Как настроить удаленную работу нескольких работников на нашем сервере?

Question

[Andrey Z]

Есть ли возможность сделать чтобы одновременно до 50 человек сидели и работали под своими учетками? Соответственно, поставить какую-то машину, в которой все работники будут подключаться. Поспрашивал, кто-то говорит можно windows server и там будет каждый под своей учеткой.

Но единственный момент... Хотелось бы отслеживать каждого пользователя и запретить вынос документов или чего-то иного с этой системы. И windows server с этим справится?

Если не трудно, скажите как реализовать удаленную работу. Может шпионское ПО устанавливать на каждый ПК сотрудника, сейчас это продвинулось и записывает фронтальную камеру, экран, нажатие клавиш и многое другое.

Comments

[Максим Гришин]

Вынос документов - вам как минимум в сторону AD RMS, и то никакой гарантии, что их не переснимут. Проще говоря, электронные документы при удаленной работе все равно что вынесены, и ничем вы это не предотвратите технически, иначе ваши пользователи с ними не смогут работать вообще. Про отслеживание - а что надо-то? Есть логи, если очень хочется, можно и экран снимать (на самом сервере), а шпионское ПО на домашних ПК - за это вас будут бить, возможно, трубой. Железной. А так - да, вам потребуется Windows Server с ролью Remote Desktop Session Host, на него ставите ПО для работы и собираете с него активность пользователей.

[Andrey Z]

Максим Гришин, что купить то для этого нужно)) в этих серверах не сильно разираюсь, но думаю ютуб поможет

[Максим Гришин]

Andrey Z, грамотного сисадмина, во-первых. Во-вторых, железяку под гипервизор, если мощностей не хватает - на 50 человек нам когда-то понадобились три сервера по 32ГБ памяти (виртуальных - у нас гиперов хватало). Остальное админ скажет, но сейчас в рамках войны с микрософтом думаю, что именно покупать больше ничего не потребуется. Хотя вопрос с доступом открыт - может потребоваться канал связи пошире, особенно исходящий.

[Роман Безруков]

дополню Максим Гришин : GPO для запрета буфера обмена, USB, проброса дисков/принтеров; AppLocker и/или Software Restrictions Policies для списка разрешенных/запрещенных программ; запрет отправки внешней почты и т.д.
Можно еще какую-нибудь DLP-систему вкорячить...

[Andrey Z]

Роман Безруков, принял

[Максим Гришин]

Роман Безруков, даже при отсутствии доступа к буферу обмена, скриншоты на клиенте (включая снимок на телефон) никто не отменял. Т.е. кто захочет стянуть информацию, пусть и не в машиночитаемом виде, сможет. А про GPO для сервера - да и ещё раз да, просто ОП явно не владеет достаточным спектром знаний, отчего вначале я посоветовал ему достать именно сисадмина.

[Роман Безруков]

Максим Гришин, да так оно...кому надо - все равно стянет тем или иным способом...

[Andrey Z]

Максим Гришин, да на счет снимка понимаю, но в основном самое главное чтобы так же у удаленных работников кэш и куки аккаунтов не сохранялось. Тк после их допустим ухода может произойти удаление файлов или еще хуже - всю экосистему могут в приложениях сломать. Потом ехать и разбираться, так себе делишко

[Максим Гришин]

Andrey Z, ну на это у вас должны быть бэкапы, как минимум уже имеющейся файловой структуры. Сервер тоже бэкапать надо будет, возможно, со стороны гипервизора, если ПО уже есть, настроите, если нет, правильнее будет купить. Ну и кроме того, лучше не выпускайте пользователей с этого сервера в Интернет, пусть если хотят сидеть в нете, сидят со своих ПК, это всерьез уменьшит ваши риски.

[Andrey Z]

Максим Гришин, ок

[CityCat4]

Максим Гришин, Последние версии Стахановца начиная с 8.0 вроде как умеют, "глядя" вебкой на юзера, ловить момент когда он наводит телефон на экран, чтобы его сфотать и рисуют там МПХ :) а еще алерт админу шлют. Но Стахановец на полсотни рыл - дорогое удовольствие, вместе с железом для него на полляма потянет.

ТС просто не понимает, к сожалению, какую серьезную (и в отношении админства и в отношении законодательства) задачу он себе ставит, не обладая и десятой долей необходимых знаний...

[Максим Гришин]

CityCat4, мило, это правда тоже обойдут со временем. Да и сейчас можно, достаточно запихнуть телефон в декольте или под рубашку с пуговицами.

[CityCat4]

Я думаю, там где всерьез боятся такого - есть обычное видеонаблюдение. Оно не спасет от выноса, но зафиксирует факт сьемки и может быть доказательством в суде. Да, процесс можно и не выиграть, но сам по себе процесс с допросами у следаков и прочим - на людей оказывает неизгладимое впечатление (особенно, если раньше ни разу не сталкивались)

Answer 1

[brar]

Вы пытаетесь прыгнуть выше своей головы. Спектр обозначенных вами вопросов предполагает уверенные знания windows server и лицензирования его самого и плюс RDS + юриспруденция трудового законодательства (в части слежки за сотрудниками).
А безопасность (чтобы сотрудники что-то не унесли "домой")- это вообще отдельная и трудоёмкая тема, в которую я вам не рекомендую ввязываться, так как этот пласт работ требует постоянного контроля. Полноценное и качественное внедрение контроля за сотрудниками стоит существенных денег (от 200-300 тыр).
Так что начните с малого (оставьте контроль за сотрудниками на потом) - установите и настройте RDS и сервер лицензирования RDS. Ну и учтите что каждая клиентская лицензия обойдется около 8000 рублей (если правильно помню). То есть, если у вас 20 сотрудников 8000*20=160 000 руб. Сам win-сервер редакции STANDARD например тоже 60 000.

Comments

[hint000]

+1

Полноценное и качественное внедрение контроля за сотрудниками стоит не малых денег (от 200-300 тыр).

Я бы сказал, от нескольких миллионов, да и то сомневаюсь, что именно сейчас в России в принципе удастся купить лицензии на такое ПО. Имею в виду DLP, SIEM и т.п.
Andrey Z,

запретить вынос документов

...которые стоят три рубля - запретить при помощи системы за пару миллионов, которая настолько хитроумна, что ей для полноценной работы нужен в штат специально обученный специалист, который за зарплату 100 тыр в месяц будет админить только эту систему и ничего больше... Ну, бизнес будет не в восторге.

[brar]

hint000, судя по вопросу и комментам топикстартера, предполагаю, что это человек 18-25 лет с горящими глазами, далекий от настоящего айти, но с эффектом Даннинга-Крюгера "а чо тут сложного?"

Answer 2

[CityCat4]

Может шпионское ПО устанавливать на каждый ПК сотрудника

И подставиться под нарушение частной жизни, а то и ЦП? You are welcome. Нормальные конторы потому и дают свои ноуты домой, потому что личный комп юзера - это полнейший абсолютный харам.

Comments

[Andrey Z]

Если человек в нижнем, а я в Москве. Мне каждому ноутбук отправлять? Удаленная работа на то и удаленная, чтобы сотрудников быстро искать. Если один увольняется, то найти другого за 2 дня максимум. You are welcome 21 век

[Дмитрий]

и что, отправлять. Именно так. Я когда карантин пошел 250 ноутов по всей России рассылал. Да, а когда человек увольняется - заморачиваюсь с возвратом. И эта - будете рассылать - храните все документы транспортной компании - очень помогает в обсуждении через год после что именно уехало сотруднику Васе Пупкину в Сызрань.

[Алексей Ярков]

Andrey Z, напишите, пожалуйста, как компания ваша называется, чтобы не устроиться к вам случайно ))

[Jacen11]

Andrey Z, даже больше скажу, когда человек был за границей, находят возможность обеспечить его техникой. Ну очевидно это в нормальных компаниях.

[CityCat4]

Andrey Z, Со следаками общаться приходилось? Нет, наверное. Ну ничего, это проходит после первого случайного залета... Еще раз - ты не можешь ничего делать на компе юзера. Совсем ничего. Тебя не спасет даже видосик, где оный чел подтверждает, что он разрешает тебе установить софтину N к нему на комп - потому что при нынешних технологиях дипфейка подделать можно все.
Поэтому да - только ноуты рассылать.