собираются.
И такой вопрос если на ранних этапах я не установлю AD а сделаю просто на каждом компьютере по учётной записи с ограничеными правами я смогу пользоваться этой прогой для выполнения поставленных выше задач? или под AD заточена? - Теоретически можете, но судя по схеме вашей сети у вас связь между удаленными филиалами, следовательно нужен VPN, а настройка проброса имен через VPN без DNS имхо задача нетривиальная.
И есть ли у когонибудь информация по нагрузке сервера с AD на 1\10 пользователей? и какой канал интернета нужен для комфортной работы сотрудников с AD на 1\10 сотрудников. - Да нагрузка невелика, на 10 пользователей и простой офисной машины с лихвой хватит, на каком то форуме читал что PIV 2GHz, 1Gb RAM без проблем держал около 100 машин. Насчет канала это смотря какие профили использовать, если локальные, то мала, если перемещаемые, то соответственно выше. Но в вашем случае одного сервера AD недостаточно. В каждом филиале ставится свой сервер AD, либо RODC (read only domain controller), вся структура разбивается на сайты (не путать с веб сайтами), и между ними настраивается репликация. Таким образом пользователи в городе N работают со своим контроллером, который в свою очередь реплицируется по заданному расписанию с центральным, интернет канал не нагружается (репликацию можно ночью проводить). Частоту репликации на начальном этапе при вводе пользователей в домен делают чаще, когда все устаканится имхо раз в сутки достаточно. Опять таки если с центральным контроллером что-то случится (наводнение, землетрясение, неверная настройка и т.д.), то филиалы продолжат работу без простоя, а с одним контроллером вся сеть ляжет.

а у меня нет на каждом компе в сети IP. как быть? Это как? »
Ну тоесть есть ip но динамический, нету статического, поэтому и не могу через UltraVNC сделать конект (конектится не к чему)
Точно не помню насчет IP, но что мешает сделать ping <hostname>, выяснить адрес и законектится? »
можно по подробнейА если сделать такой вариант для пользователей - Если вы про remote desktop gateway, то это и есть для пользователей, заточка скорее на работу через интернет, в локалке особого смысла в нем не вижу. »
6. Сделать так что бы можно было войти на любой компьютер в сети и любого места с разными правами доступа. (Ниже файл прикреплён "2" это сеть)
Например У меня права администратора, у директора права наблюдателя, а пользователь(рабочий) мог просто зайти на своё рабочее место из дома и работать удалённо. »
это одна из целей.
Тут скорее вопрос в том, что вы доверяете конфиденциальные данные сторонней компании, а так же в том, что не можете сами контролировать переписку сотрудников. »
да об этом и был разговор у нас с руководством, но я считаю что лучше пока довериться профессионалам, которые в случае чего быстро решат проблему, а почтовая пересылка у нас не такая и уж секретная.
uel, спасибо огромное, теперь стало понятнее, осталось теперь только найти нужный материал по каждому элементу и изучить, а так же думаю собрать тестовый стенд из 5 машин для теста и обучения =).
Задумаюсь насчёт прокси.
Если можете посоветуйте материал для новичков.

Ну тоесть есть ip но динамический, нету статического, поэтому и не могу через UltraVNC сделать конект (конектится не к чему)
А по NetBIOS-имени станции кто мешает?

magnus-1,
можно по подробней - Пуск - Выполнисть - cmd, в командной строке наберите ping google.com, в ответ увидите обмен пакетами с сайтом гугла и там же его IP вида 173,194. Вместо google.com ставите имя компа в локальной сети и узнаете его IPадрес. Это первый вариант. Второй вариант - раздавать через DHCP одни и те же адреса одним и тем же компьютерам, это называется резервирование. Ну и как подсказывает Angry Demon, можно просто обращаться по NetBIOS имени.
да об этом и был разговор у нас с руководством, но я считаю что лучше пока довериться профессионалам, которые в случае чего быстро решат проблему, а почтовая пересылка у нас не такая и уж секретная. - ну тогда и не заморачивайтесь. Почтовые сервера это отдельная, большая и довольно сложная тема (это я про Эксчендж, есть сервера и попроще и полегче в настройке), лучше оставайтесь на хостинге, когда сделаете все что задумали по сети, тогда и над почтовиком можно задуматься.
так же думаю собрать тестовый стенд из 5 машин для теста и обучения - Обязательно. Нечего даже браться за реальную среду, пока не завалишь пару тестовых контроллеров)). Я тренировался в свое время на виртуальных машинах, 5 компов в наличии не было).
Если можете посоветуйте материал для новичков. - Посоветовать могу, ну только не знаю насколько это для новичков. Когда я начинал разбираться с AD, то уже неплохо знал как сети и сетевые сервисы (DHCP и т.д.), так и саму Win. C AD я разбирался по курсам Microsoft:

Проектирование сетевой инфраструктуры Windows Server® 2008 - Нортроп, Маккин
Настройка Active Directory. Windows Server 2008 - Дэн Холме, Нельсон Рест, Даниэль Рест

Хорошая книга по Win 2008, для новичка наверное сложновата будет, но все же - Моримото Р., Ноэл М., Драуби О., Мистри Р., Амарис К. - Microsoft Windows Server 2008 R2. Полное руководство - 2011

http://dimanb.wordpress.com/ - неплохой блог, довольно много информации по AD, Group Policy и др., статьи этого автора есть и на этом сайте.
http://www.oszone.net ))))) - на этом сайте просто куча инфомации как для новичков так и для продвинутых.
http://itband.ru/2012/05/name/ - это чтобы сразу дров не наломать)))
http://technet.microsoft.com/ru-ru/magazine/2008.05.oudesign.aspx - про проектирование ОП, так же желательно ознакомится
http://technet.microsoft.com/ru-ru/ - куда ж без него))
http://interface31.ru/tech_it/directory-service/
http://system-administrators.info - много инфы обо всем

Сложно посоветовать что-то такое, где было бы все что нужно, и понятно расписано, и легко читалось. Из этих книг сам я не дочитал до конца ни одной(((, попросту времени не хватает, или на данный момент описываемая тема для меня не актуальна, в основном ищу статьи на конкретную тематику (например "Настройка DNS в Win 2008r2"), либо нахожу блоги, где расписывается как AD, так и многое другое. Книги в принципе найти в нете несложно, мог бы и выслать вам, но гугл больше 20 Мб отправить не даст, а они поболее весят