[Anton04]

Цитата clop1000:

1) Компьютер определяется только по имени компьютера при вводе в домен? »

Да.

Цитата clop1000:

2) Если добавлять в домен компьютер с именем который еще не определен, что будет? (что будет если отключена опция, что каждый пользователь может добавить 10 машин) »

Это как это!? В домен вы можете добавить только определённое имя ПК. Вообще-то делается так, создаётся организационная единица (OU) в AD и уже туда добавляются все имена ПК которые вы хотите ввести в домен. Потом на нужных ПК вводите их в домен. Я бы не доверил пользователям ввод ПК в домен.

Цитата clop1000:

3) Правильно ли я понимаю что при создании групповых политик "Конфигурация компьютера" - применяется только к объектам "компьютер" "Конфигурация пользователя" - только к объектам "пользователь" »

Да.

Цитата clop1000:

Правильно ли я понимаю, что если GPO в которой есть и "Конфигурация компьютера" и "Конфигурация пользователя" применена только к пользователям, то настройки из "Конфигурация компьютера" вообще будут не применены? »

Да правильно, но с оговоркой, т.е. в GPO режим замыкания, вот в нём как раз всё и меняется "местами".

Цитата clop1000:

4) Исходя из вопроса 3 - какие стратегии стратегии применяются для этого? Делать разные GPO для компьютеров и GPO для юзеров? »

Именно так, для отдельных ПК отдельные GPO и для отдельных групп пользователей отдельные GPO.

Цитата clop1000:

5) Что такое LoopBack "замыкание" простыми словами? Я так понял это как раз для этого, но это может за собой повлечь дополнительную сложность? »

Простыми словами это когда все настройки заданные в GPO в разделе для пользователей применяются для ПК и наоборот. Но это очень упрощённо.
Да это дополнительная "сложность", просто тут нужно правильно применять эту технологию и правильно её линковать.

Цитата clop1000:

когда создаешь новую политику - там по дефолту стоит для пользователей "прошедшие проверку" - "применить групповую политику". Это значит, что по дефолту она применется для всех автоматом? »

Ко всем ПК или пользователям которые прошли проверку, т.е. информация о них есть в AD.

[clop1000]

Тогда еще немного уточнить:

- Нужно ли после переустановки операционной системы на клиенте, удалять объект "компьютер" и заново его создавать? (правильно ли это?) Или он нормально добавиться?
Т.е. не будет ли Domain Controller думать что тут уже два таких компьютера.

-

Цитата clop1000:

3) Правильно ли я понимаю что при создании групповых политик "Конфигурация компьютера" - применяется только к объектам "компьютер" "Конфигурация пользователя" - только к объектам "пользователь" »

Если политику прилинковать к OE в которой включены и компьютеры и пользователи будет ли GPO в которой есть "Конфигурация компьютера" и "Конфигурация пользователя" будут ли оба этих раздела применены? Или нужно замыкание.

[paranoya]

При вводе компьютера в домен создаётся учётка компьютера в OU "Компьютеры" Active Directory с тем именем, которое дано компьютеру. Если вводить компьютер с именем, которое уже есть в AD, то данные этой учётки (SID и прочее) перезаписываются. То есть, если есть работающий компьютер с именем Comp1 и ввести ещё один такой компьютер, то у первого начнутся проблемы в работе, посыпятся ошибки в логах, юзеры будут иметь проблемы со входом на этот компьютер.
При переустановке системы на рабочей станции не нужно удалять учётку компьютера в AD.

Цитата clop1000:

Если политику прилинковать к OE в которой включены и компьютеры и пользователи будет ли GPO в которой есть "Конфигурация компьютера" и "Конфигурация пользователя" будут ли оба этих раздела применены? Или нужно замыкание. »

Будут применяться оба раздела - замыкание не нужно.

[Anton04]

Цитата clop1000:

Если политику прилинковать к OE в которой включены и компьютеры и пользователи »

А вот пользователей и компьютеры я бы не пихал в одну OU.

[paranoya]

Проектирование AD - та ещё задачка.
Раздельные OU для юзеров и компьютеров, это только начало. А ещё сервера, учётки админов. Группы доступа к ресурсам. Ограничение полномочий админов...

[clop1000]

Хочу немного уточнить - т.е. любая новая политика (если не настроить scope) сразу применяется ко всему домену вообще?

Цитата Anton04:

Ко всем ПК или пользователям которые прошли проверку, т.е. информация о них есть в AD. »

Т.е. правильно ли получается что необходимо снять галку с "применять политику" с раздела "авторизированные пользователи (но не снимать галку "чтение", это может привести к ошибкам?

А если я ограничиваю скоп - должна ли стоять галка "применять политику" в разделе"авторизированные пользователи"

Вот этот момент не понятен.

[Anton04]

Цитата clop1000:

Хочу немного уточнить - т.е. любая новая политика (если не настроить scope) сразу применяется ко всему домену вообще? »

Нет, политика применяется или к домену или к OU. А уж домен содержит и пользователей и компьютеры, а OU тоже, т.к. это вложенная "папка" в AD.

Цитата clop1000:

Т.е. правильно ли получается что необходимо снять галку с "применять политику" с раздела "авторизированные пользователи (но не снимать галку "чтение", это может привести к ошибкам? »

Нет не приведёт, но так никто не делает. Если нужно отключить политику, то просто её отключают по правой кнопке мыши (на линке).

Цитата clop1000:

А если я ограничиваю скоп - должна ли стоять галка "применять политику" в разделе"авторизированные пользователи" »

Должна. Если вы хотите применить политику к некоторым пользователей на некоторых ПК/серверах, то для этого используются фильтры WMI в GPO (см. в самом низу GPO на DC).

P.S. У меня сложилось такое впечатление, что вы не зная даже азов пытаетесь построить "самолёт"? Вам не кажется, что не взлетит?

P.P.S. Вы создали кучу тем и ни одну не отметили как "решённой", хотя обсуждения по ним вы не ведёте. Если вы получили исчерпывающий ответ, то тему желательно закрыть.

[Charg]

Цитата Anton04:

и уже туда добавляются все имена ПК которые вы хотите ввести в домен. Потом на нужных ПК вводите их в домен.»

Создание объекта типа "компьютер" происходит автоматически в момент ввода его в домен со стороны компьютера. Зачем предварительно его создавать?

Цитата Anton04:

Я бы не доверил пользователям ввод ПК в домен. »

Любой член группы "пользователи домена" по умолчанию имеет право ввести 10 компьютеров в домен.

Цитата clop1000:

Хочу немного уточнить - т.е. любая новая политика (если не настроить scope) сразу применяется ко всему домену вообще? »

По умолчанию новый объект групповой политики (GPO) - ни к чему не применяется. В стандартных настройках уже стоит права "применить к группе прошедшие проверку" но чтобы компьютеры и пользователи эту политику вообще увидели - GPO нужно привязать: пкм на OU\домен\сайт - "привязать существующие объект групповой политики".

Цитата Anton04:

Должна. Если вы хотите применить политику к некоторым пользователей на некоторых ПК/серверах, то для этого используются фильтры WMI в GPO (см. в самом низу GPO на DC). »

Я вот фильтрую фильтрами безопасности - убираю "прошедших проверку" и добавляю группы компьютеров\пользователей на которые нужно применять. Гораздо проще в управлении и нагляднее, чем писать WMI фильтры. По мне так WMI это хоть и повсеместно используемый в среде Windows инструментарий - всё-таки штука устаревшая и напрямую с ним работать новичкам не советовал бы.

[Busla]

Цитата Charg:

Создание объекта типа "компьютер" происходит автоматически в момент ввода его в домен со стороны компьютера. Зачем предварительно его создавать? »

Администратор домена сразу размещает запись компьютера в целевой OU.
Далее совсем другие люди его вводят в домен по факту запуска - какой-нибудь эникейщик в удалённом офисе, техник в дата-центре, и т.п.
Компьютер сразу получает все необходимые политики.

Цитата Charg:

Любой член группы "пользователи домена" по умолчанию имеет право ввести 10 компьютеров в домен. »

Best practice сразу это запретить. Всё равно это бессмысленно - нужно же ещё в целевую OU положить.

Цитата Charg:

добавляю группы компьютеров\пользователей на которые нужно применять. Гораздо проще в управлении и нагляднее, чем писать WMI фильтры »

Они для разного, не надо их сравнивать.

Ну, и хотелось бы услышать развёрнутую аргументацию: каким местом WMI устарел?