CityCat4

Обычно NAT и маршрутизацию на винде не делают. Маршрутизацией и защитой от какеров обычно занимается микротик, который ставится по фронту, а контролем доступа - прокси, которое подымается тут же на гипере. Можно на гипере поднять и шлюз, но это чревато падением гипера и необходимостью восстанавливать шлюз.

Можно по фронту поставить линух, который будет и роутером и файрволлом и прокси (и DNS разумеется, и NTP и еще чертом лысым), а на AD настроить форвардинг запросов DNS.

Надо полагать, ушел со скандалом. Бывает. Не надо до этого доводить. Чел, который так поступил - тоже недалекого ума - земля имеет форму чемодана, можно за углом встретиться...

Если домена нет - то просто последовательный обход всех тачек и лом пароля админа. Есть хорошая вещь - Hirens BootCD, да и просто ломалок пароля полно.
Если домен есть - теоретически можно попробовать запустить ту же ломалку пароля на контроллере домена - достаточно вскрыть пароль локального юзера Administrator на контроллере домена - и все, права на домен есть.

Ну и разумеется не доводить конфликт до такого. Да, я понимаю, бывает разное, бывает люди рогом упираются...

Что учесть при поднятии домена на Windows Server?

Тот факт, что M$ уже год как не продает лицензии на свои продукты, а с 30 сентября перестанет продлять существующие контракты.
Коробочные продукты - офис, визио - еще продаются, правда цены злющие как собаки.

Решено сто тыщ мильенов лет назад внесением команды (скрипта) в sudoers вот так:

## Mount SMB shares without password
myusername        COMP = (root) NOPASSWD: /usr/local/bin/mountsmb3 -a
myusername         COMP = (root) NOPASSWD: /usr/local/bin/umountsmb3

где mountsmb3 и umountsmb - названия скриптов.

А установка программ юзеру запрещена?
А запуск портабельных браузеров контролируется?
А что будет, если юзер принесет на флэшке Firefox Portable и запустит его?

Как обычно.

Организовывается сервер бэкапов с доступом по количеству пальцев одной руки. На все сервера ставится агент программы, которй снимается бэкап. Запускается программа, которая посредством своего агента этот бэкап выполняет - как правило это делается вечером или ночью по расписанию.

Ведутся суточные/недельные/месячные копии etc. Это если более-менее правильно, конечно.

Если тачка в домене, то sssd уже сделало все за Вас - любой доменный юзер равен локальному, но служба, которую запускаете должна зависеть от sssd, чтобы к моменту ее запуска доменные юзера уже были.

Советую в первую очередь учесть тот факт, что закупить винду может или не получиться по причине банальной невозможности оплатить счет или по причине зарубания потому что бюджетная организация.
Это же относится и к прочим продуктам - гиперу, например. Вовсе не факт, что VmWare удастся оплатить, так что я на Вашем месте рассматривал бы чебурнетовский вариант - какой-нибудь аэродиск (который суть KVM) с rubackup.

MS только недавно совсем пообещал сокращение бизнеса в РФ до полного его прекращения

Поднять отдельный домен. Хотя со скриптами тоже потрахаться придется, особенно если переход с почты outlook на TB например.
Проще варианта нет - только нечто самопальное, похожее на огород из костылей. Винда свой домен пилит двадцать лет. Самба прримерно столько же но из-за позиции вечно догоняющей получается... как получается :)

Глеб, а с чего ты решил, что LDIF-файл для openLDAP вообще должен импортироваться в AD? Только потому что там внутри LDAP? Ну так так схема совсем другая...

У пользователя в свойствах туева хуча атрибутов, но все равно они отображаться например в оснастках не будут - не предусмотрено.

Стоило наверное немного подумать головой, прежде чем задавать такой вопрос.

Групповая политика - это некое действие, выполняемое в некий момент. Вот например, GPO по установке корпоративного сертификата в корневые юзерского профиля. Она прекрасно работает на винде. Внимание, вопрос - куда она должна копировать сертификаты в линухе? ХЗ. Потому что даже если получить точку хранения сертификатов из свойств openssl - то банально может прав не хватить - в винде-то GPO выполняется с приоритетом системы :)
Или вот напримепр политика настройки настроек прокси :) которая всем юзерм выставляет одинаковые настройки прокси - куда она должна их выставить?
Здесь нужно садиться, брать список GPO и думать - нужно ли это вообще и если нужно - как это сделать.

Бесплатных или недорогих, удобных и функциональных решений не бывает - в вопросе бэкапа довольно часто стоимость играет вторую, третью а то и последнюю роль.

Рекомендую Nakivo Backup & Replication. Отнюдь не бесплатно. Насчет "недорого" - не знаю, у всех свои критерии. Пиратку искать не стоит - программа штатовская, не локализованная (и скорее всего не будет), не особо популярна в РФ.

Что за бред? Standalone Converter ничего не делает с машиной - он тупо заливает поблочно диск, пропуская пустые блоки, своп, файл гибернации и прочее, что не нужно.
Сконвертили без автозапуска, отключили старый, включили новый.

"Робинзоном быть сезон - хорошо на свете" :)

В том смысле, что перенос AD на samba - вещь еще ни разу не отработанная. В ней наверняка что-то заглючит, что-то не подымется, что-то сломается, особенно если у Вас не просто хранилище паролей и групп, а есть витиеватые GPO, авторазвертывание софта и прочие фишки.

Как правильно? Да как заработает - так и правильно, все равно траха и тибидоха будет до небес.

Создавать CSR на том компе, где будет стоять сертификат, чтобы не таскать ключ туда-сюда - вот true путь.