(50) - параметр в групповой политике Interactive logon: Number of previous logons to cache (in case domain controller is not available).Проверьте, применилась ли эта политика на Win11. Вы говорите о том, что этот параметр задан политикой на сервере. А дошла ли эта политика до ноутбуков - неизвестно.
После запуска бэкапов, пустит под старым паролем или выпадет в какую-то ошибку ?Звучит, как после новогоднего бокала шампанского, :) но по смыслу предполагаю, что под "запуском бэкапов" подразумевается "восстановление из бэкапов". Если так, то пустит под старым паролем при доступности восстановленного AD DC; но если контроллер по какой-то причине будет недоступен, то зависит от состояния кэша логинов - можно представить ситуацию, что до бэкапа совершался логин уже с новым паролем и после восстановления при недоступности контроллера пустит локально по кэшу с новым паролем;
Есть ли способ обойти это?Монтировать \\fileserver\UsersData\ в папку, которую не видит пользователь (ну как не видит, прав на чтение нет, а права на исполнение нужны), а потом оттуда надёргать символьных ссылок на подпапки, которые должны быть доступны и показать пользователю только эти символьные ссылки. Про хреновую безопасность уже сказали в комментариях и при таком варианте она не хуже и не лучше, наверное.
Пользователь появляется в членах группы, но не получает права на ...Чтобы права появились, пользователю нужно перелогиниться - выйти из системы и снова зайти под своим именем. Это не зависит от Active Directory, это не зависит от Powershell. Тот же принцип работает, даже если пользователь локальный и вы добавите его в групу вручную без скриптов - перелогиниваться всё равно нужно, что права группы подействовали.
_______________|__________
| |
работа работа
приложения приложения
удалённо локально
(отказались) ________|____________
| |
приложение приложение
на сетевой шаре установлено локально
_________|________ (нам сюда)
| |
скорость сети требуется
устраивает более быстрая сеть
(нет) (не сейчас)по ряду причин от терминального сервера принято решение отказатьсяМожно догадаться, что причины политического, а не технического характера. А также можно догадаться, что принятое решение не подлежит пересмотру (для политических решений это характерно).
потому что недоступен domen.local. Хотя командой пинг я вижу отклик от старого домена domen.local
Команда nslookup не видит domen.local
переехали другой офис одного и того же холдинга,то имеет смысл сразу навести порядок с DNS - подружить DNS domen2.local c DNS domen.local. Чтобы DNS domen2.local знал, куда форвардить запросы про domen.local.
1024-65535/TCP/UDPНе надо фильтровать по номерам исходящих портов (Client Port). Вернее, такого рода фильтрация требуется в очень редких случаях и при полном понимании, что именно она требуется; у вас не такой случай. Фильтруйте только входящие пакеты по номерам входящих портов (Server Port).
поменять сервер Windows Server 2008 на новое железо с Windows Server 2019 (БЕЗ миграции настроек, из-за большого количества глюков)Не вполне ясно, что значит "без миграции настроек". Означает ли это, что хотите поднимать новый домен? Если да, то вам придётся заново заводить в домен каждый компьютер, заново заводить каждого пользователя, переносить файлы каждого пользователя на каждом компьютере. Куча работы, и непонятно, есть ли в ней смысл.
для нормального отображения логов в AD(например кто последний удалил/редактировал файл)Вы уже настроили advanced audit policy, чтобы в принципе велись те логи, которые хотите "нормально отображать"?
Скрипты и самописы не предлагайте, это достаточно неудобноТ.е. хотите платное ПО.
Или я упустил какой либо важный момент?Упустили. Случился какой-нибудь мелкий сбой и виртуальная машина не запустилась автоматически при старте железного сервера. Вы хотите разобраться в проблеме, а вас на терминальный сервер не пускает, потому что контроллера домена нет (и так совпало, что под админской учётной записью за последний месяц не логинились)... Ничего совсем уж безвыходного в такой ситуации нет, но цена огорчает: весь офис на ушах стоит, начальство злится, админ взмыленый бегает...
чисто в теории, пользователи которые заходили на него под локальной учёткой, так и смогу заходить, а я уже смогу постепенно создавать доменные учётки, и так же постепенно избавляться от локальных.Это верно. Можно постепенно.