Windows 2008 server

to není moc dotaz- nahoď něco konkrétního.

Třeba na co je vhodné myslet / popř. které role nainstalovat pokud chci w2008 server použít jako file/print server, nebude PDC ani RODC.
Taky jak vhodně server zabezpečit aby lidé mající přístup k tomu serveru mohli prasit jen základní operace (vytvářet někde shares, instalovat tiskárnu, restartit vybranou službu) ...nic víc. Je vhodné pro tyto lidi udělat local grupu nebo použít již vystavěné ? Tam ale žádná taková která by to umožnovala neni. Nebo to řešit přes politiky.. servisky přes subinacl .. atd atd.

Univerzalna rada neexistuje. Pokial vsetci pracovnici maju mat rovnake prava je uplne zbytocne tvorit nejaku skupinu, vsetci budu clenmi terminal users, takze taketo delenie ti staci.
Ostatne je o tom ake prava sluzba vyzaduje na svoj beh. Ak sluzbu musi spustit clen skupiny administrators asi tazko ju moze restartnut clen skupiny terminal users, bolo by to proti logike a zasadam bezpecnosti. Na druhej strane nepises o ake sluzby sa ma jednat, pytas sa velmi vseobecne a tu sa konkretne neda poradit.

Ok, tak jeden konkrétní dotaz. Jak by se dala řešit distribuce softwarových balíčků přes cca 30 serverů? DFS?

Server nainstalujes a pridas do domeny, abys ho mohl ridit pres domenove polityky, fungovaly ti globalni groupy apod.
Pokud jej budes pouzivat jako PrintServer, nemusis resit klientske licence. Jakmile zacne fungovat jako file server, uz to resit musis.

Tiskarny instaluj na fileserver a sdileni nastavuj pro skupiny, jaka prava jim pridelis, takova mit budou. Sve dokumenty si spravovat mohou. Tiskarny nechas publikovat v AD.
Pripojeni tiskarny na stanici (uzivatel muze nebo nemuze instalovat tiskarnu z AD) se pak ridi domenovou politikou v kombinaci s pravy, jestli uzivatel na danou tiskarnu pravo ma nebo ne

Restartovani sluzby uz je horsi, k tomu se musis prihlasit bud na RD nebo pres vzdaleny management serveru. A to uz kazdy hejhula (mysleno user) delat nemuze. Restart sluzby znamena restart pro vsechny, ne pro jednu tiskarnu.
Osobne bych se zkusil poohlednout po nejakem reseni typu - poslu mail v nejakem formatu na email adresu serveru a on mi restartne sluzbu. Pripadne nejaky podobny pristup.

Restart dané servisky by samozřejmě mohli dělat jen lidé kteří by k tomu měli oprávnění - ale omezit je tak aby toho zas tolik páchat nemohli - práva na restart dané servisky lze aplikovat přes utilitu SUBINACL a poté vzdáleně přes SC.EXE lze restartit jak se zachce .. to je pořešené a funguje. Tvé řešení které uvádíš na konci svého příspěvku vypadá zajímavě, ale obávám se že nativními prostředky ve windows serveru nebo utilitkami z MS webu toho nepůjde dosáhnout - nejspíš na to existuje produkt 3 strany nebo je potřeba znalost programovacího jazyka ala "udělej si sám".
Cíl jak nastavit tento server je aby 2 človíčci mohli dělat nějaké vybrané operace, ale nic víc.

zkus si pročíst default.aspx
doporučím články o AppLocker a Projekt nasazení Windows 7

konkrétní dotaz jsem četl, zkus začít od začátku - představ si server jako age of empires- měj předem strategii