Windows Server 2012 i usługa Active Directory

Witam, koledzy mam kilka pytań dt. WS 2012 Standard.

Zamierzenie jest takie na serwerze baza danych SQL 2012 (subiekt, rewizor), udostępnione zasoby plików, dokumentów, uwierzytelnianie pracowników

Postawiłem system na serwerze DELL T310

Zainstalowałem usługę DNS, AD, oprogramowanie antywirusowe, inne…

Serwer ma przydzielony adres na sztywno z routera (192.168.1.100)

natomiast klienci na poszczególnych stanowiskach również mają pule adresów z routera 192.168.1.2-192.168.1.15) a adres DNS serwera czyli (192.168.1.100)

Skonfigurowałem usługę AD, teoretycznie wszystko działa bo loguje się na poszczególnych stanowiskach klienckich po loginie i haśle ale dziwi mnie fakt że w momencie gdy serwer jest wyłączony również mogę zalogować się na te konta na komputerach lokalnych. Myślałem że działa to w taki sposób że gdy serwer jest wyłączony ja nie mam dostępu do zasobów konta w Active Directory,

Kolejna sprawa jest taka że na komputerach klienckich są stworzone dwa profile
ten pod domenę AD (czyli login i hasło z AD) oraz lokalne na potrzeby użytkowników zewnętrznych i tu kolejna dziwna sprawa że jak loguje się na użytkownika lokalnego to nadal widzę te programy na pulpicie i mogę używać które powinny być dostępne jedynie dla użytkownika domenowego…

Co zrobiłem źle???

Hej,
1/ logowanie do kont domenowych przy niedostępności kontrolera / kontrolerów - hasła są w cache stacji klienckiej. Jak ktoś się logował wcześniej, to się zaloguje bez kontrolera. Osoba, która na tej stacji roboczej nie logowała się wcześniej dostanie komunikat o niedostępności kontrolera domeny
2/ zainstalowane programy - to naturalne, że są dostępne dla innych profili. Czemu by miały nie być dostępne? Jak tylko zależy Ci na ikonach, to są one w c:\Users\Public\Desktop lub C:\Users\All Users\desktop (w zależności od OS).
3/ podstawowa sprawa - SQLa nie instaluje się na kontrolerze domeny:

  • postaw 2012 i na nim Hyper-V
  • na nim postaw dwa serwery wirtualne Windows 2012
    a) AD + DHCP + DNS, ew. udziały sieciowe.
    b) APP - SQL i aplikacja.

Bardzo dziękuje ci za pomoc ! kilka zdań i już rozjaśniona sprawa.
Mały mój błąd mam wersje foundation czyli nie zrobię wirtualizacji :frowning: czy bardzo będzie to ryzykowne jeśli wszystko będzie na jednym systemie???

Mam jeszcze jedno pytanko otóż do domeny łączy mi sie aktualnie 10 osób fizycznie znajdują się w firmie mam jeszcze 5 CALi zgodnie z licencja i czy osoby pracujące zdalnie mogłyby się logować również do domeny ?? i w jaki sposób byłoby to lepsze zestawić to na routerach (Mikrotik) gdzie router będzie serwerem vpn czy w Windows Server uruchomić opcje VPN i wtedy zdalny klient łączy się na vpn do WS a następnie wpina do domeny??? czy wgl opcja taka nie wchodzi w grę i pozostaje wykupić CAL"a na zdalny pulpit???

Zawsze jest mieć lepiej rozdzielonie - pamiętaj, że jak upchniesz wszystko na jednym serwerze, to podstawą jest dobry backup i żebyś wiedział co z nim zrobić (jak odtworzyć).
Opisz na co masz te CALe - zwykłe dostępowe (per user, czy tam per device)?

VPM Zrealizuj na VPN Mikrotika - osoba, która połączy się np. z domu (otworzy tunel VPN np. z laptopa) będzie widziana w sieci tak samo, jakby była w biurze, więc wystarczy, aby komputer był dołączony do AD wcześniej.
Jeszcze raz:

  • VPN zestawiasz jak Ci wygodniej (najlepiej na tym VPN, są tu spece od Mikrotika),
  • osoba pracująca z domu ma już wcześniej przygotowany laptop, masz pewne, że w biurze działa jej wszystko dobrze)
  • w domu otwiera tunel VPN i testuje.
    Tutaj pewna uwaga - niektóre oprogramowanie wymaga w miarę ogarniętego łącza - zarówno po Twojej stronie (upload), jak i po stronie osoby łączącej się. Czasem więc może być wygodniej pracować przez zdalny pulpit (sesję terminalową).

CAL’e mam na użytkowników AD.
Jeśli wykupiłbym licencje na zdalne pulpity, czy wtedy każdy użytkownik ma swoje ikony na pulpicie, i tak samo jak w AD mogę im ustalić poszczególne uprawnienia ? np. dostepu do panelu sterowania itd…
aktualnie mam dwa CAL’e zdalnego pulpitu ale są one dla administratorów. Czyli full dostęp

Jeszcze jedno pytanie, czy jeśli chce udostępnić foldery, pliki to najprościej tak jak w Windows 7,10 udostępnianie i wybrać dla jakich użytkowników?? czy jest jakas bardziej zaawansowana opcja udostępniania plików w Windows Server???

1/ zdalny pulpit - każdy użytkownik ma dostęp do swojego pulpitu i do dokumentów na jakie zezwoliłeś. Nie ma dostępu do panelu sterowania, możesz go oczywiście dać. Z systemem masz dostarczone dwie sesje zdalne. Załóż sobie testowego użytkownika z ograniczeniami i testuj jak to działa - tak najłatwiej zrozumieć.
2/ tak, foldery udostępnia się tak samo - nadajesz uprawnienia na poziomie udostępniania plików i na poziomie NTFS.

Jeżeli chodzi o SQL Server, rozważ wersję 2016 lub 2017, ponieważ jest to bardziej przyszłościowe rozwiązanie pod kątem czasu wsparcia.

https://support.microsoft.com/en-us/lifecycle/search/1044

Sesja terminalowa to połączenie do zdalnego komputera (serwera), które jest widoczne zupełnie tak jakbyś przy nim siedział. Jeżeli jakaś aplikacja słabo pracuje w wolnych sieciach, to zdalny pulpit jest najlepszym rozwiązaniem. Poglądowo spójrz tutaj: http://www.itprotoday.com/sites/winsupersite.com/files/uploads/2012/12/rdc-remote.jpg

Pracowałem do tej pory na teamviewer więc rozumiem specyfikę zdalnego pulpitu :wink:
Jednym słowem przy dobrym łączu internetowym najlepiej symetryk VPN + AD się sprawdzi.
W przypadku słabszych łącz zdalny pulpit tylko co wtedy gdy w oddziale mamy subiekta i do niego drukarkę fiskalną? wtedy chyba zdalny pulpit odpada???

I jeszcze jedno pytanko istnieje możliwość aby wszystko co użytkownik zapisuje na pulpicie, czy w dowolnym miejscu na swoim komputerze ale jest w domenie to aby te dane tak naprawdę były zapisywane bezpośrednio na serwerze np w jego folderze imiennym. Nie chciałbym żeby na stacjach klienckich pracownicy gromadzili jakiekolwiek dane

Sprawdź w praktyce. Z drukarkami fiskalnymi w ten sposób się nie bawiłem, ale z powodzeniem uruchamiałem wydruk recept na drukarce, która stała w zdalnej lokalizacji, a użytkownik korzystał z programu na zdalnym pulpicie i tam klikał “drukuj”. W oknie “podłączanie pulpitu zdalnego” jest przycisk “Opcje”, a potem zakładka “Zasoby lokalne” i tam można wybrać współdzielenie drukarek z sesją zdalną.

To o czym piszesz nazywa się ‘roaming profile’ i działa całkiem fajnie.
Tutaj w miarę sprawdzony poradnik: https://www.youtube.com/watch?v=UHwDpt8WFoE

Dzięki za wszystkie rady , wszystko wdrożone poprawnie.

Mam jeszcze pytanko dotyczące zdalnego pulpitu bo w WS Fundation mam 2 CAL"e dostępowe zdalnego pulpitu. Jeden chce zostawić dla siebie ADMINA, a na drugim chciałbym puścić pracownika, ale jak wrzucam go do uprawnień zwykłego użytkownika, albo remote desktop, to nie chce mnie puścić. Zdalny pulpit na tym koncie działa tylko jak dodam mu uprawnienia admina.

Czyli rozumiem że te 2 dostępowe dla zdalnego pulpitu w tej wersji systemu są tylko dla Adminów i nie można jednemu z nich ograniczyć praw jak zwykłemu użytkownikowi ?

podejrzewam że zdalny pulpit działa jak dodasz użytkownika do grupy “Remote desktop users” czy jak to się tam nazywa w windowsach. Grupa Administratorzy pewnie ma dostęp standardowo, natomiast użytkownicy muszą być dodani do specjalnej grupy żeby uzyskać zdalny dostęp.

Jeśli chodzi o zdalny dostęp to odradzam Ci z całego serca zdalne uwierzytelnianie AD - nie dlatego że coś nie będzie działać tylko dlatego że bezpieczniej jest skorzystać z RDS bo w przypadku jakichkolwiek problemów z połączeniem aplikacja straci kontakt z serwerem SQL i możesz sobie narobić bałaganu a przy RDP masz wszystko to co miałeś na pulpicie przed zerwaniem połączenia. Samo drukowanie na zdalnej drukarce fiskalnej to żaden problem jeśli masz stałe IP lub włączoną usługę DDNS w lokalizacji klienckiej. POSNET dodaje specjalną aplikację którą się doinstalowuje i drukarka widziana jest lokalnie - pomijam już że zwykłe drukarki czy foldery możesz przekierować na sesję RDP.

Tu jest mały haczyk bo wtedy potrzebujesz dwie licencje na Windows Serwer 2012.

@januszek na początku napisał że ma W 2012 Standard