Александр Слыжук

Есть directory services для Linux, например FreeIPA https://www.freeipa.org/ - c централизованным управлением и пользователями и серверами.
Вариант проще - это менеджмент с помощью ansible.

Никто через реестр уже не делает.
Для изменения настроек прокси есть стандартные настройки в GPO Preferences, например тут
User Configuration -> Preferences -> Control Panel Settings -> Internet Settings

Честно говоря, ничего не понял. Что за ошибка?
Ну вы зайдите в веб-морду, снесите старого адресата в адресной книге и создайте, с нуля, нового. Раз вы с панели аппарата отправляете.

добавлю лишь ссылку на утилиту autoruns от Марка Руссиновича. удобное средство смотреть что в винде запускается по умолчанию.

Ну ubuntu\debian....
TFTP должен поддерживать в первую очередь Ваш роутер...

Из готового посмотрите openMediaVault
В том числе есть виртуалки и докер...
Там же ничего не мешает поднять там же на голом железе некстклауд и перенастроить веб сервер для работы некстклауда и веб интерфейса

Разобрался. Ребята из НР подсказали куда копать. Первый раз такое вижу - но факт.
Короче, бывает что у МФУ один МАС. Чудеса, но у меня таких три штуки оказалось.
Вот по этому и тупило, т.к. у меня IP по DHCP с привязкой к МАС.
Решилось комплексом мер.
1 - Как писал TheBigBear (учитывая, что он прав и подсказал, как поработать с ТП НР отмечу ответом) - порт прямой, по IP.
2 - Статический адрес в МФУ.
3 - Убрать из DHCP тот диапазон IP, который будет назначен МФУ.

• 0. Всегда (на все три вопроса). 800 устройств в одном домене коллизий, это [censored] и полный ступор.
  
• 1. Да. Но нет. Все в одной подсети - бред и никакого смысла.
  
• 2. Немаршрутизируемые в Интернет адреса (bogon networks). Я бы делал подсети в 172.16. Но это дело вкуса.
  
• 3. Ни разницы, ни усложнения нет и в помине. Стандартности тут тоже никакой.
  
• 4. Каждую подсеть в свой VLAN. Ибо нефиг.
  
• 5. Серверы в отдельных подсетях. Причём не одной. Что делать серверу видеонаблюдения в подсети бухгалтерии?
  
• 6. Стройте схему на основании потоков трафика, а не по некоему мистическому наитию.
  
• 7. Не у телефонии, а у некоторых коммутаторов есть специальная работа с VoiceVLAN. да, только экономия портов. Если не работал - то и не связывайся. Потом поэкспериментируешь.
  
• 8. По требованиям безопасности сеть видеонаблюдения вообще должна быть по возможности физически отделена от пользовательской. Отдельные коммутаторы и кабельные линии. да и трафика они генерят - могут забивать каналы, оно надо? То же и с линиями охранно-пожарной сигнализации - но тут строго, никаких "по возможности".
  
• 9. Сервер печати. И да - он и принтеры в отдельном VLAN.
  

Ставим L3 коммутатор, который будет рулить потоком, его же добавляем в качестве шлюза.

Ставь сразу нормальный маршрутизатор.
Потому что коммутатор, хоть и L3, тебе ничего не даст во вменяемой форме - ни статистики, ни управления, ни наблюдения.

ldap не подходит?
можно попробовать сервак на Zentyal...

Ну, для начала - нужна нормальная post-карта, которая будет показывать на каком коде зависла загрузка (по факту - какой компонент мешает запуститься).
Касательно железок. На начальном этапе достаточно будет 2-3 (некоторые матери могут не хавать ту или иную память) планки оперативы каждого типа (ddr2/3/4), 1-2 видюхи-затычки (условно gtx 250-450. Можно, в теории и ниже - но там шанс словить труп выше). Касательно процов сложнее, т.к. куча разных сокетов, но если говорить о относительно старых матерях (которые скорее всего и будут тащить в ремонт), то дешевые камни (условные селероны/атлоны (емнип)) под них можно найти довольно дешево (если не на авито(olx), то у китайцев).
Плюс, скорее всего, после ремонта могут оставаться комплектующие (я не про тыренье, а к примеру, нужно "прокачать" железо, вы (или клиент) покупаете новые. А старые можно либо забрать по сходной цене, либо вообще даром (бывает и такое))

80% работы и обучения - рутина, бесконечная и муторная работа с бумажками, зарплата колеблется около 20к в районах,

Не бывает "средней температуры по больнице". ИБ - это огромная область, в которой десятки направлений, которые делятся еще на десятки поднаправлений.
Все очень зависит от того, где работаешь - в одного в конторе в сотню-другую рыл, в небольшом отделе в конторе человек на 500 или в Сбербанке, например.
Чем меньше контора - тем ширше круг обязанностей, чем больше - тем уже. В небольшой конторе ты можешь быть не очень связан регламентами, тем более, что половину из них тебе же и писать. В Сбере у тебя и 100% времени может уйти на регламенты.
Со стороны в ИБ можно попасть только в контору типа Сбера - где ты долго будешь расти внутри подразделения. В небольшой конторе рыл на сотню-две - ИБ-шник (если он вообще есть) как правило один, максимум два и занимается он всем и имеет доступ всюду и ждут от него решения всего, в том числе весьма неприятных вопросов (например просмотреть сто тысяч (это не оборот речи - их реально было сто тысяч!) фотографий и удалить компроментирующие определенного человека).
Работу админа он должен знать лучще админа - потому что ему их контролировать приходится.
Работу юриста - в определенной области законодательства - не хуже юриста
Работу психолога - не хуже психолога средней руки (ИБ это далеко не всегда про компы. ИБ зачастую про людей)

Здесь нет никакой романтики. Здесь нет никаких эмоций - только суровая безжалостная правда, которая крошит иллюзии безжалостно, когда ты видишь на оперативном мониторе СМП, что девочка с ресепшн, о кторой ты втайне мечтаешь, переписывается с мальчиком из продаванов, и при этом матерится как сапожник и собирается отдаться за покатушки на тачке...
Это скучная, рутинная работа, где много микротиков (или цисок, или даже фортигейта), много конфигов прокси и правил iptables, много логов и их анализа, много СМП/DLP и никакой хакерской романтики

Да, ИБ, это тоже самое, что и безопасность труда или пожарная безопасность и т.д., это вообще не про хакеров и подобную романтику которую показывают в кино. Это бумажки, тонным бумажек, куча ведомственный регламентов, распоряжений и инструкций весьма сомнительного качества, часто противоречивых, на основании которых вам нужно генерировать свои тонны бумажек и журналов, собирать подписи об ознакомлении и т.д.

Практический инфобез, имхо такой специальности на данный момент не существует в природе, люди в нее приходят из разных направлений и нет никакой программы обучения, поскольку эта область очень обширна.

Важный момент, если говорит именно о выделенной деятельности в области информационной безопасности, то часто вакансии будут не выездными.

100 машин без АД?) Уже что-то пошло не так..

Если без GPO и прочего, то PowerShell в помощь. Подключаете через скрипты локально принтер по ip-адресу, проблем возникнуть не должно.

Наверное менял вручную через 'Редактор реестра'. Но команда netsh int ipv4 set glob defaultcurhoplimit=65 всё ещё работает.

Камера может быть банально отключена в ОС. Пройдите по цепочке Параметры - Конфиденциальность - Камера (в левой колонке), и посмотрите, включена ли она. Если выключена - включите (там для этого есть кнопка "Изменить" или движок). Ниже располагаются движки, позволяющие разрешить/запретить доступ к камере для отдельных приложений.
Это же касается и микрофона.

Я знаю что local это не правильно.

Не надо повторять за кем-то догмы. Почему .local это не правильно? У 0.1% компаний сетевая инфраструктура организована так, что с .local они наступят на грабли. У остальных 99.9% никаких проблем нет и не будет. И это не "рулетка", адекватный админ точно знает, что в его сети нет Zeroconf. Совет от Microsoft не использовать .local - это совет "специалистам", которые понятия не имеют, что творится у них в сети. На всякий случай, чтобы имеющийся бардак не стал ещё худшим бардаком.

Если организация настолько большая, что требуется выделение отдельных, администрируемых независимо другими людьми зон (филиалов, отделов) - то да, лучше сразу задуматься о доменах третьего уровня.

Если организация настолько большая, то рядом с вами будут несколько опытных коллег, которые не абстрактно, а на реальной конфигурации объяснят, почему были приняты те или иные решения (домен 3-го уровня или 2-го уровня и многое другое). Microsoft даёт некоторые рекомендации, но они (рекомендации) не заменят мозги админа. Это даже не best practices, это точка, с которой можно начать, когда нет опыта. Но эти рекомендации не помешают наступить на грабли (другие), вот пример из недавних вопросов здесь же: https://qna.habr.com/q/1046186

Есть домен (AD), основной DNS суффикс домена - company.ru...
...
Недавно в зоне RU регистрируется доменное имя - company.ru. Зарегистрировано не нами...

Занавес.
В случае .local такой проблемы не было бы. Делаем вывод: бездумное следование рекомендациям не спасает от проблем. Даже если бы они сделали домен 3-го уровня corp.company.ru, это бы их не спасло.