Рассказ из логова обычного админа, история моего товарища

Вот я один из админов компании где 4000+ активных пользователей.
У нас тут авторитарный режим, юзвери могут делать только то, что им разрешили. Одного админа тут маловато, поэтому нас много. Я отвечаю за некоторые полномочия в АД, остальные - за другие.
Но всё равно, приходится банально запугивать любопытных офисных тружениц, которым по работе разрешен полный доступ в инет (по умолчанию можно только на специально разрешенные сайты) тем, что за ними всегда следят (благо DameWare всегда горит у них в трее).

административные меры? Не, не для русских -)

Инструкция по пользованию локальными интранет ресурсами. С обязательной подписью.
Инструкция по пользованию интернет ресурсами. С обязательной подписью. Ответственность в инструкции поделена между менеджером отдела и сотрудником.

З.Ы. Если в сети 4000+ рабочих мест - по-любому есть цыско роутеры. кто мешает прикрутить Squid по WCCP и настроить отдельную группу для таких "тружениц" с резалкой того что запрещено (соц сети например)?
Это что, весь день смотреть чем сотрудники занимаются? А когда ЯП читать??? -)

Это сообщение отредактировал JoharDuday - 15.02.2012 - 16:35

Как же мне все таки повезло!!! подрабатываю в одной конторке эникейщиком, всего компов 15 + несколько ноутов, так вот там сидят тетеньки от 25 до... ну лет 45 старшей и они РАБОТАЮТ!!! ВСЕ!!! ни соцсетей, ни гороскопов, да еще адекватный парень есть, которому можно по телефону объяснить куда ткнуть и что поставить)))

Эталонный образ нужно не на HDD записывать. ак сотрудником в мозг, чтоб не звонили по пустякам. Неужели никому из вас пиво-коньяк не предлагали за разблокировку? Я прям не верю)

А после плановой проверки из корпоративного офиса пиво-коньяк кому ставить? Да и правильно настроенные регламенты не дают просто так поставить кому-либо даже "опытного пользователя" за просто так. Ибо хелп-деск. Все фиксируется.

Вопрос для знатаков - как компу выжить в инете при включённом DCOM ?
Это с установки по дефолту винды хп. Или как админить удалённо при выключеном сервесе ? исключительно средствами видны. А,?

На работе есть общий сетевой диск, у мужиков в основном всё по делу, документы часто с дубляжом друг у друга. мало ли что, таблицы экселевские, копии счетов и договоров.
У тёток в папках, фотки, какие то проги нелепые, фотки с корпоративов, где они все в зюзю, мирки, ирки, аськи, скайпы и прочее, вопрос чем вся эта когола целый день занимается?

Избаловали вы, батенька, юзверей. Вконтактики у них там, понимаешь, игрухи-таймкиллеры...работают в перерывах между втентаклем и играми видимо.

AD, GPO, VNC, шейперы на трафик, образ системы с нужным для РАБОТЫ ПО. На машины еще дополнительно можно ДевайсЛок какой-нибудь поставить (корпоративная безопасность, все дела).
И можно тихо и мирно заниматься своими непосредственными делами, а не бегать с мыльной задницей по всякой фигне.

Недавно взялись за завод один, полный бардак был: все с правами админа, фаервола нет, вайфаник 4 года незапароленный вещает напротив школы. Первым делом есессна порезали интернет, с тех пор вообще вся бухгалтерия сидит в hh

что за галимый сисадмин что у него юзеры сами ставят софт?
нафиг он там нужен тогда?
Домен, юзеров под права пользователей и все - никаких проблем

AD - Вам в помощь уважаемый, админ. И проги ставит сама AD какие нужно и права отбирает централизовано у пользователей, которые им для работы не нужны. а чтоб не бегать DameWare или Radmin - кому что нравится.


п.с. меня опередили... Коллегам привет)

Это сообщение отредактировал Stamper - 15.02.2012 - 22:04

У меня все так и было, пичалька, сгорело все, и серверная и админский кабинет

Я бы дополнил:
0) Правила использования, где написано что пользователям нельзя всё кроме перечисленного, всё что можно делать - делать так и так, а иначе будет так и так. С чёткой подписью самого главного в конторе.



Это сообщение отредактировал Sheb2000 - 16.02.2012 - 00:35

у меня раньше было так:
юзер: ааааа, у меня всё тормозит, ничего не работает, всё пропало, я буду жаловаться!
я: (подошёл, охуел, попытался почистить комп, юзер причитает, что никаких условий для труда и что 33 различных плеера и ворох игрушек удалять нельзя-он без них работать не может. Жалоба начальству-я своему, он своему.)
Сегодня:
юзер: ой, вы знаете, мне вот тут нужна одна программа, я так к ней привыкла..
я начальству: юзер программу просит
начальство: нахуй. Рабочее место у всех стандартное.
я юзеру: нахуй.
А решилось всё просто-одна тп решила доказать мою профнепригодность методом постоянных жалоб. Начальство сказало жалобы прекратить. Теперь жаловаться просто не на что-юзер сидит в своей проге и больше нихуя не может.
Жалоб нет.
Начальство довольно.
Юзеры, включая ту ТП, тихо плачут, вспоминая тонны фильмов и груды игр на компах, и тщетно тыкают мышой в тайно скачанный на общий сетевой диск файл mp3.
Ибо нехуй.

Это сообщение отредактировал AoD8 - 16.02.2012 - 00:42

Слухай, у меня на 500+ рабочих мест и два десятка серверов работало три админа. Как понимаешь, болезни/отпуска - регулярно оставалось двое, и справлялись без напряга. При условии, что в "железе" полный разнобой, а у тебя, поди (при 4000+) наверняка есть пару десятков (от силы) стандартных конфигураций.

Залог успеха описан выше - грамотные профили и политики, образ харда на каждый комп. Одно время делали Акронисом образ на том же харде в виде recovery partition - по причине патологической жадности владельцев бизнеса.
Пришлось устроить показательные выступления, когда посыпался шестилетний хард с recovery partition на борту - раскошелились на внешнее хранение.
У нас даже апдейты ставились централизованно - а то есть умники, у которых все компы синхронно в дефолтное время ломятся за обновлениями (часто сырыми и недоделанными), со всеми последствиями.
По поводу "любопытных офисных тружениц, которым по работе разрешен полный доступ в инет" - а кто чёрные списки отменял? Открыть доступ НЕ ТОЛЬКО НА РАЗРЕШЁННЫЕ, но при этом обновлять запрещённые - это же обычная практика. И вообще, тех "которым по работе разрешен" - пустить по отдельному прокси и уже на прокси почикать всякую грязь - мы в банке так и сделали.

сочувствую =( не нужно оставлять права на установку программ а лучше вообще не давать права локального администратора!

Так некоторым и в соцсетях нужно бывает сидеть, там же наши странички, группы. Мы бы с радостью им все подрезали. Но их менеджеры с пеной у рта доказывают, что им нужен абсолютно весь интернет.

А что мешало создать 2 эталонных образа? В итоге все сводится к двум архитектурам -)
Образ Акрониса, болтающийся на HDD юзера: а) занимает место б) умирает вместе с HDD.
Да и внешнее хранилище для образов, как-то не знаю. Если это конечно не копеечный NAS -)

Я в таком случае таких менеджеров вставлял в группы на Squid-е с обычным черным фильтром сайтов и контента. Когда ко мне с воплями прибегали: "ах, с какого фига я не могу вконтактик/одноклассники зайти так как он нужен для работы" просил написать служебку с требованием открыть сайт, так как он необходим для работы. В 99.9% случаев срабатывало. В конце нам это надоело и в политику пользования интернета дописали: "для всех, без исключения, доступ в социальные сети запрещен в рабочее время".

Он сейчас не везде работает,если есть домен или сеть определяет как коммерческое использование и отрубается постоянно,хотя есть и radmin,Net support,которыми можно и файлы передать и поковыряться в компе

Добавлено в 13:06
А на скачивание всякой хрени полезный инструмент прокси сервер,типа USERGATE,не побалуют и в любое время можно распечатать что где и когда

На вкус и цвет все фломастеры разные, конечно. Однако покупать избыточное решение нет смысла. Тем более, в свое время, видел как себя ведет винрут на 250 абонентов -) та еще песня )))

Удаленное администрирование - UltraVNC. Дешево, сердито. Для больших сетей Удаленный помощник. Зачем изобретать то что уже изобретено до нас? )))

Согласен: 100 человек- 100 мнений

Истину глаголишь! 4 года как развернул UltraVNC на 50 компах - всё супер, крайне редко бывают мелкие глюки, и по-русски не печатает, но зато бесплатно! Давно забыл про радмины и ей же с ним...

Во, щас как раз на этом же этапе. Приучаем юзеров с неограниченным интернетом к мысли, что соцсети кончились. Совсем. Навсегда.У всех.
..Вой постепенно стихает)
Ещё неделька-и будет вообще благодать)

напомнило: