Связаться с нами

Удаленные рабочие столы: перевели 75 сотрудников на удаленку

Как мы перевели сотрудников на удаленку
Комментарии к записи Удаленные рабочие столы: перевели 75 сотрудников на удаленку отключены
Кейсы

Перевели сотрудников на удаленку

Удалённые рабочие столы — стандартный способ организовать дистанционную работу в компании с Windows-инфраструктурой. В этом кейсе рассказываем, как перевели 75 сотрудников компании ЕвроТрейд на удалённый формат за три недели: от аудита инфраструктуры до подключения последнего пользователя.

Задача: организовать удалённые рабочие столы для 75 сотрудников

ЕвроТрейд — торговая компания с тремя офисами в разных районах города и двумя складами в области. До проекта у компании не было единой сети: каждый офис работал автономно, сотрудники использовали личные устройства, централизованного доступа к корпоративным ресурсам не существовало.

Руководство поставило задачу: дать 75 сотрудникам возможность работать удалённо — из дома, с выездных объектов, из командировок. При этом сохранить контроль над данными и обеспечить безопасность подключений.

Что было до проекта

Типичная картина для компании без централизованной ИТ-инфраструктуры:

  • Офисы и склады не объединены в единую сеть — сотрудники носили файлы на USB-флешках между площадками, а срочные документы отправляли через личную почту на mail.ru и gmail.com
  • Нет контроллера домена — учётные записи создаются локально на каждом компьютере, пароли не менялись месяцами, единой политики паролей не существовало
  • Нет VPN — доступ к рабочим файлам из дома невозможен. Сотрудники в командировках запрашивали нужные документы по телефону, коллеги пересылали их в мессенджерах
  • Корпоративная почта разрозненная: часть ящиков на хостинге, часть на бесплатных сервисах, единого управления нет
  • Риски информационной безопасности: данные клиентов и договоры хранились на личных ноутбуках без шифрования, увольнение сотрудника не означало потерю его доступа к рабочим файлам — копии оставались на личных устройствах

Архитектура решения: Windows Server RDS

В качестве основы выбрали Windows Server Remote Desktop Services (RDS) — проверенную технологию терминального доступа. Для 75 пользователей развернули следующую архитектуру:

  • RD Session Host — два терминальных сервера для распределения нагрузки. По рекомендациям Microsoft, на каждого пользователя офисных приложений закладывается 2–4 ГБ оперативной памяти. Для 75 сотрудников использовали два сервера по 64 ГБ RAM каждый
  • RD Connection Broker — балансировка сессий между двумя Session Host с настройкой round-robin: каждое новое подключение направляется на менее загруженный сервер. Автоматическое переподключение пользователей к прерванным сессиям — при обрыве связи сотрудник возвращается в ту же сессию с сохранёнными открытыми документами
  • RD Gateway — безопасный шлюз для подключения извне. Работает через HTTPS (порт 443), не требует открытия порта 3389 наружу. Обязательные компоненты: SSL-сертификат, Active Directory, IIS
  • Active Directory — контроллер домена для централизованного управления учётными записями, групповыми политиками и правами доступа

Такая архитектура подходит для компаний с 20–200 сотрудниками, работающими в офисных приложениях (1С, Excel, почта, браузер). Для задач с высокой нагрузкой на графику (САПР, видеомонтаж) используют другой подход — виртуальные рабочие столы VDI на базе Proxmox или VMware Horizon.

Объединение инфраструктуры в единую сеть

Первым этапом объединили все площадки — три офиса и два склада — в единую корпоративную сеть через VPN-туннели. Это дало сотрудникам прозрачный доступ к общим ресурсам: файловым серверам, принтерам, внутренним системам.

Параллельно развернули контроллер домена Active Directory. Вместо локальных учётных записей на каждом компьютере появилось единое управление: доменные политики паролей, разграничение прав, централизованное обновление ПО.

Безопасность: OpenVPN и двухфакторная аутентификация

Удалённый доступ без защиты — прямой путь к инцидентам. Для подключения к удалённым рабочим столам извне построили многоуровневую защиту:

  • OpenVPN — SSL VPN-туннель. Сотрудник подключается к VPN, и только после этого получает доступ к RDS. Прямого подключения по RDP из интернета нет. Для каждого сотрудника создали индивидуальный VPN-профиль с привязкой к персональному TOTP-секрету. При увольнении достаточно отозвать один профиль — доступ блокируется мгновенно, без пересоздания сертификатов для остальных
  • Двухфакторная аутентификация (2FA) — на этапе VPN-подключения пользователь вводит пароль и одноразовый код из приложения (Google Authenticator, FreeOTP). OpenVPN Access Server поддерживает TOTP-аутентификацию штатными средствами через Admin Web UI
  • Network Level Authentication (NLA) — дополнительная проверка на уровне RDP. Сервер требует аутентификацию до создания графической сессии, что экономит ресурсы и защищает от brute-force атак. NLA остаётся рекомендованной практикой безопасности
  • Групповые политики — ограничение перенаправления дисков и USB, запрет копирования файлов через буфер обмена для критичных групп пользователей

Подробнее о настройке второго фактора для RDP — в нашей статье «Настройка 2FA для RDP без Active Directory: multiOTP за 30 минут».

Перенос почты и файлов

Миграция корпоративной почты на централизованные серверы и настройка файлового хранилища — обязательный этап при переходе на удалённые рабочие столы. Перенесли почтовые ящики всех 75 сотрудников на единый почтовый сервер с единым доменом. Настроили общие сетевые папки с разграничением доступа по отделам: бухгалтерия, склад, продажи, логистика — каждый отдел видит только свои документы, а руководство имеет доступ ко всем разделам.

Этапы внедрения

  1. Аудит инфраструктуры и требований — обследование текущей сети, опрос сотрудников, определение нагрузки (2 дня)
  2. Объединение площадок в единую сеть — настройка VPN-туннелей между офисами и складами, развёртывание Active Directory (3 дня)
  3. Развёртывание RDS — установка Session Host, Connection Broker, RD Gateway, настройка лицензирования (3 дня)
  4. Настройка безопасности — OpenVPN + 2FA, групповые политики, сетевые экраны, антивирусная защита (2 дня)
  5. Перенос почты и файлов — миграция на централизованные серверы (2 дня)
  6. Тестирование с пилотной группой — 10 сотрудников из разных отделов проверяют все сценарии работы (3 дня)
  7. Подключение всех 75 сотрудников — раздача VPN-профилей, установка клиентов, обучение (5 дней)

Общий срок: три недели от начала аудита до полного развёртывания.

Результаты

  • 75 сотрудников работают удалённо через защищённый канал — из дома, с объектов, из командировок
  • Все пять площадок (3 офиса + 2 склада) объединены в единую сеть
  • Время подключения к рабочему столу: 15–30 секунд
  • Двухфакторная аутентификация на каждом подключении
  • Централизованное управление учётными записями и политиками безопасности через Active Directory
  • Единая корпоративная почта и файловое хранилище с разграничением доступа
  • Экономия на рабочих местах: сотрудники подключаются с личных ноутбуков, компании не нужно закупать отдельные офисные ПК для удалёнщиков
  • Ноль инцидентов безопасности за время эксплуатации

Кому подходит такое решение

Windows Server RDS — оптимальный выбор для компаний с 20–200 сотрудниками, которые работают в стандартных офисных приложениях: 1С, MS Office, почта, CRM, ERP. Решение хорошо масштабируется: при росте штата достаточно добавить ещё один Session Host.

Если сотрудники работают с тяжёлой графикой (САПР, 3D-моделирование, видеомонтаж), терминальный доступ не подойдёт — нужны выделенные виртуальные рабочие станции (VDI) с GPU.

Нужны удалённые рабочие столы для вашей компании? Свяжитесь с нами — рассчитаем архитектуру и стоимость под ваш масштаб.

Администрирование серверов "под ключ"