[ko4evneg]

Полная ерунда. Все будет работать, просто пользователь с правами "Domain Users" туда зайти не сможет, и то при желании это легко изменить.

[alef2474]

Цитата hozman:

оказывается, при поднятии роли AD, на данном сервере роль RDP работать не будет. Это так? »

Это в 2012-ом нельзя несколько ролей иметь на AD, а в 2008 можно.

[ko4evneg]

Если речь о роли RDS host, то ее крайне не рекомендуется ставить на контроллер, хотя это легко можно сделать в т.ч. в 2012.

[hozman]

Цитата ko4evneg:

Если речь о роли RDS host »

Именно о ней речь. Для доступа по RDP ведь она и нужна.
Если нет второго сервера в этом подразделении, как тогда быть? Почему не рекомендуется?

[ko4evneg]

Цитата hozman:

Для доступа по RDP ведь она и нужна. »

Она нужна для доступа по RDP более двух пользователей

Цитата hozman:

Если нет второго сервера в этом подразделении, как тогда быть? Почему не рекомендуется? »

Если нет второго сервера можно и на существующем делать. Для работы необходимо в политиках разрешить удаленный вход на сервер группе юзеров, которая должна будет заходить на него. Не рекомендуется, потому что позволять пользователям работать на контроллере это серьезный риск безопасности.

[Trouble_Maker]

Цитата hozman:
Почему не рекомендуется? »
Потому что, лишняя роль - это лишние службы, лишние открытые порты+доп. обновления, все это увеличивает поверхность атаки. Компрометация контроллера домена, откроет злоумышленнику доступ ко всей инфраструктуре, поэтому не рекомендуется нагружать его ролями,компонентами и непонятным софтом.

[hozman]

Цитата Trouble_Maker:

Потому что, лишняя роль - это лишние службы, лишние открытые порты+доп. обновления, все это увеличивает поверхность атаки »

Ну а как тогда конектится к нему вообще без соответствующей роли то?

Цитата ko4evneg:

Она нужна для доступа по RDP более двух пользователей »

Хотите сказать, что для того чтоб одновременно работать по RDP только одному пользователю нет необходимости вообще подымать соответствующую роль ?

[Nomad_AlexSS]

Цитата hozman:

Хотите сказать, что для того чтоб одновременно работать по RDP только одному пользователю нет необходимости вообще подымать соответствующую роль ? »

Да, к любому серверу (если стоит соответствующая галочка, конечно) может одновременно подключиться 3 пользователя - 2 по RDP и 1 на консоли (если не путаю). Служба терминалов для этого не нужна.

[El Scorpio]

Цитата hozman:

Цитата Trouble_Maker: Потому что, лишняя роль - это лишние службы, лишние открытые порты+доп. обновления, все это увеличивает поверхность атаки » Ну а как тогда конектится к нему вообще без соответствующей роли то? »

Элементарно, Ватсон.
Любой сервер, в том числе контроллер домена, поддерживает службу RDP.
Просто на обычном сервере эта служба используется только для административных задач: она не требует наличия лицензии клиентского доступа к удалённому рабочему столу (Windows server RDP CAL) и допускает всего 2 (3) сеанса одновременной работы. При этом политики сервера по-умолчанию разрешают подключение к RDP только пользователям из группы "администраторы", пароль которых требуется хранить в большой тайне.

Цитата hozman:

Цитата ko4evneg: Она нужна для доступа по RDP более двух пользователей » Хотите сказать, что для того чтоб одновременно работать по RDP только одному пользователю нет необходимости вообще подымать соответствующую роль ? »

Вот именно

Если же вы хотите использовать "удалённый рабочий стол" для повседневной работы пользователей (особенно нескольких пользователей), тогда вам нужно добавлять роль "сервер терминалов" (или как она ещё называется) и покупать потребное количество лицензий RDP CAL (раньше стоили порядка 3 тыс. за место, сейчас ещё больше).
И именно про это говорит M$, когда категорически не рекомендует совмещать роли контроллера домена и сервера терминалов.