Как нам пришлось научиться управлять Маками в корпоративной сети

    imageBring Your Own Device (BYOD) — уже вполне реальная головная боль админов, у которых в корпоративной сетке появился не только Macbook топ-менеджера, но и iPad (а то и iPhone) его заместителя. Мы в этом году опросили в США более сотни сисадминов крупных компаний – что они используют для управления мобильными гаджетами в корпоративной сети, занятой преимущественно ПК под Windows. Победили варианты «ничего» и «крепкие выражения/алкоголь/слезы». При этом 45% признались, что в их компаниях уже закуплены Mac в рабочих целях. Значит, задачу уже надо решать, так как через BYOD-устройства, которыми пользуются руководители и ключевые сотрудники, может проходить информация ценой в миллионы рублей, и для них жизненно важно соответствовать корпоративным политикам.

    В этом посте мы хотим рассказать, как внедряли в своей же компании собственное решение для управления Маками в корпоративной среде – Parallels Mac Management, с чего начали и с чем столкнулись в процессе (включая чисто психологические аспекты поведения своих же сотрудников). А еще — порассуждать о том, действительно ли нужен Mac в корпоративной сети (и узнать ваше мнение об этом), для чего, и кто чем пользуется для управления.

    «Страшная» реальность

    Несмотря на то, что далеко не во всех ИТ-службах компаний могут найти ответ на вопрос, зачем им нужен именно Mac в корпоративной среде, их рост – это факт (см. исследования Greyhound Research и независимых экспертов). Рост продаж наших собственных десктопных и мобильных продуктов для корпоративного рынка (Parallels Desktop для Mac Enterprise Edition, того же Parallels Mac Management и бизнес-версии Parallels Access) это тоже подтверждает. Плюс опрос, который говорит о том, что 95% тех, кто работает на Windows, с удовольствием перебегут на Mac OS X, как только смогут использовать единую систему управления ПК на различных платформах.image

    Будем честными – для многих компаний с точки зрения экономии затрат и ресурсов выгоднее выбирать ПК под Windows: Маки дороже, экосистема специализированных приложений под Mac OS X значительно менее развита, ими менее привычно массово управлять. Почему же продукция Apple продолжает настойчиво проникать в корпоративную среду?

    Есть свое устройство поработать? А если найду?

    В том же опросе нам сказали: платформа Mac более надежна — меньше «глюков» и вирусов (заявило 77% опрошенных), легко обслуживается (65%) и помогает привлечь сотрудников (тоже 65%). Но нам кажется, что причина все-таки в росте популярности самой концепции BYOD, который вызван следующими факторами:

    Во-первых, это взрывной рост количества мобильных устройств — телефонов и планшетов — и их переориентация на профессиональные задачи. Становится все больше легко носимых гаджетов, способных делать все то, что совсем недавно могли делать только компьютеры. Это касается как смартфонов, так и планшетов. В 2013 году продано больше 195 млн планшетов (62% — под Android, 36% — под iOS). Тогда же количество используемых телефонов на платформах Android и iOS X в мире превысило 900 млн (доля iPhone — 15,2%, Android -78,6%). И уже в этом году люди купят больше планшетов, чем портативных компьютеров.

    imageВо-вторых – мода на BYOD, вполне возможно, отражает новые отношения между компаниями-работодателями и сотрудниками. Эти новые веяния постепенно проникают к нам с Запада, и выражаются в том, что сотрудники все реже рассматривают себя как часть организации, либо даже не входят в штат. Например, contractors («подрядчики») в США сотрудниками не считаются, компания имеет право указывать им, что делать, но не как. Штатные сотрудники ведут себя так же. При таком подходе у сотрудников меньше ограничений, и он де-факто навязывается всем участникам рынка, включая работодателей. А раз не важно, как решаются задачи, то можно использовать любые милые сердцу устройства. Вопросы их технического сопровождения редко обсуждаются, так как не связаны непосредственно с бизнесом. К тому же BYOD снимает затраты на приобретение устройств с работодателя и перекладывает их на сотрудника.

    Зачем включать Mac в корпоративную среду?

    Может быть, проще проигнорировать отдельные случаи их появления? Мы считаем, что нужно делать это ровно с теми же целями, с которыми мы контролируем и ПК под Windows. Например, в нашей компании они следующие:

    • Предотвращение утраты данных на ноутбуке из-за технического сбоя или ухода пользователя из компании.
    • Инвентаризация ПО и оборудования для точного планирования обновлений, соответствия лицензионным требованиям и верного прогноза расходов на ИТ.
    • Упрощение удаленного администрирования – развертывание стандартных образов ОС, развертывание или обновление программных продуктов, удаленное управление для разрешения инцидентов, конфигурации, соответствующие политикам.
    • Специфическая для нас цель: опыт практического применения продуктов собственной разработки.


    Как начался проект внедрения

    Придя к пониманию, для чего нам все-таки нужно научиться управлять своими собственными Маками (нам кажется, каждый ИТ-отдел задает себе этот вопрос, но, по опыту, ответ в случае с Маками может быть и неожиданным), мы открыли новый проект. Выбирая инструмент администрирования Mac, мы исходили из предпосылки, что корпоративная среда по определению имеет единый каталог учетных записей на основе Microsoft Active Directory и инфраструктуру VPN для предоставления доступа к корпоративной сети удаленным пользователям, и что пользователи заинтересованы в том, чтобы служба ИТ решала их проблемы. Это важно, потому что нерадивый и незаинтересованный сотрудник вполне может удалить агент на Mac, а потом уверять, что «все не работает».

    В конце 2012 года мы определили 3 потенциально пригодных продукта: Centrify User Suite Mac edition, Microsoft System Center 2012 SP1 (находившийся в тот момент на этапе Customer Technology Preview, CTP) и версия 1.0 Parallels Mac Management (далее — PMM). От Centrify отвратила необходимость платить за лицензию. Лицензия на System Center предоставляется партнерам Microsoft бесплатно в рамках программы Microsoft Partner Network (а мы ее участники). Дополнительное число клиентских лицензий (Client Management License, CML) для System Center уже купили раньше под задачу развертывания System Center Configuration Manager 2007 в российском офисе. Эти лицензии нужны и для развертывания PMM, потому что содержание Product Use Rights* на System Center 2012 явно указывало на то, что CML требуется на каждое управляемое устройство, без оговорок на происхождение агента. Кстати, и дистрибутив сервера SCCM 2012 получить можно было только при покупке CML: лицензия на сервер отсутствовала в номенклатуре Microsoft, доступ же к дистрибутиву на Volume Licensing Service Center был привязан к приобретению CML.

    Возможность управления Mac на момент начала проекта была только объявлена для SCCM 2012 SP1. Выход его релиза был назначен на начало 2013 года, так что сложности были очевидны. РММ тогда согласились протестировать у себя несколько партнеров компании, и когда служба ИТ нашей собственной взялась за развертывание РММ «внутри», то появилась новая цель — быстрее получить отзывы, чтобы ускорить доработку продукта. От «своих» разработчики получали их, естественно, в более короткие сроки, потому что этот процесс через обычную цепочку «сейлз-инженер»-«продукт-менеджер»-«руководитель разработчиков» обычно затягивается. К тому же партнеры находились в США (а это разница еще и во времени, и в языке). Зато — никаких тепличных условий для нашего ИТ: обращение в техподдержку PMM в общем порядке, постановка задач на доработку в общей очереди, согласно приносимой выручке (а раз в этом случае выручки нет, то доработки будут выполнены, только если их потребует один из платящих заказчиков). В итоге у службы ИТ появился опыт по детальному описанию user case для каждой новой функции, а ее реализация зависела от того, пожелает ли получить ее один из заказчиков.

    Развертывание PMM

    Для этого были выбраны все Mac сотрудники, которые не занимались разработкой или тестированием продуктов. Географически они находились по всему миру: в офисах в Рентоне, штате Вашингтон в США, Москве, Новосибирске, Мюнхене, Сингапуре, Токио; у удаленных сотрудников на территории США, стран ЕС, Австралии и стран Юго-Восточной Азии.
    Предполагалось, что системные администраторы этих офисов смогут облегчить выполнение своих обязанностей за счет возможностей PMM: удаленного управления, централизованной установки стандартных пакетов ПО и обновлений, централизованного применения политик безопасности (на основе Mac OS X Profile), установки стандартных образов ОС, инвентаризации оборудования.

    Особо выделим задачу по удаленному администрированию Parallels Desktop для Mac (хорошо знакомый пользователям Mac продукт десктопной виртуализации, мы про него писали здесь) и распространению стандартных виртуальных машин для него. Удаленное администрирование включает в себя задание оптимальных настроек ВМ, активацию и установку обновлений. Стандартные виртуальные машины (Windows 8 с Office 2013) были выбраны как из соображений совместимости документов и привычки пользователей к интерфейсу Office для Windows, который значительно отличается от интерфейса Office for Mac, так и потому, что многие приложения до сих пор просто не имеют версий для Mac OS X.

    Для решения всего набора задач было решено установить Primary server SCCM в Рентоне и по одной Distribution Point в офисах со значительным числом пользователей – Рентоне, Мюнхене, Сингапуре, Москве и Новосибирске. Удаленные пользователи подключаются через VPN к ближайшему из дата-центров (Рентон, Мюнхен, Москва или Сингапур), откуда их трафик пробрасывается через корпоративную сеть MPLS до Distribution Point, к которой пользователь приписан.
    image
    Наш extension интегрируется в интерфейс System Center Configuration Manager

    Серверная часть PMM была установлена на Primary server. Установку клиента делали вручную, частично сами пользователи, частично – системные администраторы. Пользователям прислали письмо с гиперссылкой на дистрибутив агента, вмешательство системного администратора требовалось лишь в случаях, когда установка не заканчивалась успешно. Начиная с версии PMM 1.7 установка, включая обновление версии агента по команде SCCM, успешно выполнялась в автоматическом режиме примерно в 90% случаев. В большей части случаев, когда установка агента на компьютер, где его раньше не было, проваливалась, причиной было несоблюдение пользователем порядка установки (запустить установку можно без подключения к VPN, но для успешного завершения необходим доступ к домен-контроллеру, который доступен только через VPN). Сейчас текущая версия PMM – 3.1, детские болезни можно считать преодоленными, а дальнейшее развитие направлено на расширение функций.

    Итоги развертывания

    С технической точки зрения развертывание PMM в Parallels можно считать успешным. Агент установлен более чем на 95% выбранных внутри компании Mac (более 150). Возможна доставка пакетов ПО на управляемые Mac, применение парольной политики, удовлетворяющей принятым в компании требованиям к сложности и времени жизни паролей, через профили Mac OS X, настройка параметров виртуальных машин. Начиная с версии 2.0 возможна автоматизированная установка ОС, хотя опыта массового обновления ОС таким способом пока нет, поскольку встроенные средства Mac OS сами справляются с задачей обновления ОС. Также в третьей версии появились и такие новые функции, как портал самообслуживания по работе с приложениями, поддержка инфраструктуры HTTPS SCCM и приложений SCCM. Улучшили поддержку SCCM-клиента, поддерживается также система шифрования FileVault 2 с персональными ключами.
    image
    Портал самообслуживания в Parallels Mac Management

    Одним из труднейших препятствий на пути внедрения PMM было изучение SCCM. У нас вообще не было опыта работы с этим продуктом, поэтому одному из системных администраторов пришлось изучать его сначала самостоятельно, а затем и на сертифицированных курсах Microsoft. Последнее позволило систематизировать самостоятельно приобретенные знания и опыт, а также получить ответы на накопившиеся за время самостоятельных попыток установки и применения SCCM вопросы. Значительная часть проблем, возникавших при установке и развертывании PMM, в итоге оказывалась обусловленной неоптимальной настройкой SCCM. ВЫВОД РАЗ: браться за развертывание PMM можно только тогда, когда в организации есть опыт работы с SCCM, а если его еще нет, то необходимо формальное обучение администратора.

    Второе препятствие было психологически-юридического свойства. Некоторые сотрудники в странах ЕС возражали против установки агента, заявляя, что таким образом отдел ИТ будет вторгаться в их частную жизнь. Это противодействие пришлось преодолевать с помощью генерального поверенного, объяснявшего, что принадлежащие компании компьютеры – не место для личной информации. Такие возражения могут, однако, иметь значительно более твердую почву в случае BYOD. Поскольку технического решения для них по определению быть не может (агент, способный переустановить ОС, может получить доступ к любым данным), то решение должно лежать в договорной плоскости. ВЫВОД ДВА: Сотрудникам, работающим на условиях BYOD, следует предлагать письменно соглашаться с установкой агента как с условием заключения трудовых или договорных отношений.

    Что день грядущий нам готовит

    В итоге все трудности преодолены, и Parallels Mac Management находится в коммерческой эксплуатации и внедрено в ряде компаний, из самых крупных можно упомянуть Rackspace, Samsung и McAfee. Наш собственный внутренний проект мы при этом не закончили: следующий этап – обучение сотрудников нашей службы технической поддержки применению PMM в ежедневной практике. Это потребует, в первую очередь, научить их основам SCCM, так как все операции выполняются через его интерфейс (Маки в нем управляются так же, как компьютеры). Планируем также внедрить у себя же портал самообслуживания по работе с приложениями (Application Self Service Portal), чтобы сотрудники могли сами устанавливать рекомендуемый и соответствующий корпоративным политикам софт.

    Сейчас у Parallels Mac Management самый большой рост продаж по сравнению с другими решениями Parallels – более 50% за год. Это говорит о том, что задачи включения Mac в корпоративную среду стали остро актуальными, и когда наконец-то появилась практическая возможность их решить, реализация не заставила себя ждать.

    Мы можем в результате сделать следующие выводы: во-первых, помимо «ничего», «слез» и «крепких выражений» все-таки есть продукты, которые помогут решать задачи управления Маками (и даже помимо нашего собственного). Во-вторых, вам придется улаживать разные конфликтные аспекты взаимодействия ПК и Mac в одной сети, в том числе – неожиданные и психологические (не все сотрудники рассмотрят преимущества BYOD наравне с ответственностью за содержимое этого самого D).

    И нам действительно интересно, что вы сами об этом думаете: нужны ли Маки в бизнес-среде и какие тут могут быть сценарии использования. Так что пишите свои соображения и вопросы в комментариях, мы постараемся ответить на каждый.

    * Product Use Rights – основной документ, определяющий переданные лицензиату по программам корпоративного лицензирования права на ПО Microsoft.
    Автор статьи – Виталий Хозяинов, старший руководитель проектов в Parallels (США)
    Parallels
    122.90
    Мировой лидер на рынке межплатформенных решений
    Share post

    Comments 38

      –26
      Ниужели кому-то, в век облаков нужно от десктопа что-то кроме браузера и IM клиента? Что может быть утрачено на десктопе, когда все данные в облаках? Бухгалтерия, почта, управление задачами, трекеры, управление знаниями — все это в облаках уже долгие годы.
        +17
        image
          +9
          Не совсем понятно при чем здесь облака. Задача по конфигурированию Маков (и ПС), она как была так и осталась. Например, непходимость задеплоить стандартные конфигурации и policies на компьютеры. Или собрать inventory по железу и софту.
            +5
            Ну, некоторые на десктопах пишут софт. Для тех же облаков.
              +1
              Про информационную безопасность вы, видимо, не слышали.
              Почта в облаке? Бухгалтерия в облаке? Это когда компания у вас представляет собой 5 рабочих станций.
              Тем более по вашей логике, если у всех все в облаках, то зачем десктопы, если есть VDI? Не несите чепухи, пожалуйста.
                0
                В статье не идёт речи о мелких компаниях.
              +12
              извиняюсь, но с первого раза прочитал заголовок как «Как нам пришлось научиться управлять Макаками в корпоративной сети»… и вспомнил сразу пару случаев из своего админского прошлого, а тут про маки оказывается)
                +4
                Сегодня гость нашей студии, знаменитый дрессировщик коров Иванов Петр Сергеевич.
                — Петр Сергеевич, ваш номер поражает своей необычностью, ведь всем известно, что коровы необычайно глупые животные и дрессировке не поддаются. Как вам удалось добиться таких успехов?
                — Легко. Видите ли, до того как придти в цирк, я работал системным администратором…
                –3
                Установить на свой личный ноут приблуду удаленного администрирования, которой будет рулить неизвестный сисоп, пушо такая-то корпоративная политика?

                А может им сразу ключи от квартиры дать, где деньги лежат?
                  +4
                  На такой вопрос одному «аффективному менеджеру» с кучей i-падиков/фончиков ответили, что если он не хочет, то и нефик ИТ-подразделению сношать мозг по поводу «хочу работать с ай-устройства», либо ставим клиент SCCM. Никто не против, чтобы сотрудник, зарабатывающий бабки предприятию работал на устройстве, на котором удобно именно ему, но надо понимать, что в компании существуют разработанные и утвержденные стандарты безопасности.
                  А то был год назад один сотрудник, который по его выражению «ссал в лицо Гейтсу» и хотел, чтобы все на маке работало. Так потом сапорт заколебался его обслуживать. Все видите ли у него было не так и не то, что-то не получалось.
                    +2
                    Ну если вы работаете а личном ноуте, то такая политика компании. У нас тоже wi-fi открыт для личных устройств, открыт доступ в интернет, компьютер является достаточно личным устройством, вообще все очень лояльно, ну такая компания, люди в шортах на работу ходят и ругаются матом через весь офис. А есть компании, где личное устройство в принципе доставать нельзя, в нем есть камера, а все вокруг — это коммерческая тайна; рабочий телефон может без предупреждения отобраy служба безопасности, и им пофиг, что там личные фотки сотрудника в душе. Есть разные компании, с разным уровнем безопасности.
                      0
                      yuuyake, очень правильный коментарий! Более того есть компании, которые не дают административных прав Маковским пользователям. И в таких случая, SCCM + Parallels Mac Management это очень полезная комбинация, экономящая админам кучу времени.
                    +4
                    А что же стандартный OS X Server?
                      +3
                      Согласен, а где сравнение с Mac OS X Server?
                        0
                        А что там сравнивать, Mac OS X Server умеет накладывать Configuration Profiles, плюс у него есть NetBoot. Parallels Mac Management тоже умеет с Configuration profiles работать (и показывать complience reports через SCCM, и NetBoot у нас более продвинутый) и много чего еще, что Mac OS X Server делать не умеет.

                        Если есть 2 минуты свободного времени, посмотрите короткий обзор по фичам http://www.youtube.com/watch?v=ewF1tjr4z9U
                          0
                          Спасибо, обязательно посмотрю.
                            0
                            Это же ай спик фром май харт! Отвратительная озвучка.
                          +2
                          Статья о том, как Parallels внедряли у себя свой же продукт? Это странно читать. Как если б Microsoft написали, как внедряли у себя Exchange и обучали админов.
                          А вообще тема очень актуальная, сейчас многие испытывают головняк от наличия левых устройств на работе. И, пожалуй, кроме SCCM с приблудами, других вариантов нет. SCCM, конечно, продукт громоздкий и не простой в освоении, но очень функциональный, без него сейчас никуда.
                            0
                            Когда-то давно-давно, один очень умный дядя говорил, что на самом деле для управления хостами в корпоративной сети используется вовсе не ADS, а некий NOVELL eDirectory. Но с тех пор я так и не видел ни разу этот едайректори. Из фишек было упомянута возможность работы с любыми ОС. Причем фичи все продаются отдельно и могут стоить очень мало денег (0.5$ за чичу на одного юзера). Тут кто-то может это подтвердить/опровергнуть? Судя по сайту этот продукт больше не принадлежит NOVELL. Зачах по ходу или?
                              0
                              А вы не рассматривали внедрение Casper от JAMF? www.jamfsoftware.com/products/casper-suite/
                                0
                                Мы?! Нет… Опять таки Каспер это хороший продукт. Но его огромный минус это в том что он требует отдельной инфраструктуры (сервер, настройки, итд). А в некоторых случаях и наем отдельного администратора. В случае нашего Parallels Mac Management, если у вас уже есть работающая SCCM инфраструктура, то меньше чем за 15 минут SCCM может быть расширен поддержкой маков. И никакое новое железо покупать не нужно.
                                  0
                                  Для каспера не обязательно нужен сервер. Они предоставляют Cloud based версию.
                                +1
                                Все это сильно зависит от специфики компании и политики безопасности. Нужно понимать, что BYOD — всегда, в любом случае — многократно повышает риски утечки информации.
                                И тут уже дело службы безопасности подробно разъяснить руководству, что на одной чаше весов — яблочные красивости, а на другой — неиллюзорный риск случайной компрометации конфиденциальных данных или, что существенно хуже, целенаправленной атаки именно на личные девайсы сотрудников, априори менее защищенные, чем внутренний периметр корпоративной сети.
                                  +1
                                  Б-же. Какой же бред. Есть две схемы работы — компания подключена к сети и компаания к сети не подключена. А BYOD или нет — это частности.

                                  Грубо говоря если вы КБ которое делает танки — у вас должна быть комната (этаж) коммуникации и компьютеры в которой никуда не подключены). И вот ТАМ надо хранить конф. данные.

                                  Во всех остальных случаях плевать чей компьютер и что там стоит — надо применять «стандартные» правила безопасности (по ссылкам бездумно не тыкать, программы с файлопомоек не запускать).
                                    0
                                    Во всех остальных случаях плевать чей компьютер и что там стоит — надо применять «стандартные» правила безопасности (по ссылкам бездумно не тыкать, программы с файлопомоек не запускать).

                                    Корпоративные ноутбуки обычно имеют строгие политики безопасности — ограничение прав, белые листы приложений, DLP, FDE и т.д.
                                    В BYOD эти политики применяются только для ВМ в датацентре, а на клиентском устройстве стоит лишь антивирус и VPN-клиент, так что вероятность взлома возрастает на порядок.
                                      0
                                      Спасибо, кэп! ;-)

                                      Есть разные подходы к BYOD. Но в итоге всё сводится к доверию между работодателем и работником. Первый доверяет свои «секреты», второй своё железо.
                                        0
                                        Кроме доверия есть риск атаки на компьютер работника. Грамотно защищённый ноутбук требует высокой квалификации взломащика, а с BYOD достаточно словить трояна, который будет грабить изображение с экрана.
                                        +1
                                        Не всегда. Не представляю как можно работать, когда на тебя наложено 100500 ограничений в виде политик… Хуже всего, если эти политики лезут тебе в голову.
                                          0
                                          Это напрямую зависит от организации рабочей среды и самодурства ИБ. Хорошие специалисты по ИБ могут построить защиту, не мешает работе пользователей, а плохие просто не допустят BYOD :-)
                                    0
                                    Плюс опрос, который говорит о том, что 95% тех, кто работает на Windows, с удовольствием перебегут на Mac OS X, как только смогут использовать единую систему управления ПК на различных платформах.

                                    Либо вы что-то не договариваете либо это откровенный провал маркетинга IBM, имеющей в портфолио великолепный IEM/BigFix с поддержкой всех распространённых платформ.

                                      0
                                      navion, не нужно искать черную кошку там где ее нет. IEM/BigFix прекрасное решение. Наш продукт для тех организаций, которые используют SCCM и хотят с минимальными затратами управлять Маками через single pane of glass.
                                      0
                                      для интеграции SCCM и PMM надо переводить сайты SCCM в режим only https?
                                        0
                                        masyan, не нужно. Parallels Mac Management работает как в HTTP так и в HTTPS/PKI режимах.
                                          0
                                          а если у нас большая структура SCCM: CAS, пара primary сайтов и несколько десятков вторичных сайтов, при этом клиенты в регионах по сетевой структуре имееют доступ только ко вторичным сайтам, тогда как? Мы разворачиваем PMM на вторичном? Это поддерживается?
                                          Меня просто интересует масштабируемость, если с SCCM все понятно, тогда установку PMM мы просто дублируем вместе с сайтами SCCM? Чья база данных используется в этом случае?
                                          и если я правильно понимаю, то у вас есть аналог client push install, когда на обнаруженные устройства можно расскатит вашего агента автоматически?
                                            0
                                            Поддерживается. У нас есть клиенты с SCCM инфраструктурой разбросанной по по всему миру, в которой живет несколько десятков тысяч PC и несколько тысяч Маков.

                                            > тогда установку PMM мы просто дублируем вместе с сайтами SCCM
                                            именно так

                                            > Чья база данных используется в этом случае?
                                            Родная SCCM база. Схему базы мы не меняем.

                                            > у вас есть аналог client push install, когда на обнаруженные устройства можно расскатит вашего агента автоматически?
                                            Да, у нас есть Network Discovery, который сканнирует сеть, на обнаруженные Маки ставит нашего клиента и энроллит эти Маки в SCCM.
                                              0
                                              а можно получить контакты, кто занимается партнерами в России, т.к. недели две назад мы прошли регистрацию Channel Partner Registration, но ни ответа, ни письма, что велком и т.д.
                                                0
                                                masyan, я вам в личку написал.

                                      Only users with full accounts can post comments. Log in, please.