MVV, да Kerberos, и лечатся, да. Но вручную и на кажом контроллере. И это неприятно. И будет простой всей конторы. Причем настигает проблема не сразу, а через некоторе время после возврата в сеть такого КД.
В общем целесообразнее про такую ситуацию знать и предусматривать заранее. Исключая полностью саму необходимость в возврате в сеть именно КД. Умерла так умерла.
З.Ы.
А еще хуже, когда блудный сын в сеть он возвращается "сам", например после поднятия долго лежащей связи удаленного сервера. :)
Но никогда не подключайте к сети контроллеры, которые были в длительном простое.
Они могут внутри себя обновить ключи шифрования и притащить их с репликацией. После чего домен упадет.
Но это примерно от месяца простоя.
Иногда помогает, иногда нет.
Как правило если ноут идет с завода на винде, и версии без ОС вообще нет в линейке - то может быть такая фигня, что ключи для линукс не прописали.
Если ноут шел с FreeDOS и т.п. - то 100% будет всё ок.
В запущенных случаях доходит до добавления своего ключа.
Именно так ведет себя штатно - например Микротик, но адептов культа свидетелей Микротика - это не пугает.
Стоит начать с раскуривания мануала, читать и думать.
Вот по этому и выдают корпоративные. С личными существонно заморочнее реализовать. Настолько, что проще купить и выдать.
Но можно.
Как при использовании личного автомобиля...
Подписали договор - используется личный комп. За вознаграждение. Рабочее время с 9 до 18, обед с 13 до 14. В рабочее время обязан работать. В рабочее время производится контроль компа (и что личный комп - тут уже не влияет, контролируется РАБОТА). Есть ключ лицензии, допустим Нанокад, использовать выданную софтину можно только по работе (она не твоя). Обязан поставить немного крутого софта от работодателя, наблюдение, доступ админа, VPN, мессенджер, почта и т.п.
Если возникла такая необходимость - можно и переработки вечерами. Но. При запуске Нанокада за пределами рабочего времени - начинается наблюдение.
Еще работодатель проводит обучение. В рабочее время. Обязан обучаться. А в связи с тем, что тебя учат за счет работодателя - ты обязан соблюдать деловую этику - не работать у конкурентов, используя данные тебе новые знания и опыт.
Всё подписано обоюдно, в двух экземплярах.
Нормальный софт наблюдения настраивается так, что не будет собираться информация, когда после 18:00 вы играли в доту, а ближе к ночи посещали сайт на букву По, который кончается на ХАБ...
Вам предоставляется доступ ко всей собранной по вам информации.
Идите, пишите заявление в полицию... Если, на вашу беду, заявление примут и дадут ему ход - получите ответку за клевету.
Desere, вы путаете Кощея и адекватные меры безопасности, которые обеспечивают контроль за добросовестным трудом (между прочим в ТК РФ такая обязанность прописана за работником).
То, что коммерческая организация стремится получать прибыль - в этом нет ничего аморального. На то она и коммерческая, а не благотворительная. И законно хочет, чтоб ее работники работали, а не получали ЗП за шабашки на стороне в рабочее время. И если дело абстоит именно так - никто и ни куда не разбегается. Напротив - люди понимают - что их оплата происходит прямо пропорционально труду. Коллективы на удаленке если и теряют кадры, то это единичные случаи и как раз следствие работы системы. Я не зря написал пункт 4. - анализ ситуации обязателен.
Но есть другие ипостаси, например:
1) Принципиальный лентяй. Обиженка, у которого все виноваты. Считает, что ЗП ему платят просто так, а вот чтоб работал, надо доплачивать сверху, а раз не доплачивают - то и работать он не будет (премии, разумеется, не в счет). За$ницу со стула можно поднять только домкратом. Потратит больше усилий, чтоб уклоняться от работы, чем на работу. Скачет между организациями, выискивая как раз "болотистые" места.
Уйдет такой, если будет контроль? Уйдет... А велика потеря?
2) Шибко хитрый. Шабашит постоянно, куча горящих шабашек, постоянный дедлайн. Рассматривает основную работу - просто как удобное место для получения пассивного дохода. Сидит, иммитирует деятельность, получает ЗП, шабашит. Сколько не плати, даже вдвое от рынка - он не бросит шабашки.
А такого кадра "потерять" - разве нежелательно?
И принципиально другой вариант:
- Дочерная структура при полу-госконторе. Отставные генералы из вышестоящей структуры, их дети и внучкИ, кумовство процветает. ЗП распределяется исключительно по блату. Вот в нее перетекает и очень уважаемый Главный безопасник - из бывших силовиков. Знания определенного специфического характера и опыт - конечно у него есть, но не глубокое знание вопросов ИТ безопасности - да оно ему и не требуется. Это его вотчина, эта структура - для него, а не он для неё. Вот такой отрывается в самодурстве, наглухо отучая окружение думать и спорить. Максимально, до одури, закручивает гайки. При этом фактически они легко обходятся. Ибо существуют не для реального контроля, а для оправдания своей работы. При этом, как написал выше - никто с "гениальными" решениями ИБ не спорит и оценку эффективности не проводит - себе дороже. Периодически сам инициирует бурную деятельность по выявлению виновных. Причин вины достаточно любых и самых формальных (опыт "принятия" и гладкого "оформления" имеется). Замыкание всех ИБ инцидентов производит только через себя, докладывает через голову генеральному в вышестоящей стуктуре и только свою версию. Оттуда прилетает только одна комманда - уволить, остальных наказать.
Вот оттуда бегут нормальные работники и оседают 1-й и 2-й вышеуказаные типы.
А всей когорте тамошних тунеядцев - контроль не помеха. Они могут вечно иммитировать деятельность и соблюдать ритуалы ИБ (когда нет реальной работы, сойдет и такая загруженность). Если благодаря ИБ рабочая операция, занимавшая 5 - минут растягивается на месяц согласований и ожиданий - это же прекрасно. Тем более, что 3/4 из них и пальцем тронуть нельзя (блат). И отмазы, почему комп постоянно в простое - у них будут железные (совещания, планерки, коммандировки, выходы на объект и т.д.)
Плохо что ли?
Нормальным людям там делать нечего, а всем остальным - хорошо.
Групповые политики не годятся для блокировки сайтов (ну разве что заменять всем принудительно файл hosts). Но вы можете реализовать фильтрацию в KES, кроме того там есть встроенные готовые группы (игры, насилие, соцсети и т.п.), и возможно, что список из 1000 сайтов делать просто ни к чему.
Как вариант - составить белый список сайтов. И открыть только их.
Кроме реестра ПО - вам нужен полный расклад, кто и чем занимается. На каких сайтах и сколько времени проводят. Торчат ли в мессенджерах... Это не сделает Касперский, но есть специализированное ПО (например Стаффкоп - правда у него ужасен интерфейс администратора, но возможности тотального контроля всего - очень широкие).
В любом случае помните - работнику можно технически зарегулировать что угодно, но он всё равно не будет работать - станет смотреть в окно, думать о вечном и ковырять в носу... Нельзя ограничиваться только техническими мерами.
Кроме того, есть такая проблема как Яндекс браузер. Он устанавливается в профиль пользователя, и там же обновляется. И может быть нужен. Такую ситуацию разруливать политиками крайне сложно.
Да и нужно ли бороться, если можно просто установить правила игры:
"Эта железка не ваша, только для работы, будете фигнёй страдать - будет атата"
- Особенность (косяк) версии биоса и материнки. Возможно есть обновление BIOS на этот счет.
- Загрузчик UEFI модифицирован. И соответственно при активации Secure Boot он не проходит проверку подлинности ЭЦП и не подходит для загрузки. Эту проблему можно подтвердить или опровергнуть как раз чистой переустановкой системы. Что и зачем модифицировало UEFI - сказать сложно. Например вирус, или вы могли использовать какие-то хитрые утилиты, типа модификации Resizible Bar.
Или винда типа "Супер-пупер сборка от Василия Пупкина, где все нужное оставлено, всё лишнее вырезано и крутые обои на рабочем столе"... :)
Убедитесь - что в БИОС загрузка происходит именно с Windows Boot Manager, а не с диска как такового.
Иногда в системе 2 диска, и в роли загрузчика может выступать второй, хотя винда поставлена на первом.
Еще гляньте в самой винде, точно ли там UEFI.
Тогда получается проблема с термоинтерфейсом процессора (термопастой) или радиатором кулера (пыль, нарушение герметичности между кулером и радиатором).
Еще, если отмести гипотезу, что инженеры, делавшие этот ноут адекватные - может быть ситуация превышения мощности тепловых трубок. Дело в том, что любая тепловая трубка имеет предел мощности по теплу, после достижения которого ее производительность резко падает (вся вода внутри испаряется и аномальная теплота фазового перехода воды перестает работать, раскуриваем теплотехнику). Тогда просто душим видюху и процессор по тепловым пакетам.
Александр Носов, ну в любом случае - на том, что у вас есть - 3ДМакс работать нормально и не должен.
Максу минимум нужен процессор от 6 ядер (можно даже i5 8600), 16 оперативки (если не будете рендерить процедурные объекты - траву, деревья и т.п.), диск от 500. Меньше диск - ну прям не стоит. Пожалеете потом. В бюджетном вариенте - лучше проц Интел (в КАД он сильно лучше, чем АМД) и встройка.
Если это будет Windows Server, то:
- с ролью Hyper-V поднимете виртуалку для любых задач
- с ролью сервера тарминалов - получите нормально работающий на удаленке макс (но потребуется поднять лицензирование с мделать настройку производительности удаленной графики). Обязательно допом делайте MultiOTP.
- с ролями файловый сервер и дедупликация - получите теневые копии по расспитанию, экономию места (не про системный диск, данные придется хранить да другом), и доступ к вашим файлам по сети.
- ну и в принципе любой дополнительный способ резервного копирования можно прикрутить.
И не надо ставить на железо другую среду виртуализации, чтоб в ней уже поднять виртуалку с Windows Server.
Molligang, в любом случае, ваших данных недостаточно для анализа ситуации. Что с температурой, что с операционкой, какая схема электропитания, как ведет себя при чистой установке, сбрасивали ли настройки BIOS и т.д.
А стоит ли возвращать старую систему? Что там будет? 8.1? Или десятка 2016 года, которая начнет последовательно ставить крупные обновления, а их выходило по два в год...
Сделайте флешку с Windows 11 LTSC IoT, поставьте чистую.
Вася Пупкин, Меркурий - он обычно вызывает проблемы когда ретроградный. Инфа 100%.
"Почему машина не едет?" то ли колеса украли, то ли бензин кончился, то ли уперлась в стену. Давайте предложим автору все 100500 мыслимых вариантов, и пусть все проверит. :)
По лично моему опыту - не работает RDP чаще всего, когда у клиента нет интернета вообще. Однако он не видит тут никакой связи. Ну и что, что нет интернета? А почему не могу подключиться к работе?
В общем целесообразнее про такую ситуацию знать и предусматривать заранее. Исключая полностью саму необходимость в возврате в сеть именно КД. Умерла так умерла.
З.Ы.
А еще хуже, когда блудный сын в сеть он возвращается "сам", например после поднятия долго лежащей связи удаленного сервера. :)