За что люблю хабр, так это за экспертные комментарии.
«Периодически будет происходить трафик репликации, что будет нагружать сеть – но такова плата за экономию.»
«Такая схема (с двумя КД) теоретически способна выдерживать 100-200 пользователей в сети»
«От RAID можно вообще отказаться, имея второй дублирующий сервер»
«максимум проблем, которые можно поиметь с выходом основного DC из строя — то, что второй контроллер из slave надо переводить в master, а потом уже думать, что делать с первым.»
«Поэтому если уже есть сервер (почтовый, файловый или приложений) можно смело поднимать контроллер на нем. Затраты 0р при условии, что этот сервер у вас на windows.»
«Слушайте, я, может, отстал, и CIFS опять новой версии, но раньше SAMBA рулила доменом легко… И все дела через openldap настраивались…»
«В IT, большинство людей уровня среднего и высшего менеджмента добились своего места из-за своих технических навыков, а не из-за личных качеств или управленческого таланта.»
То-то я уже который год удивляюсь, разгребая инфраструктуры после всех этих менеджеров, архитекторов и, прости господи, ведущих архитекторов с отличными «техническими навыками».
Моё мнение основано на 1.5 годичном мониторинге HH и Linkedin.
Безусловно, мало кто из тех, кто указывает DevOps понимает, что это такое. Но тенденция есть.
«И дело совсем не в DevOps, до его победного шествия ещё далеко.»
Зря вы так. Спрос например на Windows-only инженеров сходит на нет. Даже в Москве адекватных вариантов единицы. О провинции и говорить нечего.
Всем нужны универсалы или DevOps'ы
На самом деле — шутки шутками, а российская реальность расставляет всё по местам. Без вариантов.
Жена у меня адвокат. И мне давно уже запрещено добавлять хоть толику экстремизма в тексты. Или там оскорбления.
Да-да, даже как немедийное физ. лицо легче легкого попасть на бабло за оскорбление чести или клевету. Или по более тяжелой статье. Был бы человек — статья найдется.
Одна отрада — иностранных педиков и ниггеров можно называть педиками и ниггерами, пока это безопасно еще. Хотя недавний приговор Носику это уже звоночек.
«Samba 4, на текущий момент, отлично поддерживает весь функционал Windows Server 2008 R2, при этом не страдая болячками оригинала. Я уже много лет разворачиваю AD на linux, зачем тратить деньги и иметь за них геморрой?»
Вот моя стандартная задачка.
Разверните, пожалуйста, на linux инфраструктуру следующего характера:
— 10000 распределенных объектов, включая сервера, по площади всего СНГ
— У некоторых объектов есть почтовые ящики, в почтовых ящиках есть календарики
— Так же есть внутренний мессенджер и несколько внутренних порталов, которые так же интегрируются в почту и календарики выше.
— Принтеры там и прочая фигня
— Все это должно централизованно и эффективно управляться (политики, обновления, мониторинг и прочее)
— Можно даже без аналогов SCOM
— Так же важна примерная стоимость внедрения и обслуживания всего этого, в сравнении с реализацией от MS
Мнения ЭКСПЕРТОВ?? Где тут, простите, эксперты?
Опять «год Linux'а на десктопах», прости господи.
Когда я такое вижу, я сразу предлагаю решить простую задачку.
Сделайте НЕ на Microsoft гетерогенную инфраструктуру масштабов страны хотя бы от 1000 серверов и 10000 рабочих станций.
Функционал, цена внедрения и обслуживания — аналогично MS AD, Exchange, Lync, SP, MS SQL, SCOM, SCCM и прочее.
«А в бухгалтерии всегда будет пароль максимально приближенный к идеальному «1111». Нужны 8 символов? «11111111». Нужны разные символы? «12345678». И так далее.»
Откуда этот идиотский стереотип? Есть политика информационной безопасности компании, оформлена так же в виде допника к ТК, в нём например явно прописаны базовые «8 символов, стронг, память на 20 паролей назад, смена раз в 90 дней». Хотя я бы делал 10 и 30 дней.
Все, бумага подписана. Все остальные разговоры — с СБ компании и непосредственным руководством.
Для особо критичных вещей — смарт-карты.
И это УЖЕ будет лучше и эффективнее, чем классика про 123456, хотя пароли вида Октябрь2002 так же небезопасны.
— был в ней всего один контроллер домена с установленной на нём Windows Server 2003.
— поэтому на этом же сервере было установлено довольно большое количество приложений.
— резервных копий в этой компании никогда не делалось.
— конечно — in-place upgrade!
У меня прям лицо фейспалмами покрылось.
Это даже не то, что стрелять себе в ногу. Это поставить на ногу канистру с бензином, привязать пехотную мину, поставить капкан, и уже потом — выстрелить.
Откуда вот эта странная вера про «порядочность» и «законность» спецов в штатах? И у нас, и у них — все работают одинаково, наплевав на законы.
Удивляет другое!
Ну как, как, можно взять 170 лямов и тупо спалиться на Мальдивах?? Он бы еще сразу в США поехал! Что у людей в голове вообще??? Не понимаю.
Реально, почти все так палились. Ну сиди ты в своей Украине, не дергайся, она же не выдает никуда своих. Нет блин, или на Кипр, или в Турцию, а там РРРРАЗ и ЦРУшники мерзкие.
BOA сколько сидеть еще? А Максику?? Ну взяли вы бабла, ну сидите тихо, на всю жизнь же хватит… Нет, блин, в отпуска ездят куда попало, тьфу.
+ административные документы из серии «сотрудник несет ответственность за пароли своих учетных записей, в случае физической утечки смерть через карапупу»
Я не в курсе, с чем там борется весь мир)
Но вопрос элементарный.
Ощущение, что 90% из ИТ, из менеджмента ИТ в принципе не читали основ,
ни password гида
https://www.microsoft.com/en-us/research/publication/password-guidance/
ни основ устройства инфраструктуры
ни основ противодействия тому же PtH
А с бумажками под клавиатурами должна бороться СБ, периодическими рейдами
Как хорошо, что я не читаю geektimes, только habr/infosec, да и там рекламы поганой 90%
Кто пустил гуманитариев писать статьи о самом важном??? О паролях???
Сами пароли, по сути, говно. НО! Они ДОЛЖНЫ быть сложными. Это аксиома.
Для всех чуть важных вещей — PKI и 2FA, всё!!!
Кстати, а мода делать вход с веба в интернет-банк БЕЗ 2FA, а сеансовые ключи использовать только уже внутри, при операциях — это нормально вообще? Т.е. ЛЮБОЙ, знающий связку логин/пароль спокойно заходит и смотрит, что там у клиента.
А был банк, Сетелем кажется, у них вообще вход в личный кредитный кабинет по номеру телефона + номер договора + серия и номер паспорта вроде. Жесть просто.
Развитию рынка HR-технологий мешают HR'ы. ©
«Периодически будет происходить трафик репликации, что будет нагружать сеть – но такова плата за экономию.»
«Такая схема (с двумя КД) теоретически способна выдерживать 100-200 пользователей в сети»
«От RAID можно вообще отказаться, имея второй дублирующий сервер»
«максимум проблем, которые можно поиметь с выходом основного DC из строя — то, что второй контроллер из slave надо переводить в master, а потом уже думать, что делать с первым.»
«Поэтому если уже есть сервер (почтовый, файловый или приложений) можно смело поднимать контроллер на нем. Затраты 0р при условии, что этот сервер у вас на windows.»
«Слушайте, я, может, отстал, и CIFS опять новой версии, но раньше SAMBA рулила доменом легко… И все дела через openldap настраивались…»
То-то я уже который год удивляюсь, разгребая инфраструктуры после всех этих менеджеров, архитекторов и, прости господи, ведущих архитекторов с отличными «техническими навыками».
Ага, ку три раза.
Моё мнение основано на 1.5 годичном мониторинге HH и Linkedin.
Безусловно, мало кто из тех, кто указывает DevOps понимает, что это такое. Но тенденция есть.
Зря вы так. Спрос например на Windows-only инженеров сходит на нет. Даже в Москве адекватных вариантов единицы. О провинции и говорить нечего.
Всем нужны универсалы или DevOps'ы
Жена у меня адвокат. И мне давно уже запрещено добавлять хоть толику экстремизма в тексты. Или там оскорбления.
Да-да, даже как немедийное физ. лицо легче легкого попасть на бабло за оскорбление чести или клевету. Или по более тяжелой статье. Был бы человек — статья найдется.
Одна отрада — иностранных педиков и ниггеров можно называть педиками и ниггерами, пока это безопасно еще. Хотя недавний приговор Носику это уже звоночек.
«Samba 4, на текущий момент, отлично поддерживает весь функционал Windows Server 2008 R2, при этом не страдая болячками оригинала. Я уже много лет разворачиваю AD на linux, зачем тратить деньги и иметь за них геморрой?»
Вот моя стандартная задачка.
Разверните, пожалуйста, на linux инфраструктуру следующего характера:
— 10000 распределенных объектов, включая сервера, по площади всего СНГ
— У некоторых объектов есть почтовые ящики, в почтовых ящиках есть календарики
— Так же есть внутренний мессенджер и несколько внутренних порталов, которые так же интегрируются в почту и календарики выше.
— Принтеры там и прочая фигня
— Все это должно централизованно и эффективно управляться (политики, обновления, мониторинг и прочее)
— Можно даже без аналогов SCOM
— Так же важна примерная стоимость внедрения и обслуживания всего этого, в сравнении с реализацией от MS
Спасибо!
1. Вот ещё немного лучших практик: http://windowsitpro.com/security/12-commandments-file-sharing
2. Самое главное — никому не давать Full Access, кроме System и группы администраторов, только Write/Change
3. Плюс FSRM квоты + уведомления + запреты на запись всех видов исполняемых вложений
Опять «год Linux'а на десктопах», прости господи.
Когда я такое вижу, я сразу предлагаю решить простую задачку.
Сделайте НЕ на Microsoft гетерогенную инфраструктуру масштабов страны хотя бы от 1000 серверов и 10000 рабочих станций.
Функционал, цена внедрения и обслуживания — аналогично MS AD, Exchange, Lync, SP, MS SQL, SCOM, SCCM и прочее.
Вперёд, эксперты!!!
Откуда этот идиотский стереотип? Есть политика информационной безопасности компании, оформлена так же в виде допника к ТК, в нём например явно прописаны базовые «8 символов, стронг, память на 20 паролей назад, смена раз в 90 дней». Хотя я бы делал 10 и 30 дней.
Все, бумага подписана. Все остальные разговоры — с СБ компании и непосредственным руководством.
Для особо критичных вещей — смарт-карты.
И это УЖЕ будет лучше и эффективнее, чем классика про 123456, хотя пароли вида Октябрь2002 так же небезопасны.
— поэтому на этом же сервере было установлено довольно большое количество приложений.
— резервных копий в этой компании никогда не делалось.
— конечно — in-place upgrade!
У меня прям лицо фейспалмами покрылось.
Это даже не то, что стрелять себе в ногу. Это поставить на ногу канистру с бензином, привязать пехотную мину, поставить капкан, и уже потом — выстрелить.
Удивляет другое!
Ну как, как, можно взять 170 лямов и тупо спалиться на Мальдивах?? Он бы еще сразу в США поехал! Что у людей в голове вообще??? Не понимаю.
Реально, почти все так палились. Ну сиди ты в своей Украине, не дергайся, она же не выдает никуда своих. Нет блин, или на Кипр, или в Турцию, а там РРРРАЗ и ЦРУшники мерзкие.
BOA сколько сидеть еще? А Максику?? Ну взяли вы бабла, ну сидите тихо, на всю жизнь же хватит… Нет, блин, в отпуска ездят куда попало, тьфу.
Батлер выйдет через год-два, думаю.
Или снова надерет всем жопу и сядет, или поумнеет и станет как Митник (в таком виде ещё и курсы преподавать! ©)
Почту сольют? Ок.
А еще что?
Но вопрос элементарный.
Ощущение, что 90% из ИТ, из менеджмента ИТ в принципе не читали основ,
ни password гида
https://www.microsoft.com/en-us/research/publication/password-guidance/
ни основ устройства инфраструктуры
ни основ противодействия тому же PtH
А с бумажками под клавиатурами должна бороться СБ, периодическими рейдами
Кто пустил гуманитариев писать статьи о самом важном??? О паролях???
Сами пароли, по сути, говно. НО! Они ДОЛЖНЫ быть сложными. Это аксиома.
Для всех чуть важных вещей — PKI и 2FA, всё!!!
200 комментов. Детский сад.
А был банк, Сетелем кажется, у них вообще вход в личный кредитный кабинет по номеру телефона + номер договора + серия и номер паспорта вроде. Жесть просто.
Всё вышеуказанное — запускалось несмотря на SRP/AppLocker или что??