Построение VDI в школе! Как удобнее всего?

Question

[Gleb86898964]

Запустили терминальный сервер на Windows Server 2012 в beta режиме. По началу всё шло хорошо, но потом начались падения с регулярностью раз в неделю. Часто сливали личные файлы учителей, один раз спалили адрес одной учительницы. Были и попытки запустить вирусы на сервере.
Перехали на Windows Server 2019 (2 недели пыталися там запустить электронное пособие, пока я не снёс Microsoft Flash Player и не поставил нормальный Adobe Flash Player) и проблемы никуда не делись. Пока все учатся очно и сервер по большей части простаивает, но подключения есть, а значит и проблемы с безопасностью.
Предназначение сервера: Запуск программ, использующих устаревшие технологии, такие как: Adobe Flash Player, Adobe Shockwave Player+Macromedia Authorware Web Player, Microsoft Silverlight. Запуск компьютерных программ и компьютерных версий сайтов, для тех у кого смартфон или всего-лишь Windows XP.
Задачи сервера:Обеспечить ученикам доступ к Windows программам и браузер с HTML5 при помощи RDP клиента или при помощи браузера. Обеспечить учителям полный доступ к терминальному сессии личного профиля с возможностью хранения личных файлом в сетевых папках и подготовки практических работ для учащихся. Обеспечить возможность директору школы в любой момент вмешаться в образовательный процесс.
Критерии работы:Безопасность и чёткое разделение прав доступа. Ученик может запускать только определённые программы и иметь доступ к файлам, разрешённых учителем или иным доверенный лицом. Ученик НЕ может читать системные файлы и личные файлы администрации сервера. Учитель хоть и имеет полноценную сессию и может запускать любые программы (тут тоже есть ньюансы), НО НЕ имеет прав администратора.

Как на всё реализовать самостоятельно? Какие использовать гайды и инструкции? Какой софт потребуется? Сколько это всё будет стоить?

VDI

VDI - Virtual Desktops Infrastructure

Comments

[hint000]

но потом начались падения с регулярностью раз в неделю

.

подключения есть, а значит и проблемы с безопасностью

И будут падения и проблемы с безопасностью, потому что нет системного администратора.
Ученик средней школы (даже гениальный) не является полноценной заменой системного администратора. И не потому, что ума не хватит. Я допускаю, что есть школьники, у которых достаточно ума для выполнения этой работы. Но они не системные администраторы по другим причинам.

Answer 1

[Drno]

Наймите нормального сисадмина, хотя бы разово для настройки всего этого добра.
У умных учеников/учителей нет банально того практического опыта и навыков которые для этого требуются.

Я бы делал для учеников - RemoteApp для каждой программы.
Для учителей - полную rdp сессию.

Для разделения доступа к файлам - вынести на отдельный диск/папку файлы которые надо расшарить, далее уже по подпапкам внутри задать права для соответствующих групп пользователей

Учетки учеников будут иметь доступ к системным файлам, иначе просто не смогут зайти по удаленке...
Другое дело что им можно урезать права на минимум, чтоб не могли ничего изменять

Comments

[Gleb86898964]

Drno,

Наймите нормального сисадмина, хотя бы разово для настройки всего этого добра.

Нормальный админ не будет строитьсеть из г**на и пало, а потребует всё переоборудывать. Разумеется денег нет ни на админа ни на новые сервера. Вот и надо сами делать, из того, что дали.

Учетки учеников будут иметь доступ к системным файлам, иначе просто не смогут зайти по удаленке...

И бог с ним, пусть имеют. Главное заблокировать им доступ к таким службам как система видео наблюдения, скуд и SIP-АТС.
У нас на одном сервере: Контроллер домена Active Directory, сервер федерации Active Directory, сервер СКУД+ОПС+Видеонаблюдения, SIP-АТС, почтовый сервер, Web-сервер электронного журнала, сервер сайта школы и терминальный сервер. Как нам разграничить права, чтоб ученики и учителя не могли изменять конфиг и различных серверных служб?!

Как всё грамотно настроить?

[Drno]

Gleb86898964,
Админ возмется, если разово, настроить из того что есть.
Я Вам крайне советую разбить все эти сервисы по виртуальным машинам. И админить проще, и проблем таких не будет!
Либо сейчас - вынести учеников на отдельную виртуалку.

Если без виртуалки -
Права ограничить можно в настройках пользователей, дать им минимальные права и всё... на приложения(службы) важные - выставить права на группу с учениками в "запрещение" и всё...

[Gleb86898964]

Drno,

Я Вам крайне советую разбить все эти сервисы по виртуальным машинам.

Они итак в виртуалках. На сервере нет как таковой ОС. Вместо неё используется низкоуровневый гипервизор. В нутри виртулок крутятся Ubuntu и Windows Server. На Ubuntu - SIP АТС+почтовый сервер, в Windows Server - всё остальное. Или надо ещё поделить на виртуалки?!

То есть, простого RDS RemoteApp достаточно. Не надо ставить XenDesktop и публиковать приложения на Citrix? Не нужно заказывать распределённые ресурсы в Azure или аналогах на локальных серверах?

[Drno]

Gleb86898964, нет конечно. RemoteApp+права на папки по группам будет достаточно. надо учеников просто вынести в отдельную группу(желательно на виртуалку,подключить им нужный диск как "сетевой" ) и установить правильные права на папки(системные не трогайте).

Answer 2

[ru6ak]

Больше половины закрывает, когда ученики (да и учитель тоже)- пользователи (никаких администраторов, или опытных пользователей) и SRP. Остальное шаренные папки, и права доступа (все права на группы, а не на пользователей, для простоты управления. ). Всё это делается и без домена через локальные политики.