«создайте в дереве AD папку Companyname_Computers, а в ней — подпапки с именем — названием отдела. Это небольшое действие избавит вас от многих проблем в будущем. „
На этом читать дальше не стал. ADUC — не Explorer, чтобы раскладывать по “папкам». Смысл создавать OU есть только в 2-х случаях:
— Когда предоставляете специфические на эти юниты (например региональным админам дать права на сброс пароля)
— Когда накатываете разные GP. Делать разные политики для отдельных отделов, в общем случае, бессмысленно.
Во всех остальных случаях не распространяйте свои привычки десктопа на AD, только запутаетесь.
«что бы правильно переименовать компьютеры лучше всего воспользоваться системой уникальных идентификаторов, наклеенных на компьютер» — это начинает терять смысл уже при нескольких сотнях компов. При 2-3 тысячах, как у меня было года 3 назад, это не мешает, но и не помогает. При 30000, как сейчас, есть смысл использовать только префиксы регионов.
И в любом случае логичнее прописывать дополнительные атрибуты у объектов компьютера в AD (там есть и Location, и Manager и все остальное, что может понадобиться). Все эти параметры можно легко поменять, в отличие от переименования компьютера.
Да, но «Каждому подразделению выделяем Organizational Unit в соответствии с иерархией организации» — это слишком много OU. Во всяком случае в больших компаниях.
Я не говорю, что они вообще не нужны, просто надо меру знать :)
Основное назначение OU — разные групповые политики и делегирование прав.
В случаях когда права делегировать не нужно, политики правильнее накатывать группами, а не юнитами.
Если Вы не планируете на каждое подразделение выдавать права разным людям, то и затевать раскладывание УЗ по «подпапкам» нет.
«Каждому подразделению выделяем Organizational Unit в соответствии с иерархией организации. Распихиваем пользователей по OU.» — ерунда. Пользоваться консолью управления AD как проводником бессмысленно. Единственное назначение OU — разные групповые политики. Все равно пользователей ищете поиском, а не по юнитам.
Вот в группы включать — правильно. Тогда групповые политики нужно накатывать на верхний уровень. И указывать в security filtering требуемую группу. Тогда не нужно смотреть, в какой OU помещена УЗ, а достаточно включить в нужную группу для отката требуемой политики.
Это такой специальный тред, где фанаты выньмобайл могут успокоить себя?
Почти 3 года подряд хаяли яблофон за монозадачность, невозможность ставить софт не через апстор, свистоперделки и прочую чушь
А теперь, получив все тоже самое, кричать о какой-то мифической «победе мелкомягких над яблоком» — на мой взгляд попахивает горячечным бредом :)
Согласен. Это действительно бредовый сайт.
И яндекс вполне справедливо его не индексирует. Никакая это не ошибка агента.
Контент сайта однозначно попадает под правило "«автоматически сгенерированный (бессмысленный) текст»".
На этом читать дальше не стал. ADUC — не Explorer, чтобы раскладывать по “папкам». Смысл создавать OU есть только в 2-х случаях:
— Когда предоставляете специфические на эти юниты (например региональным админам дать права на сброс пароля)
— Когда накатываете разные GP. Делать разные политики для отдельных отделов, в общем случае, бессмысленно.
Во всех остальных случаях не распространяйте свои привычки десктопа на AD, только запутаетесь.
«что бы правильно переименовать компьютеры лучше всего воспользоваться системой уникальных идентификаторов, наклеенных на компьютер» — это начинает терять смысл уже при нескольких сотнях компов. При 2-3 тысячах, как у меня было года 3 назад, это не мешает, но и не помогает. При 30000, как сейчас, есть смысл использовать только префиксы регионов.
И в любом случае логичнее прописывать дополнительные атрибуты у объектов компьютера в AD (там есть и Location, и Manager и все остальное, что может понадобиться). Все эти параметры можно легко поменять, в отличие от переименования компьютера.
Я не говорю, что они вообще не нужны, просто надо меру знать :)
В случаях когда права делегировать не нужно, политики правильнее накатывать группами, а не юнитами.
Если Вы не планируете на каждое подразделение выдавать права разным людям, то и затевать раскладывание УЗ по «подпапкам» нет.
Вот в группы включать — правильно. Тогда групповые политики нужно накатывать на верхний уровень. И указывать в security filtering требуемую группу. Тогда не нужно смотреть, в какой OU помещена УЗ, а достаточно включить в нужную группу для отката требуемой политики.
Почти 3 года подряд хаяли яблофон за монозадачность, невозможность ставить софт не через апстор, свистоперделки и прочую чушь
А теперь, получив все тоже самое, кричать о какой-то мифической «победе мелкомягких над яблоком» — на мой взгляд попахивает горячечным бредом :)
И яндекс вполне справедливо его не индексирует. Никакая это не ошибка агента.
Контент сайта однозначно попадает под правило "«автоматически сгенерированный (бессмысленный) текст»".
bash.org.ru/quote/399811
А разрешение на клонирование спросили?
Извините, просто резануло глаз.