Два варианта - первый - несуществующий пользователь, либо пользователь из домена\леса, с которым потеряны трасты.
Второй - не успевает\нет возможности определить имя пользователя по SID. Например недоступен Global Catalog.
Все зависит от того, для чего вам нужна лицензия.
Если для того, чтобы использовать Windows Server на серверах без виртуализации - то уточните у Hetzner, что для них будет подходящим.
Если для того, чтобы обезопасить себя с точки зрения проверок российских органов - то это другое.
Алексей Кухаричев, ответ на вопрос - один лес или два - это ответ на вопросы - разные ли это организации или нети могут ли они гипотетически быть полностью разделены (например одна организация продана другому собственнику и т.п.) или нет.
!!! Если у вас еще нет как минимум второго контроллера домена - вы уже хотите по лезвию ножа-так что можете делать.
А если серъезно - да - то, что вы описываете - возможно.
Стоит учитывать, что обычно контроллеры домена несут еще и службу DNS - и если у пользователей этот контроллер указан как сервер DNS - они могут потерять доступ к DNS.
Но может стоит просто остановить и выключить временно службу ADDS и связанные с ней?
Не заметил требования об удаленном восстановлении.
В таком случае (в случае отсутствие ILO, IPMI, BMC) IP KVM будет самым дешевым вариантом, чтобы зайти в биос и загрузиться с носителя.
dflbrhekbn, нет не важно, где лежит группа. Важно, к какому OU прилинкована GPO, и находятся ли объекты, которые находятся в Security Filtering этой GPO (напрямую или через членство в группах), в этом OU.
Для добавления принтеров можно использовать Preferences, у которых есть свой инструмент фильтрации применяемых объектов - Item-Level targeting. С его помощью вы можете разные значения Preferences применять к разных объектам-и всё это в одной политике GPO, у которой в Security Filtering нет ограничений и стоят Authenticated Users.
Deka007, сначала вам нужно чтобы пакеты из Интернет дошли до сервера. Если у вас на нем не публичный ip - нужно делать проброс порта на роутере, который смотрит в Интернет.
А правило можно открыть и для всех, а не только для определенных подсетей.
Deka007, не обратил внимания на LIMIT - у вас видимо порт 3124 открыт не для всех. Нужно открыть соединения на этот порт для подсети, из которой подключаетесь.
По умолчанию ssh слушает на всех портах, но можно это проверить в /etc/ssh/sshd_config.
Далее нужно проверить, открыт ли порт в firewall (iptables или nftables) снаружи.
Поищите, возможно есть официальные sizing requirements от MS по RDP, но что-то сомневаюсь.
Как вариант - вы всегда можете использовать второй сервер и запустить ферму из двух серверов, используя перемещаемые профили пользователей. Тогда вы сможете нагрузку распараллелить.
Ну или просто перевести часть пользователей на второй сервер.
Второй - не успевает\нет возможности определить имя пользователя по SID. Например недоступен Global Catalog.