Я про это и написал. Надо решать административно: «приказ. запрет на установку и использование ПО, предоставляющего...»
…
и мониторить выполнение приказа.
Да не сложно для известных программ. Более того, это более правильный выбор, чем устанавливать ПО на каждую машину. Но это работает ровно до тех пор, пока не станет использоваться новое ПО (или не обновиться текущее).
Правильный вариант (имхо) — мониторинг ПК сотрудников + орг. выводы
Люди должны понимать, что так делать нельзя, а если не понимают, то надо выявлять и показывать, что так делать нельзя
Это легко реализуется для обычных пользователей и называется SRP.
Но чаще всего проблема возникает с «необычными пользователями» — разработчиками/программистами/техподдержкой и пр. Тем, кому приходится давать права на запуск от админа (в том или ином виде). Не все разработчики, даже в 2020 понимают, что программа не должна требовать прав админа для своей штатной работы. Например, медицинские программы, идущие с дорогим оборудованием вообще, по ощущениям, писались студентами на коленке в год выхода windows xp.
Это не техническая, а административная проблема. Решается мониторингом запущенных процессов/портов и соответствующими оргвыводами
Такой подход «работа только по белым спискам» очень дорог и возможен только там, где большой штат айтишников. Причем сотрудники (а точнее их руководители) должны понимать и соглашаться, что 1) запросы на добавление сайтов будут выполняться с задержкой 2) периодически, ранее работавшие сайты перестанут работать целиком или частично.
Обычно такой подход (белые списки) показатель или ну очень сильно заточенной на безопасность организации или признак «мамкиного админа», который в книжках за 1997 год прочитал «про это», а на практике так и не пробовал (никого не хочу обидеть).
Вы попробуйте разрешить работу с каким-то сайтом, где публикуются журналы (платная подписка). Там, чтобы показать вам контент, данные подгружаются с большого количества других доменов. Причем половина из них — технические домены и их имена могут меняться (cdn). Я уже молчу, что на нужных по работе сайтах будут ссылки на ютуб и прочие общие сайты (которые нужны пользователю, заходящему на этот сайт).
При современном интернете (доступном с любого утюга) запрет на посещение левых сайтов может быть продиктован только безопасностью. А это решается значительно дешевле, проще, быстрее и лучше, чем белые списки (особенно с cdn, ага)
Logitech Wireless Multi-Device K780 Black/White BT + USB
Недавно брали в подарок. Тяжелая, хороший ход клавиш, можно в нее как в подставку поставить планшет/телефон и через встроенный в нее блютус управлять. С компом работает через родной адаптер (не блютус)
У меня на рабочем столе мышка логитек (приемник уже в хабе), в сумке от ноутбука другая такая же. Смысл — взял бук и пошел. Рабочая мышка осталась на столе.
Все блютусные мышки, что я пробовал, дают лаг при начале работы, что очень раздражает.
Клавиатуру, я для себя решил, надо использовать штатную, буковскую, чтобы взяв ноут из офиса с другой клавой в новом месте не чувствовать себя не в своей тарелке.
Поделюсь своей рабочей связкой:
Lenovo L390 1шт
Мониторы Dell P2719HC 2шт
У этого ноутбука два порта Type-C, по первому он может только заряжаться. Ко второму порту можно подключить первый монитор, который имеет функцию обратного питания и, самое интересное, имеет выход DisplayPort out. Через этот порт подключаем второй монитор (у которого, соответственно, есть обычный DisplayPort in).
В результате, при приходе на рабочее место нам надо подключить к ноутбуку только один провод от монитора и мы получаем три монитора в операционке. Т.к. в мониторах есть usb хаб, то приемник от мышки и прочие опции тоже подключаются автоматически.
Таким образом эти мониторы для этого ноутбука, можно сказать, являются док станцией ;)
Я знаю, что в заббиксе есть обслуживание, но сделано оно крайне не удобно.
в заббиксе столько мороки, чтобы это повторить, что просто жуть.
Не хватает удобства постановки в обслуживание (долго, не удобно и пр). Данный механизм, имхо, предназначен для подавления алертов при периодических однообразных «обслуживаниях». Когда, например, каждую ночь происходит какая-то выгрузка, которая загружает канал выше обычного. Но этот механизм не удобен для описанной мной выше ситуации
Вот мы переехали с нагиоса и нам очень не хватает функционала быстрого перевода хоста в режим shutdown (аналог «периоды обслуживания»). Это когда хост не работает, но должен заработать, например, через 2 часа и ты просто отмечаешь, что на 2 часа проблема с хостом это не проблема. Если хост поднимется раньше, то хорошо, период обслуживания завершен, если не поднимется в указанное время, то генерируется новый алерт. А в заббиксе столько мороки, чтобы это повторить, что просто жуть.
Это удобно, например, когда хост не работает по причине сторонних служб, которые декларируют завершение своих работ через какое-то время.
Как-то это можно по-человечески реализовать? Или как создать такой функционал (забыть о проблеме на х часов)?
По поиску попал на эту статью и решил вставить свои 5 копеек: конечно, отключать через заббикс оповещения о проблемах из-за нерабочих дней это на мой взгляд глупо.
А вот мониторить то, что в рабочий день каких-то процессов должно быть больше N — такое иногда надо.
Недавно смотрел готовые решения по переключению каналов микротика и наткнулся на этот скрипт. Спасибо, особенно за «оценку качества» с пингом на два адреса.
Хотелось бы отметить следующее: при каждом запуске скрипта мы переключаемся на шлюз основного канала. Т.е. если у нас через основной канал теряются пакеты (т.е. он работает, но кое-как), то при тестировании мы всех переключаем на этот глючный основной канал. При этом сеть начинает «лагать». Особенно радуются sip-пользователи.
Лучший и правильный вариант в этом случае — пинговать через конкретную таблицу маршрутизации с минимальным размером пакета, например:
Кроме того, лучше переделать инициализацию интерфейсов из-за вышеперечисленного и того, что не всегда можно указать интерфейс как шлюз (т.е. если на стороне провайдера не включен proxy-arp):
Соответственно, в таблице маршрутизации мы должны добавить маршрут до тестируемого адреса (или до 0.0.0.0/0) с именем таблицы равной названию основного интерфейса.
В результате, если мы переключились с основного канала на резервный из-за потери пакетов, то при тестировании шлюз резервного канала как был основным, так и останется. Тест основного канала мы проводим через явную таблицу маршрутизации.
ЗЫЖ данная ситуация не будет наблюдаться когда основной канал в дауне, т.к. основной шлюз не будет активным и дистанция до резервного канала не имеет значения и описываемые «залипания» не видны
1. можно сделать обновление в одном, двух, трех и пр dns сервером. уверен, что внутренний dns сервер (и не один есть). если он не будет работать, то будет плохо не только инвентаризации.
2. не составляет труда выдавать конкретные адреса для конкретных терминалов. кроме того, мы же будем подключаться к terminal2.domain.local
я не критикую, а показываю еще один способ решения задачи. кстати, судя по всему, у вас привязки во многом к ip адресам, а не к dns именам. хоть это может показаться более надежным — в действительности это плохо. dns очень простая, где-то не очень нужная, а где-то прямо необходимая служба. кроме того, она позволяет более гибко резервировать оборудование и распределять нагрузку.
MyLifeOrganized хорошая программа, но папки (что является механическим повтором GTD), вместо контекстов ограничивают гибкость ее применения. Создатели подталкивают к выстраиванию единственного дерева сущностей (папок).
Как мне кажется, по смыслу — все новые задачи находятся в «папке» входящие. Эта такая _виртуальная_ папка, где находятся задачи, не имеющие никакого контекста. Как только задаче присваивается любой контекст, она должна уходить из папки «входящие» (может быть другой подход: ко всем новым входящим задачам, где нет явно заданного контекста, присваивается контекст «входящее»).
В MyLifeOrganized тоже можно организовать подход и на основании контекста (более удобно это делается на основе своего фильтра/схемы, а не отбора по «непустым контекстам»). Работает/фильтрует очень наглядно и удобно. Причем, можно сделать контекст «Клиенты», в него включить контекст «Клиент1», «Клиент2». Сделав фильтр по контексту «Клиенты» ты получишь отбор по всем клиентам (Клиент1 и Клиент2), а отфильтровав по «Клиент2» — только по нему. Получается очень мощный инструмент фильтрации задач. Все фильтры можно сделать в древовидном списке. Смущает/мешает 2 вещи:
1. вылезание названия папок (если их иногда использовать)
2. в мобильном приложении нельзя фильтровать папку «входящие» (убрать задачи, имеющие контекст и все задачи «валяются» в папке «входящие»
3. из папки входящие ты не можешь переместить задачу в «корень» папок (чтоб не фигурировало «inbox» и задача не считалась во входящих) — у задачи обязательно должна быть родительская папка.
А так программа очень гибкая и удобная, одно лишь применение (хоть и немного кривое) программы «не-по-назначению» это демонстрирует. Практически все действия можно сделать через шоткаты и бинды. Вот только папки, а не контексты (для меня лично) сильно портят
вы это штатному хрому скажите. Он спокойно без всего ставится, я не говорю про портабельный софт. Это «защита», как и «проверка» он послушных пользователей. Тут надо решать на уровне сетевого доступа, а не уровня приложений
Не пробовал ни пробовать ;) статья-то хорошая, да вот версия ядра уже 6.1.7601.18247. К тому же, наконец, хочется получить одну кнопку «сделать хорошо». Буду благодарен за ссылку на рабочий патч
Просветите, как можно поставить рам диск (мы говорим про диск из оперативки, а не внешний рам-диск — бывают и такие), если ОС держит всего 3.5-4ГБ? Какие софтины могут это делать? Судя по посту вы это делали — ссылку дадите?
Притом, надо отметить, что семёрка была хоть и 32-х битная, но в ней была разблокирована возможность видеть всю доступную память. Способ разблокировки доступен в Интернет.
Был бы очень благодарен за ссылку на рабочий способ. Сколько не пробовал — ни разу не находил рабочего :( Win7HP, SP1
самые интересные — скрытые, но не подключенные устройства (которые по умолчанию не показывает диспетчер устройств) можно увидеть так:
1 устанавливаем переменную окружения devmgr_show_nonpresent_devices в значение 1 (на самом деле можно присвоить что угодно, только не 0)
1.1 через командную строку:
cmd.exe
set devmgr_show_nonpresent_devices=1
devmgmt.msc
1.2 через гую: свойства системы->дополнительные параметры->дополнительно переменные среды. Далее, любимым образом запускаем диспетчер устройств
2. в диспетчере устройств выбираем вид->показать скрытые устройства
3. неподключенные устройства показываются серым цветом.
4. заходим в устройство, вкладка драйвер->удалить. ставим галочку Удалить программы драйверов для этого устройства.
вот так можно удалить драйвера от ранее подключенных в систему устройств (модемы, сетевые карты и пр)
…
и мониторить выполнение приказа.
Правильный вариант (имхо) — мониторинг ПК сотрудников + орг. выводы
Люди должны понимать, что так делать нельзя, а если не понимают, то надо выявлять и показывать, что так делать нельзя
Но чаще всего проблема возникает с «необычными пользователями» — разработчиками/программистами/техподдержкой и пр. Тем, кому приходится давать права на запуск от админа (в том или ином виде). Не все разработчики, даже в 2020 понимают, что программа не должна требовать прав админа для своей штатной работы. Например, медицинские программы, идущие с дорогим оборудованием вообще, по ощущениям, писались студентами на коленке в год выхода windows xp.
Это не техническая, а административная проблема. Решается мониторингом запущенных процессов/портов и соответствующими оргвыводами
Обычно такой подход (белые списки) показатель или ну очень сильно заточенной на безопасность организации или признак «мамкиного админа», который в книжках за 1997 год прочитал «про это», а на практике так и не пробовал (никого не хочу обидеть).
Вы попробуйте разрешить работу с каким-то сайтом, где публикуются журналы (платная подписка). Там, чтобы показать вам контент, данные подгружаются с большого количества других доменов. Причем половина из них — технические домены и их имена могут меняться (cdn). Я уже молчу, что на нужных по работе сайтах будут ссылки на ютуб и прочие общие сайты (которые нужны пользователю, заходящему на этот сайт).
При современном интернете (доступном с любого утюга) запрет на посещение левых сайтов может быть продиктован только безопасностью. А это решается значительно дешевле, проще, быстрее и лучше, чем белые списки (особенно с cdn, ага)
Если честно, никогда не понимал требование айтишников к подсветке — домашний пользователь — понятно. Айтишник — набирай вслепую.
Недавно брали в подарок. Тяжелая, хороший ход клавиш, можно в нее как в подставку поставить планшет/телефон и через встроенный в нее блютус управлять. С компом работает через родной адаптер (не блютус)
Все блютусные мышки, что я пробовал, дают лаг при начале работы, что очень раздражает.
Клавиатуру, я для себя решил, надо использовать штатную, буковскую, чтобы взяв ноут из офиса с другой клавой в новом месте не чувствовать себя не в своей тарелке.
Lenovo L390 1шт
Мониторы Dell P2719HC 2шт
У этого ноутбука два порта Type-C, по первому он может только заряжаться. Ко второму порту можно подключить первый монитор, который имеет функцию обратного питания и, самое интересное, имеет выход DisplayPort out. Через этот порт подключаем второй монитор (у которого, соответственно, есть обычный DisplayPort in).
В результате, при приходе на рабочее место нам надо подключить к ноутбуку только один провод от монитора и мы получаем три монитора в операционке. Т.к. в мониторах есть usb хаб, то приемник от мышки и прочие опции тоже подключаются автоматически.
Таким образом эти мониторы для этого ноутбука, можно сказать, являются док станцией ;)
Не хватает удобства постановки в обслуживание (долго, не удобно и пр). Данный механизм, имхо, предназначен для подавления алертов при периодических однообразных «обслуживаниях». Когда, например, каждую ночь происходит какая-то выгрузка, которая загружает канал выше обычного. Но этот механизм не удобен для описанной мной выше ситуации
Это удобно, например, когда хост не работает по причине сторонних служб, которые декларируют завершение своих работ через какое-то время.
Как-то это можно по-человечески реализовать? Или как создать такой функционал (забыть о проблеме на х часов)?
А вот мониторить то, что в рабочий день каких-то процессов должно быть больше N — такое иногда надо.
Хотелось бы отметить следующее: при каждом запуске скрипта мы переключаемся на шлюз основного канала. Т.е. если у нас через основной канал теряются пакеты (т.е. он работает, но кое-как), то при тестировании мы всех переключаем на этот глючный основной канал. При этом сеть начинает «лагать». Особенно радуются sip-пользователи.
Лучший и правильный вариант в этом случае — пинговать через конкретную таблицу маршрутизации с минимальным размером пакета, например:
/ping $pingTo1 interface=$firstInterfaceName size=28 count=$pingCount routing-table=$firstInterfaceName
Кроме того, лучше переделать инициализацию интерфейсов из-за вышеперечисленного и того, что не всегда можно указать интерфейс как шлюз (т.е. если на стороне провайдера не включен proxy-arp):
:set firstInterface [find dst-address="0.0.0.0/0" gateway=$firstInterfaceName];
:set secondInterface [find dst-address="0.0.0.0/0" gateway=$secondInterfaceName];
:set firstInterface [find dst-address="0.0.0.0/0" comment=$firstInterfaceName !routing-mark];
:set secondInterface [find dst-address="0.0.0.0/0" comment=$secondInterfaceName];
Соответственно, в таблице маршрутизации мы должны добавить маршрут до тестируемого адреса (или до 0.0.0.0/0) с именем таблицы равной названию основного интерфейса.
В результате, если мы переключились с основного канала на резервный из-за потери пакетов, то при тестировании шлюз резервного канала как был основным, так и останется. Тест основного канала мы проводим через явную таблицу маршрутизации.
ЗЫЖ данная ситуация не будет наблюдаться когда основной канал в дауне, т.к. основной шлюз не будет активным и дистанция до резервного канала не имеет значения и описываемые «залипания» не видны
2. не составляет труда выдавать конкретные адреса для конкретных терминалов. кроме того, мы же будем подключаться к terminal2.domain.local
я не критикую, а показываю еще один способ решения задачи. кстати, судя по всему, у вас привязки во многом к ip адресам, а не к dns именам. хоть это может показаться более надежным — в действительности это плохо. dns очень простая, где-то не очень нужная, а где-то прямо необходимая служба. кроме того, она позволяет более гибко резервировать оборудование и распределять нагрузку.
MyLifeOrganized хорошая программа, но папки (что является механическим повтором GTD), вместо контекстов ограничивают гибкость ее применения. Создатели подталкивают к выстраиванию единственного дерева сущностей (папок).
Как мне кажется, по смыслу — все новые задачи находятся в «папке» входящие. Эта такая _виртуальная_ папка, где находятся задачи, не имеющие никакого контекста. Как только задаче присваивается любой контекст, она должна уходить из папки «входящие» (может быть другой подход: ко всем новым входящим задачам, где нет явно заданного контекста, присваивается контекст «входящее»).
В MyLifeOrganized тоже можно организовать подход и на основании контекста (более удобно это делается на основе своего фильтра/схемы, а не отбора по «непустым контекстам»). Работает/фильтрует очень наглядно и удобно. Причем, можно сделать контекст «Клиенты», в него включить контекст «Клиент1», «Клиент2». Сделав фильтр по контексту «Клиенты» ты получишь отбор по всем клиентам (Клиент1 и Клиент2), а отфильтровав по «Клиент2» — только по нему. Получается очень мощный инструмент фильтрации задач. Все фильтры можно сделать в древовидном списке. Смущает/мешает 2 вещи:
1. вылезание названия папок (если их иногда использовать)
2. в мобильном приложении нельзя фильтровать папку «входящие» (убрать задачи, имеющие контекст и все задачи «валяются» в папке «входящие»
3. из папки входящие ты не можешь переместить задачу в «корень» папок (чтоб не фигурировало «inbox» и задача не считалась во входящих) — у задачи обязательно должна быть родительская папка.
А так программа очень гибкая и удобная, одно лишь применение (хоть и немного кривое) программы «не-по-назначению» это демонстрирует. Практически все действия можно сделать через шоткаты и бинды. Вот только папки, а не контексты (для меня лично) сильно портят
Был бы очень благодарен за ссылку на рабочий способ. Сколько не пробовал — ни разу не находил рабочего :( Win7HP, SP1
1 устанавливаем переменную окружения devmgr_show_nonpresent_devices в значение 1 (на самом деле можно присвоить что угодно, только не 0)
1.1 через командную строку:
1.2 через гую: свойства системы->дополнительные параметры->дополнительно переменные среды. Далее, любимым образом запускаем диспетчер устройств
2. в диспетчере устройств выбираем вид->показать скрытые устройства
3. неподключенные устройства показываются серым цветом.
4. заходим в устройство, вкладка драйвер->удалить. ставим галочку Удалить программы драйверов для этого устройства.
вот так можно удалить драйвера от ранее подключенных в систему устройств (модемы, сетевые карты и пр)