Sasha Odarchuk

Вообще есть пара более удобных инструментов для этого - Active Directory Migration Toolkit (ADMT) и Password Export Server (PES). Первый везет группы, пользователей, компьютеры и настройки безопасности локальных профилей, второй - собственно пароли.
Успешно смигрировал с их помощью примерно 6000 пользователей

Ну так вы же рулите пулом. Не помещайте в пул те адреса, которые заданы статикой. Иначе откуда DHCP может знать, что вы их задали статикой?
Микротик тут не при чём, точно так же поступал бы DHCP-сервер на любом другом устройстве.

Работая в некой организации-провайдере на букву М, сделал мониторинг сети gpon в виде карты. Маркер - это отдельный порт на олт. Если маркер серый - на порту нет активных онт. Так же есть возможность нанести схему распределительной сети. Всё сделано на php, js + ajax.
Данные снимаются с олт по snmp каждые 5 минут, есть история количества онт на каждом порту за сутки.
Можно ещё много чего навертеть, но я оттуда уволился, т.к. платили копейки.

1. Удаленно настройками раскладки клавиатуры можно управлять только через реестр. В групповых политиках даже Windows 2008 r2 нет параметров для управления этим. Тогда есть два варианта: использовать скрипты (Visual Basik или PowerShell) или просто создать файл реестра. Я выбрал файл реестра, так как с VBS не дружу а PS еще не на всех машинах есть.

2. Пишу .reg файл, который потом нужно будет импортировать на все машины в домене. В принципе даже не столько пишу, сколько собираю информацию из разных веток реестра правильно настроенной машины. Получаю такой файл:


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Keyboard Layout\Preload] //ветка реестра, отвечающая за языки пользователя, вошедшего в систему. (1- по умолчанию)
"1"="00000409" //английский
"2"="00000419" //русский
"3"="00000422"//украинский

[HKEY_CURRENT_USER\Keyboard Layout\Toggle] //ветка реестра, отвечающая за сочетания клавиш при переключениии языков
"Language Hotkey"="2" //Смeнa coчeтания клaвиш пepeключeния мeжду языкaми ввoдa. (2-CTRL+SHIFT; 1-ALT(слева)+SHIFT; 3-отключен)
"Hotkey"="2" //Смeнa coчeтания клaвиш пepeключения pacклaдки клaвиaтуpы и переключения между языками
"Layout Hotkey"="3" //Смeнa coчeтания клaвиш пepeключения pacклaдки клaвиaтуpы.


[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload] //ветка реестра, отвечающая за языки при входе в систему (ввод логина\пароля)
"2"="00000419" //русский
"3"="00000422" //украинский
"1"="d0010409" //английский

Вот такой файлик получился. Обзываю его как нибудь test.reg. Дальше надо заставить все компьютеры в домене добавлять информацию из этого файла в реестры.

3. На контроллере домена идем по адресу %systemroot%\SYSVOL\domain\Policies\{GUID Policy}\USER\Scripts\Logon и кладем туда test.reg. Я применял этот сценарий к Default Domain Policy.

4. Октрываем редактор управления групповыми политиками нужной групповой политики. Идем Конфигурация пользователя\Политики\Конфигурация Windows\Сценарии\Вход в систему Жмем кнопку "Добавить". В поле "Имя сценария" пишем regedit.exe, в поле "Параметры сценария" пишем /s test.reg. и сохраняем данные. Все готово.

В одноранговой сети - бегать по компьютерам и настраивать.
Бегать можно ногами, а можно удаленно подключаясь или даже использовать софт вроде Ansible.

Если есть домен там попроще - все настройки делаются в одном месте, никакого стороннего софта не нужно.

хочу чтобы на моем компе стояла прога которая конролировала все

А, видел такую.
Не помню как называется но отличная программа.
Там всего одна кнопка - "Сделать все!"
Нажали и она все делает.

windows server исключается т.к пока не планируют покупки...

Правильно!
Зачем нужен windows server если дешевле нанять нескольких админов которые будут бегать и менять настройки.
Как только оплата труда админов становится дороже покупки сервера - его покупают.
Логично и экономически обоснованно.

Физически объедините сети роутером, изолируйте эти три подсети на нем по необходимости, но обеспечте всем трем доступ к контроллеру.

Запрет можно выставить, но с правами администратора его легко убрать.
Стандартными средствами Windows - никак.

Это вопрос не инструмента, а методологии. Для ответа на него, надо понять, кто будет на схемы смотреть.
Мой опыт показал, что на детальные сетевые схемы не смотрит никто: они излишне перегружены, на них тяжело искать информацию, они огромны (попробуйте нарисовать на одной схеме хотя бы два 48-портовых коммутатора с полностью расключенными портами), не поддерживаю версионность, тяжело редактируемы (попробуйте добавить хотя бы один линк на схему с 50тью шнурками, уверен, вам придётся много чего подвигать)., а отсюда вытекает, что их редко поддерживают в актуальном состоянии.
Поэтому верное решение при ведении РАБОЧЕЙ документации - это сочетание схем и таблиц. Схема делается одна на типовое решение, а к ней добавляется таблица с учётом портов, IP-адресов, патчкордов и тд.
Для чего нужны детальные схемы?
Во-первых, они используются как тех. задание для организации подключения. Например, в подключении участвуют 12 разных подразделений, с ним надо согласовывать работы. Но если вы сам себе админ и подключаете для себя без привлечения третьих лиц, они вам не нужны.
Во-вторых, для тех поддержки. Но тех. поддержка работает с конкретным пользователем. То есть ей нужен один сервис. Но в мелких организациях админы сами являются тех поддержкой и все знают. Да и готовы ли вы держать отдельную схему на каждый компьютер? Опять же, такие схемы хороши, когда в организации сервиса принимают участие несколько отделов или компаний. Например, в моей типовой схеме при спутниковых включениях участвуют 12 отделов со своими сегментами сетей. Для этого нужна схема.
В-третьих, для работы с внешними организациями. В первую очередь это операторы. Но часто ли они у вас меняются? Для этого достаточно нарисовать одну схему раз в год с четырьмя портами и забыть.

Казалось бы, схемы должна смотреть дежурная смена. Но она смотрит на карту на заббиксе, нагиосе или другом инструменте мониторинга.

Теперь про инструменты. Они все выбираются в зависимости от масштаба сети и количества изменений в ней за определенный отрезок времени. Я приведу список инструментов, которые используются по возрастанию размеров сети, частоте изменений на сетевых элементах и количестве организаций, вовлечённых в эти изменения.
1) для совсем мелких организаций это draw.io для схем и гугл докс для таблиц.
2) далее офисный набор Микрософт, включая визио.
3) далее к офисному пакету добавляется система мониторинга или управления
4) вики-движки и CMDB
5) для ещё более крупных выделенные инструменты типа IPAM и NRI

P.S. Это касается рабочей документации. К исполнительной и проектной другой подход.

В общем сам разобрался, проблема как всегда оказалась в самом простом, а именно неверно настроенных правилах файрволла. Разрешающие правило было ниже оного запрещающего. Урок для себя, и напоминание для других - проверяйте огнестену. Ставить как ответ думаю не стоит, так как сам дурак :)

На не правильный вопрос нельзя получить правильный ответ. В формулировке вопроса вы связываете 100% загруженности сервера с повышением производительности. В действительности же наоборот, чем выше нагрузка тем больше шансов словить операциями ожидания оборудования и замедлится. Т.е. первое что вы должны сделать это отказаться от концепции "загрузить под 100% процессор" чтобы улучшить производительность.

Для вашего процессора результаты нашего теста могут достигать 40 баллов.

Тест интегральный, то есть показывает суммирующий результат всех факторов. Таких факторов много. Именно поэтому это не тест для конкретного компонента. Чистую скорость отдельного компонента тест не покажет. Влияние дисков оценить можно но не надо например замерять скорость дисков этим тестом. Влияние дисков на общую скорость 1С и скорость дисков это не одно и тоже.

Ну и очевидный не для всех момент - тест надо делать когда нет нагрузки на сервер.

На результаты теста могут влиять
процессор (частота)
BIOS (turboboost и т.п.)
планки памяти (частота, расположение по каналам)
Гипервизор - схема электропитания, динамические ресурсы, приоритеты
ОС Windows - схема электропитания, квотирование dfss | Linux - Power saving
версии платформы 1С:Предприятие 8
версии субд
скорость диска, где размещена база
скорость диска, где размещена tempdb (если MS SQL Server)
скорость диска, где размещены кластер 1С, профиль учетки службы 1С, темпы
канал взаимодействия между 1С и субд: Shared memory | скорость сети
зеркалирование

Соответственно по списку начните с настройки биоса и убедитесь с помощью CPU-Z что частота процессора работает стабильно работает в турбобусте.

Если же Вы наблюдаете только периодическое замедление любых операций, то замерьте скорость реакции в свойствах рабочего процесса. Например при достижении 80% оперативной памяти в редакции ПРОФ сервера 1С происходит общее торможение. Подобные эффекты бывают при рестарте рабочих процессов или падении (поищите поиском *.mdmp файлы как признак падения). Наконец можно общее замедление словить запустив много фоновиков (сбросьте все фоновики в момент подвисания или вообще заблокируйте их старт). Выключите антивирус если есть.

Производительность коммутатора измеряется не пользователями

OWA используйте

Правильный ответ.
Полноценной замены нет.
Все которые видел обеспечивают только какую-то часть функционала.
---
Ибо тем кому реально нужен у них есть деньги и они его купят.
А у тех у кого нет он как бы и не нужен.

А если кто-то из заказчиков просит и говорит что у него денег нет, значит не стоит с ним связываться так как у этого нищеброда денег на оплату ваших услуг потом не найдется.

От того что вы о нём узнаете, хуже не станет.

Ок, давайте рассмотрим вопрос в различных аспектах. Прежде всего, не будем вдаваться в подробности того, почему такой вопрос вообще возник. Может у компании аудит на горизонте, или бюджеты не освоены или у CTO ачивка намечается. А отдуваться админу, конечно.

Тут уже написали, что Windows подход не работает, но это не совсем так. Устроить огораживание на Mac можно, но это уже неэффективно. И это первая ошибка в подходе закоренелого Windows-админа, воображение которого волею судеб оказалось заперто в рамках того, с чем он привык работать.

Отдельно добавлю, что формулировки вопросов на Тостере сегодня показывают грустную картину отсутствия инженерного подхода. Ну да ладно.

Итак.

Менеджмент Mac
Все как привыкли? gpupdate запустил и счастлив. Если у AD есть свои политики и механизмы, то Apple со своей стороны сделало свои, которые работают только под управлением сервера MDM, который вы можете реализовать самостоятельно, потому что это, по сути, веб-сервер и БД, которые для доставки используют APNS. Функционал MDM ограничен тем, что добавило в него Apple. И каждый год он обновляется. Где-то он круче AD, где-то нет. Например, для 10.15 добавили Activation Lock. Что касается коммуникации с сервером - вы не привязаны к конкретному офису, достаточно доступа в Интернет. А так как команды “прилетают” через Push - о NAT думать не надо.

Но не политиками едиными. На Windows мы ещё и скрипты используем, батники запускать любим. А что с MDM? Сам по себе сервер MDM скрипты не выполняет, но решения MDM, которые продаются сегодня, (Jamf, Workspace One, Mobileron, Filewave, Fleetsmith...) предлагают возможности установки агента, который будет эти функции выполнять. И заметьте, что скрипты полностью не перекрывают функционал MDM, это заблокировано на уровне системы в целях безопасности.

Что касается интеграции с AD, Azure AD, Microsoft 365 - решения есть (Nomad, Jamf Connect), но это уже надстройки к MDM.

Задача (задачи?) минимум
Подключение
Вы же на Windows не через механизмы AD подключаетесь (если отбросить аутентификацию и авторизацию), а через определенный протокол, который обеспечивает определенная служба, которую можно включить вручную или через AD. На Mac почти также, просто протокол другой.

Блокировка
Это зашито в протоколе MDM и Works like magic. Но желательно к этому включить пароль прошивки и Activation Lock

Задача (задачи) максимум
Централизованный сетап пк с macos возможности схожие с AD
С настройками разобрались, теперь надо ставить ПО. MDM ставить PKG не умеет (ну почти), поэтому пользуемся решениями вендоров, которые по сути выполняют команды в терминале. Учимся паковать Skype в PKG, меня настройки, боремся с TCC, UAKEL и что там еще...

Соответственно читаем:
Apple Device Managemnet за авторством Charles Edge и Rick Trouton
Если сложно - можно и Arek Dreyer почитать
Bash Cookbook
Python
Про упаковку приложений в PKG

САМЫЙ ВАЖНЫЙ АБЗАЦ
Когда мы (мак-админы) объясняем Windows-админам то, как происходит современное управление устройствами Apple, у последних (у админов) происходит катарсис и в лучшем случае просветление.
Почему? Потому что в современном мире вы не даете все права, а потом отбираете их по кусочкам. Вы даете пользователю только то, что ему требуется для работы. Это нелегко понять, особенно с первого раза.

Windows админы для скриптов вы ещё юзаете JavaScript ?

Чего? Когда был админом, то ни разу, никогда и ни при каких условиях не использовал его.
Даже не могу кейс придумать такой.

Отдельный поддомен с туннелированием трафика. На серверах - доступ только или с ip-"туннеля", или только после авторизации "туннеля" на запрашиваемом сервере (если необходимо сервера открыть в паблик, как сейчас; лучше - не держать их в паблике!).

Это когда надо камплюхтер починить или картридж поменять - мы не сисадмины. А если поздравить - то пожалуйста.