Особенности объекта "Компьютер" в Active Directory. Разница с "User"
 

Я как новичок в Windows Server не совсем понимаю разницы двух объектов "Пользователь" и "Компьютер".
Точнее с пользователем все более менее понятно.

Но с компьютером остаются вопросы:

1) Компьютер определяется только по имени компьютера при вводе в домен?
2) Если добавлять в домен компьютер с именем который еще не определен, что будет? (что будет если отключена опция, что каждый пользователь может добавить 10 машин)
3) Правильно ли я понимаю что при создании групповых политик
"Конфигурация компьютера" - применяется только к объектам "компьютер"
"Конфигурация пользователя" - только к объектам "пользователь"
Правильно ли я понимаю, что если GPO в которой есть и "Конфигурация компьютера" и "Конфигурация пользователя" применена только к пользователям, то настройки из "Конфигурация компьютера" вообще будут не применены?

4) Исходя из вопроса 3 - какие стратегии стратегии применяются для этого? Делать разные GPO для компьютеров и GPO для юзеров?
5) Что такое LoopBack "замыкание" простыми словами? Я так понял это как раз для этого, но это может за собой повлечь дополнительную сложность?



дополнительный вопрос: когда создаешь новую политику - там по дефолту стоит для пользователей "прошедшие проверку" - "применить групповую политику". Это значит, что по дефолту она применется для всех автоматом?

Да.

Это как это!? В домен вы можете добавить только определённое имя ПК. Вообще-то делается так, создаётся организационная единица (OU) в AD и уже туда добавляются все имена ПК которые вы хотите ввести в домен. Потом на нужных ПК вводите их в домен. Я бы не доверил пользователям ввод ПК в домен.

Да.

Да правильно, но с оговоркой, т.е. в GPO режим замыкания, вот в нём как раз всё и меняется "местами".

Именно так, для отдельных ПК отдельные GPO и для отдельных групп пользователей отдельные GPO.

Простыми словами это когда все настройки заданные в GPO в разделе для пользователей применяются для ПК и наоборот. Но это очень упрощённо.
Да это дополнительная "сложность", просто тут нужно правильно применять эту технологию и правильно её линковать.

Ко всем ПК или пользователям которые прошли проверку, т.е. информация о них есть в AD.

Тогда еще немного уточнить:

- Нужно ли после переустановки операционной системы на клиенте, удалять объект "компьютер" и заново его создавать? (правильно ли это?) Или он нормально добавиться?
Т.е. не будет ли Domain Controller думать что тут уже два таких компьютера.

- Если политику прилинковать к OE в которой включены и компьютеры и пользователи будет ли GPO в которой есть "Конфигурация компьютера" и "Конфигурация пользователя" будут ли оба этих раздела применены? Или нужно замыкание.

При вводе компьютера в домен создаётся учётка компьютера в OU "Компьютеры" Active Directory с тем именем, которое дано компьютеру. Если вводить компьютер с именем, которое уже есть в AD, то данные этой учётки (SID и прочее) перезаписываются. То есть, если есть работающий компьютер с именем Comp1 и ввести ещё один такой компьютер, то у первого начнутся проблемы в работе, посыпятся ошибки в логах, юзеры будут иметь проблемы со входом на этот компьютер.
При переустановке системы на рабочей станции не нужно удалять учётку компьютера в AD.

Будут применяться оба раздела - замыкание не нужно.

А вот пользователей и компьютеры я бы не пихал в одну OU.

Проектирование AD - та ещё задачка.
Раздельные OU для юзеров и компьютеров, это только начало. А ещё сервера, учётки админов. Группы доступа к ресурсам. Ограничение полномочий админов...

Хочу немного уточнить - т.е. любая новая политика (если не настроить scope) сразу применяется ко всему домену вообще?
Т.е. правильно ли получается что необходимо снять галку с "применять политику" с раздела "авторизированные пользователи (но не снимать галку "чтение", это может привести к ошибкам?

А если я ограничиваю скоп - должна ли стоять галка "применять политику" в разделе"авторизированные пользователи"

Вот этот момент не понятен.

Нет, политика применяется или к домену или к OU. А уж домен содержит и пользователей и компьютеры, а OU тоже, т.к. это вложенная "папка" в AD.

Нет не приведёт, но так никто не делает. Если нужно отключить политику, то просто её отключают по правой кнопке мыши (на линке).

Должна. Если вы хотите применить политику к некоторым пользователей на некоторых ПК/серверах, то для этого используются фильтры WMI в GPO (см. в самом низу GPO на DC).

P.S. У меня сложилось такое впечатление, что вы не зная даже азов пытаетесь построить "самолёт"? Вам не кажется, что не взлетит?

P.P.S. Вы создали кучу тем и ни одну не отметили как "решённой", хотя обсуждения по ним вы не ведёте. Если вы получили исчерпывающий ответ, то тему желательно закрыть.

Создание объекта типа "компьютер" происходит автоматически в момент ввода его в домен со стороны компьютера. Зачем предварительно его создавать?
Любой член группы "пользователи домена" по умолчанию имеет право ввести 10 компьютеров в домен.

По умолчанию новый объект групповой политики (GPO) - ни к чему не применяется. В стандартных настройках уже стоит права "применить к группе прошедшие проверку" но чтобы компьютеры и пользователи эту политику вообще увидели - GPO нужно привязать: пкм на OU\домен\сайт - "привязать существующие объект групповой политики".

Я вот фильтрую фильтрами безопасности - убираю "прошедших проверку" и добавляю группы компьютеров\пользователей на которые нужно применять. Гораздо проще в управлении и нагляднее, чем писать WMI фильтры. По мне так WMI это хоть и повсеместно используемый в среде Windows инструментарий - всё-таки штука устаревшая и напрямую с ним работать новичкам не советовал бы.

Администратор домена сразу размещает запись компьютера в целевой OU.
Далее совсем другие люди его вводят в домен по факту запуска - какой-нибудь эникейщик в удалённом офисе, техник в дата-центре, и т.п.
Компьютер сразу получает все необходимые политики.

Best practice сразу это запретить. Всё равно это бессмысленно - нужно же ещё в целевую OU положить.

Они для разного, не надо их сравнивать.

Ну, и хотелось бы услышать развёрнутую аргументацию: каким местом WMI устарел?

Или, всё это настраивается администратором в каком-нибудь WDS\MDT или SCCM и весь процесс проходит автоматически, а эникей только мышку с клавиатурой в системник втыкает.
Но мы ведь о начальном этапе говорим, а тут не сложно и вручную перенести комп из OU Computers в куда надо. Если это "куда надо" вообще есть.

Согласен, однако тут новичок спрашивает как всё работает. А по умолчанию работает именно так.

Кто они для разного чего? И чем вариант с группами хуже варианта с WMI фильтром?
Опять таки, тут не гуру улучшает свои навыки до best practice, тут человек интересуется азами.

Цитата:

Цитата Busla Ну, и хотелось бы услышать развёрнутую аргументацию: каким местом WMI устарел? »

Не WMI устарел, а метод работы с GPO используя WMI фильтры.
Аргументы:
1. не наглядно - в интерфейсе видно имя фильтра и всё. чтобы понять на кого GPO применяется нужно залезть в запрос и разобраться что он из себя представляет. Это не особо касается элементарных запросов, но в целом так.
2. легко налажать в запросе, который будет выполнятся долго (почти любой LIKE %whatever% фильтр)
3. каждый такой WMI запрос замедляет общий процесс загрузки ПК, ведь фильтр каждого GPO выполняется на каждом хосте в любом случае. Если GPO с фильтрами, скажем, 30 штук - каждая загрузка хоста = 30 выполняемых запросов. И это не учитывая применения самой политики, которая тоже некоторое время занимает

В то же время:
1. фильтр группами нагляден - сразу видно на кого применяется
2. с членством в группе налажать невозможно - в неё можно либо добавить кого-то либо удалить либо ничего. Нельзя сделать такую группу, членство в которой не работает (во всяком случае я не знаю как)
3. членство в группе проверяется моментально

Это конечно хороший инструмент и всё такое, но приготовить его тупо сложнее

ничто не мешаем сразу использовать "взрослые" практики
к слову, перенацеливать дэфолтное место создания компьютеров с Computers - ещё одна Best Practice
ну, и это очень частный вопрос: когда гарантированно прилетят политики от новой OU

LOL, всё наоборот
best practice - это и есть азы, с которых надо начинать неофиту
гуру как раз понимает как всё работает и может сразу реализовать частное эффективное решение

WMI используют не потому что могут или хотят вместО групп, а потому что надо применять политики по динамическим правилам
(и можно использовать группы и фильтры WMI вместЕ)
например, на компы со старыми SSD Intel поставить "Intel SSD Toolbox", а на компы с новыми SSD Intel - "Intel Memory and Storage Tool"
(гипотетический пример - я не сверял списки поддерживаемых дисков этими программами)
Реализовать группами - это по тому же WMI опросить компьютеры и сформировать группы. Еще и желательно опросить не единожды, т.к. не всегда все компьютеры одномоментно в сети

Разница между фильтрацией WMI и группами:
1. WMI динамически определяет целевые объекты. В группы объекты надо заносить руками.
2. WMI иногда глючит, не инициализируется и его фильтрация из-за этого слетает. Группы работают железно.

PS. У меня WMI работал всегда без сбоев, так как Винда была стандартизирована по настройками и обновлениям. У себя использовал оба варианта, когда нужно было.