01 нояб. 2025 г.·8 мин

RDS CAL и VDI-лицензирование: чек-лист вопросов для ИТ

RDS CAL и VDI-лицензирование: список вопросов к ИТ и ИБ, чтобы выбрать per user или per device, учесть подрядчиков и избежать лишних затрат.

RDS CAL и VDI-лицензирование: чек-лист вопросов для ИТ

Зачем нужен чек-лист перед RDS и VDI

Лицензирование RDS CAL и VDI почти всегда связано с деньгами, доступом к данным и ответственностью. Без заранее согласованного чек-листа легко переплатить за лишние лицензии или, наоборот, недолицензироваться и получить остановку работ в самый неудобный момент, например на внутреннем аудите или при проверке.

RDS и VDI часто путают, потому что для пользователя результат похож: он видит удаленный рабочий стол и работает в привычных программах. Но внутри это разные подходы. В одном случае вы даете доступ к сессии на терминальном сервере, в другом - к выделенному виртуальному рабочему месту. Если выбрать модель «по ощущению», а не по сценариям, потом приходится менять архитектуру, докупать лицензии и объяснять, почему сроки сдвинулись.

Проект обычно «ломается» в трех местах: нет владельца решения, нет понятного учета пользователей и устройств, и нет общего ответа, кто и как контролирует доступ. В итоге ИТ планирует производительность, закупка считает бюджет, а ИБ узнает о деталях уже после запуска.

Перед утверждением проекта полезно зафиксировать базовые вещи на одной странице: кто подключается, откуда и с каких устройств, к каким данным будет доступ и где они должны храниться, а также как вы подтверждаете соответствие лицензиям и требованиям ИБ.

Простой пример: бухгалтерия работает из офиса с закрепленных ПК, а сервисная команда подрядчика подключается по заявкам на 2-3 часа. Для этих групп часто нужны разные правила доступа и разные решения по лицензиям.

Ниже - вопросы, которые стоит задать ИТ и ИБ до выбора модели, закупки и внедрения, чтобы решение было законным, управляемым и предсказуемым по затратам.

Базовые понятия простыми словами

RDS (Remote Desktop Services) - роль в Windows Server, которая позволяет людям работать с приложениями и рабочим столом на сервере удаленно.

RDP (Remote Desktop Protocol) - протокол, по которому выполняется подключение.

Терминальная сессия - ваш отдельный сеанс работы на сервере: вы входите под своей учетной записью, запускаете приложения, сохраняете файлы и выходите.

CAL (Client Access License) часто путают с «лицензией на Windows Server», но это разные вещи. Лицензия Windows Server дает право запускать сам сервер. А RDS CAL дает право пользователю или устройству подключаться к RDS и работать через терминальные сессии. Поэтому при планировании важно считать не только серверы, но и тех, кто к ним подключается.

VDI (Virtual Desktop Infrastructure) - подход, при котором каждому пользователю выдают отдельный виртуальный ПК (виртуальную машину) с собственным рабочим столом. В RDS пользователи, как правило, делят один сервер (разные сессии на одном «железе» и одной ОС). В VDI больше изоляции и гибкости (например, разные образы и настройки), но обычно выше требования к инфраструктуре и администрированию.

На практике встречаются несколько типовых вариантов доступа, и от них зависит, какие вопросы по лицензированию задавать дальше:

  • общий терминальный сервер: много пользователей в сессиях на одном или нескольких серверах;
  • VDI: один пользователь - одна ВМ;
  • доступ с офисных ПК/ноутбуков: важно, сколько людей и сколько устройств реально подключается;
  • подключение с «легких» рабочих мест (тонкие клиенты, старые ПК, мини-ПК): чаще считают по устройствам и заранее продумывают управление входом.

Пример: бухгалтерия работает в 1С через общий терминальный сервер, а отдел с повышенными требованиями к изоляции получает VDI. Снаружи это выглядит одинаково («подключился по RDP»), но внутри это разные модели: безопасность, нагрузка и лицензии считаются по-разному.

Как собрать исходные данные: пошаговый план

Чтобы лицензирование не превратилось в гадание, сначала соберите факты. Удобнее всего - в одной таблице, где видно: кто подключается, откуда, с каких устройств и к каким ресурсам.

  1. Начните с инвентаризации того, что реально будет доступно по удаленке. Это не «терминальный сервер вообще», а конкретные приложения (1С, МИС, CAD, браузерные системы), типы данных (персональные, финансовые, медданные) и операции (только просмотр или еще печать, выгрузка файлов, работа с USB).

  2. Затем переходите к цифрам и ролям:

  • зафиксируйте количество людей, которым нужен доступ, и режим работы (дневные смены, ночные, посменные);
  • отдельно отметьте, сколько одновременных подключений бывает в пике;
  • посчитайте устройства: офисные ПК, ноутбуки, тонкие клиенты, личные устройства;
  • разделите пользователей на группы: штатные, внешние подрядчики, партнеры, стажеры;
  • сервисные аккаунты и техучетки выпишите отдельно, чтобы не смешивать их с реальными пользователями.
  1. Опишите точки входа: офис, филиалы, домашняя сеть, командировки, доступ из другой страны (если бывает). От этого часто зависят требования к MFA, VPN и сегментации.

  2. Согласуйте требования ИБ и внутренние правила: журналирование, хранение логов, запрет копирования, требования регуляторов и аудита.

Небольшой пример: в медорганизации 120 сотрудников работают в 2 смены, но одновременно подключаются максимум 45. Часть врачей заходит с ноутбуков в отделениях, а подрядчик подключается раз в неделю для обновлений. Если это не записать сразу, легко ошибиться и в выборе per user/per device, и в правилах доступа.

Если у вас распределенная сеть филиалов и смешанные группы пользователей, системный интегратор часто начинает проект именно с такой «карты доступа». Она упрощает закупку, настройку контроля доступа и последующий аудит. В Казахстане подобные проекты, включая подбор серверов и рабочих мест, делает GSE.kz.

Per user или per device: вопросы для правильного выбора

Выбор между per user и per device кажется простым, пока не начинаешь считать людей, устройства и реальные сценарии. Ошибка здесь обычно приводит к лишним тратам или к ситуации, когда доступ «вроде есть», но юридически и по учету лицензий все выглядит плохо.

Сначала определите масштаб: сколько уникальных сотрудников подключается к терминальному доступу за обычный месяц и сколько за год. Годовая цифра часто важнее, если у вас бывают временные проекты, стажеры или периодические подключения.

Дальше посмотрите на «карту устройств». Один человек может работать с офисного ПК, с ноутбука и периодически подключаться из дома. В такой модели per user обычно проще объяснить и сопровождать. А если у вас много общих рабочих мест (сменные посты, регистратура, класс, call-центр), где за одним ПК работают разные люди по очереди, per device часто выглядит естественнее.

Чтобы принять решение без догадок, задайте несколько прямых вопросов:

  • сколько уникальных пользователей реально подключаются в обычный месяц и в пиковый период;
  • сколько устройств приходится на одного сотрудника и какие из них «обязательные»;
  • есть ли общие рабочие места, и сколько смен или людей проходит через одно место;
  • разрешен ли доступ с личных устройств и на каких условиях (например, только через корпоративный VPN или VDI);
  • какие сезонные пики ожидаются (отчетность, приемная кампания, инвентаризация) и как долго они длятся.

Небольшой пример: в поликлинике 40 сотрудников. 15 врачей подключаются и из кабинета, и из дома, а в регистратуре 10 рабочих мест работают в 2 смены (20 человек). Часто выходит смешанная картина: врачам удобнее per user, регистратуре - per device. Это повод заранее договориться, допускаете ли вы смешанный подход и как будете вести учет, чтобы потом не спорить на аудите.

Внешние подрядчики и временный доступ

Выбор модели лицензий
Обсудите per user и per device на ваших цифрах и сменности.
Получить консультацию

Внешние подрядчики почти всегда становятся самым рискованным местом в удаленном доступе. Частая ошибка - «дать зайти под учеткой сотрудника, чтобы быстрее». Так вы теряете персональную ответственность, нормальный аудит и возможность быстро отключить доступ без побочных эффектов.

Первое, что нужно решить: подрядчик работает от своего имени или «как сотрудник». Практичный вариант - отдельная учетная запись подрядчика, привязанная к конкретному договору, проекту и контактному лицу внутри вашей компании.

Дальше уточните границы доступа. Временный доступ ограничивают не только датами, но и смыслом: какие системы, какие роли, какие действия допустимы. Если подрядчик обслуживает серверы или рабочие места, ему часто достаточно доступа к конкретным админ-консолям или группе серверов, а не к «полной» терминальной среде.

Отдельный вопрос - нужен ли отдельный контур или отдельная ферма для внешних подключений. Это часто оправдано, если подрядчиков много, они работают из непредсказуемых сетей, или если вы разделяете критичные системы (финансы, медицина, госданные) и обычные сервисы. Разделение снижает риск бокового перемещения и упрощает правила ИБ.

Чтобы не спорить в момент аварии, заранее договоритесь об операции доступа: кто подает заявку и на каком основании, кто согласует, кто выдает доступ и на какой срок, кто отзывает доступ и как проверяется факт отключения, как учитываются разовые подключения и сервисные окна.

Пример: подрядчик раз в месяц обновляет ПО на нескольких серверах. Ему выдают отдельную учетку с доступом только к этим серверам, только на 24 часа в согласованное окно, с обязательной фиксацией действий в журналах. Если подключение не понадобилось, доступ автоматически закрывается по сроку.

Сценарии терминального доступа и где чаще выбирают VDI

Выбор между RDS и VDI обычно зависит не от «моды», а от того, как люди работают: сколько у вас пользователей, какие приложения, как меняются роли, и насколько строгие требования к данным.

Сценарий 1: общий терминальный сервер для офисных задач

Если большинству нужны почта, браузер, офисные документы и 1-2 внутренние системы, обычно хватает общего терминального сервера. Это проще в поддержке: обновления и настройки делаются один раз на сервере, а пользователи заходят с разных устройств.

Заранее решите, как будут подключаться: per user (человек) или per device (устройство). И сразу зафиксируйте, будет ли доступ с личных ноутбуков и тонких клиентов. Иначе расчеты по лицензиям разъедутся с реальностью.

Сценарий 2: выделенные рабочие столы (VDI) по ролям

VDI чаще выбирают, когда у разных групп сильно отличаются наборы программ и прав, или нужна изоляция. Пример: бухгалтерии нужен один набор, инженерам другой, контакт-центру третий. VDI также удобен там, где важно быстро выдавать «чистое» рабочее место новым сотрудникам или проектным командам.

Отдельная развилка - постоянные (persistent) и непостоянные (non-persistent) рабочие столы. Первые похожи на личный ПК: настройки сохраняются, но сопровождение сложнее. Вторые проще обновлять и восстанавливать, но нужно продумать, где живут пользовательские данные и профили.

Перед выбором модели полезно ответить на несколько вопросов:

  • сколько пользователей меняют устройство или работают посменно;
  • нужно ли сохранять установленные программы и настройки на рабочем месте;
  • есть ли роли, которым нельзя «смешиваться» по данным и доступам;
  • какие приложения плохо работают в многопользовательской сессии;
  • как вы подключаете филиалы и удаленных сотрудников.

Сценарий 3: доступ к одному приложению вместо полного рабочего стола

Иногда лучше публиковать одно приложение, а не весь рабочий стол. Так проще ограничить лишние действия и снизить риск утечек через буфер обмена или локальные диски. Подход часто подходит для 1С, CRM, медицинских или учетных систем.

Если есть филиалы и нестабильные каналы, уточните, что будет при обрывах: как восстанавливается сессия, где остаются временные файлы, и не приведет ли рост числа точек подключения к пересмотру архитектуры. На практике это может потянуть отдельные серверы для филиалов или централизованный кластер в ЦОД, например на стоечном сервере уровня GSE S200 Series, с понятными правилами доступа и резервирования.

Вопросы к ИБ: контроль доступа, журналирование, данные

В RDS и VDI безопасность часто пытаются «докрутить» после запуска, когда привычки пользователей и настройки уже закрепились. Лучше заранее договориться с ИБ о правилах: они влияют и на удобство работы, и на итоговую схему доступа, и на то, как вы потом проходите проверку.

Доступ и аутентификация

Определите, какой вход считается достаточно надежным. Для админов и для обычных удаленных пользователей требования обычно разные.

Проверьте:

  • нужна ли MFA для всех, или только для доступа извне и привилегированных ролей;
  • будут ли условия по устройству и сети: корпоративный ноутбук, доверенная сеть, соответствие политике (обновления, шифрование диска);
  • как выдаются права: группы по ролям, принцип минимально необходимых доступов, запрет общих учеток;
  • как оформляются внешние подрядчики: отдельные учетные записи, сроки действия, доступ только к конкретным приложениям;
  • нужен ли отдельный шлюз/посредник для RDP, чтобы не открывать прямой доступ к серверам.

Сегментация, журналы и защита данных

Сегментация сети помогает ограничить последствия ошибок и инцидентов. Уточните, должны ли RDS/VDI жить в отдельном сегменте: отдельно от пользовательских ПК и отдельно от админских рабочих мест. Частый компромисс: пользователи видят только брокер или шлюз, а внутренние серверы недоступны напрямую.

С журналами важно не только «что логировать», но и «как этим пользоваться». Зафиксируйте минимум: события входа и выхода, разрывы сессий, попытки подбора паролей, выдачу прав, действия администраторов. Договоритесь о хранении: где лежат логи, кто имеет доступ, сколько месяцев нужно держать, и как быстро их можно поднять по запросу.

Отдельно обсудите контроль каналов утечки данных. В терминальных сценариях чаще всего спорят про буфер обмена, печать, перенаправление дисков и USB, а также проброс локальных папок. Для бухгалтерии может быть нужна печать, но без копирования файлов на локальный диск.

Наконец, согласуйте план реагирования: кто в любой момент может отключить доступ пользователю или подрядчику, как быстро блокируются сессии, и как проверяется, что доступ действительно закрыт. Эти ответы помогают не только ИБ, но и учету лицензий, потому что роли, типы пользователей и сценарии становятся описанными и проверяемыми.

Типовые ошибки, из-за которых потом приходится переделывать

Сервер под RDS и VDI
Подберем серверы GSE S200 Series под пиковые сессии и рост нагрузки.
Подобрать сервер

Самая дорогая часть проекта обычно не лицензии, а переделки после запуска. Ошибки чаще появляются не из-за сложности темы, а из-за мелких допущений в учете пользователей, устройств и правил доступа.

Частая путаница - считать, что купили сервер и на этом все. На практике лицензия на сервер и лицензии доступа (CAL) решают разные задачи. Итог простой: терминальный сервер работает, но юридически доступ пользователей не закрыт, и при проверке или расширении начинаются срочные докупки и пересборка модели.

Другая типовая история - считать только штатных сотрудников. В реальной жизни есть внешние подрядчики, временные команды, сервисные учетные записи, аккаунты мониторинга или техподдержки. Если их не учесть заранее, доступ начинают выдавать «по просьбе», и через пару месяцев никто не помнит, кому и зачем он был открыт.

Часто забывают про сменные рабочие места и общий парк устройств. Например, в колл-центре или регистратуре люди работают посменно за одними и теми же ПК. Если модель лицензирования выбрана «по привычке», можно переплатить или, наоборот, получить дефицит лицензий при росте смен.

Еще один риск - разрешить подключение с личных устройств без понятных правил. Даже если это удобно, без контроля (какие устройства, с какими условиями, на какой срок) вы теряете управляемость и усложняете расследования инцидентов.

Признаки, что вы движетесь к переделкам:

  • не разделены лицензии сервера и лицензии доступа;
  • в расчетах нет подрядчиков и технических учетных записей;
  • не описаны смены и «общие» рабочие места;
  • личные устройства допускаются без утвержденных условий;
  • нет реестра доступов: кто, к чему и до какой даты.

Практичный минимум, который спасает проект: заведите простой реестр доступов и сроков, согласуйте правила для подрядчиков и BYOD, и отдельно зафиксируйте, как считаете пользователей и устройства. Если вы внедряете RDS/VDI в госсекторе или крупной организации, полезно заранее подключать ИБ и закупки, а при необходимости - системного интегратора с опытом таких проектов, например GSE.kz.

Короткий чек-лист перед закупкой и аудитом

Перед тем как покупать лицензии и запускать пилот, договоритесь о простом правиле: у процесса должен быть один владелец. Это может быть ИТ, закупки или финконтроль, но ответственность за учет, подтверждение цифр и подготовку к аудиту должна быть закреплена по роли, а не «по привычке».

Если группы пользователей и их тип доступа не утверждены, любая оценка по лицензиям будет неточной. Поэтому сначала зафиксируйте сценарии и согласуйте их с ИТ, ИБ и руководителями подразделений.

Проверьте перед закупкой шесть вещей:

  • владелец учета назначен: кто ведет реестр пользователей/устройств, кто хранит подтверждающие данные, кто отвечает на вопросы аудитора;
  • группы пользователей описаны: штатные, сменные, общие рабочие места, удаленные, филиалы, тестовые учетные записи, и для каждой группы указан сценарий доступа;
  • выбор per user или per device обоснован цифрами: сколько уникальных людей, сколько реальных устройств, есть ли «горячие» места и как часто меняются сотрудники;
  • доступ подрядчиков выделен отдельно: как выдаются учетные записи, на какой срок, кто утверждает срочный доступ и как быстро отключать;
  • требования ИБ закреплены письменно: MFA, роли, журналирование, ограничения перенаправления (буфер, диски, принтеры), запреты на локальное сохранение данных.

Отдельно подумайте о проверке соответствия. Хороший план аудита отвечает на три вопроса: как часто проверяем, кто подписывает результат, из каких источников берем данные (например, списки из AD, отчеты RDS/VDI, заявки из Service Desk).

Небольшой пример: в колл-центре люди работают посменно за 40 общими ПК, а бухгалтерия подключается с личных ноутбуков. В первом случае часто выгоднее per device, во втором - per user. Но это работает только если сменность, реальное число устройств и правила для подрядчиков подтверждены документами и логами.

Пример реального сценария: смешанные пользователи и доступ из филиалов

Расчет RDS CAL без догадок
Получите расчет лицензий и инфраструктуры под ваши сценарии RDS и VDI.
Запросить расчет

Представьте организацию с головным офисом и 6 филиалами. В офисе 80 сотрудников, у части есть ноутбуки и они иногда работают из дома. В филиалах стоят общие стойки обслуживания: 25 рабочих мест на 2 смены, где за день за одним ПК работают разные люди. Плюс есть 10 сотрудников, которые почти всегда подключаются удаленно.

В такой конфигурации два вопроса быстро показывают, где выгоднее per device, а где per user:

  • сколько людей реально работает за каждым конкретным устройством в течение дня;
  • сколько устройств в среднем использует один человек (офисный ПК, ноутбук, домашний ПК).

Для сменных постов в филиалах часто логично смотреть в сторону per device: лицензируете устройства, а не каждого временного сотрудника смены. Для мобильных сотрудников удобнее per user: один человек подключается с разных устройств без отдельного учета каждого.

Теперь добавим подрядчика на 2 недели, например для настройки отчетности. Чтобы не раздавать лишние права, ИБ обычно просит: отдельную учетную запись без доступа к почте и файловым шарам по умолчанию, ограничение по времени (дата начала и окончания), доступ только к нужной коллекции или пулу, запрет на локальные админ-права и обязательное журналирование действий.

Минимальные ограничения, которые помогают не сломать работу: заранее решить, нужен ли обмен буфером, печать, проброс дисков и доступ к USB. Если это не нужно по задаче, лучше отключить.

На руках после такого разбора остаются простые артефакты: таблица учета пользователей и устройств, матрица доступа (кто куда может подключаться и с какими правами), и короткое описание сценариев для офиса, филиалов, удаленки и подрядчиков.

Следующие шаги: как оформить решение и кто поможет внедрить

Зафиксируйте решение в одном коротком документе на 1 страницу. Его задача простая: чтобы ИТ, ИБ, закупки и владельцы систем одинаково понимали, кто и как подключается, какие ограничения действуют и что нужно купить.

Удобная структура такой страницы:

  • сценарии доступа (офис, филиалы, удаленка, подрядчики) и нужные приложения;
  • группы пользователей и типы устройств (личные ПК, общие сменные, тонкие клиенты);
  • выбранная модель лицензий (per user или per device) и обоснование;
  • требования ИБ: MFA, роли, журналирование, хранение данных, срок хранения логов;
  • ограничения: окна обновлений, простои, требования к доступности.

Дальше проверьте, выдержит ли текущая инфраструктура выбранный сценарий. Бывает, что лицензии подобраны правильно, но «не тянет» CPU, RAM, дисковая подсистема, сеть или профильные хранилища.

Минимальный техчек перед внедрением:

  • есть ли запас мощности на пиковые часы и рост числа сессий;
  • подходят ли серверы и рабочие станции под графику, периферию и нужные приложения;
  • как будет организован доступ извне (VPN или шлюз) и кто им управляет;
  • где будут лежать пользовательские данные и как делается резервное копирование.

Затем назначьте владельцев процесса: кто мониторит, кто ставит обновления, кто отвечает за инциденты, кто помогает пользователям с доступом. Если ожидается масштабирование, заложите запас не только по железу, но и по регламентам (заявки на доступ, периодический пересмотр прав, аудит).

Если внутри команды не хватает опыта или времени, имеет смысл подключить системного интегратора. GSE.kz, как производитель серверов и рабочих мест в Казахстане и системный интегратор, помогает с проектированием RDS/VDI, подбором серверов и рабочих станций, внедрением и поддержкой 24/7 с учетом требований ИБ и закупочных ограничений.

FAQ

Зачем вообще нужен чек-лист перед выбором RDS или VDI?

Чек-лист фиксирует исходные данные до закупки: кто подключается, откуда, с каких устройств и к каким системам. Это помогает не купить лишние лицензии и не столкнуться с нехваткой прав доступа во время аудита или расширения проекта.

Чем RDS отличается от VDI простыми словами?

В RDS пользователи обычно работают в отдельных сессиях на терминальном сервере и разделяют ресурсы ОС и приложений. В VDI каждому дают отдельную виртуальную машину с рабочим столом, что дает больше изоляции и гибкости, но часто требует больше инфраструктуры и администрирования.

Какие данные нужно собрать перед расчетом лицензий?

Сначала перечислите конкретные приложения и данные, к которым будет удаленный доступ, а потом привяжите к ним группы пользователей. Отдельно запишите режим работы (смены), пиковое число одновременных подключений, типы устройств и точки входа (офис, филиалы, дом, командировки).

Считать пользователей по пику одновременных сессий или по общему числу людей?

Ориентируйтесь на уникальных пользователей или устройства, которые имеют право подключаться, а не только на пиковую одновременность. Пик нужен для расчета мощности серверов и каналов, но лицензирование часто «ломается», если забыть про сезонных сотрудников, стажеров и редких подключений.

Как понять, что выбрать: per user или per device?

Per user обычно удобнее, когда один человек подключается с разных устройств (офисный ПК, ноутбук, дом). Per device чаще выгоднее для общих рабочих мест и сменных постов, где много людей по очереди работают за одним и тем же компьютером.

Как правильно организовать доступ для внешних подрядчиков?

Не смешивайте подрядчиков с учетными записями сотрудников. Практичный вариант — отдельная учетная запись подрядчика с ограничением по сроку, конкретным системам и роли, чтобы можно было быстро отключить доступ и иметь понятный аудит действий.

Можно ли разрешать подключение с личных устройств сотрудников?

По умолчанию лучше не разрешать, пока не определены условия: какие устройства допустимы, нужна ли проверка состояния устройства, и как включается MFA. Если BYOD нужен, часто безопаснее дать доступ только к опубликованному приложению или к изолированному рабочему месту, а не к «полной» среде.

Что обязательно согласовать с ИБ для RDS/VDI?

Минимальный набор — сильная аутентификация, разделение ролей, журналирование входов/выходов и действий администраторов, а также понятные сроки хранения логов. Отдельно заранее решите, можно ли копировать через буфер обмена, печатать, пробрасывать диски и USB, чтобы не спорить после запуска.

Когда лучше публиковать одно приложение вместо полного рабочего стола?

Если пользователю нужен доступ только к одной системе (например, 1С или медицинской/учетной программе), публикация приложения обычно проще для контроля и снижает лишние возможности. При этом важно заранее проверить поведение при обрывах связи и где остаются временные файлы и пользовательские данные.

Как подготовиться к внутреннему аудиту по лицензиям и доступу?

Назначьте владельца учета, который ведет реестр пользователей/устройств и подтверждает цифры. Подготовьте документы, которые можно быстро показать: группы пользователей, правила для подрядчиков, выбранную модель per user/per device и источники проверки (например, списки учетных записей и отчеты по подключениям).