Готовый рабочий стол на разных ПК?

Question

[FineThird]

Ребят. Прошу помощи или указательный знак.
Возможно не знаю как правильно загуглить данный вопрос, либо очень мало присутствую на позиции админа.
Хочу реализовать систему, связанную с Windows, Win Server и AD.
ТЗ выглядит примерно так:
Пользователи часто бегают от одного рабочего места к другому, и чтобы вместе с ними не бегали их кудахтеры-моноблоки, они могли сесть за любую рабочую станцию, ввести свой логин и пароль (тут возможно приходит на помощь AD), и у них открывается весь их рабочий стол со всеми их документами и прочим. Возможно стоит как-то обыграть терминальный вариант, но только не по принципу RDP.
Подскажите в какую сторону смотреть, о чем почитать? Или может есть какой-то вариант с RDP?

Answer 1

[Руслан Федосеев]

перемещаемые профили, минимум гигабитная сеть..
А чем вам RDP не устраивает то?

ну и да, все зависит от приложений. Если там обычный офис - то ничего сложного, только не приучайте хранить документы на рабочем столе. А если там какой CAD - то может ничего и не получиться...

Comments

[FineThird]

Спасибо за ответ.
Сеть гигабитная. Возможно я недостаточно знаю про сам RDP, по этому считаю неподходящим вариантом. Просто объяснять пользователям "Вот это терминал, вот сюда надо заходить, вот так работать и т.д." будет вообще не вариант, так как пользователями могут быть и обычные туземцы, которые к офисному персоналу не имеют никакого отношения. Но и офисные товарищи постоянно переходят из кабинета в кабинет.
У меня в голове крутится какая-то такая идея - На сервере сохраняется рабочий профиль со всеми документами и пр. Пользователь переходит на новое рабочее место, через систему AD логинится на новом месте, и все его документы перешли вместе с ним.
Основная задача - избавиться от варианта с постоянным перемещением самой рабочей станции.

[Руслан Федосеев]

в домене включаем перемещаемые профили. И именно так оно и будет работать.
Профиль пользователя при его входе на рабочую станцию копируется с хранилища, а при выходе - на хранилище. Но если кто то положит парочку киношек на рабочий стол - ждите криков - я ввел пароль, а оно думает...

Насчет РДП - на столе делаем ярлычок на сервер, на него нажали, ввели логин и пароль - попали на рабочий стол свой...

[FineThird]

Руслан Федосеев, еще раз спасибо. Буду реализовывать.

[Sanes]

FineThird, обычных туземцев надо обучать. В противном случае, увольнять за профнепригодность.

[#]

FineThird, Руслан Федосеев,

перемещаемые профили, минимум гигабитная сеть

лучший вариант для офиса

если там какой CAD - то может ничего и не получиться

это зависит от рабочего места, но тут плавающий профиль самое то

А чем вам RDP не устраивает то?

иногда это может и лучшее решение, особенно для работников по удаленке.. к примеру в 1С, но да, не в CAD )))
.. терминальный сервер на много сеансов, это серьезная машинка будет нарисовываться

[Виктор Таран]

https://www.ibik.ru/ru/
И магия разделяются даже все кады ;)

[#]

Виктор Таран, если серьезный терминальник по карману - почему нет? ))

[#]

Виктор Таран, а еще, иногда, это бывает решение вопросов лицензии.. в зависимости от условий лицензирования ))

[Виктор Таран]

#, ну в моем случае лицензия палит терминал и отказывается в нем работать а ПО настолько дорогое что автокаду не снилось в страшном сне. и это решение.

[Harbid Abu Marhamedoff]

RDP не будет нормально работать с печатью, если в организации используется штук 5 или более видов принтеров, особенно софтовых. Геморрой будет постоянный! Но если принтеры купить хорошие, с сетевым входом, настроить сетевую печать с сервера напрямую и не расшаривать принтеры клиентов, то всё будет более-менее.

Answer 2

[Димон Дурак]

Из вопроса не очень понятна ситуация... Вот например, там бегают пользователи... Десятками? Или сотнями?..
Сколько терминалов (компьютеров рабочих мест) и какой профиль выполняемых пользовательских программ?
И какое-то конкретное решение, в зависимости от ответов на вышенезаданные вопросы может подойти, а может и нет.

Вот у меня например, в опытной эксплуатации (совсем недавно, дней десять всего) работает такая базовая схема:

Пока один физический сервер, на котором установлен Windows Server 2022 и поднята роль Hyper-V. Это хост виртуализации (hv). На нём поднято несколько виртуалок:
- контроллер домена (pdc) - Windows Server 2022 core
- сервер 1С (1c) - Windows Server 2022 desktop
- компьютер бухгалтеров (buh) - Windows 11 в редакции Multi-Session
- и ещё несколько подобных виртуалок для других отделов, которые переедут чуть позже.
- и да, ещё несколько виртуалок с докерами под разные задачи ( отдельно для мониторинга, базы данных и тд, где всякое интересное типа kms)

Доступ к виртуалкам по RDP, на клиентском компьютере достаточно сделать ярлык с подключением к нужному компу для нужного пользователя и всё - можно работать.

Планируется к разворачиванию что-то типа Thinstation и сделать сетевую загрузку, да так, чтоб в зависимости от mac-адреса терминала запускалась rdp сессия в правильный виртуальный компьютер под нужным пользователем

Comments

[Harbid Abu Marhamedoff]

Виртуальные серверы - это всё неплохо, да... До тех пор, пока в конторе два с половиной человека, и нагрузка на инфраструктуру крохотная, что не требует 96 физических процессоров и терабайта оперы с незнамо какой СХД...

Answer 3

[pindschik]

Если вам надо только чтоб пользователь получил свои права, свои обои с котиками, настройки и папки - это называется перемещаемые профили. Настраивается в AD.
Особенности:
- Если у пользователя Viber+WhatsApp+Telegramm+Skype+Zoom+Teams - то будет 80000+ файлов в профиле. Это замедляет вход и выход, но лечится исключениями (при этом эти приложения перестанут перетаскиваться между компами).
- Если пользователь работает с Outook - его почтовая база скачивается каждый раз с почтового сервера. При базе в 20 гигов - это проблема.
- Если пользователь работает с ThunderBird - и вы не перенесли профиль на его личный диск - почтовая база будет синхронизироваться и работать где угодно, но база в 20 гигов будет замедлять вход-выход до 10 минут.
- Нужна быстрая сеть.
- Очень желателен диск SSD под профили пользователей.
- Главная особенность - удаление файлов с рабочего стола и т.п. мест. С компа удаляем, на сервере остается, при следующем входе - закидывается назад на рабочий стол. Если было еще на 5 компах - при входе на любой - снова ляжет на сервер. Придется учить культуре (не гадить где попало), и объяснять как удалять нагаженное.
- Но самое главное - все компы ломаются, и при этой схеме пользователи не бегают и не орут как потерпевшие ВСЁ ПРОПАЛО! ВСЁ ПРОПАЛО! ЗАЧЕМ МНЕ КУПИЛИ НЕНАДЕЖНЫЙ ДИСК?!!

Второй вариант - сервер терминалов (RDP) и терминальные станции на местах.

Comments

[#]

надо копать политики, по моему можно существенно снизить объемы синхронизации.. но упорото спорить не буду )).. давно "ушел из большого" ))

[pindschik]

Не особо там и копать...
Есть несколько основных парадигм, которые нужно реализовать:
- разделение прав, с учетом простой и гибкой модели
- исключение излишних прав у пользователей (например лазать по сети на соседние компы)
- выдача необходимых прав, без их превышения (например реализовать локального администратора - пользователя который может админить свой комп, но не домен)
- DFS - и только через него сетевые диски
- аппаратные и программные настройки, автоматическая установка ПО, скрипты на входе, настройка сетевых принтеров.
- именной диск пользователя, и перемещаемый профиль.
- DNS, DHCP, их связка.
- дедупликация данных, теневые копии, резервное копирование.
- защита периметра, особенно RDP серверов.
В принципе домен можно собрать и настроить за день (беру с запасом). Если пользователей много и регать их скриптом - то тоже не особо заморочно.

Самое главное что дает домен - это резкое сокращение рутины и бестолковой беготни админа. А она к тому же растет логарифмически с ростом количества пользователей.

Кроме того - доменную инфраструктуру можно разворачивать полностью в виртуалке, а потом принести и внедрять поэтапно. Сперва работы будет много, зато потом останется только базовая техподдержка.

З.Ы.
При сокращении объемов синхронизации - не забывайте, что папки "загрузки" и "мои документы" можно сразу перекинуть на личный диск пользователя на сервер и таким образом вывести из профиля. Можно так же поступить и с рабочим столом, но с ним вопрос сложнее.