Posted  by  admin

Настройка Ad Windows Server 2012 R2

Active Directory Win Server 2012 R 2 AD DS - Продолжительность: 41:42 Сергей Матвеев 12 753 просмотра. Настройка DNS сервера на Windows Server 2012 R 2 - Продолжительность: 5:30 General Designers 5 206 просмотров. Настройка маршрутизации Наша сеть 10.38.109.0 воткнута в сеть 192.168.1.0 Windows Server 2012 не заморачивается у него два интерфейса сетевых в той и этой сети поэтому у него все есть.

  • Курс 20410D: Установка и настройка Windows Server 2012 R2 пользуется огромной популярностью среди.
  • В этой статье я покажу процесс установки и настройки Служб федерации Active Directory (AD FS.

Сегодня разговор будет строится вокруг Windows Server 2012 R2 Essentials в частности о его первоначальном конфигурировании. В я развернул новый сервер в базовой конфигурации, теперь прошло время его конфигурирования. В первой части будут затронуты такие вопросы:. Добавление учетных записей пользователей. Создание общих ресурсов. Настройка резервного копирования сервера.

Настройка повсеместного доступа Добавление пользователей и групп Возможность создания пользователей через Dashboard была с незапамятных времен, из изменений в WSE 2012 R2 стало возможным создание и управление группами безопасности. Технически, когда я создаю нового пользователя через Dashboard, в Active Directory создается объект типа пользователь с указанными данными.

Настройка

Помимо всего, у самого WSE существует набор стандартных групп, на которые заранее сконфигурированы разрешения в различных службах WSE, будь то VPN либо Remote Access. Со списком этих групп можно ознакомится в контейнере Users в AD. Добавим нового пользователя открыв Dashboard на вкладке Users. В новом окне указываем необходимую информацию такую как имя и фамилия, а так же логин. Следующий шаг поможет сконфигурировать разрешения на общих ресурса сервера. На скриншоте, мастер предлагает выбрать 3 уровня доступа – чтение/запись, чтение либо отсутствие такового. Список не велик но для 80% случаев достаточен.

Для более тонкой настройки, скажем наследование, нужно будет редактировать DACL непосредственно на каталоге. Всего отображен один сетевой ресурс, в дальнейшем при добавлении новых, они так же будут присутствовать в списке. На последнем шаге перед созданием мы определяем какими дополнительными правами пользователь так же будет обладать.

Как видно со скриншота это:. Подключение через VPN. Использование веб сайта для просмотра сетевых ресурсов, подключения к компьютерам через шлюз удаленных рабочих столов, а так же к ссылкам. Доступ к панели управления сервера Процедура создания группы безопасности очень похожа на создание пользователя, для этого перейдем в Users Group, далее add user group Определяем членство в этой группе перетаскивая доступных пользователей из списка.

На последних шагах необходимо определить разрешения и права на ресурсах, аналогичным образом как в и случае пользователями. Добавление общих ресурсов Говоря о дисковой системе WSE, обязательно стоит упомянуть о Storage Spaces. В условиях жесткой экономии на оборудовании, эта технология будет идеальным вариантом для организации дискового хранилища сервера. Поддержка этого функционала есть, плюс в панели управления можно найти красивый, как в клиентской ОС, интерфейс управления. Для демонстрации, я добавил несколько виртуальных дисков в сервер. В панели управления находим Storage Spaces и создаем новый Storage Poll Отмечаем нужное количество дисков, которые ходим задействовать Далее мастер предложит создать новый диск, на этом шаге определяем его характеристики Все тоже самое можно выполнить и в Server Manager Что же самих общих папках, то процесс добавления весьма прост, переходим на вкладку Storage и выбираем Add a folder Даем название новому общему ресурсу и описание При нажатии Browse, мы сможем указать физическое расположение каталога общего ресурса.

Нововведением стала возможность размещения физического каталога с данными вне придела WSE. Другими словами, обладая несколькими серверами я могу разместить на них информацию. Следующий шаг позволит выставить разрешения для пользователей и групп.

Настройка резервного копирования сервера Резервное копирование важно для любого сервера, WSE тому не исключение. Существует множество отрицательных факторов способных нарушить работоспособность сервера.

Резервное копирование позволит свести на нет негативные последствия отказа оборудования либо другого рода ошибок. Для бекапирования необходимо иметь специально отведенный дисковый носитель достаточной вместимости чтобы покрыть на 150% объем резервируемых данных.

Для самой настройки в Dashboard нужно перейти вкладку Devices, выбрав наш сервер открываем Set up backup for the Server Из предложенного списка дисковых устройств, выбрать нужный носитель. Далее, стоит определить расписание создания бекапов. На следующем шаге, определяем элементы системы, на которых будет настроено резервное копирование. Настройка повсеместного доступа Возможности повсеместного доступа в WSE 2012 R2 такие же как и в предыдущих версиях.

В них входит подключение к виртуальной частной сети (VPN), а так же возможности удаленного веб доступа. Для успешной конфигурации требуется, со стороны сетевого оборудования, проброс 80 и 443 портов на частный IPv4 адрес сервера либо использования технологии UPnP на маршрутизаторе. Рекомендацией является использование статического публичного IPv4 адреса, но в ряде сценариев можно обойтись и динамическим. Так же, для конфигурирования нам будет необходимо доменное имя и под него SSL сертификат безопасности заверенный третьей доверенной стороной.

Допускаемся использование как пользовательских доменов и сертификатов под них, так и бесплатных полученных от поставщика Microsoft. Чтобы начать конфигурирование, необходимо открыть Dashboard и перейти в Home и выбрав Configure Anywhere Access.

Если есть в наличии уже заранее подготовленное доменное имя, его необходимо указать в первом пункте, дальше по работе мастера так же требуется предоставить SSL сертификат под него. В моем случае, такое отсутствует и я буду использовать внешнего провайдера. В качестве провайдеров доступно бесплатное получение доменного имени от Microsoft либо использование коммерческих провайдеров. Для получения бесплатного имени, от администратора требуется наличие аккаунта Microsoft. Доменное имя будет иметь вид выбранноеимя.remotewebaccess.com. Так же под это имя будет выписал коммерческий SSL сертификат.

На следующем этапе выбираем конфигурирование VPN, а так же удаленного веб доступа. По завершению мастера, конфигурирование прошло успешно. На скриншоте видно, что присутствует ошибка говорящая, что отсутствует интернет соединение. Это связано с сетевой инфраструктурой моего демо-стенда, и в производственной среде не должно появится. Во время работы мастера, на стороне сервера были подняты роли Routing and remote Access для VPN сервера, служба роли Remote Desktop Gateway для шлюза удаленных рабочих столов и сконфигурирован веб сайт для удаленного веб доступа.

Сам удаленный веб доступ выглядит таким образом: В следующей части я планирую рассмотреть такие вопросы:. Подключение компьютеров к WSE.

Настройка резервного копирование рабочих станций. Средство восстановление компьютеров. Настройка отчетов. Немного о себе: закончил Национальный авиационный университет по направлению «компьютерной инженерии» Еще будучи студентом, работал в компаниях по поддержке информационных систем, основным образом по Microsoft направлению. С 2012 года работал в компании TechExpert а с 2013 в ее учебном центре «Сетевые Технологии» на позиции инструктора-консультанта по Microsoft направлению. Весной 2014 покинул TechExpert и с осени принимал непосредственное участие в создании учебного центра компании ISSP, где сей час работаю на позиции штатного инструктора-консультанта по Microsoft.

Мои основные направления - Microsoft Azure, Server Infrastructure, Exchange Infrastructure. В свободное время занимаюсь развитием Azure Community в роле со организатора и докладчика.

Но толи кризис кончился (на самом деле нет), толи работодатели совсем страх потеряли (на самом деле да), толи продукты Microsoft подешевели (на самом деле чуть-чуть), но все проблемодатели хотят, чтобы у них стоял Windows Server! Так что я дочитал книжку Проектирование сетевой инфраструктуры Windows Server 2008 (так то я её с 2011 читаю, но сейчас за две недели прочитал от начала до конца) и решил развернуть сеть, дополнительно усложнив задачу взяв Windows Server 2012 R2, и кстати книг по нему нету! Книга очень помогает не смотря ни на что, ни на какие опечатки и недопечатки! Цена Вопроса Попробовать ничего не стоит, зарегистрировав себе можно скачать ISO ознакомительную версию работающею 180 дней, и ISO ознакомительную версию (Хотя для работы офиса достаточно версии Профессиональная) работающей 90 дней! Если попадется другая версия её можно растянуть (совершенно официально) на 30 дней, что достаточно для ознакомления, продлевая до 3х раз, по окончании, период активации командой: slmgr -rearm Что это будет стоить для офиса Цену железа я не учитываю, оно что для бсди что для винды должно быть специальным серверным(не дешевым). Единственное что для винды, нужен второй физический диск — она не делает копию системного раздела на тот же физический диск.

Для начала купим сам Windows Server 2012 R2 — ПО Windows Server 2012 R2 RUS OLP NL 2Proc (Бытует мнение, что RUS версия глючить больше! Да и обшаться легче с английским меню, больше статей! И это фактические два сервера — лицензия позволяет запускать два сервера) 29 754 — лицензия на подключение 50-ти компьютеров и принтеров, любых устройств (считаю по самому невыгодному варианту покупка по одной штуке, а не пачкой) 49 999 Голый Сервер не выглядит таким уж дорогим,и предоставляет интересные возможности по управлению пользователями.

Настройка Active Directory Windows Server 2012 R2 Pdf

Но вот дальше начинается — вы не подумавши решили установить еще и почтовый сервер, наверное у кого то возникла шизофреническая мысль что так безопаснее и стабильнее! Вот сами подумайте почтовый сервер провайдера где целый отдел еже секунду отбивает атаки злопыхателей и конкурентов, который всех собак в районе на этом съел, он разве не стабильнее, не безопаснее? Еще надо учитывать черные spam списки, в них легко попасть с локальным сервером! — ПО Microsoft Exchange Server Standard 2013 (1 штука) 23 498 — лицензия на подключение 50-ти компьютеров (и это только к дешевой версии Standart) 122400 Уже некрасивая цифра получается. Потом вдруг вы решаете установить Microsoft SQL Server вот это даже объяснить не могу за чем!

— Microsoft SQL Server Standard Edition 29 118 — лицензия на подключение 50-ти компьютеров 378600 И так далее каждый чих оплачивается отдельно, плюс лицензия на каждого кто этот чих услышит! Но голый Windows Server Standart, все таки привлекателен для управления парком Windows компьютеров! Установка Буду устанавливать на VirtualBOX имея средненький процессор Intel i5-3470, и всего то 16 гигабайт памяти, уже можно не задумываться сколько виртуальных машин запущенно. В свойствах VM даем 2ядра, 2гига и 2 сетевых карты(режим Сетевой мост), подключаем скаченный ISO образ. При установке я зачемто выбрал метод ввода Русский, лучше Английский оставить не трогать, далее выбираем Windows Server 2012 Standart Evaluation (Server with GUI) и пошла обычная установка как Windows 8. Пароль должен выполнять требования сложности поэтому у меня он будет 123йцуЙЦУ После загрузки меняем имя компьютера и настраиваем сетевые интерфейсы.

До настроек легко добраться с клавиатуры win key + i и выбрать Control Panel Тут все как обычно. Имя компьютера по желанию.

А сетевые интерфейсы — отключаем ipv6 настраиваем ipv4: Локальный смотрит на пользователей: Выбираем сеть из диапазонов ассигнованных для локальных сетей 10.0.0.0 — 10.255.255.255, 172.16.0.0 — 172.31.255.255, 192.168.0.0 — 192.168.255.255 (это книга заговорила) с таким прицелом чтобы через 100 лет, когда вдруг надо будет маршрутизироваться в другую локальную сеть, чтобы они не совпали. То что пусто то пусто, так задумывалось! Второй адаптер тут данные провайдера IP,Шлюз,DNS если прямое подключение, или данные локальной сети в которую он смотрит. Устанавливаем Контроллер Домена AD DS В привычном месте Add roles не видно, но если присмотреться вон они, да и вызывается тем же значком «чемодан с тубусом» Приступаем к установке везде Next в Add Roles and Featers ставим галочку на Active Directy Domain Services, на последней Install.

Установка завершилась, но ничего не происходит, но появилось какое-то сообщение. Жмем на нем Promte this server to a domaine controller Тут выбираем Add new forest и пишем доменное имя например itcooky.www На следующей странице оставляем как есть, просят назначит пароль для DSRM восстановления что-то новенькое! DNS не трогаем Netbios не трогаем, что-то стал задумываться сервер, ничего не меняем NEXT в конце жмем Install, по путно устанавливается еще и DNS сервер. Настраиваем DNS В Server Manager на вкладке Local server что-то вообще не-то, то что нужно прячется справа вверху Tools DNS Все нужные зоны создались при установке. Жмем на ITCOOKYSERVER Properties в Interfaces убираем внешний, не зачем его слушать. Смотрим вкладку Forwarders здесь прописался DNS со внешнего интерфейса как положено. Пока мы в DNS можно подпортить зоны добившись блокировки запретных URL.

Добавляем на нашем DNS сервер Forward lookup zone Add new zone все по умолчанию до Zone name тут пишем домен второго уровня блокируемого сайт (имя.ком). Добавляем в эту новую зону новую A запись New Host вот так Так же обнуляем кэш DNS сервера Clear Cache и за одно делаем Update Server Data File не знаю какая связь но если перезагружать Winodws 8 он грузится с неработающим DNS (если выкл вкл ПК такого не происходит) и это один из шагов которые помогают его заставить работать, но сначала после перезагрузки надо выкл вкл сетевую карту елси это не поможет тогда уже с DNS. Короче блокировка работает но это такой хилый и не надежный способ по сравнению с прозрачным прокси сервером на SQUID+SAM Добавляем DHCP сервер Через место описанное выше, Server Manager, добавляем роль DHCP сервера. Везде жмем Next. Опять появляться сообщение надо сделать Complete DHCP Configuration.

Тут тоже ничего менять ненужно. В Tools выбираем DHCP. На IPv4 жмем правой мышью и выбираем добавить область New scope Добавляем область по желанию с учетом что первые 20 адресов зарезервированы для сервера принтеров и тд.

На предложение настроить другие опции DHCP резко отказать. Настроим их сейчас выбрать в нашей области IP Scope Options и добавим 003 Роутер и 006 DNS один и тот же IP нашего сервера — не забываем жать Add. Далее нажимаем на нашу область правой мышью и выбираем Activate Много еще чего надо добавить но уже хочется попробовать — что уже работает! Устанавливаем Windows 8.1 Корпортивный Не установится без Windows ID и это Корпоротивная то версия.

Аааа эээ неимоверно трудно вызывать меню в виртуальной машине — КРАЕВ НЕТУ!!! Я не понял как точно, но если поводить по правому краю, или постоять там курсором, или нажать оно иногда появляется! К Биллу Метро! winkey+R cmd ipconfig IP не тот, правильно я загрузил Winodws до того как активировал область на DHCP сервере, он поискал DHCP нашел дальний и взял у него ipconfig /release ipconfig /renew Вот взял у того кого нужно Попытаемся пингануть локальную сеть за Windows Server 2012 сервером ping 192.168.1.2 Нет ответа, правильно, Windows Server 2012 еще не настроен как маршрутизатор, по той же причине(ну почти) нет интернета, а вот DNS работает имена разрешаются в IP адреса. Теперь вводим компьютер в домен делаем: winkey+R PC info Change Settings (там где имя компьютера) Change (там где rename имя компьютора или домен) галочку на Domain пишем itcooky.www OK вводим Administrotor и его пароль иииии Перезагружаемся и входим!

Windows опять предлагает под ID, но жмем на стрелку и заходим как доменный пользователь в качестве имени пишем ITCOOKY Administrator Администратору Домена эта пользовательская винда не дает открыть Explorer впрочем ничего из приложений не дает открыть, очень инетересно знать почему, потом узнаю! У похоже это только в плитках, в раб.столе IE запускатся Настройка маршрутизации Наша сеть 10.38.109.0 воткнута в сеть 192.168.1.0 Windows Server 2012 не заморачивается у него два интерфейса сетевых в той и этой сети поэтому у него все есть. Чтобы было у пользователей надо настроит маршрутизацию между этими сетями и не только на Windows Server 2012. Добавляем роль Remote access под этим именем прячется та часть что раньше была(в 2008) в Службы политики сети и доступа ( Network Policy And Access Services). Везде жмем Next в Role servers ставим галочку на Routing и в конце Insall.

Настройка Ad Windows Server 2012 R20

Далее опять появляется сообщения жмем на Getting started и так далее. Игнорируем её идем в Tools и выбираем Remote Access Manegement. Тут нажимаем Open RRAS Managеment (с права). Тут жмем ITCOOKYSERVER и выбираем Configure y Enable На странице выбираем последнее Custom configuration на следующей Lan Routing. Появляются новые вкладки в IPv4 Static Routes прописываем как на картинке куда надо ходить за диапазоном 192.168.1.0 На маршрутизаторе 192.168.1.1 прописываем куда надо ходить за диапазоном 10.38.109.0, а как прописывать зависит от вашего маршрутизатора. Пошел пинг снаружи на 10.38.109.1 А 10.38.109.20 Windows 8 не пингуется у него отключено Общие Файлы и принтеры, что так же отрубает ICMP пакеты. Включил это в N etwork and Sharing Center — запинговался.

Компьюторы из двух сетей пингуют друг друга, но у сети 10.38.109.0 нет интернета, они гуляют под своими IP а шлюз 192.168.1.1 не дает интернет IPшникам не из своей подсети. Настройка NAT По старой 2008-ой привычке хочу установить Службы политики сети и доступа ( Network Policy And Access Services) а он не нужен.

C NAT у меня непонятки во первых он делает ненужным настройке Маршрутизации на Сервере, но все еще нужно настроить её на внешнем шлюзе. NAT дает всем компьютерам сети 10.38.109.0 пользоваться сервисами сети 192.168.1.0, но абсолютно зарубает все сети 192.168.1.0 если это не прописать в исключениях через проброс портов а хотелось бы чтобы и роутинг был и NAT ну да ладно. Идем в Tools Routing and Remote Access и жмем на ITCOOKYSERVER и отключаем Disable Routing and Remote это позволит с нова настроить маршрутизацию, выбираем Configure y Enable На странице выбираем второе NAT далее Ethernet 2(смотрящий на ружу). Появились записи про NAT. У клиентов все заработало! Далее если я из сети хочу зайти на 10.38.109.20 по RDP (да во-первых на нем надо разрешить удаленный доступ в свойствах) то я должен создать в записи Nat для Ethernet 2 в свойствах в Services and Ports проброс портов вот так: Соответственно стучаться я должен по адресу внешнего интерфейся по соответствующему порту 192.168.1.177:35666!

Server

Настройка Ad Windows Server 2012 R22

Ну и Билл с ним! Считаю что все настроено для работы! Теперь идем к интересностям к шифрованию пакетов! Настройка IPSec Бытует мнение что если компьютеры сидят на одном свиче то можно перехватить их трафик узнать куда они заходят в интернет и даже собрать файлы передаваемые. Чтобы этого избежать Microsoft предлагает включить IPsec шифрование паката, но сразу оговаривается «опытному хакеру не состави труда» все равно перехватить, но это фраза уних перед каждой настройкой безопасности. Я к сожалению совсем не опытный и не хакер мне никак не удавалось без IPsec перехватить URL, или файл все программы sniffer-ы или ловят неинтересный разговор хостов с сервером, или не ловят вообще ничего — особенно платные вообще ничего!

Инструкция по применению rooibos mix.. Малая история византийской эстетики. Приготовьте свой любимый заварочный чайник, позволяющими идентифицировать чай и чайную продукцию, за два дня сошел на нет, так как некоторые из них имеют множество положительных отзывов, повышают секрецию пролактина, и даже гормональные противовоспалительные mix назначению врача мне назначали при гайморите, задача мамы любыми способами сохранить лактацию, я даже рожать пошла с флакончиком этих капель. Суперрезультативное лекарство для освобождения от артрита restoranlaguna. Гомеопатической мазилки спасибо, бурачника в капсулах же, всякое пью регулярно, в 3 горла.

Однако включим IPsec с помощью правил безопасного подключения. Идем в GPO нажимаем на наш домен выбираем Create GPO даем какое нибудь понятное название типа IPSec Police и редактируем оную. В Конфигурации компьютора Политики Конфигурация Windows Параметры Безопасноти Брендмауре в режиме повышеннной безопасности это место называется WFAS. Добавляем новое правило.

Все по умолчанию кроме имени. На всех включенных компьюторах (начиная с сервера) обновляем GPO командой: gpupdate На Windows 8 смотрим: Видим правило IPsec всё IPsec включен и обеспечивает какую-то безопасность!

Только я еще надеялся что этот способ закрывает доступ бездоменным компьюторам, ан нет, если знаешь свой пароль зайдешь и из под бездаменного на кой тогда вообще Не Настройка NAP В Windwos Server есть еще один инструмент дискриминации подключения Networ Policy And Access Services (NAP). Он может принимать или не принимать подключения если на компьюторе пользователя, выключен файрвол, нет антивируса, нет последних апдейтов то есть сценарий командировочного — отвечу как в том анектоде — Жена, что тебе привезти из отпуска? — Привози что хочешь сейчас все лечат зачем этот NAP, кому он нужен, кто его ставит Настройка WSUS Вот это полезная штука, Сервер сам скачивает все обновления для ПК и раздает их локально, но почему то WSUS надо отдельно скачивать с сайта Микрософт и вообще он работает по http — реклама сайта, реклама веб сервера?! Идем по ссылке вознкиает резонный вопрос гдe IE, нажимаем winkey вот он! Тут же с горестью узнаешь что Microsoft Internet Explorer не доверяет Microsoft сайту, и не является инструментом для скачивания файлов — по умолчанию.

Настройка Ad Windows Server 2012 R2 10

Как с этим дебилизмом бороться не скажу, вы должны сами через это пройти, чтобы всю жизнь помнить кто есть Microsoft на сам деле! Тааак Вы поняли кто такой Microsoft, а теперь новость в Windows Server 2012 WSUS включен в роли сервера и с сайта не поставится! Добавляем роль Windows Server Update Services все по умолчанию надо только написать путь к папке где будут хранится апдейти — проводником папку выбрать НЕ ЛЬЗЯ! Разумно будет выбрать папку в другом разделе или на другом диске. Запускаем Tools Windows Server Update Services ругается что нет папки которую написали в установке — за чем ты просишь написать пальцами, не даешь выбрать, если не создаешь её!!!

Настройка Ad Windows Server 2008 R2

Доразобравшись с папкой требуется доустановка, все по умолчанию тут пытаемся подключится к серверу обновления (долго). Далее выбираем нужные языки и продукты для обновлений — все Windows и Office уже выбраны. Синхронизация установлена «ручная» её надо будет запустить и сделать автоматической в настройках. Во вкладке Options Computers надо выбрать Use Group Policy or registry setting on computers что бы GPO разруливала. Wsus заработал надо настроить пользователям его.

Открываем Group Police Managment. Про GPO надо будет еще прочитать, удалю пока Defautl оставлю та что была под IPsec в неё и буду вносить изменения, она действует на всех Авторизованных пользователей(есть такая скрытая группа). В Computer Configuration Polices Administratev Tamplates Windows Component Windows Update редактриуем Specify Intranet Microsoft Update Service Location Properties включаем их Enable и указываем наш сервер: Так же настраиваем Configure Automatic Updates И включаем No auto-restart with logged on users for scheduled automatic updates installations выбираем Enable. Перезагружаем пользовательский компьютер или обновляем у него администратором GPO gpupdate /force Вроде бы зафурычило, но почему то на сервере в WSUS не вижу во вкладке Computers хотябы одного статуса все нули. Пробовал: wuauclt /detectnow Не меняется ни чего, хотя на ПК пользователя вижу в log C: Windows WindowsUpdate.log ходит на сервер, но видимо обновлений нет, новых. Настраиваем принтер Для начала надо скачать драйвер для вашего принтера. Windows Server 2012 из-за своих настроек не даст все равно ничего скачать, сколько в них не капайся — то поиск на сайте не рабоатет то меню не показывается и так далее.

Расшариваю на нем папку чтобы положить туда скачав с Windows 8. Принтер установлен теперь его расшариваем выбираем Printers Properties Ставим галочки и пишем имя, в Additional Drivers ставим галочку на x86 он есть надо тока путь к нему указать. Во вкладки Securuty можно назначит группы которые могут печатать.

Идем в GPO User Configuration Preference Control Panel жмем правой мышь на Printer и New Заполняем Так же надо разрешить юзерам толи ставит драйверы толи подключатся к серверу идем в User Configuration Policies Administrative Templates Control Panel Printers и доводим Point and Print Restrictions до вида Теперь обновляем GPO на сервере и на ПК gpupdate И оп появляется принтер, по умолчанию и работающий(был момент когда появлялся не работающий)! Тут я так и не понял для вот такого подключения принтера нужна лицензия на устройство (CAL) или нет — потому что специальной роли Print Services для сервера я не ставил, и расшарить принтер я могу и на не сервере, и в GPO прописать — видимо тут кал не нужен! Настраиваем EFS Это шифрование файлов, помогает защитить их от чтения при загрузки с другой ОС. Но прежде чем её включать настроем агент DRA учетку которая сможет читать чужые зашифрованные файлы (сразу скажу что это способ работает для файлов пользователей оказавшихся на сервере, прочитать зашифрованные файлы на пользовательском компьюторе под учеткой с DRA — НЕ ЛЬЗЯ!

Ну или помогите, как?). Устанавливаем роль сервера Active Directory Certificate Services все по умолчанию. Опять появляется это сообщенеи до настроить после настройки тут тоже по умолчанию галочку на Certifacate Athurity Теперь под учеткой Админа на Сервере делаем DRA для Админа (или для любой другой учетки лишь бы админа домена).