Резервный контроллер домена и терминальный сервер
 

Здравствуйте.
Ситуация такая: есть 2 машины, одна из которых контроллер домена, а вторая должна работать в качестве сервера терминалов. Нужно поднять резервный контроллер домена, но тогда, если я правильно понимаю, входить на сервер терминалов смогут только администраторы.  Давать пользователям права админа - некрасиво. Как здесь можно исхитриться? Третьей машины под сервер, увы нет.

Это очень интересная тема.
А где Вы прочли, что могут входить лишь администраторы?
И почему нельзя на одном компе сделать  PDC в терминальном режиме? Я пробовал и запускал. Можно же сделать и с админ правами запуск только одной программы, и чтоб ничего не было лишнего для нажиманий. А когда выходишь из программы, то и отваливаешься от сервера, разве не так?

Связи между тем, что машина является контроллером домена, и тем, что на неё могут входить только администраторы, нет. У меня контроллер домена является одновременно сервером терминалов, и ничего, работают в терминалах не только администраторы. Надо только разрешить пользователям локальный вход на эту машину.

[s]Исправлено: Raistlin, 14:14 1-05-2003[/s]

ИМХО нужно правильно настроить службу терминалов

Если это NT4 то проблем нет, ставте Citrix и работайте наздоровье:)))) и желательно запускать только приложения, а не полный рабочий стол, а вот если win2k, то здесь прийдется поискать кряк для сервера лицензий, что достаточно гиморойно:(((, что в принципе не мешает ему быть BDC. Но все же лучше разнести:)))):oszone:

В свойствах подключения Terminal Services Configuration
на вкладке разрешения нужно добавить нужных пользователей  

Добавлено:

В свойствах подключения Terminal Services Configuration
на вкладке разрешения нужно добавить нужных пользователей  

А кто что может сказать по поводу рекомендаций Microsoft'a, о нежелательности устанавливать DC и TS на одной машине win2k3s? Кто знает теорию по этому поводу? Есть какие-то конкретные примеры ошибок, если ДА, то можно ли их преодолеть? Или это они перестраховываются?
Заранее спасибо!

просто имея возможность локального входа, можно запустить неприятный эксплойт и повысить привилегии, а потом соответственно творить что хочешь, ведь ты домаинАдмин.) от того и не рекомендует Микрософт такие действия. но всё это на усмотрение конечного админа. также рекомендуют минимум два контроллера домена, а частенько такой возможности тоже нет.
так же хотел немного поправить - не резервный контроллер а дополнительный. если конечно мы говорим об АД2003, т.к. там все контроллеры равноправные, за исключением некоторых особенностей.)

Так же необходимо рассмотреть обратный случай, когда по требованиям безопасности вы либо накатываете ограничительные политики, либо устанавливаете специальное защитное ПО (например Symantec System Critical Protection),
естественно куча софта тут-же перестает работать, что для DC - терпимо, а вот на TS - нет.
Так же нужно понимать, что для TS и DC абсолютно разные требования по нагрузочной способности и использованию системных ресурсов (Представте если кто-нибудь загрузит кодирование фильмов на ночь, а оно не кончится к началу следующего рабочего дня. Знаете как "весело" будут входить в сеть полсотни станций?)
Отдельной песней является группа ошибок DC, которая лечится либо сносом AD c сервера, либо вообще перестановкой.
Пользователи терминального сервера (особенно если там стоит 1С), с умилением воспримут новость, что вам нужно "потерзать" сервер пару дней.

Именно по этому рекомендуют (еще с NT) иметь пару DC, пусть на самых дохлых машинах и со 100Мбит картах, но которые будут выполнять только эту функцию, и больше ничего.

wertyg
Огромное спасибо за помощь.
kim-aa
К счастью, ничего, из тобою описанного, на данном сервере просто невозможно. Но рекомендации учту! ;)