Удалёнка — это не хаос, если всё настроено грамотно. Объяснили, как развернуть терминальный сервер или VPS на Windows и не утонуть в правах, профилях и политике доступа.
Введение
Многие компании переводят сотрудников на удалённую работу, и тут возникает вопрос: как организовать совместную работу нескольких пользователей на одном удалённом сервере? Решение — настроить терминальный сервер. Но важно настроить всё правильно: каждому пользователю выделить отдельный профиль, ограничить их права для безопасности и оптимизировать работу сервера под удалёнку.
В статье рассказали, как развернуть терминальный сервер Windows для одновременной работы нескольких пользователей, настроить для них профили и ограничить лишние возможности.
Аренда VPS/VDS — от ₽219/месяц
Почему выбирают VPS от AdminVPS:
✓ Дешевле физического сервера
✓ Более гибкий и мощный, чем обычный хостинг
✓ Бесплатная защита от DDoS и техподдержка 24/7
✓ Масштабируется под любые задачи
Виртуальный сервер VPS/VDS — ваш личный сервер для сайтов, магазинов, ботов и других проектов.
Зачем нужен терминальный сервер и что это такое
Терминальный сервер, он же сервер удалённых рабочих столов, — это сервер, который предоставляет пользователям удалённый рабочий стол и запускает все программы на своей стороне. Пользователи, находясь дома или в филиалах, подключаются к нему по протоколу RDP и работают как на обычном компьютере, только вычисления происходят на сервере.
Это удобно в ряде случаев. Например, если в организации используют систему вроде «1С:Предприятие» или другое бизнес-приложение, можно установить её на одном сервере, а сотрудники из разных отделов или городов будут подключаться к этому серверу и работать совместно с общими базами данных. Терминальный сервер выручает и тогда, когда филиалы имеют медленный Интернет. Приложения работают на сервере, и по сети передаются только экран и нажатия клавиш, что требует минимальной скорости. Ещё один плюс, корпоративные данные хранятся централизованно на сервере, ничего важного не остаётся на личных ПК сотрудников, что повышает безопасность.
Прежде чем внедрять терминальный доступ, здраво оцените, нужен ли он. Современные версии некоторых программ уже имеют веб-интерфейсы или облачные решения. Например, для той же «1С» доступны тонкий клиент и веб-доступ, которые иногда обходятся дешевле и проще. Терминальный сервер хоть и мощный инструмент, но имеет свои минусы. Во-первых, это довольно дорогое решение, ведь помимо лицензий Windows Server нужны дополнительные клиентские лицензии RDS CAL для каждого подключаемого пользователя или устройства. Во-вторых, при работе через общий сервер бывают технические сложности. Самые распространённые — проблемная перенаправленная печать на локальные принтеры сотрудников и трудности с доступом к файлам. Пользователю не так-то просто перекинуть файлы между своим ПК и сервером без специальных настроек. Тем не менее, если вы взвесили все за и против и решили развернуть терминальную службу, давайте настроим её шаг за шагом.
Установка и настройка терминального сервера
Даже если у вас нет домена Active Directory, вы всё равно можете развернуть терминальный сервер на VPS с Windows Server. Работа в рабочей группе не мешает пользователям подключаться по RDP, просто администрирование будет немного отличаться. В домене всё централизовано, а без него придётся управлять вручную через локальные политики. Если домен уже есть, лучше использовать его, но отсутствие AD не преграда.
После установки Windows Server любой версии задайте имя, статический IP и обновите систему. Затем откройте «Диспетчер серверов» и добавьте роль «Службы удалённых рабочих столов». Обязательно выберите компоненты Remote Desktop Session Host и Remote Desktop Licensing. Они нужны для подключения пользователей и управления лицензиями. Остальные роли не критичны, если у вас один сервер, можно их не ставить. После установки перезагрузите машину.
Теперь у вас работает терминальный сервер. По умолчанию он в демо-режиме: 120 дней без лицензий, потом блокировка. Чтобы всё работало стабильно, нужно активировать службу лицензий. В меню «Инструменты» найдите «Диспетчер лицензирования удалённых рабочих столов» и активируйте сервер через мастер. Можно ввести фиктивные данные, это не влияет. Затем установите клиентские лицензии. Укажите тип на пользователя или устройство, введите количество и завершите установку. Сервер получит CAL-лицензии и будет готов к работе.
После активации укажите, где искать лицензии и какой режим использовать. Для этого откройте редактор локальных политик (Win+R → gpedit.msc) и включите два параметра: «Использовать указанные серверы лицензирования» и «Задать режим лицензирования». Пропишите имя сервера и выберите нужный режим. Если этого не сделать, система будет считать, что лицензий нет, и перестанет пускать пользователей.
Теперь создайте учётные записи. В домене — через AD, в рабочей группе — прямо на сервере. Каждого пользователя добавьте в группу Remote Desktop Users, иначе он не сможет подключаться. Не используйте администраторские записи для обычной работы, это небезопасно и нарушает правила лицензирования.
Когда пользователь входит, система создаёт профиль на диске. Это его личная среда с документами, настройками и рабочим столом. Профили хранятся в C:\Users, но при желании можно перенести их на другой диск, особенно если учёток много. В домене можно подключить перемещаемые профили или отдельный диск под них. Но на старте достаточно следить, чтобы системный диск не забивался, и делать бекапы важных данных.
Ограничение прав и возможностей пользователей
Когда пользователи начали заходить на терминальный сервер, расслабляться рано. Даже с обычной учёткой человек в Windows Server может делать больше, чем нужно. Даже не из вредности, а просто из любопытства или незнания. Кто-то запускает диспетчер, кто-то лезет в консоль или исследует диск «C:». А там и Server Manager под рукой, и файловый менеджер с флешки можно запустить. Один неловкий клик, и важный процесс завершён, работа встала.
Чтобы такого не случилось, заранее ограничьте доступ. В домене это делается через GPO, в рабочей группе через локальные политики. Главное настраивать для всех, кроме администраторов, чтобы самому себе не перекрыть кислород.
Начните с запрета на просмотр дисков. Проводник перестаёт открывать «C:», пользователь видит только свою папку. Добавьте к этому ограничение на запуск определённых exe, например, PowerShell, Regedit, Total Commander, Server Manager. Даже с флешки они не запустятся. Даже если человек захочет поиграть в администратора, у него ничего не выйдет.
Также запретите доступ к панели управления, настройкам и диспетчеру задач. Всё это выполняется политиками. Пользователь увидит сообщение «запрещено администратором» и пойдёт работать, а не экспериментировать. Особенно важно отключить «Центр обновлений», иначе кто-нибудь нажмёт установить, сервер решит перезагрузиться, и все вылетят в разгар рабочего дня.
Оптимизация и поддержка работы терминального сервера
Когда терминальный сервер уже работает, не бросайте его на самотёк. Он должен быть удобным, быстрым и не вызывать головной боли. Это и есть оптимизация.
Для начала посмотрите на ресурсы. Один пользователь требует примерно 1 ГБ ОЗУ, плюс Windows и запас. Если сессий 20, нужно хотя бы 24–32 ГБ памяти. Процессор нужен многопоточный, серверный. А вот диск зачастую узкое место. Он обслуживает профили, кеш, документы, подкачку. Медленный HDD создаст помеху всем. Лучше SSD. Желательно развести роли по разным дискам: система отдельно, файлы отдельно.
Если пользователи подключаются через Интернет, подумайте о защите. Открытый порт RDP — лакомая цель для сканеров. Поменяйте его в реестре, настройте файрвол. Лучше дайте доступ только через VPN. Ещё включите проверку на уровне сети, это отсекает лишние попытки входа.
Пользователи часто не выходят из системы, а просто закрывают окно, и сессия остаётся висеть. Такие призраки едят ресурсы. Задайте таймеры на отключение неактивных и отсоединённых сессий, и сервер скажет вам спасибо.
Уберите всё ненужное: службы, автозагрузку, фоновые проверки. Каждая лишняя задача ест ресурсы и в сумме тормозит всех. Следите за состоянием системы, иногда простой баг может вызывать проблемы, его проще выловить заранее.
Делайте бекапы. Хотя бы ежедневные. А лучше включите теневое копирование, чтобы сотрудники сами могли восстанавливать удалённое.
И напоследок зайдите под обычным пользователем и посмотрите, как всё устроено. Часто именно это показывает, чего не хватает.
Заключение
Грамотно настроенный терминальный сервер способен стать настоящей опорой для вашей команды на удалёнке. В итоге вы получите единое рабочее пространство, куда сотрудники входят из любого места и получают доступ ко всем нужным программам и файлам, как будто работают у себя в офисе. При этом за порядком на сервере следит системный администратор. У каждого свои права, профили, все данные сохраняются централизованно и резервно копируются.
Конечно, поначалу такая настройка требует времени и внимания к деталям, зато потом совместная работа становится простой и безопасной. Сотрудники смогут сосредоточиться на своих задачах, а не на технических проблемах, ведь правильно сконфигурированный терминальный сервер берёт всю ИТ-нагрузку на себя. В эпоху удалённой работы это одно из самых эффективных решений, которое помогает компании оставаться единой командой даже при разбросе по разным городам и странам.
Читайте в блоге:
- Миграция Docker-контейнеров с Ubuntu 22.04 на 24.04
- Как перенести каталог данных MySQL на другой диск в Ubuntu 24.04
- Миграция баз данных PostgreSQL при обновлении на Ubuntu 24.04
