Администрирование для самых маленьких (Part 1: наводим порядок)

    Каждый раз удивляюсь, когда знакомые админы, которые абсолютно без проблем работают в linux теряются и не знают что делать, когда сталкиваются с администрированием домена AD.
    Для большинства опытных администраторов вряд ли данная статья окажется полезной, но…

    Итак, вы устроились на работу. Условия хорошие, зарплата большая, секретарши улыбаются, охрана приветливая, а кофе — бесплатное, но предыдущий сисадмин был студентом третьего курса техникума сельского хозяйства и оставил после себя 50 компьютеров с именами типа «NOVENKIY», «SPORTSMEN», «UVALEN», «23FG34». Ну еще стоит заметить, что половина компьютеров в AD — мертвецы. А те, которые и названы по фамилиям сотрудников — названы фамилиями тех, кто давно не работает в компании.

    Кроме всего прочего, этот тип вручную наделал кучу гадостей «для безопасности». И вам абсолютно непонятно, как и с чего начинать. А начинать лучше всего с наведения порядка.

    Удаление


    Для начала лучше всего скачать утилиту OldCmp — используя её мы отсеем компьютеры, которые не регистрировались в системе больше 30 дней.

    oldcmp -disable -unsafe -forreal -llts -age 30

    Этой командой мы отключаем те машины, на которые никто не логинился в течении 30 дней. Для доменов младше windows 2003 можно использовать команду, которая обрабатывает не логины, но смену пароля компьютера внутри домена (не пользователя, а именно компьютера)

    oldcmp -disable -unsafe -forreal -age 50

    Если в течении двух-трех недель (надо оставить это время на «отпускников») к вам никто не обратился — можно удалять отключенные компьютеры:

    oldcmp -delete -age 0 -onlydisabled -forreal

    Итак, у нас остались только те компьютеры, которые были использованы в течении последних 30 дней.
    Как же быть с переименованием?

    Теоретическая часть


    Тут тоже всё просто. Для начала нам надо скачать утилиты от Microsoft: PsTools, а так Support Tools.

    Теперь, что бы правильно переименовать компьютеры лучше всего воспользоваться системой уникальных идентификаторов, наклеенных на компьютер. Так как в компании мы еще не знакомы с всеми людьми — лучше всего попросить у HR (или кого-угодно) список сотрудников по отделам — это может помочь нам в распределении компьютеров (и пользователей впоследствии) по папкам AD.

    Кстати да, создайте в дереве AD папку Companyname_Computers, а в ней — подпапки с именем — названием отдела. Это небольшое действие избавит вас от многих проблем в будущем.

    Что бы узнать какой компьютер кому принадлежит воспользуемся утилитой PsLoggedOn. Синтаксис очень простой. Мы будем использовать её в таком виде:

    psloggedon -l \\computername

    На выходе мы получим список пользователей, которые залогинены на компьютере. Если утилита не выполняется — значит выключен сервис удаленного редактирование реестра. Включаем его при помощи комады PsService.

    psservice \\computername start remoteregistry

    После того как мы получаем имя пользователя залогиненого в систему — переносим компьютер в соответствующую папку AD а в Description отмечаем имя пользователя, который сидит за этим компьютером.

    Так же, всем администраторам в новой компании я рекомендую воспользоваться утилитой PsPasswd, для смены пароля локального администратора на известный вам.

    pspasswd \\camputername Administrator Password

    Теперь настало время воспользоваться утилитой NetDom

    Эта утилита из скачанного нами ранее пакета Support Tools — может много чего. Мы будем использовать её для переименования компьютера.
    В целом, команда должна выглядеть так:

    netdom renamecomputer computername /newname:newcomputer /userd:domainname\adminname /passwordd:*

    Эта программа, в отличии от PsTools не умеет исполняться из под текущего пользователя и имя админа надо указывать вручную. Что бы не держать пароль в открытом виде — мы вставили звездочку в поле passwordd — пароль будет запрошен.

    После того, как мы переименовали компьютер — нам надо отметить новое имя на списке с пользователями, напротив фамилии сотрудника, для того, что бы потом просто пройтись по отделам и наклеить имена компьютеров на их корпуса (имею ввиду корпуса компьютеров, а не сотрудников).

    … И сбоку бантик


    Для удобства использования я создал батник, возможно он будет вам удобен:

    @echo off
    Set DomainName=
    Set DomainAdminName=
    Set LocalAdminName=
    Set LocalPass=
    Set PsToolsFolder=
    Set SupportToolsFolder=
    Set /P TARGET= Enter computer name:
    %PsToolsFolder%\psservice \\%TARGET% start remoteregistry
    %PsToolsFolder%\psloggedon -l \\%TARGET%
    %PsToolsFolder%\pspasswd \\%TARGET% %LocalAdminName% %LocalPass%
    echo " "
    echo " "
    echo " "
    Set /P NEWNAME= Set new name of PC:
    %SupportToolsFolder%\netdom renamecomputer %TARGET% /newname:%NEWNAME% /userd:%domainname%\%domainadminname% /passwordd:*
    echo " "
    echo " "
    echo " "
    echo " "
    Set /P Ok= PressAnyKey to exit


    Не забудьте заполнить первые поля внутри батника до Set /p TARGET — дальше ничего заполнять не надо.
    Ну и не забывайте про отметки на списке и переносе пользователей и компьютеров в соответствующие папки — они нам будут нужны для следующих шагов.

    Закрепление


    Итак, мы запускаем батник, вводим имя компьютера, и узнаем, кто в теремочке живет, после чего делаем отметку в списке напротив фамилии пользователя и переносим компьютер в нужную нам папку в дереве AD, дальше вводим новое имя компьютера, свой пароль и радостно жмем любую кнопку после завершения процедуры.

    После того как все компьютеры переименованы — берем наш листик с пользователями и именами компьютеров, наклейки с именами компьютеров и за 20 минут обходим офис по отделам, клея бумажки на корпуса компьютеров.

    После этого когда кто-либо звонит вам вы просто просите прочитать имя компьютера на его корпусе, после чего… Ну, а это уже тема следующей статьи :)
    Share post

    Similar posts

    Comments 133

      +10
      неплохая статья для начинающего, жду продолжения:)
      +3
      Ничего не понимаю в администрировании, но почитать было интересно — как раз на моем уровне.
        +1
        Отличная статья) Всеволод, если не секрет, откуда у вас эта столь полезная информация?
          +3
          Из интернета, он ей полон :)
            0
            Я сам когда постигал азы, половиной утилит из статьи пользовался.
            0
            > правильно переименовать компьютеры лучше всего воспользоваться системой уникальных идентификаторов
            Например?! И так чтобы потом можно было объяснить на пальцах где искать «общую папку» вот того вот сотрудника.
              0
              DO-Market-01. Донецк Офис, кабинет Маркетинг, компьютер 01
              KS-Kladov-03. Киев Склад, кабинет Кладовщиков, компьютер 03
                +6
                Потом убрали 2 компьютера за ненадобностью и красота нарушилась. Лучше называть компьютеры их инвентарными номерами, вести базу данных, в которой записи вида 0234325=>Киев Склад, кабинет кладовщиков… MAC такой то, порт на свитче такой то, учетные записи такие то.

                А расшаривать данные я бы вообще запретил, для этого есть общая файлопомойка, которая регулярно проверяется на вирусы.
                  +2
                  Я бы тоже запретил… Как мог пытался объяснить, что есть файл сервер, где документы и проекты отдела и папочки с фамилиями сотрудников отдела. Даже как сетевой диск подключал папку отдела. Но им удобнее обмениваться через «общую папку» компьютера, а руководство дало четко понять что бы «искусственных» трудностей в процессе производства не было.
                    0
                    Для текущего обмена на сервере делается отдельная папка типа Temp.Day, которая еженощно чистится скриптом.
                    А пользователям просто не надо давать права админа (кроме исключительных случаев), тогда и лишних шар на машинах не будет.

                    Касательно руководства: садитесь и пишете кучу регламентов и положений. «Положение об антивирусной защите», «Положение об информационной безопасности» и так далее. Это муторно, но это необходимо. Подписываете эти бумажки у руководства (руководство такие вещи любит, хе-хе) и потом тычете в нос особо ретивым сотрудникам.
                      0
                      Искусственные трудности? Да какие нафиг трудности, какая рядовому пользователю разница куда указывает ярлык на его рабочем столе или ещё где-нибудь? Можно даже незаметно для них поменять адреса с "\\userpc-01\шара" на "\\server\shares\userpc-01_шара".
                      +1
                      нам шашечки или ехать?
                      главное функциональность.
                      к примеру у нас практикуется имя компьютера по шаблону РЕГИОН-ДЕПАРТАМЕНТ-ТИП-НОМЕР
                      к примеру EKB-FIN-PC001 или TUM-MNG-NB082.
                      при мигрировании новой машины совершенно не затруднительно узнать последнее свободное имя.
                      сотрудник при обращении так-же не испытывает проблем с прочтением с экрана/системника подобной последовательности (при логине у каждого пользователя на десктоп добавляется информация об имени его компьютера, учетной записи, IP адресе и времени входа в систему).
                        0
                        Как вывести на экран имя компа и айпишник? Чтоб он там всё время висел поверх обоев, не слишком навязчиво притом.
                          0
                          у нас информация во время логона дорисовывается прямо на обои не огромным шрифтом в уголке.
                          решение не универсальное, но простое.
                          можно конечно и резидента откликающегося на редкий хоткей всем раздать через политики.
                            0
                            Дык а как это сделать? Разжуйте)
                            0
                            Эту фишку подсмотрел на курсах специалиста.
                            Только имя компьютера и IP обычно пользователю ни к чему.
                            Лучше телефон службы поддержки написать, а то особо сознательные начинают звонить по всем телефонам отдела из справочника.
                              0
                              да-да.
                              а потом специалист техподдержки тратит время, пытаясь объяснить сотруднику где у того находится имя компьютера или IP, чтобы к нему подключится хД
                              программа позволяет легко настроить выводимую информацию.

                              кстати посмотрел — можно поместить всем на рабочий стол ярлык и тогда при запуске программа будет показывать попап, а не рисовать на десктоп.
                                +1
                                У нас удалёнка запрещена — в целях профилактики простатита.
                                  0
                                  по-моему запрет возможности решить проблему удалённо сродни тому, что в некоторых компаниях на машинах со свежеустанавливаемым WinXP до сих пор стоит IE6.
                            +1
                            Использую BgInfo, настроил однажды и не приходится бегать по компам. Достаточно просто попросить тётеньку с бухгалтерии продиктовать что у нее написано на рабочем столе.
                          0
                          не так часто у меня компьютеры переезжают из кабинета в кабинет и меняются. Но если такое происходит часто, то называем по инвентарному номеру, а потом пишем логон- скриптом в АД в описание пользователя имя компа, на которое он последний раз логинился, а в описание компа — имя пользователя.
                          Если интересно подробнее — сюда habrahabr.ru/blogs/sysadm/121801/
                            0
                            а как запретить расшаривать данные?
                              0
                              [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
                              «NoFileSharingControl»=dword:00000001
                            0
                            Эмм… А еще варианты?
                            В одной конторе Все инженеры разных направлений сидели в одном кабинете (человек 20) — компьютеры назывались по фамилиям типа IvanovII, SidorovSS (Компьютер был закреплен за 1 человеком)
                            В другой конторе из-за большой текучки компы назывались как у вас по местоположению, но без деления на отделы (люди в кабинетах сидели не «по отделам» а по схожим задачам) и компы назывались 303KAB01 (303 кабинет, комп. 01)
                              0
                              Называть по принадлежности и местопложению — плохая практика, даже с небольшой текучкой есть вероятнось, что компьютер окажется не там или не у того.
                                0
                                Строить самоописывающиеся системы — отличная практика.
                                А при безответственном подходе любая система учёта будет содержать неактуальные сведения ;-)
                                0
                              0
                              У нас по номерам делается к примеру:
                              w3p-1-12-1-alt, w — workstation, 3 — windows xp, p — professional, 1 — место в комнате, 12 — номер комнаты, 1 — этаж, этаж начинается с подвала, alt — офис
                              для серверов выглядит так:
                              s3s-5E-14-1-alt, s — server, 3 — Windwos 2003, S — Standard, 5 — номер стойки? шкафа?, E — расположение в стойке/шкафу считая с верху, 14 — номер комнаты, 1 — этаж, alt — офис(у нас бывает ещё «ban» и «den»).

                              Вроде бы всё хорошо описывает и плюс попадаем ещё в 16 знаков Netbios'a.
                              Номера рабочих мест считаются от входной двери по часовой стрелке.
                                +1
                                … а если бы в начале стоял этаж и номер комнаты — в списках компьютеры элементарно бы группировались по местоположению, а так — каша, которую без дополнительных ухищрений не упорядочить
                                  0
                                  А еще в некоторых конторах любят тасовать технику буквально каждый день — новый комп сюда, отсюда — туда, оттуда — в новое место и так далее… :-)
                                  0
                                  Рабочих станций около 500.
                                  Именуются чтоб быстрее найти физическое расположение.
                                  111-222-333
                                  1) Номер комнаты (первая цифра этаж)
                                  2) Комплексный идентификатор позволяет выявлять ошибки специфические только для определённой группы (Ошибка только на ноутах)
                                  — тип станции (Станция/Ноут);
                                  — Брэнд (если есть)
                                  — дополнительная цифра если такой не один или номер розетки в комнате
                                  3) Номер или сокращенное название отдела
                                  Расставлены по важности на первом месте сортировка по физическому размещению
                                  Очень помогало на первых этапах когда наводил порядок.

                                  Шары запрещены. Для обмена/хранения группа сетевых дисков для каждого отдела своя + общие для всех на чтение (типа Справочников)
                                  Как аргумент в пользу отмены шар — регулярное резервное копирование и планирование затрат на железки.
                                  +3
                                  О том как выходить из мертвой петли читайте в следующем номере…
                                    0
                                    А как бы с общими принтерами после смены имени компьютера? Допустим в кабинете к одному компьютеру подцеплен принтер, а остальные 5-10 компьютеров обращаются к нему как \\compname\printer
                                      0
                                      Как вариант в сценарий входа добавить

                                      cscript %windir%/system32/prnmngr.vbs -t -p "\\newcomp\prn-001"

                                        +2
                                        Лучше всего подключать общие принтеры с помощью TCP/IP порта на DC, а у юзеров, которым этот принтер нужен, подключать его с помощью развертываныя принтера для OU в AD.
                                          0
                                          Хм… а если пользователи разделены следующим образом?

                                          OU Marketing — vasya (kab1) printer 001
                                          — petya (kab2) printer 002
                                          OU Reklama — lena (kab1) printer 001
                                          — katya (kab8) printer 008

                                          тут нам подойдет разбиение по группам и следующий VBS…

                                          Dim oNet

                                          'On Error Resume Next

                                          Set oNet = CreateObject("WScript.Network")

                                          If IsMember("Printer1") then
                                          oNet.AddWindowsPrinterConnection "\\comp1\Printer1"
                                          End If

                                          If IsMember("Printer2") then
                                          oNet.AddWindowsPrinterConnection "\\comp2\Printer2"
                                          End If

                                          If IsMember("Printer3") then
                                          oNet.AddWindowsPrinterConnection "\\" & sPrintServer & "\Printer3"
                                          oNet.SetDefaultPrinter "\\" & sPrintServer & "\Printer3"
                                          End If

                                          ' FUNCTION ============ IsMEmber
                                          Function IsMember(sGroup)
                                          ' IsMember
                                          ' Test to see if user if member of specified group

                                          ' sGroup Name of group
                                          ' Returns True if user is group member

                                          Dim sAdsPath, oUser, oGroup
                                          ' ================= Populate dictionary if not yet created =======================
                                          If IsEmpty(g_oGroupDict) Then
                                          Set g_oGroupDict = CreateObject("Scripting.Dictionary")
                                          g_oGroupDict.CompareMode = vbTextCompare
                                          sAdsPath = oNet.UserDomain & "/" & oNet.UserName
                                          On Error Resume Next
                                          Set oUser = GetObject("WinNT://" & sAdsPath & ",user")
                                          If Err.Number then
                                          IsMember = FALSE
                                          Exit Function
                                          End IF
                                          On Error Goto 0
                                          For Each oGroup In oUser.Groups
                                          g_oGroupDict.Add oGroup.Name, "-"
                                          Next
                                          Set oUser = Nothing
                                          End If
                                          IsMember = CBool(g_oGroupDict.Exists(sGroup))
                                          End Function


                                            0
                                            Ну да, если доступ к одному и тому же принтеру должны иметь разные люди из разных филиалов и кабинетов, то конечно же с помощью групп:) Я рассматривал самый простой вариант, когда на принтере печатают только люди, которые находятся в одном кабинете с этим принтером.
                                            0
                                            Принтеры на DC? О боже, лучше не надо.
                                              0
                                              Причем тут принтеры на DC? Принтеры на клиентских и обрабатываются данные скрипты через групповую политику… на DC вообще пользователям делать нечего!
                                                0
                                                Вы комментарий прочитайте внимательно, на который я отвечал.
                                                0
                                                объясните, почему, пожалуйста.
                                                  0
                                                  Что почему? Что делать пользователям ( Не администраторам) на контроллере домена?
                                                    0
                                                    я не говорил о том, что пользователи должны заходить удаленно на DC для печати документов. Принтеры должны быть подключены к DC tcp/ip портами, и к юзерским компам подключаться уже по пути "\\DC1\Printer1", а не от какого-то компа, стоящего в бухгалтерии(:
                                                    0
                                                    Потому что DC (если мы про контроллер домена) — это критически важный элемент сетевой инфраструктуры, как с точки зрения безопасности, так и доступности сетевых ресурсов и управления сетью.

                                                    Поэтому любая дополнительная функция возложенная на них ведёт к снижению надёжности (установленные принтеры — это драйвера, и покажите мне такие принтерные драйвера, которые никогда не вешаются, не роняют спулер и подобное), если например для обслуживания роли принтеров придётся перезагружать контроллер, то доступ к нему будет прерван (конечно обязательно иметь минимум 2 DC, но раз уж мы серьезно обсуждаем почему не стоит делать DC принт-сервером, то можно предположить, что он будет один).

                                                      0
                                                      Есть 6 принтеров:
                                                      2* HP LJ 2420(Один в Донецке, другой в Киеве)
                                                      Gestetner MP2000
                                                      2*Samsung SCX-6345(Один в Донецке, другой в Киеве)
                                                      Gestetner MP161SPF

                                                      Все они подключены тсп/ип портами к ДЦшке, которая в Донецке и подключаются от этой ДЦ к компам юзеров в Донецке и к Терминальному серваку(тоже в Донецке). За 4 года, что тут работаю, спулер подвисал один раз, и то когда я что-то крутил в политиках АД по поводу развертывания принтеров.
                                                        0
                                                        и еще вопрос: каким образом тогда осуществлять подключение принтеров, если у нас нет отдельного компа для сервера принтеров? Расшаривать их на тех компах, к которым они подключены и подключать к остальным по "\\Buhgalteriya3\Printer1"? А что, если комп сломался и ушел в ремонт на 2 недели? руками у выборочных пользователей менять путь к принтеру, предварительно подключив его к другому компу?
                                                +2
                                                Добавлю чуточку скриптов на PowerShell ( применимо к win 2008)

                                                Cписок пользователей / компьютеров:

                                                PS> Get-QADUser | Get-Member
                                                PS> Get-QADComputer

                                                Cписок пользователей, которые не регистрировались 3 месяца и сохраним вывод в HTML-файл:

                                                PS> $last3months = (Get-Date).AddMonths(-3)
                                                PS> Get-QADUser -IncludedProperties LastLogon | where { $_.lastLogon -le $last3months} | Select DisplayName, LastLogon, AccountIsDisabled | ?{-not $_.AccountIsDisabled} | ConvertTo-Html | Out-File E:\report.html

                                                Создадим новую доменную учетную запись:

                                                PS> New-QADUser -name 'user' -ParentContainer 'OU=test,DC=iamroot,DC=local' -UserPassword 'P@ssword'

                                                Будут вопросы — спрашивайте. Спасибо за Внимание
                                                  0
                                                  Будет работать только с PowerGUI
                                                    +1
                                                    Именно. Для блокирования старых аккаунтов:
                                                    Disable-StaleDomainComputerAccounts.ps1:
                                                    function Disable-StaleDomainComputerAccounts

                                                    { #function begin

                                                    # Use Directory Services object to attach to the domain #Leaving the ADSI statement empty = attach to your root domain
                                                    $searcher = new-object DirectoryServices.DirectorySearcher([ADSI]"")

                                                    # Filter down to computer accounts with computer running windows OS (so to not disable MacOS and other bullshit)
                                                    $searcher.filter = "(&(objectClass=computer)(!useraccountcontrol:1.2.840.113556.1.4.804:=67117056)(|(operatingSystem=Windows*)))"

                                                    # Cache the results
                                                    $searcher.CacheResults = $true
                                                    $searcher.SearchScope = “Subtree”
                                                    $searcher.PageSize = 1000

                                                    # Find anything you can that matches the definition of being a computer object
                                                    $accounts = $searcher.FindAll()

                                                    # Check to make sure we found some accounts
                                                    if($accounts.Count -gt 0)
                                                    {
                                                    foreach($account in $accounts)
                                                    {
                                                    if ($DCs -eq $account) {writ-host DC, skipping; continue}
                                                    # Property that contains the last password change in long integer format
                                                    $pwdlastset = $account.Properties["pwdlastset"];

                                                    # Convert the long integer to normal DateTime format
                                                    $lastchange = [datetime]::FromFileTimeUTC($pwdlastset[0]);

                                                    # Determine the timespan between the two dates
                                                    $datediff = new-TimeSpan $lastchange $(Get-Date);

                                                    if ($datediff.Days -gt 50)
                                                    {
                                                    #$account.Path
                                                    $ldapname = $account.path
                                                    $compadsi = [ADSI]$ldapname
                                                    if ($compadsi.psbase.invokeGet("AccountDisabled") -eq $false )
                                                    {
                                                    $compadsi.psbase.invokeSet("AccountDisabled",$true)
                                                    $compadsi.Setinfo()
                                                    $strInfoMessage = "Disabled " + ($compadsi.psbase.invokeGet("Name")) + ", password was set " + $datediff.Days + " days ago."
                                                    $strLog += $strInfoMessage + "`n"
                                                    }
                                                    } #end of datediff.days

                                                    } # end of foreach account
                                                    } #end of accounts.count

                                                    if ($strLog) {
                                                    $strLog
                                                    $strLog = "Stale Record disabled following accounts: `n" + $strLog
                                                    $EventLog = new-object System.Diagnostics.EventLog('Application')
                                                    $EventLog.MachineName = "."
                                                    $EventLog.Source = "WMIInfo"
                                                    $EventLog.WriteEntry($strLog,"Information",10)
                                                    }
                                                    } #function end

                                                    Disable-StaleDomainComputerAccounts


                                                    В строке if ($datediff.Days -gt 50) меняйте 50 на нужное количество дней
                                                      0
                                                      А чем плох способ, который я указал в теле поста?
                                                        +1
                                                        Тем, что это:
                                                        а) чья-та сторонняя утилита
                                                        б) старая утилита (2004 год!). Да, она работает до сих пор (слава богу, ADSI не поменялся), но никто не проверял её на 2008/R2, а я бы не хотел узнать о каких либо проблемах hard way
                                                        в) нет возможности делать что-то ещё, кроме удаления/отключения, например перенос в отдельный OU.
                                                        г) не пишет в Application Log :)
                                                  +3
                                                  Нужно контролировать процесс удаления неактивных компьютеров. В число удаленных могут попасть какие — нибудь директора, которые по 2 месяца отдыхают на Мальдивах, резервные компьютеры, которые заранее настроены и введены в домен. Я бы предпочел просто получить список, отсортированный по убыванию.

                                                  «лучше всего воспользоваться системой уникальных идентификаторов» — тут легче раздобыть журнал инвентаризации, но учите, он не во всех конторах актуальный. Лучше действительно пройтись самому и проверить подлинность данных журнала.

                                                  Список сотрудников по отделам? В большинстве фирм его не получите никогда.

                                                  «Мы будем использовать её для переименования компьютера» — Убедитесь, что пользователи не пользуются расшаренными папками. Обычно бухгалтеры это любят.

                                                  Бэкап AD перед совершением всех действий!

                                                  Ваш пост подходит для идеальных фирм с плохим ушедшим админом, а так же настоящим, решившим навести порядок. Вот только мой опыт работы в Российских фирмах говорит, что все придется делать вручную. А ведь это одна из двух вещей, которые админ обязан вставая с кресла. Вторая — поставить управляемые свитчи и привязать к пользователю определенный порт. Это лучше, чем управление по MAC.
                                                    –1
                                                    ГН: «Кофе — мужского рода!!!11»

                                                    Статья очень полезна будет, спасибо большое!
                                                      0
                                                      Такие вещи принято писать в личку. Теперь Ваша благодарность ничего не стоит.
                                                        +4
                                                        Прошу прощения.
                                                        +4
                                                        Так вроде бы решили что средний род является вполне допустимым.
                                                          +1
                                                          Хотя меня тоже коробит, но с 2009 года кофе среднего рода стало нормой русского языка.
                                                          0
                                                          Еще способ давать имена рабочим станция по их инвентарному номеру: их часто бухгалтерия успевает нанести на корпус (у нас это имена типа K-H0008121).
                                                            +3
                                                            Я раньше обслуживал парк в 300 машин. Там была похожая нумерация, первые 2 буквы указывали на название отдела, а последующее — сам номер. Как ни странно, через пару месяцев я запомнил многие номера. До этого вспоминал «katyab», «bkatya», «ekaterinab».
                                                              +1
                                                              Уволился из стрима 6 лет назад ) до-сих-пор помню ip/маски по районам (Коих более 100)… хочу кнопку «форматировать мозг»!
                                                            0
                                                            Как думаете, скрипт, интегрированный с базой 1С отдела кадров, который переносит учетные записи в OU «На удаление» при увольнении сотрудника? По сути все действия с AD можно автоматизировать.
                                                              +1
                                                              Можно, но не нужно. Кадровик сделает какое-либо непонятное телодвижение — и у вас будут технические проблемы.
                                                              Ну скажем у нас в одной конторе внезапно сделали новое юрлицо и пачку народа перевели туда, причём ИТ-отдел, естественно, уведомили в последнюю очередь. Территориально люди остались сидеть на своих местах — но, естественно, они были уволены.

                                                              Лучше уж административно внести начальника ИТ/системного администратора в список подписывающих обходной лист.
                                                              +1
                                                              Большое вам спасибо, как раз 1 октября выхожу на работу в качестве системного администратора (50 машин), хозяина у них не было, и что ждёт меня даже не знаю.
                                                                0
                                                                Если там никогда не было хозяина (!?!), то рассчитывать на выделенный сервер с установленной и хоть как-то настроенной AD не стоит.
                                                                  +2
                                                                  Тебя ждет огромная возможность построить все с нуля или долбиться об стену.
                                                                  +5
                                                                  Вот вроде интересно, и наверно полезно (ну вдруг угораздит), и вообще… Но почему-то эти слеши, проценты и двоеточия вызывают в моем воспаленном nix-мозгу какие-то специфические реакции, от которых по всему телу разливаются симптомы отравления грибами. Не знаете, к чему это, доктор? Ой, кажется я не туда пишу…
                                                                    0
                                                                    Вот только не надо опять win или lin.
                                                                      +4
                                                                      Не, не, не, не. Тушим, тушим, тушим, тушим…
                                                                      0
                                                                      Вы уже не подумайте, у меня первой платформой, на которой я разворачивал сеть была samba+ldap на Debian. Но если есть инструмент — надо его использовать, даже если он неудобен.
                                                                      0
                                                                      «После этого когда кто-либо звонит вам вы просто просите прочитать имя компьютера на его корпусе, после чего…»
                                                                      Не проще сделать скрипт, который создаст у каждого юзера на рабочем столе ярлык с информацией об имени компьютера и любой другой информацией, которая может пригодиться (ip, mac, email)?
                                                                        0
                                                                        согласен, проще. BGInfo придумали как раз для этих целей. Хотя есть и подводный камень — если оставить пользователям возможность менять фоновую картинку — вся информация будет стерта до момента следующей отработки скрипта (читать — входа пользователя).
                                                                          0
                                                                            0
                                                                            Мне не очень по душе идея рисования на рабочем столе. У некоторых пользователей он забит настолько, что разобрать что-либо достаточно проблематично. Плюс из комментарий выше гласит, что могут быть подводные камни при смене обоев (сам не использовал, утверждать не буду). У нас используется обычный VBS-скрипт, который выводит окно со всеми необходимыми данными, которое можно закрыть за ненадобностью. Тем более, я думаю, что пользователь пару раз обратившись за помощью запомнит имя своего компа, и для него много символов поверх обоев будут просто бесполезны.
                                                                              0
                                                                              мне очень жаль вас огорчать, но поверьте, есть такие сотрудники, которые после пятикратного обращения за день в течение уже трех месяцев так и не могут запомнить ни IP адрес, ни (тем более) имя своего компьютера. Когда-то давно приучили сотрудников называть IP своей машины, переучивать на имена теперь очень тяжело, а IP, бывает, меняется. В особо критичных случаях просто говорим: «прочитайте учетный номер на системном блоке» (да, прошлись и проклеили руками). Выручает.
                                                                                0
                                                                                Есть даже такие, которые не помнят свой сетевой логин. Потому что оно высвечивается в поле ввода после загруки системы, и остаётся ввести только пароль — вот только его и помнят.
                                                                                Кто из вас как боролся с такой ситуацией?
                                                                                  0
                                                                                  Нормальная практика — комбинировать имя\фамилию из загран. паспорта
                                                                                    0
                                                                                    Первоначально — логин на памятке, выдаваемой на руки. А после входа — все тот же BgInfo, где и логин, и IP, и имя, и телефон тех.поддержки вместе с почтовым адресом. В итоге логин все равно мало, кто запоминает, но в большинстве случаев техподдержке он и не нужен.
                                                                            +2
                                                                            Самое плохое, это когда что-то построено, но очень криво. В некоторых случаях проще постепенно мигрировать пользователей и их пк на новый домен, попутно «причесывая» имена пк, пользователей, раскладывая их по разным аушкам и т.п. И уже в новом домене предварительно подумав раз 10, лучше даже 20 лепить уже группы, систему наименований учеток/пк/групп, групповые политики и т.п.
                                                                            Лучше изначально продумать грамотную архитектуру, чем пытаться перебороть косяки/глюки старой.
                                                                              0
                                                                              Ийсус Христос вас явно лишил разума и отправил в AD.
                                                                                +3
                                                                                Хорошая статья, будет интересно прочесть и остальные части серии. В качестве дополнения (про Powershell уже писали) — вместо использования oldcomp можно обойтись и встроенными средствами Windows — командами вида DSxxxx, например, dsquery: dsquery в technet.
                                                                                  0
                                                                                  Плюсую. Я вообще всяческий сторонник использовать уже имеющийся инструментарий.
                                                                                  dsquery computer -inactive 16 -limit 0
                                                                                  Компьютеры, которы не логинились более 16 недель, все.
                                                                                  +1
                                                                                  Касательно компьютеров и имён: не надо морочить голову пользователям. Как Вы себе представляете толстую бухгалтершу, которая полезет под стол разыскивать на залитом кофе компьютере (почему-то у женщин компы самые заср… ные) стикер с номером?

                                                                                  Для этой цели существуют специальные утилиты. Как пример: NetScan. Запускаете и она в реальном времени отслеживает — какие машины включены/выключены, кто где залогинен, умеет их Wake-On-Lan / Remote Shutdown и ещё много вкусностей. Не реклама, просто сам пользуюсь. Есть и ещё много подобных вариантов.

                                                                                  Звонит пользователь — разворачиваете окошко и смотрите имя машины. Всё.
                                                                                    0
                                                                                    Да не звонит даже. У нее иконка на рабочем столе ВЫЗОВ СИСАДМИНА!
                                                                                      0
                                                                                      Я про имена в следующей статье напишу :) Нетскан штука хорошая, но посмотреть на какой машине сидит пользователь можно и при помощи PsLoggedOn — там есть хитрая опция. Всё дело в юзабилити и, как ни странно, посмотреть на системном блоке номер для большинства удобнее.
                                                                                        0
                                                                                        На прошлой работе использовал скрипт, который переименовывал стандартную иконку «Мой компьютер» в «Мой компьютер [%name%]». Скрипт подгружался через GPO при входе пользователя в систему. Никому не мешало и все были довольны :)
                                                                                        0
                                                                                        Господи вы какието роботы сумасшедшие. Компьютеры из серии w3p-1-12-1-alt
                                                                                        У нас каждый пользователь знает что он сидит либо на Эльфе либо на Кассиопее или в крайнем случае на Мустанге. Пользователи тоже могут быть как Vlad так и Монстр. Есть и всякие прочие желания. Это ЛЮДИ! Они РАБОТАЮТ. Им создают УСЛОВИЯ для РАБОТЫ! Я точно всегда знаю, чо Эми в Волгограде, а Мустнаг стоит внизу возле склада. Я знаю, что Цветок в отделе где чинят товар. 99% наименований Киви, Гаваи и прочие просто у всех в мозгу! И все знают, что Тортилла это комп главбуха. И это при 150 компьютерах. И еще ХЗ сколько ноутбуков…
                                                                                          +1
                                                                                          Вы один айтишник на 150 компьютеров, или у Вас все админы обладают уникальной памятью? А что будет, если Вы уволитесь? Собственно, топик как раз про такие случаи… :)
                                                                                            0
                                                                                            Ну вопервых никто не отменял карту сети. Во вторых у меня пользователи просто помнят кто на чем сидит. Это они сами придумывают имена. А у меня на стене есть карта с каталогом и прочим. Я даже не парюсь, по алфавиту ищу. И да, я один, но сменил 4-х помошников, и ни у одного небыло проблем в поиске компьютера.
                                                                                              0
                                                                                              Кстати прийди я в контору с именами типа w3p-1-12-1-alt яб с ума сошел. У ас тоже были юзеры с именами достопер1 И компьютеры Бух15 которые стояли почему, т(чюрприз) на складе… (ну так вышло, что бухам купили новый, а старый перенсли на склад). В итоге географические названия и названия связанные с юзером действителности отвечали менее чем на 10%… До сих пор икаю от такого…
                                                                                                +1
                                                                                                Никоим образом не хочу навязывать своё мнение, но на мой взгляд — компьютер, снятый из-под пользователя, должен перезаливаться с нуля. Мало ли чего там прошлый юзер мог наворотить. Соответственно, это и повод сменить имя (если оно привязано к локации).

                                                                                                Впрочем, у меня имена к локациям не привязаны, они привязаны к инвентарникам. Наверное, свои плюсы и минусы есть и у тех, и у других вариантов именований.
                                                                                                  +1
                                                                                                  Ничего он не мог наворотить. У него прав как у улитки. И если пользователь сидящий на Эльфе садится за Мустанг он получает свой рабочий стол, свои документы. Список софта стандартизирован. Есть не более 10% людей обладающих спец софтом. В большинстве своем он собран на отдельном RDP сервере.
                                                                                                  На все 200 человек есть человек 8 к которым индивидуальный подход. Все остальные сразу получат OpenOffice, Mozilla FireFox и Thunderbird, корпоративный софт Jabber IM и все.
                                                                                                  Ест проблемы с перемещаемыми профилями MS Windows. Но с этим боремся.
                                                                                                    +2
                                                                                                    Да Инвентарники это те еще цирки… У нас бухгалтерия может инвентаризовать под одним номером кресло и монитор. А еще потом поменять их. У меня на компах наклейки с штрих кодом. А еще комп это не одна запчатсть. Там и монитор и УПС. В общем это сборная штука и мой апарник рулит этим. Если летит комп, через 20 минут (если есть в наличии) на столе стоит другой. Человек перезагрузился и поехал работать. К сожалению мешают наши Москвичи. Они хотят объяснительных минут на 40…
                                                                                                      +1
                                                                                                      Да еще. Перезалить не получается. Компьютеры сильно разные. Куплены в разное время. С другой стороны имиджы сделанные сразу после установки тоже не годятся. Ибо часть из них сделаны когда еще OpeOffice был максимум с номером 1.7 поэтому если переустанавливаем что, то прямо берем и переустанавливаем. С выкачиванием последних версий драйверов и установкой всех хотфиксов.
                                                                                                        0
                                                                                                        > Ничего он не мог наворотить. У него прав как у улитки.

                                                                                                        Физический доступ к компьютеру есть — значит, наворотить можно всё, что угодно.

                                                                                                        > Перезалить не получается.

                                                                                                        Это говорит только о том, что вы никогда даже не пытались. С другой стороны, если у вас везде линукс, то вы еще долго не дождетесь качественной централизованной установки ОС и ПО. В виндах для этих нужд есть бесплатный WDS и платный SCCM, например.

                                                                                                        Можете не верить, но единообразие софта гораздо лучше (для бизнеса), чем зоопарк. А то, что вы ссылаетесь на зоопарк и не делаете очевидных вещей, говорит о том, что вы просто не хотите или не умеете работать. Понятно, что ваши цели могут отличаться от целей бизнеса, но в этом случае вы рискуете в один прекрасный день лишиться работы.
                                                                                                          +1
                                                                                                          Внимательнее читайте — у меня на всех машинах ПО стандартизированно. Человек может сесть за другой компьютер и получить ВСЁ свое ПО!

                                                                                                          Из этой схемы вываливаются не более 10% человек у которых либо стоит какой-нибудь тяжелый софт. Все, что нестандартное собирается на отдельные машины с терминальным доступом.

                                                                                                          Наименования компьютеров сделаны ДЛЯ ЛЮДЕЙ! Поэтому в первую очередь надо думать о людях. Компьютер вида OS0123456 (Основное средство с номером 0123456) или BUH1 это кошмар.

                                                                                                          Насчет централизованной установки ПО. В Windows c помощью SSCM решают проблему которой в Unix среде практически нет. Для примера посмотрите сколько десятков лет SUN Ray и почему никто на рабочие станции не ставит ПО отличающееся от дистрибутива.

                                                                                                          Поэтому не переиначивайте мои слова. Как раз у меня все единообразно.
                                                                                                            0
                                                                                                            Ну с Sun Ray не всё так радужно, благо успел я их повнедрять. Начать с того, что это просто удлинитель клавиатуры и монитора, а не рабочая станция. Весь софт на сервере располагается. Инсталляция софта на сервер — немножно более проблемное занятие, чем с рабочими станциями. Цена ошибки выше. Опять же, ваши пресловутые 10% пользователей не впишутся в Sun Ray. И вообще, при чем тут? Задачами SCCM с Sun Ray ну никак не пересекаются.
                                                                                                            Кстати, с правами доступа при использовании Sun Ray и других терминальных решений ситуация действительно прекрасная. И пользовательская сессия в смарткарте — это очень удобно.

                                                                                                            С именованием компов надо просто понимать, насколько вы будете задействовать пользователя в траблшутинге. Если ему надо прочитать имя своего компа — это одно, а если он тупо жмет «хочу удаленную помощь», то и нафиг вам лишний геморрой, пусть хоть стандартные имена вида WIN-FHRBCXY34 используются.

                                                                                                            Из практики своей и чужой — когда в сети двести компьютеров, постоянно есть один-два на обслуживании, софт там поставить, винду перезалить. Когда компьютеров 500, для ручной работы уже нужен целый отдел. А бабки можно бы направить на автоматизацию, но главный админ говорит, что и так хорошо, и не надо никого увольнять и ничего покупать. И всё здорово, пока не появляется ЧЁРНЫЙ ИНТЕГРАТОР :)
                                                                                                              0
                                                                                                              >Инсталляция софта на сервер — немножно более проблемное занятие, чем с рабочими станциями.

                                                                                                              Смотря что за сервер. Если после запуска setup.exe мы получаем «Компьютер необходимо перезагрузить», то да. Если пишем sudo apt-get install postgresql-server то задача проста.

                                                                                                              У меня в организации после установки ОС на машину накатывается OpenOffice, ThunderBird и FireFox. Корпоративный АРМ приходит к ним по netlogon, благо там 1 ветка реестра только. Зачем мне SCCM? Софт который нужен на многих машинах ставится на сетевые диски и если софт писали идиоты и он активно использует реестр делаются лаунчеры которые публикуют в реестре все, что нужно. Эталон рабочего стола и меню пуск распространяется через Netlogon.

                                                                                                              Я вообще считаю, что на рабочей станции не должно быть ничего кроме базового софта, все остальное должно быть доступно с двух терминальных серверов 1-основной 2-резервный. Все, что надо обновить обновляется на одном а спустя неделю на другом.

                                                                                                              >С именованием компов надо просто понимать, насколько вы будете задействовать пользователя в траблшутинге.

                                                                                                              Не только. Я один обслуживаю ватагу компьютеров. Часто народ пересаживается с места на место. Запасных компьютеров мало или вообще нет. Поэтому пользователь должен уметь: 1 Подключить по сети принтер (сломался соседний) (драйвера обычно уже стоят, просто он обычно не хочет видеть все 100 принтеров предприятия). 2 Отключить сгоревший компьютер и подключить подменный (кстати подменный сделан заранее и неизвестно куда он пойдет, как его назвать?). Еще возникают ошибки из серии файл занял иванов на компьютере гоги… Открыл внутренний сайт сверился с табличкой и все. А еще чаще просто помнят кто этот гоги (он часто монопольно работает) и вот тут два раза человек зайдет на сайт глянуть по списку кто Гоги, а потом уже помнит, а вот с WIN-FHRBCXY34 такое уже не катит. Такие вещи даже прочитать по телефону не все могут… Только вчера читали мне по телефону csrss.exe так девочка по буквам читала «С как русская, С но другая Р не как русская.....»

                                                                                                              Насчет перезаливки… В теории все прекрасно. Есть имидж и ты накатываешь его на все новые компьютеры и с помощью утилитки syskey (или как там) сбрасываешь имя и прочие ключики. На практике при заливки 10 компов я столкнулся с тем, что у 3-х была другая буква в наименовании материнки и у них не запустилась сеть. Хотя покупали одной партией. Если делать это для компьютеров из разных партий, то получим N имиджей. Идет время, на компьютерах накапливается барахло (настройки, файлы) и тут надо внести исправление — скажем поставить новый софт. Ты его поставил, но имидж тебе сделать уже с этого компа нельзя. В итоге за год имидж потребовался ровно один раз, а потом стал непригоден. А затраты по его созданию поддержанию в актуальном состоянии были не маленькими
                                                                                                                0
                                                                                                                > Если делать это для компьютеров из разных партий, то получим N имиджей.

                                                                                                                Это только в случае с WDS, да и то не всегда. Когда мы используем SCCM, у нас есть один базовый образ, к которому прицепом привязываются нужные драйвера для железа. А после установки винды и применения драйверов добиваем пациента нужным софтом, и всё в unattended режиме. Экономия места по сравнению с ситуацией «каждой системе свой образ» — дичайшая.

                                                                                                                Логика простая — держим всё, что потребуется для инсталляции, на серверах SCCM, и при нужде используем. Пришло абсолютно новое устройство — запихнули драйвер в коллекцию, он сам расползется по филиалам. SCCM — это реально лучший из существующих способов управлять инфраструктурой размером в десятки и сотни тысяч рабочих станций. При этом, его польза очень ощутима и в сетях до 1000 компов. Сбор инфы, управление и контроль.
                                                                                                                  0
                                                                                                                  Верю. Но тут все портит софт от налоговой и прочих идиотских контор. У нас АРМ написана на FoxPro. Для соединения с MS SQL Использует ODBC. Для распространения на компьютеры написан скрипт. Я думаю таких извращений SCCM не поддержит. Там нет, не MCI ничего, такого. Зато разработчик не забывает приделывать туда серийник и прочую муру. Серийник под видом DLL кладется DBF в c:\windows\system32. В общем на мои объемы пока сравляюсь. А еще платить за софт у нас не привыкли. Мне так начальник и говорит — я не понимаю почему МС должен развиваться на наши деньги (а сидеть буду я....).
                                                                                                  +3
                                                                                                  Учитывая общую направленность топика и комментариев, ради всего святого, ни в коем случае не говорите вашему преемнику, по какой дороге вы ходите домой ;)
                                                                                                    +1
                                                                                                    Так вы из Ростова? Странно, я думал вы работали до меня на моем текущем месте работы :)
                                                                                                    +2
                                                                                                    >>psservice \\computername start remoteregistry
                                                                                                    Для этого есть Групповые Политики. Не надо делать руками то, что можно один раз сделать головой.
                                                                                                      0
                                                                                                      А через какое время после назначения групповая политика будет применена и распространена?
                                                                                                        +1
                                                                                                        После применения GPO и первой перезагрузки.
                                                                                                        А вам вот прямо сию секунду надо? Вот прямо в первый день и час работы на новом месте это надо сделать?
                                                                                                          0
                                                                                                          support.microsoft.com/kb/227448
                                                                                                          Вот так можно, например
                                                                                                        +2
                                                                                                        > Каждый раз удивляюсь, когда знакомые админы, которые абсолютно без проблем работают в linux теряются и не знают что делать, когда сталкиваются с администрированием домена AD.

                                                                                                        Как бы так сказать, чтобы никого не обидеть… «Не зная броду — не лезь в воду!»(с)
                                                                                                          0
                                                                                                          У меня компьютеры названы по фамилиям, в случае совпадения так же добавляется имя, логины — имя.фамилия, каждый пользователь на ад добавлен в группу своего отдела. Каждому отделу выдан свой ip-диапазон, не больше 10 айпишников. При передаче компьютера другому сотруднику/увольнению предыдущего составляется акт приема компьютера, с указанием обязанностей и правил при работе с локальной сетью, общими ресурсами, сетью Интернет. Соответственно компьютер переименовывается. Делается это совместно с отделом кадров. Организация — банк.
                                                                                                            0
                                                                                                            Странный какой-то банк. Называть комп по фамилиям это ахтунг. Почему? Да если я буду знать что за этим компом сидит главбух с доспутам ко всем счетам, то и интерес к этому компу будет очень большой.
                                                                                                              0
                                                                                                              Доступ к компу извне это уже другая история.
                                                                                                                0
                                                                                                                Не-не. Я не про доступ извне. Я про доспут изнутри сетки. Чёрт знает, что у нового работника в голове может родиться, при знании, что это комп главбуха :)
                                                                                                                  0
                                                                                                                  Полемику долго можно разводить, но откуда у нового работника будет доступ к этому компу?) Он является локальным админом сего компа?)
                                                                                                            0
                                                                                                            Даешь продолжение!
                                                                                                              +1
                                                                                                              Уже пишу. Будет минут через 40. Ок?
                                                                                                                0
                                                                                                                Отлично.
                                                                                                              0
                                                                                                              > Кстати да, создайте в дереве AD папку Companyname_Computers, а в ней — подпапки с именем — названием отдела. Это небольшое действие избавит вас от многих проблем в будущем.

                                                                                                              Папка — это элемент интерфейса, а в AD вы создаёте «подразделение» (Organisation Unit). Я бы не сказал, что OU по отделам такая хорошая практика — по группам получается гибче, а такие мелкие OU в итоге фактически не используются.
                                                                                                                0
                                                                                                                OU намного удобнее для начинающего админа своей наглядностью. Так же, переносить компьютеры между группами немного менее удобно и менее наглядно, чем между OU.
                                                                                                                  0
                                                                                                                  Это прямо противоречит рекомендациям Microsoft — структуру ОП надо строить в соответствии с их основным назначением, которым является делегирование прав и применение ГП.
                                                                                                                    0
                                                                                                                    А зачем нам надо разбивать компы по отделам, кроме как для делегирования прав и применения GP?
                                                                                                                      0
                                                                                                                      Политики и ACL для разных отделов часто совпадают, в таком случае пихать их вразные ОП не нужно.
                                                                                                                        0
                                                                                                                        А зачем тогда их пихать в различные OU, если политики совпадают и точно не будут изменены?
                                                                                                                          0
                                                                                                                          Зачем их вообще тогда пихать в разные OU? Лучше разделить по типам — OU для удобства администрирования, группы безопасности (по которым можно фильтровать групповые политики) — для разделения ролей. То есть все рабочие станции в ОИ «Компьютеры — Рабочие станции», все ноутбуки — «Компьютеры — Ноутбуки» и т.д.
                                                                                                                0
                                                                                                                Прекрасная статья)
                                                                                                                а можно еще попросить написать как вы днс в порядке поддерживаете?
                                                                                                                0
                                                                                                                извиняюсь за оффтопик.
                                                                                                                я линуксоид. DC на самбе. ADа боюсь, хотя групповые политики хочу очень.
                                                                                                                как я понимаю, под капотом AD лежит обычное LDAP дерево.

                                                                                                                наколько принципиальна API-обвязка этого дерева на сервере?
                                                                                                                тоесть — пользуются ли winxp, win7 рабочих станций каким-то особенным сделано-в-ms протоколом для доступа к AD, или им хватит протокола ldap, а значит полноценный AD вполне можно замутить на линуксе и openldap?

                                                                                                                  –2
                                                                                                                  >Каждый раз удивляюсь, когда знакомые админы, которые абсолютно без проблем работают в linux теряются и не знают что делать, когда сталкиваются с администрированием домена AD.

                                                                                                                  Зачем *nix админу, который без проблем работает в своей системе, администрировать AD? Это уже эникей, а не админ.
                                                                                                                    +1
                                                                                                                    Огромное спасибо за статью.
                                                                                                                    Видимо я из тех «самых маленьких админов».
                                                                                                                    Переименовывал компы, но как всегда у мс не все гладко. Так и не переименовались некоторые компы.
                                                                                                                    Кстати, одинакового(username/password) админа можно через ГПО на все компы создать.
                                                                                                                    И советую всем почаще в ГПО заглядывать… там много интересного каждый раз попадается :)
                                                                                                                      +1
                                                                                                                      ещё весьма позезно повключать рдп не вставая с кресла. тут простенький скрипт.
                                                                                                                        +2
                                                                                                                        «создайте в дереве AD папку Companyname_Computers, а в ней — подпапки с именем — названием отдела. Это небольшое действие избавит вас от многих проблем в будущем. „

                                                                                                                        На этом читать дальше не стал. ADUC — не Explorer, чтобы раскладывать по “папкам». Смысл создавать OU есть только в 2-х случаях:
                                                                                                                        — Когда предоставляете специфические на эти юниты (например региональным админам дать права на сброс пароля)
                                                                                                                        — Когда накатываете разные GP. Делать разные политики для отдельных отделов, в общем случае, бессмысленно.

                                                                                                                        Во всех остальных случаях не распространяйте свои привычки десктопа на AD, только запутаетесь.

                                                                                                                        «что бы правильно переименовать компьютеры лучше всего воспользоваться системой уникальных идентификаторов, наклеенных на компьютер» — это начинает терять смысл уже при нескольких сотнях компов. При 2-3 тысячах, как у меня было года 3 назад, это не мешает, но и не помогает. При 30000, как сейчас, есть смысл использовать только префиксы регионов.
                                                                                                                        И в любом случае логичнее прописывать дополнительные атрибуты у объектов компьютера в AD (там есть и Location, и Manager и все остальное, что может понадобиться). Все эти параметры можно легко поменять, в отличие от переименования компьютера.
                                                                                                                          0
                                                                                                                          Свои 5копеек. Наклейки хорошо, но BgInfo проще и быстрее. По поводу именование машин… мне кажется самый правильный использовать префикс устройства и инвентарный номер. Пример:
                                                                                                                          ws-0000022 рабочая станция
                                                                                                                          nb-0000033 ноутбук
                                                                                                                          srv-0000123 сервер
                                                                                                                          prn-0000124 принтер
                                                                                                                          При разветвленной сети филиалов можно добавить префикс региона.
                                                                                                                            0
                                                                                                                            pspasswd \\camputername Administrator Password — исправьте, а то ведь так и будут набирать!

                                                                                                                            Only users with full accounts can post comments. Log in, please.