[Charg]

Цитата Busla:

Администратор домена сразу размещает запись компьютера в целевой OU. Далее совсем другие люди его вводят в домен по факту запуска - какой-нибудь эникейщик в удалённом офисе, техник в дата-центре, и т.п. Компьютер сразу получает все необходимые политики. »

Или, всё это настраивается администратором в каком-нибудь WDS\MDT или SCCM и весь процесс проходит автоматически, а эникей только мышку с клавиатурой в системник втыкает.
Но мы ведь о начальном этапе говорим, а тут не сложно и вручную перенести комп из OU Computers в куда надо. Если это "куда надо" вообще есть.

Цитата Busla:

Best practice сразу это запретить. Всё равно это бессмысленно - нужно же ещё в целевую OU положить. »

Согласен, однако тут новичок спрашивает как всё работает. А по умолчанию работает именно так.

Цитата Busla:

Они для разного, не надо их сравнивать.»

Кто они для разного чего? И чем вариант с группами хуже варианта с WMI фильтром?
Опять таки, тут не гуру улучшает свои навыки до best practice, тут человек интересуется азами.

Цитата Busla:

Ну, и хотелось бы услышать развёрнутую аргументацию: каким местом WMI устарел? »

Не WMI устарел, а метод работы с GPO используя WMI фильтры.
Аргументы:
1. не наглядно - в интерфейсе видно имя фильтра и всё. чтобы понять на кого GPO применяется нужно залезть в запрос и разобраться что он из себя представляет. Это не особо касается элементарных запросов, но в целом так.
2. легко налажать в запросе, который будет выполнятся долго (почти любой LIKE %whatever% фильтр)
3. каждый такой WMI запрос замедляет общий процесс загрузки ПК, ведь фильтр каждого GPO выполняется на каждом хосте в любом случае. Если GPO с фильтрами, скажем, 30 штук - каждая загрузка хоста = 30 выполняемых запросов. И это не учитывая применения самой политики, которая тоже некоторое время занимает

В то же время:
1. фильтр группами нагляден - сразу видно на кого применяется
2. с членством в группе налажать невозможно - в неё можно либо добавить кого-то либо удалить либо ничего. Нельзя сделать такую группу, членство в которой не работает (во всяком случае я не знаю как)
3. членство в группе проверяется моментально

Это конечно хороший инструмент и всё такое, но приготовить его тупо сложнее

[Busla]

Цитата Charg:

мы ведь о начальном этапе говорим, а тут не сложно и вручную перенести комп из OU Computers в куда надо. Если это "куда надо" вообще есть. »

ничто не мешаем сразу использовать "взрослые" практики
к слову, перенацеливать дэфолтное место создания компьютеров с Computers - ещё одна Best Practice
ну, и это очень частный вопрос: когда гарантированно прилетят политики от новой OU

Цитата Charg:

тут не гуру улучшает свои навыки до best practice, тут человек интересуется азами »

LOL, всё наоборот
best practice - это и есть азы, с которых надо начинать неофиту
гуру как раз понимает как всё работает и может сразу реализовать частное эффективное решение

Цитата Charg:

чем вариант с группами хуже варианта с WMI фильтром? »

WMI используют не потому что могут или хотят вместО групп, а потому что надо применять политики по динамическим правилам
(и можно использовать группы и фильтры WMI вместЕ)
например, на компы со старыми SSD Intel поставить "Intel SSD Toolbox", а на компы с новыми SSD Intel - "Intel Memory and Storage Tool"
(гипотетический пример - я не сверял списки поддерживаемых дисков этими программами)
Реализовать группами - это по тому же WMI опросить компьютеры и сформировать группы. Еще и желательно опросить не единожды, т.к. не всегда все компьютеры одномоментно в сети

[paranoya]

Разница между фильтрацией WMI и группами:
1. WMI динамически определяет целевые объекты. В группы объекты надо заносить руками.
2. WMI иногда глючит, не инициализируется и его фильтрация из-за этого слетает. Группы работают железно.

PS. У меня WMI работал всегда без сбоев, так как Винда была стандартизирована по настройками и обновлениям. У себя использовал оба варианта, когда нужно было.