2008 сервер до сих пор удобно использовать на недорогих решениях в офисе компании или для определенных служб-сервисов не требующих большой уровень безопасности или использующих старые программы, которые уже не обновляются.
После установки пароля администратора в реалиях 2018 года необходимо сменить пользователя администратор, рекомендуется установить приличный серверный антивирус или хотя бы Kaspersky Small Office Security прекрасно работает на 2008, а вот на 2012 запускаться ни в какую не хочет
запустить GPEDIT.MSC и настроить локальную групповую политику безопасности:
- если не нужны сложные пароли – отключить Пароль должен отвечать требованиям сложности (конфигурация Windows, параметры безопасности, политика паролей)
- gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ
В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача — не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk — мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.
В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.
И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры — можно, так что все ок.
добавим роли:
- Узел сеансов удаленных рабочих столов
- Лицензирование удаленных рабочих столов
Выберем режим лицензирования на устройство
Добавим группы пользователей которые будут иметь право на подключение у терминальному серверу.
после добавления ролей и перезагрузки лицензируем сервер лицензий для этого запустим Диспетчер лицензирования удаленных рабочих столов
Перейдем к конфигурации сервера узла сеансов удаленных рабочих столов – Укажем сервер лицензирования удаленных рабочих столов
Завершающим штрихом настроим теневое копирование, не лишним будет настроить резервное копирование на какой-нибудь ftp-сервер.