Цель статьи
По возможности охватить весь комплекс вопросов, которые необходимо будет решить системному администратору для того, чтоб обеспечить пользователям комфортную работу в интернет на терминальном сервере. Очень желательно, чтоб эти вопросы решались на этапе проектирования сервера
Железо
Однозначно, чем больше памяти используется на терминальном сервере, тем лучше. Очень хорошо если есть перспективы ее туда добавить
Дисковая система должна быть достадочно быстрой, чтобы обеспечивать быстрое чтение/запись в кеш браузера. Хорошо, когда система установлена на RAID10 из 4-х или 6-ти дисков плюс BBU, что позволит безопасно использовать кеширование на уровне контроллера, что в свою очередь отразится на быстродействии
Софт
В качестве системы терминального сервера рассматривается Windows Server x64, что позволит работать с объёмом памяти больше 4Гб
Все пользователи только доменные. КД вынести на отдельный сервер
Наличие антивируса, которому вы доверяете обязательно на терминальном сервере
В качестве браузера можно брать любой (они сейчас уже все растолстели). Важно установить резак рекламы, что ощутимо увеличит скорость загрузки контента. Запрещать ли js — решайте сами
Политики
Терминальный сервер стоит на NAT’ом и никто не должен ходить в интерент мимо прокси-сервера
На прокси-сервере должна быть настроена авторизация пользователя в КД через механизм авторизации, который поддерживает прокси. Например squid умеет ldap, ntlm или kerberos. Все современные браузеры могут авторизироваться в КД используя данные механизмы. На крайний случай подойдет и basic. Важно, чтоб пользователь без пароля не мог выйти в интернет
На КД создать разные OU. В первый поместить тех, кому разрешено использование интернет, во второй тех, кому не разрешено. В настройках первого OU нужно указать адрес/порт прокси сервера, а также скрыть вкладку настроек прокси IE. Таким образом браузеры, которые берут настройки прокси из настроек сделаных в OU (IE, chrome, opera) не покажут пользователю сооветствующую вкладку
Выход пользователя в интернет с локального рабочего места мимо прокси запрещен или запрещен в принципе. Тут кому как угодно
Антивирус для прокси-сервера обязателен. Желательно другого производителя, чем тот, который на терминальном сервере

- Системный администратор. В сисадминстве с 2000 года
- Участник Хабр Q&A и cyberforum
- Кейсы
Исходя из своего опыта, какой бы вы порекомендовали антивирус на терминальный сервер?
Отвечаю в порядке использования антивирусов в терминале.
1. kaspersky business space security — в пакете есть дистра для терминала, прекрасно работал. По цене только не устраивало
2. drweb business — хорошо, но есть непрятный момент на мой взгляд: часто после обнов требует перегрузки (у Каспера такого не было). При этом перегрузку может выполнить и непривелигерованый пользователь нажатием кнопки «Перегрузить» поп-ап формы дрвеба. Это баг серьезный
3. Сейчас юзаем Bitdefender GravityZone Business Security. У пользователя нет вообще никакой возможности изменить что-либо. Все изменения через политики центра управления. Центр управления — отдельный виртуальный сервер vmware. Регистрация/установка/настройка заморочены весьма, но когда настроил, то все выглядит логично
Можно рекомендовать все три, но дрвеб будет последним в списке. Других не юзал
Спасибо! Интересовал именно практический опыт использования, а то теоретической информации куча и теряешься, что же выбрать. Ещё раз спасибо.
Всегда пожалуйста