RDP на машине с AD
 

Я узнал сегодня, что оказывается, при поднятии роли AD, на данном сервере роль RDP работать не будет. Это так? Нечего не поменялось? Как тогда коннектиться к серверу? Только поднятием на виртуальной машине ещё одной виртуальной машины, а на ней ещё одну систему с чисто ролью RDP ? Других вариантов нет?

Полная ерунда. Все будет работать, просто пользователь с правами "Domain Users" туда зайти не сможет, и то при желании это легко изменить.

Это в 2012-ом нельзя несколько ролей иметь на AD, а в 2008 можно.

Если речь о роли RDS host, то ее крайне не рекомендуется ставить на контроллер, хотя это легко можно сделать в т.ч. в 2012.

Именно о ней речь. Для доступа по RDP ведь она и нужна.
Если нет второго сервера в этом подразделении, как тогда быть? Почему не рекомендуется?

Она нужна для доступа по RDP более двух пользователей :)
Если нет второго сервера можно и на существующем делать. Для работы необходимо в политиках разрешить удаленный вход на сервер группе юзеров, которая должна будет заходить на него. Не рекомендуется, потому что позволять пользователям работать на контроллере это серьезный риск безопасности.

Цитата hozman:
Почему не рекомендуется? »
Потому что, лишняя роль - это лишние службы, лишние открытые порты+доп. обновления, все это увеличивает поверхность атаки. Компрометация контроллера домена, откроет злоумышленнику доступ ко всей инфраструктуре, поэтому не рекомендуется нагружать его ролями,компонентами и непонятным софтом.

Ну а как тогда конектится к нему вообще без соответствующей роли то?

Хотите сказать, что для того чтоб одновременно работать по RDP только одному пользователю нет необходимости вообще подымать соответствующую роль ?

Да, к любому серверу (если стоит соответствующая галочка, конечно) может одновременно подключиться 3 пользователя - 2 по RDP и 1 на консоли (если не путаю). Служба терминалов для этого не нужна.

Элементарно, Ватсон.
Любой сервер, в том числе контроллер домена, поддерживает службу RDP.
Просто на обычном сервере эта служба используется только для административных задач: она не требует наличия лицензии клиентского доступа к удалённому рабочему столу (Windows server RDP CAL) и допускает всего 2 (3) сеанса одновременной работы. При этом политики сервера по-умолчанию разрешают подключение к RDP только пользователям из группы "администраторы", пароль которых требуется хранить в большой тайне.

Вот именно

Если же вы хотите использовать "удалённый рабочий стол" для повседневной работы пользователей (особенно нескольких пользователей), тогда вам нужно добавлять роль "сервер терминалов" (или как она ещё называется) и покупать потребное количество лицензий RDP CAL (раньше стоили порядка 3 тыс. за место, сейчас ещё больше).
И именно про это говорит M$, когда категорически не рекомендует совмещать роли контроллера домена и сервера терминалов.

Три сессии были в 2003-м.

А сейчас меньше?
Хотя, всё-равно, даже и 3 сессии это мало. У меня вариантов нет. Второй сервер в данном подразделении не купят, т.к. руководство колхозное( по понятиям). Так что придётся подымать роль удалённого администрирования, всё-равно.