Цель статьи
По возможности охватить весь комплекс вопросов, которые необходимо будет решить системному администратору для того, чтоб обеспечить пользователям комфортную работу в интернет на терминальном сервере. Очень желательно, чтоб эти вопросы решались на этапе проектирования сервера
Железо
Однозначно, чем больше памяти используется на терминальном сервере, тем лучше. Очень хорошо если есть перспективы ее туда добавить
Дисковая система должна быть достадочно быстрой, чтобы обеспечивать быстрое чтение/запись в кеш браузера. Хорошо, когда система установлена на RAID10 из 4-х или 6-ти дисков плюс BBU, что позволит безопасно использовать кеширование на уровне контроллера, что в свою очередь отразится на быстродействии
Софт
В качестве системы терминального сервера рассматривается Windows Server x64, что позволит работать с объёмом памяти больше 4Гб
Все пользователи только доменные. КД вынести на отдельный сервер
Наличие антивируса, которому вы доверяете обязательно на терминальном сервере
В качестве браузера можно брать любой (они сейчас уже все растолстели). Важно установить резак рекламы, что ощутимо увеличит скорость загрузки контента. Запрещать ли js — решайте сами
Политики
Терминальный сервер стоит на NAT’ом и никто не должен ходить в интерент мимо прокси-сервера
На прокси-сервере должна быть настроена авторизация пользователя в КД через механизм авторизации, который поддерживает прокси. Например squid умеет ldap, ntlm или kerberos. Все современные браузеры могут авторизироваться в КД используя данные механизмы. На крайний случай подойдет и basic. Важно, чтоб пользователь без пароля не мог выйти в интернет
На КД создать разные OU. В первый поместить тех, кому разрешено использование интернет, во второй тех, кому не разрешено. В настройках первого OU нужно указать адрес/порт прокси сервера, а также скрыть вкладку настроек прокси IE. Таким образом браузеры, которые берут настройки прокси из настроек сделаных в OU (IE, chrome, opera) не покажут пользователю сооветствующую вкладку
Выход пользователя в интернет с локального рабочего места мимо прокси запрещен или запрещен в принципе. Тут кому как угодно
Антивирус для прокси-сервера обязателен. Желательно другого производителя, чем тот, который на терминальном сервере
Системный администратор. В сисадминстве с 2000 года. Участник Хабр Q&A и cyberforum
