Здравствуйте.
Ситуация такая: есть 2 машины, одна из которых контроллер домена, а вторая должна работать в качестве сервера терминалов. Нужно поднять резервный контроллер домена, но тогда, если я правильно понимаю, входить на сервер терминалов смогут только администраторы.  Давать пользователям права админа - некрасиво. Как здесь можно исхитриться? Третьей машины под сервер, увы нет.

Это очень интересная тема.
А где Вы прочли, что могут входить лишь администраторы?
И почему нельзя на одном компе сделать  PDC в терминальном режиме? Я пробовал и запускал. Можно же сделать и с админ правами запуск только одной программы, и чтоб ничего не было лишнего для нажиманий. А когда выходишь из программы, то и отваливаешься от сервера, разве не так?

Связи между тем, что машина является контроллером домена, и тем, что на неё могут входить только администраторы, нет. У меня контроллер домена является одновременно сервером терминалов, и ничего, работают в терминалах не только администраторы. Надо только разрешить пользователям локальный вход на эту машину.

Исправлено: Raistlin, 14:14 1-05-2003

ИМХО нужно правильно настроить службу терминалов

Если это NT4 то проблем нет, ставте Citrix и работайте наздоровье:)))) и желательно запускать только приложения, а не полный рабочий стол, а вот если win2k, то здесь прийдется поискать кряк для сервера лицензий, что достаточно гиморойно:(((, что в принципе не мешает ему быть BDC. Но все же лучше разнести:)))):oszone:

В свойствах подключения Terminal Services Configuration
на вкладке разрешения нужно добавить нужных пользователей  

Добавлено:

В свойствах подключения Terminal Services Configuration
на вкладке разрешения нужно добавить нужных пользователей  

А кто что может сказать по поводу рекомендаций Microsoft'a, о нежелательности устанавливать DC и TS на одной машине win2k3s? Кто знает теорию по этому поводу? Есть какие-то конкретные примеры ошибок, если ДА, то можно ли их преодолеть? Или это они перестраховываются?
Заранее спасибо!

просто имея возможность локального входа, можно запустить неприятный эксплойт и повысить привилегии, а потом соответственно творить что хочешь, ведь ты домаинАдмин.) от того и не рекомендует Микрософт такие действия. но всё это на усмотрение конечного админа. также рекомендуют минимум два контроллера домена, а частенько такой возможности тоже нет.
так же хотел немного поправить - не резервный контроллер а дополнительный. если конечно мы говорим об АД2003, т.к. там все контроллеры равноправные, за исключением некоторых особенностей.)

просто имея возможность локального входа, можно запустить неприятный эксплойт и повысить привилегии, а потом соответственно творить что хочешь, ведь ты домаинАдмин.) »

Так же необходимо рассмотреть обратный случай, когда по требованиям безопасности вы либо накатываете ограничительные политики, либо устанавливаете специальное защитное ПО (например Symantec System Critical Protection),
естественно куча софта тут-же перестает работать, что для DC - терпимо, а вот на TS - нет.
Так же нужно понимать, что для TS и DC абсолютно разные требования по нагрузочной способности и использованию системных ресурсов (Представте если кто-нибудь загрузит кодирование фильмов на ночь, а оно не кончится к началу следующего рабочего дня. Знаете как "весело" будут входить в сеть полсотни станций?)
Отдельной песней является группа ошибок DC, которая лечится либо сносом AD c сервера, либо вообще перестановкой.
Пользователи терминального сервера (особенно если там стоит 1С), с умилением воспримут новость, что вам нужно "потерзать" сервер пару дней.

Именно по этому рекомендуют (еще с NT) иметь пару DC, пусть на самых дохлых машинах и со 100Мбит картах, но которые будут выполнять только эту функцию, и больше ничего.

wertyg
Огромное спасибо за помощь.
kim-aa
К счастью, ничего, из тобою описанного, на данном сервере просто невозможно. Но рекомендации учту! ;)