Особенности объекта "Компьютер" в Active Directory. Разница с "User"
Я как новичок в Windows Server не совсем понимаю разницы двух объектов "Пользователь" и "Компьютер".
Точнее с пользователем все более менее понятно. Но с компьютером остаются вопросы: 1) Компьютер определяется только по имени компьютера при вводе в домен? 2) Если добавлять в домен компьютер с именем который еще не определен, что будет? (что будет если отключена опция, что каждый пользователь может добавить 10 машин) 3) Правильно ли я понимаю что при создании групповых политик "Конфигурация компьютера" - применяется только к объектам "компьютер" "Конфигурация пользователя" - только к объектам "пользователь" Правильно ли я понимаю, что если GPO в которой есть и "Конфигурация компьютера" и "Конфигурация пользователя" применена только к пользователям, то настройки из "Конфигурация компьютера" вообще будут не применены? 4) Исходя из вопроса 3 - какие стратегии стратегии применяются для этого? Делать разные GPO для компьютеров и GPO для юзеров? 5) Что такое LoopBack "замыкание" простыми словами? Я так понял это как раз для этого, но это может за собой повлечь дополнительную сложность? дополнительный вопрос: когда создаешь новую политику - там по дефолту стоит для пользователей "прошедшие проверку" - "применить групповую политику". Это значит, что по дефолту она применется для всех автоматом? |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Да это дополнительная "сложность", просто тут нужно правильно применять эту технологию и правильно её линковать. Цитата:
|
Тогда еще немного уточнить:
- Нужно ли после переустановки операционной системы на клиенте, удалять объект "компьютер" и заново его создавать? (правильно ли это?) Или он нормально добавиться? Т.е. не будет ли Domain Controller думать что тут уже два таких компьютера. - Цитата:
|
При вводе компьютера в домен создаётся учётка компьютера в OU "Компьютеры" Active Directory с тем именем, которое дано компьютеру. Если вводить компьютер с именем, которое уже есть в AD, то данные этой учётки (SID и прочее) перезаписываются. То есть, если есть работающий компьютер с именем Comp1 и ввести ещё один такой компьютер, то у первого начнутся проблемы в работе, посыпятся ошибки в логах, юзеры будут иметь проблемы со входом на этот компьютер.
При переустановке системы на рабочей станции не нужно удалять учётку компьютера в AD. Цитата:
|
Цитата:
|
Проектирование AD - та ещё задачка.
Раздельные OU для юзеров и компьютеров, это только начало. А ещё сервера, учётки админов. Группы доступа к ресурсам. Ограничение полномочий админов... |
Хочу немного уточнить - т.е. любая новая политика (если не настроить scope) сразу применяется ко всему домену вообще?
Цитата:
А если я ограничиваю скоп - должна ли стоять галка "применять политику" в разделе"авторизированные пользователи" Вот этот момент не понятен. |
Цитата:
Цитата:
Цитата:
P.S. У меня сложилось такое впечатление, что вы не зная даже азов пытаетесь построить "самолёт"? Вам не кажется, что не взлетит? P.P.S. Вы создали кучу тем и ни одну не отметили как "решённой", хотя обсуждения по ним вы не ведёте. Если вы получили исчерпывающий ответ, то тему желательно закрыть. |
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
Далее совсем другие люди его вводят в домен по факту запуска - какой-нибудь эникейщик в удалённом офисе, техник в дата-центре, и т.п. Компьютер сразу получает все необходимые политики. Цитата:
Цитата:
Ну, и хотелось бы услышать развёрнутую аргументацию: каким местом WMI устарел? |
Цитата:
Но мы ведь о начальном этапе говорим, а тут не сложно и вручную перенести комп из OU Computers в куда надо. Если это "куда надо" вообще есть. Цитата:
Цитата:
Опять таки, тут не гуру улучшает свои навыки до best practice, тут человек интересуется азами. Цитата:
Аргументы: 1. не наглядно - в интерфейсе видно имя фильтра и всё. чтобы понять на кого GPO применяется нужно залезть в запрос и разобраться что он из себя представляет. Это не особо касается элементарных запросов, но в целом так. 2. легко налажать в запросе, который будет выполнятся долго (почти любой LIKE %whatever% фильтр) 3. каждый такой WMI запрос замедляет общий процесс загрузки ПК, ведь фильтр каждого GPO выполняется на каждом хосте в любом случае. Если GPO с фильтрами, скажем, 30 штук - каждая загрузка хоста = 30 выполняемых запросов. И это не учитывая применения самой политики, которая тоже некоторое время занимает В то же время: 1. фильтр группами нагляден - сразу видно на кого применяется 2. с членством в группе налажать невозможно - в неё можно либо добавить кого-то либо удалить либо ничего. Нельзя сделать такую группу, членство в которой не работает (во всяком случае я не знаю как) 3. членство в группе проверяется моментально Это конечно хороший инструмент и всё такое, но приготовить его тупо сложнее |
Цитата:
к слову, перенацеливать дэфолтное место создания компьютеров с Computers - ещё одна Best Practice ну, и это очень частный вопрос: когда гарантированно прилетят политики от новой OU Цитата:
best practice - это и есть азы, с которых надо начинать неофиту гуру как раз понимает как всё работает и может сразу реализовать частное эффективное решение Цитата:
(и можно использовать группы и фильтры WMI вместЕ) например, на компы со старыми SSD Intel поставить "Intel SSD Toolbox", а на компы с новыми SSD Intel - "Intel Memory and Storage Tool" (гипотетический пример - я не сверял списки поддерживаемых дисков этими программами) Реализовать группами - это по тому же WMI опросить компьютеры и сформировать группы. Еще и желательно опросить не единожды, т.к. не всегда все компьютеры одномоментно в сети |
Разница между фильтрацией WMI и группами:
1. WMI динамически определяет целевые объекты. В группы объекты надо заносить руками. 2. WMI иногда глючит, не инициализируется и его фильтрация из-за этого слетает. Группы работают железно. PS. У меня WMI работал всегда без сбоев, так как Винда была стандартизирована по настройками и обновлениям. У себя использовал оба варианта, когда нужно было. |
Время: 10:46. |
Время: 10:46.
© OSzone.net 2001-