Перейти к основному содержимому

2.06. Настройка компьютеров

В РАЗРАБОТКЕНЕ ДЛЯ НОВИЧКОВНЕ ОБЯЗАТЕЛЬНО
Разработчику Архитектору Инженеру

Настройка компьютеров в корпоративной среде

Одно дело - настроить свой компьютер, поставить туда любимых видеоигр, всякий софт, и эксплуатировать как хочется. Но нельзя, чтобы с корпоративной техникой пользователи обращались так же - нужно обеспечить контроль, стабильность и централизованное, организованное обеспечение.

Эта задача и ляжет на системного администратора. Причём неважно, удалённо или в офисе - отличие будет лишь в том, что удалённо придётся делать всё то же самое, но без личного присутствия.

Настройка компьютеров — одна из ключевых операций в системном администрировании. Она лежит в основе обеспечения стабильности, безопасности и единообразия инфраструктуры, а также напрямую влияет на продуктивность конечных пользователей. В отличие от частного использования, где пользователь самостоятельно управляет своим устройством, в организации каждое рабочее место должно соответствовать установленным стандартам: от физического размещения до программной конфигурации и сетевой интеграции.

Процесс настройки нового рабочего места не является одноразовой задачей по «установке Windows и запуску браузера». Это последовательность взаимосвязанных этапов, каждый из которых отвечает за определённый аспект готовности устройства к эксплуатации. Нарушение порядка или пропуск одного из шагов может привести к нарушению работы, проблемам с безопасностью, сложностям в диагностике и обслуживании в будущем.

Администратор как ответственное лицо

Представим типовую ситуацию: в организацию принимается новый сотрудник — менеджер, инженер, аналитик. До его первого рабочего дня администратор обязан подготовить для него рабочее место: выделить технику, проверить её, установить необходимое программное обеспечение, обеспечить доступ к корпоративным ресурсам и соблюсти все внутренние регламенты. От качества выполнения этой задачи зависит первое впечатление сотрудника о компании и его способность начать работу без задержек.

Важно понимать, что настройка компьютера здесь — это элемент управления жизненным циклом ИТ-актива. Устройство должно быть учтено, идентифицировано, защищено и интегрировано в общую систему учёта и управления.

Этапы настройки

Процесс можно условно разделить на три крупных блока:

  1. Физическая и аппаратная подготовка — проверка и организация «железа» и его окружения.
  2. Программная и системная конфигурация — развёртывание операционной системы, базовых приложений, настройка параметров.
  3. Сетевая и организационная интеграция — включение устройства в корпоративную структуру (домен, групповые политики, учётные записи).

Рассмотрим каждый блок подробно.

1. Физическая и аппаратная подготовка

Первый шаг — убедиться, что оборудование готово к эксплуатации и соответствует требованиям организации. Даже в случае использования новых или восстановленных устройств требуется проверка — особенно если компьютер ранее использовался или находится на складе длительное время.

Проверка комплектации и целостности

Администратор получает устройство (настольный ПК, ноутбук, иногда — тонкий клиент или рабочая станция). Перед подключением к сети необходимо:

  • Убедиться в наличии всех компонентов: системный блок (или ноутбук), монитор, клавиатура, мышь, блок питания, кабели (питание, видео, сетевой).
  • Проверить отсутствие видимых повреждений корпуса, разъёмов, экрана. Особенно важно при использовании восстановленного оборудования — механические повреждения могут указывать на внутренние дефекты.
  • Убедиться в совместимости периферии: USB-устройства должны распознаваться, клавиатура и мышь — работать без задержек и сбоев. Внешние мониторы — корректно определяться и выводить изображение на нужном разрешении.

Организация рабочего места

Даже на техническом уровне администратор несёт ответственность за эргономику и безопасность размещения:

  • Питание: компьютер должен подключаться к источнику бесперебойного питания (ИБП) или, как минимум, к сетевому фильтру. Прямое подключение в розетку без защиты недопустимо — риск выхода из строя при скачках напряжения.
  • Прокладка кабелей: сетевой и силовой кабели должны быть аккуратно проложены, без изломов и натяжений. Сетевой кабель желательно использовать категории не ниже Cat 5e, предпочтительно — Cat 6 или выше.
  • Вентиляция: системный блок должен находиться в месте с достаточным воздушным потоком. Закрытие вентиляционных отверстий, установка на мягкие поверхности (например, ковёр) приводит к перегреву и сокращению срока службы. Ноутбуки требуют подставок с активным или пассивным охлаждением при длительной нагрузке.
  • Заземление и электромагнитная обстановка: в некоторых организациях (особенно с чувствительным оборудованием) требуется проверка заземления розетки и отсутствие помех от близкорасположенных приборов (например, микроволновок, мощных трансформаторов).

После завершения этих шагов выполняется включение устройства без загрузки операционной системы — через BIOS/UEFI или встроенную диагностику (например, Dell Diagnostics, HP PC Hardware Diagnostics). Цель — проверить базовую работоспособность:

  • Обнаружение всех компонентов: процессор, оперативная память, накопители, видеокарта.
  • Контроль температур в простое и под минимальной нагрузкой (например, при запуске встроенного теста памяти).
  • Проверка целостности дисков: SMART-статус должен быть «OK» или «Good», без предупреждений о перераспределённых секторах (reallocated sectors), неисправимых ошибках чтения/записи.
  • Тестирование оперативной памяти — даже единичные ошибки могут вызывать нестабильность в будущем.

Только после прохождения этих проверок можно переходить к установке программного обеспечения.

2. Программная и системная конфигурация

На этом этапе происходит развёртывание операционной системы и её первичная настройка. Хотя установка ОС вынесена в отдельную главу, здесь важно подчеркнуть: даже при использовании «образов» (disk image) или автоматизированных развёрток (например, через Microsoft Deployment Toolkit или Clonezilla) администратор должен понимать, какие компоненты и параметры включены в образ, и какие шаги всё равно требуют ручного вмешательства при подготовке конкретного рабочего места.

Базовая настройка операционной системы

После загрузки ОС (Windows 10/11, Ubuntu Desktop, Fedora Workstation и т.п.) выполняются следующие действия:

  • Активация системы. Для Windows это требование лицензионного соблюдения и получения обновлений. Используется лицензионный ключ, привязанный к оборудованию (OEM), к организации (KMS/VLSC) или к учётной записи Microsoft (в редких случаях). В Linux активация не требуется, но важно убедиться, что используется поддерживаемая версия с актуальными репозиториями.

  • Установка базового программного обеспечения. К числу обязательных компонентов относятся:

    • Веб-браузер (обычно — Google Chrome или Microsoft Edge, иногда — Firefox по политике безопасности);
    • Почтовый клиент (Outlook для Windows, Evolution или Thunderbird для Linux);
    • Офисные приложения (Microsoft 365, OnlyOffice, LibreOffice — в зависимости от корпоративного стандарта);
    • Программы для работы с PDF (Adobe Acrobat Reader DC или SumatraPDF);
    • Утилиты для архивации (7-Zip, WinRAR);
    • Корпоративные инструменты: антивирус (Kaspersky Endpoint Security, ESET, Defender for Endpoint), клиент мгновенных сообщений (Slack, Mattermost, Teams), система удалённого доступа (AnyDesk, TeamViewer, или внутренний RDP-шлюз), инструменты аудита (например, Lansweeper Agent, PDQ Deploy Agent).

    Установка выполняется через пакетные установщики или системы управления конфигурациями (Ansible, Puppet, SCCM), чтобы избежать человеческой ошибки и обеспечить единообразие.

  • Настройка учётной записи. На этом этапе создаётся локальная учётная запись администратора — она будет использоваться для выполнения всех последующих настроек до момента подключения к домену. Важно:

    • Использовать сложный пароль (не менее 12 символов, с цифрами, буквами, спецсимволами), хранить его в корпоративном менеджере паролей (1Password, Bitwarden, Keeper);
    • Отключить встроенную учётную запись Administrator (в Windows) или переименовать её, если это разрешено политикой;
    • Настроить автоматическую блокировку экрана после 5–15 минут бездействия.

    Локальная учётная запись администратора — временная. После подключения к домену основной вход будет выполняться через доменные учётные данные, но локальный админ остаётся «аварийным» доступом — его наличие критично для восстановления в случае сетевых сбоев.

Почему нельзя сразу войти под доменным пользователем?

На этом этапе компьютер ещё не знает о существовании домена. Он не может проверить учётные данные доменного пользователя, потому что:

  • Не настроен сетевой доступ к контроллеру домена (неизвестен IP, маршруты, DNS);
  • Не установлено доверие к домену (нет сертификатов, не загружены политики);
  • Не настроено имя компьютера — а оно требуется для уникальной идентификации в домене.

Поэтому все подготовительные действия выполняются от имени локального администратора — это единственная учётная запись, существующая в изолированной системе на данном этапе.

3. Сетевая и организационная интеграция

После установки ОС и базового ПО компьютер остаётся изолированным устройством. Чтобы он начал функционировать как полноценный элемент инфраструктуры, его необходимо включить в корпоративную сеть — на уровне физического подключения, на уровне логической идентификации, аутентификации и управления.

Настройка сетевых параметров

Первым шагом сетевой интеграции является присвоение корректных сетевых параметров. В большинстве организаций используется статическая адресация для серверов и, часто, для рабочих станций — это обеспечивает предсказуемость, упрощает диагностику и совместимо с системами мониторинга, резервного копирования, групповыми политиками.

Администратор должен:

  • Назначить уникальный IPv4-адрес из выделенного подсети пула (например, 192.168.10.45/24).
  • Указать маску подсети (255.255.255.0 или /24 в CIDR-нотации).
  • Задать шлюз по умолчанию — IP-адрес маршрутизатора, через который идёт трафик вне локальной сети (обычно 192.168.10.1).
  • Настроить DNS-серверы — как минимум два: основной и резервный. В доменной среде DNS-серверы почти всегда совпадают с контроллерами домена (например, 192.168.10.10 и 192.168.10.11), поскольку именно они обслуживают зону домена и обеспечивают разрешение имён вроде dc01.cabinet.local.

Особое внимание — DNS-суффиксу подключения (в Windows) или search-домену (в Linux). Он позволяет использовать короткие имена вместо полных доменных имён. Например, при суффиксе cabinet.local запрос к dc01 будет автоматически преобразован в dc01.cabinet.local. Это критично для корректной работы служб Kerberos, LDAP и других протоколов доменной аутентификации.

Важно: некорректные DNS-настройки — наиболее частая причина «невозможности подключиться к домену», при том что сеть «работает» (пинг до шлюза проходит). Проверка через nslookup cabinet.local должна возвращать IP-адрес контроллера домена — иначе интеграция невозможна.

Присвоение имени компьютера

Каждое устройство в сети должно иметь уникальное имя, зарегистрированное в DNS. Это имя используется для:

  • Идентификации в логах и системах мониторинга;
  • Удалённого администрирования (через RDP, SSH, WMI);
  • Применения групповых политик (GPO в Windows или Ansible-ролей в Linux);
  • Учётных записей в системах управления активами (например, в ServiceNow или GLPI).

Стандарты именования зависят от внутренней политики, но обычно включают:

  • Префикс, указывающий тип устройства: WS- (workstation), NB- (notebook), SRV- (server), PRN- (printer);
  • Подразделение или локацию: FIN-, IT-, UF- (Уфа), MSK-;
  • Порядковый номер или серийный номер: 045, A7B3C9.

Пример: WS-IT-045 — рабочая станция, отдел IT, номер 45.

Изменение имени компьютера в Windows требует перезагрузки — только после неё новое имя будет корректно зарегистрировано в DNS и в системных службах. В Linux имя задаётся через hostnamectl set-hostname ws-it-045, и также рекомендуется перезагрузить или перезапустить systemd-hostnamed, особенно если используется доменная интеграция.

Подключение к домену

Здесь необходимо чётко разделить два понятия:

  • Рабочая группа — это децентрализованная модель, где каждое устройство самостоятельно управляет своими учётными записями. Подходит только для малых сетей (до 10 устройств), не масштабируется, не обеспечивает централизованной политики безопасности.
  • Домен — централизованная система управления, основанная на каталоге (в Windows — Active Directory, в Linux — FreeIPA или Samba AD). Все учётные записи, политики, права и ресурсы управляются с контроллеров домена.

Подключение к домену — это не просто «ввод логина и пароля». Это процесс установления доверительного отношения между клиентом и контроллером домена. В ходе его выполнения:

  1. Клиент проверяет доступность контроллера через DNS и LDAP (_ldap._tcp.dc._msdcs.cabinet.local);
  2. Выполняет аутентификацию учётной записи с правами присоединения (обычно — доменный администратор или специальная учётная запись joiner);
  3. Регистрирует свой объект компьютера в Active Directory (или FreeIPA);
  4. Загружает политики по умолчанию (например, «Default Domain Policy»);
  5. Устанавливает доверительный ключ сессии (computer account password), который автоматически меняется каждые 30 дней.

После успешного присоединения в Windows появляется новая опция входа: Другая учетная записьУчетная запись в другой сети — с выбором домена. В Linux (при использовании SSSD или Winbind) учётные записи домена становятся доступны командам id ivanov, getent passwd, su - ivanov.

Практическая реализация: Windows

Ниже приведены конкретные шаги, которые выполняет администратор при подключении Windows-станции к домену. Все действия проводятся от имени локального администратора.

  1. Авторизация под локальным администратором.
    При первом запуске после установки ОС вход выполняется в учётную запись, созданную на этапе установки (например, AdminLocal). Эта учётка имеет полные права на устройстве, но не существует за его пределами.

  2. Настройка сетевых параметров.
    Через графический интерфейс:

    Панель управления → Сеть и Интернет → Центр управления сетями и общим доступом → Изменение параметров адаптера → 
    ПКМ по Ethernet → Свойства → IP версии 4 (TCP/IPv4) → Свойства → 
    Использовать следующий IP-адрес: 192.168.10.45, маска 255.255.255.0, шлюз 192.168.10.1  
    Использовать следующие DNS-серверы: 192.168.10.10, 192.168.10.11  
    Дополнительно → DNS → DNS-суффикс для этого подключения: cabinet.local

    Альтернативно — через PowerShell:

    New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.10.45 -PrefixLength 24 -DefaultGateway 192.168.10.1
    Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 192.168.10.10,192.168.10.11
    Set-DnsClient -InterfaceAlias "Ethernet" -ConnectionSpecificSuffix "cabinet.local"

  3. Задание имени компьютера.

    Панель управления → Система → Изменить параметры → Изменить… → Имя компьютера: WS-IT-045

    Система предложит перезагрузиться — пока этого делать не нужно, можно отложить до завершения присоединения к домену (Windows допускает одновременную смену имени и домена).

  4. Присоединение к домену.
    В том же окне «Изменить параметры»:

    Участие в домене: CABINET → OK
    → Запросит учётные данные: CABINET\AdminJoiner + пароль
    → Успешно: «Компьютер был присоединён к домену CABINET»

    Важно: при ошибке «Имя домена не найдено» — в первую очередь проверяются DNS-настройки. При ошибке «Недостаточно прав» — проверяется, имеет ли учётка AdminJoiner право Join computers to the domain (по умолчанию — 10 присоединений на учётку).

  5. Перезагрузка и вход под доменным пользователем.
    После перезагрузки на экране входа выбирается:

    Другая учетная запись → 
    Имя пользователя: CABINET\ivanov  
    или (если настроен UPN-суффикс): ivanov@ourcabinet.ru
    Пароль: ********

    Система загружает профиль пользователя, применяет групповые политики (фон, обои, запреты, сетевые диски) и предоставляет доступ к ресурсам.

  6. Назначение локальных прав (при необходимости).
    Если Иванову требуется локальный доступ администратора (например, для установки ПО), администратор снова входит под локальным админом, открывает:

    Управление компьютером → Локальные пользователи и группы → Группы → Администраторы → Добавить… → 
    Выбрать: CABINET\ivanov → OK

    После этого Иванов сможет повышать привилегии через UAC, используя свой доменный пароль.

Ключевой принцип: локальный администратор и доменный администратор — разные сущности. Учётная запись Administrator в Windows существует только на конкретном устройстве. Учётная запись CABINET\Admin — в каталоге, и её права распространяются на все устройства домена (если не ограничены делегированием). Доменный пользователь может входить на любое присоединённое устройство — его профиль кэшируется при первом входе (если включено).

Практическая реализация: Linux (Ubuntu/Debian/CentOS)

В Linux отсутствует единый графический стандарт, поэтому все действия выполняются в терминале. Ниже — универсальный подход для современных дистрибутивов с systemd и netplan (Ubuntu 18.04+, Debian 11+, RHEL 8+/CentOS Stream).

Подключение к домену на базе Samba AD (совместимость с Windows)

Если в инфраструктуре есть Windows-клиенты (а они почти всегда есть — даже для бухгалтерии), рекомендуется использовать Samba в режиме Active Directory Domain Controller. Это даёт полную совместимость: Windows-машины подключаются через те же диалоги, что и к «родному» AD, а Linux-хосты — через SSSD.

  1. Настройка статического IP и DNS-суффикса.
    В современных дистрибутивах с netplan:

    sudo nano /etc/netplan/01-netcfg.yaml

    Содержимое файла:

    network:
      version: 2
      ethernets:
        eth0:
          dhcp4: no
          addresses: [192.168.10.45/24]
          gateway4: 192.168.10.1
          nameservers:
            addresses: [192.168.10.10, 192.168.10.11]
            search: [cabinet.local]

    Применение:

    sudo netplan apply

  2. Установка необходимых пакетов.

    sudo apt update
    sudo apt install sssd sssd-tools libnss-sss libpam-sss realmd adcli krb5-user

    При установке krb5-user будет запрошен Realm — указать CABINET.LOCAL (в верхнем регистре, как в AD).

  3. Обнаружение домена и присоединение.

    sudo realm discover cabinet.local
    # Должен вернуть информацию о домене, контроллерах, поддерживаемых пакетах
    sudo realm join --verbose --user=AdminJoiner cabinet.local
    # Введёт пароль от AdminJoiner

  4. Проверка.

    id ivanov
    # Должно вернуть UID ~24501000 (внешний), группу CABINET\domain users
    getent passwd 'CABINET\ivanov'

  5. Настройка входа в графической среде.
    В большинстве десктопных сред (GNOME, KDE) после перезагрузки в менеджере входа (GDM, SDDM) появится опция «Не в домене» / «В домене CABINET». При выборе последнего можно вводить ivanov или ivanov@ourcabinet.ru.

Альтернатива: FreeIPA (чистая Linux-инфраструктура)

Если Windows-клиентов нет, и все устройства — Linux/macOS, предпочтителен FreeIPA. Он объединяет LDAP, Kerberos, DNS, NTP и CA в единую систему, но требует отдельного сервера IPA.

На клиенте:

sudo apt install freeipa-client
sudo ipa-client-install --domain=cabinet.local --realm=CABINET.LOCAL --mkhomedir

Процесс запросит учётные данные админа IPA и настроит sssd, krb5, nsswitch.conf автоматически.

Разница в эксплуатации:

  • В FreeIPA нет концепции «рабочей группы» — только домен (realm);
  • Имена пользователей по умолчанию не содержат префикса домена: ivanov, а не CABINET\ivanov;
  • Windows-клиенты не могут напрямую подключаться к FreeIPA — требуется шлюз (например, через Samba в режиме member server, или использование сторонних решений вроде Centrify).

Финальная проверка и передача пользователю

Перед тем как передать компьютер сотруднику, администратор выполняет диагностический контрольный список:

  • Компьютер зарегистрирован в DNS: nslookup WS-IT-045.cabinet.local возвращает правильный IP.
  • В Active Directory (или FreeIPA) существует объект компьютера с именем WS-IT-045$.
  • Пользователь ivanov может войти, его профиль создаётся (C:\Users\ivanov или /home/ivanov).
  • Доступны сетевые ресурсы: общий диск \\fileserver\IT, почтовый сервер, внутренний сайт.
  • Групповые политики применены: проверяется через rsop.msc (Windows) или sssctl domain-list (Linux).
  • Обновления ОС установлены, антивирус активен, брандмауэр настроен по политике.
  • Устройство учтено в инвентарной базе (серийный номер, MAC-адрес, ответственный, дата ввода).

Только после успешного прохождения всех пунктов рабочее место считается готовым. Администратор передаёт сотруднику:

  • Учётные данные (логин, временный пароль с обязательной сменой при первом входе);
  • Инструкцию по первоначальному входу (особенно если используется UPN или двухфакторная аутентификация);
  • Контакт для технической поддержки (например, внутренний номер или чат-бот).

4. Типичные ошибки и системная диагностика

Несмотря на кажущуюся простоту, настройка компьютера — процесс с множеством точек отказа. Ошибки часто маскируются под «проблему с сетью» или «глючную машину», хотя их корень лежит в нарушении логики последовательности. Ниже — классификация наиболее распространённых сбоев и рекомендуемый порядок проверки.

Ошибка 1: «Не удаётся присоединиться к домену»

Симптомы:

  • Сообщение «Имя домена не найдено» или «Сервер не отвечает»;
  • Коды ошибок Windows: 0x0000232B (DNS name does not exist), 0x0000054B (The referenced domain is not available);
  • В Linux: realm join завершается с No administrators were found или KDC reply did not match expectations.

Системный порядок диагностики:

  1. Физический уровень

    • Проверить индикацию на сетевом порту: мигает ли лампочка?
    • Кабель вставлен в правильный порт (не в телефонную розетку, не в PoE-порт без поддержки питания для ПК).
    • Тест заменой кабеля или порта коммутатора.

  2. IP-уровень

    • Выполнить ipconfig /all (Windows) или ip a && ip r (Linux):
      • Есть ли IP-адрес? Не 169.254.x.x (APIPA — признак отсутствия DHCP и ручной настройки);
      • Совпадает ли шлюз с сетью?
    • Пропинговать шлюз: ping 192.168.10.1. Если не отвечает — проблема на канальном уровне (VLAN, ACL, порт в down-состоянии).

  3. DNS-уровень — критический!

    • Выполнить: 
      nslookup cabinet.local
      nslookup dc01.cabinet.local
      nslookup -type=SRV _ldap._tcp.dc._msdcs.cabinet.local
      • Если первые два работают, а SRV-запрос — нет, значит, DNS-сервер не является контроллером домена или зона _msdcs не делегирована;
      • Если все три не работают — проверить, указаны ли именно IP-адреса контроллеров домена в настройках DNS (не 8.8.8.8!).
    • В Linux использовать dig @192.168.10.10 cabinet.local SRV.

  4. Аутентификация

    • Учётная запись AdminJoiner истекла? Была заблокирована после множества неудачных попыток?
    • Права делегированы? Проверить в Active Directory Users and Computers → вкладка DelegationJoin computers to the domain.

Принцип: диагностика всегда идёт снизу вверх — от физики к приложению. Пропуск уровня (например, «пинг проходит, значит, сеть в порядке») приводит к потере времени.

Ошибка 2: «Пользователь входит, но не видит сетевые диски/почту»

Симптомы:

  • Вход успешен, но не применяются групповые политики;
  • Сетевые диски (Z:\) не подключаются автоматически;
  • Outlook не находит профиль Exchange.

Причины и проверки:

  • Компьютер не присоединён к нужному OU (Organizational Unit). GPO привязаны к OU. Если машина осталась в Computers, политики из OU=Workstations,OU=IT не применятся.
    → Проверить расположение объекта в AD через dsa.msc или PowerShell:

    Get-ADComputer WS-IT-045 | Select-Object DistinguishedName

  • Кэш политик устарел.
    → Принудительно обновить:

    gpupdate /force

    или в Linux (если политики через SSSD-оверлеи или Ansible):

    sudo systemctl restart sssd

  • Время рассинхронизировано. Kerberos отказывает в аутентификации при расхождении более 5 минут.
    → Проверить:

    w32tm /query /status

    В Linux:

    timedatectl status

Ошибка 3: «Локальный администратор не может зайти после присоединения к домену»

Симптомы:

  • При выборе «Другая учётная запись» → «Войти без домена» система не принимает пароль от .\Administrator.

Причина: политика домена Accounts: Limit local account use of blank passwords to console logon only или Deny log on locally применена к группе Domain Users и случайно включает локальных админов.

Решение:

  • Войти в Безопасном режиме с сетью (F8 при загрузке) — там локальные учётки разблокированы;
  • Или использовать WinPE-образ для восстановления через net user Administrator /active:yes.

5. Автоматизация развёртывания: от единичного случая к стандарту

Ручная настройка оправдана при подготовке 1–2 рабочих мест. При масштабе от 5 устройств в месяц необходимо переходить к стандартизации и автоматизации. Это требование управляемости.

Уровни зрелости развёртывания

УровеньОписаниеИнструментыРиски
0. Ручной (ad hoc)Каждый ПК настраивается «как получится»Высокая вариативность, ошибки, невозможность аудита
1. Стандартный образОдин эталонный образ (WIM, ISO, QCOW2), развёрнутый клонированиемClonezilla, Acronis, dd, qemu-imgПроблемы с уникальностью (SID, hostname), отсутствие индивидуальных настроек
2. Параметризуемый развёртывательОбраз + скрипты, подставляющие имя, IP, OUMicrosoft Deployment Toolkit (MDT), WDS, Foreman, CobblerТребует подготовки инфраструктуры, но масштабируем
3. Zero-touch provisioningУстройство при первом включении само находит сервер развёртывания и применяет профильWindows Autopilot, Red Hat Insights, Dell Provisioning, Ansible Tower + DHCP optionsТребует интеграции с каталогом, PXE, DNS

Пример: развёртывание через MDT (Windows)

  1. Готовится эталонный образ («Golden Image») с предустановленными драйверами, ПО, обновлениями.
  2. В MDT создаётся задача развёртывания New Workstation.
  3. На этапе запуска PXE-образа пользователь вводит:
    • Имя компьютера (WS-IT-045);
    • OU (IT/Workstations);
    • Тип профиля (Standard User, Developer, Admin).
  4. MDT автоматически:
    • Назначает IP (если DHCP) или применяет статику из профиля;
    • Меняет имя;
    • Присоединяет к домену (используя учётку сервиса с ограниченными правами);
    • Устанавливает роль через групповые политики или PowerShell DSC.

Примечание: в Linux аналог — Kickstart (для RHEL/CentOS) или Preseed (для Debian/Ubuntu). Файл конфигурации задаёт всё: разделы, пакеты, скрипты постустановки, команды realm join.

Почему нельзя просто клонировать диск?

При клонировании без обобщения (sysprep /generalize в Windows, virt-sysprep в Linux) возникают:

  • Одинаковые SID (Security Identifier) — нарушает безопасность, вызывает конфликты в AD;
  • Одинаковые SSH-хостовые ключи — уязвимость MITM;
  • Одинаковые имена компьютеров — конфликты в DNS и WINS.

Обобщение — обязательный шаг перед клонированием.

6. Особые случаи

Удалённые сотрудники

Если сотрудник работает из дома или филиала без прямого подключения к корпоративной сети:

  • Подключение к домену возможно через VPN с полным туннелированием и маршрутизацией DNS-запросов в корпоративную сеть;
  • Альтернатива — Azure AD Join (Windows) или SSSD + Kerberos over TLS (Linux), но требует настройки федерации (например, через ADFS или Keycloak);
  • Важно: локальный кэш учётных записей (cached logons в Windows, cache_credentials = true в SSSD) должен быть включён — иначе при разрыве VPN вход невозможен.

BYOD (Bring Your Own Device)

Политика BYOD требует чёткого разделения:

  • Персональные данные — вне контроля;
  • Корпоративные данные — в изолированном контейнере.

Реализации:

  • Windows: Workplace Join + Intune App Protection Policies;
  • Linux: отдельный пользователь corp с chroot/jail, или использование контейнеров (toolbox, distrobox).

Напрямую присоединять личное устройство к домену — небезопасно и не рекомендуется.

Устройства с ограниченными ресурсами

  • Тонкие клиенты (например, на базе Linux с thinstation): настраиваются как терминалы — вся логика в RDSH или VDI;
  • Старые ПК (2 ГБ ОЗУ): использовать лёгкие дистрибутивы (Lubuntu, Xubuntu) или Windows 10 LTSC с отключёнными эффектами;
  • Raspberry Pi в качестве рабочей станции: возможен только для терминального доступа (через FreeRDP, Remmina) — не для локального GUI.