Тонкий клиент Win2008 R2 (AD+TFTP)+thinkstation+Win2008 R2 (RDP)

Тема конечно заезженная и можно кучу статей найти на эту тему, НО все они устарели. Нет конечно не совсем, на 99% все по прежнему — и установка и настройка оси, настройка сервера RDP, настройка TFTP и PXE, настройка thinkstation и прочее, прочее, прочее…. Эта статья наверное будет самой дерьмовой короткой среди них.

И так, что я имел на начало:
1. Сервер win2008 R2 на нем стоит AD, DHCP
2. 24 старых компа (на самом деле всего компов 150, из них я бы перевел в терминал 50 как минимум, ну а 24 — это просто тестовые)
3. Новый сервер без оси (Xeon E31225, 16ГБ RAM, RAID 10 4x3TB)
Задачи
1.сократить расходы на ежегодную покупку лицензий для этих старых ПК (Лицензии академические хоть и не дорогие 410-460р, но терминальные решения дешевле 300-310р)
2. Сократить расходы ежегодные на постоянную модернизацию компов
3. Упростить себе задачу администрирования

Не долго думая, я сказал себе, как оказалось в слух,

Окей, гугл! как же мне настроить тонкие клиенты на винде 2008?

Гугл отреагировал оперативно, и после не долгих поисков и фильтрации информации я нашел, все те статьи, на которые сослался выше. Я пользователь законопослушный, имею лицензию и на серверную часть и CAL лицензию, все сделал по правилам. Проверил подключение — все супер, загрузка на ПК Celeron-D, 512RAM DDR2 занимает 1 минуту с момента нажатия на кнопку power. Радости было полные штаны куча. Первое что проверил — работу групповых политик с AD на пользователях подключающихся через тонкого клиента — Все работало: настройка прокси, подключение сетевых дисков, ограничение доступа по группам и т.д.
Второе, что я решил сделать — естественно наставить минимум софта для пользователей терминала:
Firefox (можно и Opera но только не Chrome — сжирает как память так и процессор)
7zip
DoPDF
Kaspersky
Office 2016
Ставил именно в таком порядке. После установки все пожирающего зла Антивируса Касперского стал регулярно отваливаться сервер терминалов, — пришлось установить бесплатное решение от Avast. Далее установка шла без проблем.
После удовлетворения пришедшего в результате любования своим творением и скоростью работы и загрузки клиентов, я решил нарушить первое правило администрирования

Работает — не трогай! ни за какие коврижки!!! потом очень пожалеешь!!!

— установить все обновления какие только есть для 2008 R2 (б*я, я потом 2 дня му****лся пытаясь найти причину глюка!!!). Обновы ставились медленно, но верно к концу рабочего дня были все установлены и я радостный пошел домой.
Утром (ну как утром, 10:30) придя на работу, я решил по настраивать профили пользователей, чтоб они хранились не в папке c:\Users а например на сетевом диске, при этом были не перемещаемые (ну на сетевом напрямую так и не вышло), но остановился пока просто на хранении на отдельном диске (позднее планирую перенести на iSCSI, но это отдельная история рассказанная до меня) изменением параметра

ProfilesDirectory

в реестре в ветке

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList

Довольный собой как удав, я думал что работа завершена… и каково же было мое удивление, когда я заметил, что у пользователей входивших впервые в терминальную сессию не монтировались сетевые диски… стал грешить на rdesktop и его настройки… вовремя остановился и не убил свои настроенные конфиги по группам… решил проверить, работают ли AD политики на обычных компах — к моему облегчению на всех версиях оси от XP до 10 все работало… остается… сервер RDP… но что же в нем было изменено… многое… но я пошел от логичного microsoft… точнее его любви все совершенствовать и переставать поддерживать прошлые версии или просто добавлять кучу глюков…
Методом проб и ошибок проверки работоспособности политик после каждого обновления на чистой серверной винде, выяснил, что Win2008 R2 SP1 не принимает политики от другого сервера AD Win2008R2 SP1… причина — не понятно, принудительное обновление политик

gpupdate /force

не помогают… перерегистрация в домене тоже… в итоге пришлось переустанавливать сервер RDP и запретить обновления…
З.Ы. Спасибо тем кто дочитал эту нудятину статью до конца, но думаю кому — нибудь она будет полезна, хотя бы концентрацией полезных ссылок по этой теме
З.Ы. З.Ы. Так вот почему же устарели? да потому что все они написаны до 2014г. и там нет ни слова о возможных проблемах с GPO после обновлений!
З.Ы.З.Ы.З.Ы. в итоге экономия на лицензиях ПО составляет (с 23ПК) 7500р/год (для бюджетного учреждения это не мало!). Экономия на закупках ПК (планируемая) 50 000 р/год, учитывая что общегодовой бюджет 200 000, экономия более 1/4 это существенно