Андрей, сомневаюсь, что ваш фильтрационный датацентр сможет защитить конкретно вас от подключения к вашему RDP на нестандартном порту какого-нибудь скрипт-кидди с петей в арсенале.
По мне, нужны и группы и ACL в таком решении, как на каталоги в виндах. Лапша никуда не денется, к сожалению, но с помощью групп её можно будет довольно сильно (если правильно создать группы) укоротить.
Вариант неплох, но если это сервера, а не рабочие станции, ТС похоже именно "организовывает удаленную работу" самым дешевым методом. Плюс "разные учетки на разных компах" это отсутствие домена, а RDG без домена не живет.
Роман Безруков, тогда проверяйте синхронизацию времени и логи на exchange server, заодно проверьте, не поимело ли вас во время недавней атаки по эксченджам по всему миру. Неровен час у вас остался бэкдор и вас так нагибают.
Проверьте, включен ли режим кэширования Exchange, если да, проверьте, заведется ли оутлук при отключенном кэшировании (т.е. в режиме подключения к серверу). Кстати, на сервере терминалов не рекомендуют настраивать кэширование вообще.
My_Second_Nickname, так, а если какой-то из серверов не соединился по VPN? И ещё, клиентом VPN будет выступать сам sql-сервер? Если да, там проще, реально настроить авторизацию по сертификатам/пользователям и каждому выдать один IP-адрес, но нужно, чтобы SQL на VPN-клиентах слушал 0.0.0.0, иначе на VPNский адрес не получится соединиться, чтобы забрать данные. Если нет, будет задница.
hint000 я так понимаю, что есть несколько разных подсетей, куда идет коннект по OpenVPN, а вот сервера в тех локалках могут иметь совпадающие частные адреса типа 192.168.1.2 или чего-то в этом роде, и становится непонятно, в какой tun-интерфейс отправлять пакет до такого айпи. При этом наехать и переделать адресацию ни в одной из этих сетей нельзя.
А это называется roaming profile, плюс не на всех ПК в домене обязательно стоит одинаковое ПО - часть ярлыков обязательно поломается. Roaming profile нужно отдельно настраивать.
Capitollium, про второе - политики бывают двух видов, компьютерные и пользовательские. Компьютерные влияют на локальных пользователей, пользовательские - только на тех доменных пользователей, которые под них попадают.
Каталог просто копируется в соседний, полную процедуру можно найти скажем тут https://community.spiceworks.com/topic/1893984-how... после копирования нужно выставить владельца на каталог и права ему на full control, иначе винды будут материться вплоть до объявления профиля сломанным с откатом сделанного.
А учетки все равно будут разные - доменная хороша тем, что ей можно выдать какие-то разрешения, и будет неважно, с какого угла домена она попытается ими воспользоваться, сработают. Локальная учетка во-первых привязана к одному ПК, во-вторых, недоступна при работе по сети. Ну и вообще стоит почитать что-нибудь про то, для чего нужен AD, меня по факту учили на практике с эникея и в то время, когда подобные книги были редкостью, поэтому не особо-то были нужны позже.
"Язык входа" или "язык ввода"? Т.е. язык, на котором выдается фраза "введите пароль", или раскладку клавиатуры, чтобы его вводить? А то проблемы есть и там и там, причем если нужно подправить несколько серверов, групповые политики отсутствуют!
CityCat4, по поводу 1) - вы неправы, ключ шифрования EFS в случае сброса пароля расшифровывается некорректно и данные с зашифрованных разделов становится не достать. Только при смене пароля самостоятельно ключ перешифровывается новым паролем и владелец не теряет доступа к своим EFS-зашифрованным данным.
