Как минимум Windows 2012R2, а лучше 2019 гораздо лучше в качестве терминального сервера, работают стабильно. По поводу сертификата - перевыпустить, подписать им всё нужное в терминальном сервере, проверить работу. В крайнем случае - переставить терминальный сервер - делается довольно быстро и без проблем.
Единственное, что приходит в голову - хранить документы за разную дату в разных папках, и организовать ротацию, например, не хранить данные старше нескольких дней. Ответственный выкладывает документ в папку с сегодняшней датой, в имени документа тоже указана дата, пользователи сами переключатся на новые файлы, и закрепить время обновления, например, до 9-30. В указанной Вами схеме все варианты получаются разной степени костыльности - отключение сеансов, завершение процессов.
Интересное предложение, можно подумать на досуге - PowerShell разобрать файл и применить права. Хотя мне кажется задача не настолько часто необходимая, чтобы так заморачиваться.
Именно так - только централизованное хранение данных, иначе никак. Сохранность данных на компьютерах пользователей обеспечить практически нереально - при наличии физического доступа и желания можно сделать всё, что угодно.
Документы пользователя надо хранить ТОЛЬКО в папках пользователя, для обмена сделать общую папку с правильно настроенными правами. И если уже очень надо - можно настроить мониторинг этой папки, кто в ней что и когда удалил, но проще обеспечить резервное копирование - и проблема исчезнет сама собой.
Кроме того - не стоит забывать про теневые копии этой папки несколько раз в рабочее время - несколько раз крепко выручало.
Вариант действий:
- сделать полную резервную копию ds01, перенести данные пользователей - если есть - на другой сервер;
- на этом оборудовании поставить гипервизор по вкусу;
- поставить на нём новый сервер, поднять его до дополнительного контроллера домена под другим именем, не ds01;
- убрать из AD все упоминания о ds01 - инструкций более, чем достаточно;
- на этом же оборудовании можно поднять ещё какой-нибудь полезный сервер, на новом контроллере домена не включать никаких дополнительных функций и ролей - только контроллер домена;
Сначала запретить хранить рабочие данные на компьютерах пользователей - только на сервере.
Далее добавить диск в сервер и использовать его для резервного копирования средствами системы, дополнительный плюс - он не будет виден из системы, защита от шифровальщиков и прочей гадости.
Если надо ещё один уровень защиты - поставить рядом сервер на Linux и делать резервные копии и хранить архивы на нём, монтирование ресурсов из Windows - только на время копирования.
Маловато входных данных.
Если это надо один раз - то берём и копируем, конечно, буфер обмена в настройках подключения должен быть включен.
Если это надо постоянно - то надо разбираться с перенаправлением дисков / папок.
Самый правильный вариант - НИЧЕГО не хранить на рабочем столе, он не для этого, а хранить в папке \Документы, а их перенаправить на файловый сервер для каждого пользователя, и будет всё равно - локальный или удалённый рабочий стол.
kinderya, Я уже всё описал, дальше только реализация - в интернете всё это расписано пошагово - монтирование разделов, копирование, запуск по расписанию. В качестве системы - любой дистрибутив Linux, исходя из личных предпочтений.
В таком случае поднимать домен с нуля - сначала с минимальными настройками, только чтобы пользователи начали работать, потом добавлять необходимое.
Кстати, вариант на будущее для защиты от такого: рядом с Windows системами поднять отдельный Linux сервер только для хранения резервных копий, в нём настроить монтирование папок из Windows по расписанию только на время копирования данных и хранить дополнительные резервные копии на нём. Для этого не нужен мощный компьютер, требования только к размеру дисков. В итоге Windows системы про этот дополнительный сервер даже не подозревают, соответственно, шифровальщики не могут зашифровать резервные копии - такое тоже бывает. Лучше всего чтобы этот дополнительный сервер ещё и находился не с основными серверами.
