Комментарии 46
Если сказано, что профиль будет ограничен 3 гигами, значит так оно и будет,
Если вами сказано, что в компьютере стоит 2 гигабайта памяти, значит, так оно и будет. А кому для работы нужно больше 2 гигабайт, тот пусть уволится и не работает. Потому что задачи предприятия для вас не имеют значения.
если сказано, что необходима замена железа на компе юзера или замена ОСИ,
значит юзер должен молча кивнуть гривой и ждать, когда ему вернут комп.
А что при этом будет уничтожен результат многолетней работы сотрудника, это не имеет значения.
А на время он садится или за другой компьютер или сисадмин выдает ему подменный.
Или не выдаёт, да? Потому что подменного-то нету?
Вы же не лезете в работу планового отдела
Лезем. Каждый год сдаём годовой план и трёхлетний план работы.
или бухгалтерии
Лезем. Указываем, куда переводить зарплату, и указываем присылать нам расчётные листы.
или отдела кадров,
Лезем. Указываем, когда у нас отпуск, когда заканчивается наш рабочий день, где мы были всё это время, и так далее.
заблокировать ее USB-порты намертво
И с завтрашнего дня она включает флешку под чужим сеансом, потому что в отделе её ценят и любят, потому что она приносит деньги в компанию. А вы денег не приносите, только требуете расходовать.
У меня такое ощущение, что вы все валите в кучу. Причем сами не понимаете того, что комментируете.
Давайте рассмотрим по фрагментам?
Вот Пётр. Ему вы поставили 2 гигабайта, а надо 16. Поэтому Пётр заткнулся и сидит молча.
Вот Иван. Ему запрещено включать флешки. Он идёт к Петру, включает свою флешку там и всё копирует от Петра к себе.
Вот Пётр. Ему вы поставили 2 гигабайта, а надо 16. Поэтому Пётр заткнулся и сидит молча.
Я не узурпатор. Всегда спрашиваю, хватит ему трешки или нет. Если надо, предоставлю больше. Это не проблема. И человек добро будет помнить и обид не будет.
Вот Иван. Ему запрещено включать флешки. Он идёт к Петру, включает свою флешку там и всё копирует от Петра к себе.
Да это понятно. Разговор изначально был о том, какие политики и кому можно применить. Правильно? И эта политика рассматривалась как пример. Так? А на самом деле у меня был такой "хакер", который нашел в Инете генератор вирусов Кузя и натворил много чего. После этого я всем принародно сказал, что если кто-то даст свою машину вот именно этому творцу, будет иметь предсказуемые последствия.
А вопросы у вас правильные. Только все вопросы, которые возникнут, я не могу предугадать. Спасибо вам.
Вы немного странный, я не заметил ничего такого в словах автора.
Логично что если на твоем локальном пк есть только 3 гб, значит все файлы на сервере и вообще не надо хранить файлы на локальных компьютерах.
если сказано, что необходима замена железа на компе юзера или замена ОСИ,
значит юзер должен молча кивнуть гривой и ждать, когда ему вернут комп.
А что при этом будет уничтожен результат многолетней работы сотрудника, это не имеет значения.))
ХРАНИ ФАЙЛЫ НА СЕРВЕРЕ
А на время он садится или за другой компьютер или сисадмин выдает ему подменный.
Или не выдаёт, да? Потому что подменного-то нету?
если у вас не так, иди к начальству и говори что нужны подменные машины, да хоть с авито маломощные просто разверни маленький терминал для временной работы юзеров
заблокировать ее USB-порты намертво
И с завтрашнего дня она включает флешку под чужим сеансом, потому что в отделе её ценят и любят, потому что она приносит деньги в компанию. А вы денег не приносите, только требуете расходовать.
будет очень весело когда она принесет вирус на флешке и прозойдет замечательный взлом который положит всю компанию))) начальство будет ооооооооочень довольно
иди к начальству и говори что нужны подменные машины
Начальство отвечает, что со своей зарплаты каждый может купить всё, чего не хватает. Хоть автомобиль, хоть мебель, хоть компьютер.
принесет вирус на флешке и прозойдет замечательный взлом
Начальство этого попросту не заметит.
Первое - у меня есть 4 подменных компьютера. Полностью готовых к работе. Уже в домене.
Второе - Начальство разное бывает. Мое точно заметит, потому как люди сразу же скажут ему, что там и сям ничего не работает, сисадмин все похерил и вообще он полное чмо. И вы думаете, что я буду кого-то покрывать?
Люди скажут, что не работает, и будут сами в этом виноваты. Вы же не будете никого покрывать.
Было такое уже. Не смог я пачальнику сказать, что женщина с планового отдела накосячила. Свалил все на железо и на то, что вовремя не произвел чистку реестра. Это я так отмазался. Хоть и злой был, но не смог женщину под танки бросить.
На работе нет женщин и мужчин. Есть работники, сотрудники.
Точно так же за рулём автомобиля сидит не "я - девачка", а участник дорожного движения, конкретно - водитель транспортного средства повышенной опасности, обязанный иметь при себе действующие права на управление данным транспортным средством.
Начальство отвечает, что со своей зарплаты каждый может купить всё, чего не хватает. Хоть автомобиль, хоть мебель, хоть компьютер.
не надо там работать, уволься я уверен что в вашем городе есть работодатели с лучшими условиями.
просто если правда так говорят то это какой то мрак
"Можно ли применить политику так, чтобы не перезагружать компьютер?... Решение существует, но не совсем простое. "
gpupdate (или /force), enter
очень непросто
или подождать 90 минут
крайне сложно
Я боюсь представить, что же будет, когда ТС узнает, что для применения NTFS прав на расшаренный ресурс, когда права выданы на группу, ПК тоже нет необходимости ребутать.
Я для персонала стараюсь создать идеальные условия. И прислушиваясь к их мнению. Но в семье не без урода. Есть те, кто считает, что раз ему дали компьютер, значит он его личный и может делать с ним что хочет. Вот на этих людей распространяется написанное.
Зачем создавать OU для людей, если гигантским количеством вещей можно управлять на уровне групп пользователей?
Согласен полностью. Но я начинал как раз с распределенных OU, ну так и продолжил. Потом просто привык к такой структуре. Спасибо.
А группы у вас кто заполняет и в актуальном состоянии поддерживает? OU это иеархическая структура, которая вообще говоря привычна и понятна человеку. В отличие от плоского списка групп, у вас компов и людей сколько в домене? Когда будет тысячи и десятки тысяч тогда поймете зачем OU были придуманы
Группы заполняю я сам, как и поддерживаю в актуальном состоянии тоже я сам. Я уже говорил, что в моей организации не будет тысяч и десятков тысяч. Выше штатной численности персонала у нас не прыгнешь.
Опять пример: юзер Иванова приносит флешки с непонятным содержимым. [...] Самый хороший вариант - заблокировать ее USB-порты намертво.
Но троян или шифровальщик ведь не только на флешке можно притащить.
Как мне кажется, вариант получше — закрыть через Software Restriction Policies запуск любых эксешников и скриптов, кроме как из доверенных каталогов (закрытых от пользователей на запись, конечно) и/или подписанных доверенными подписями. Причём — вообще всем пользователям, которые не админы и не разработчики. А если есть какие-то эксешники, которые пользователем нужно запускать не из доверенных каталогов, самостоятельно подписать их своим сертификатом.
Домены были созданы как удобный для человека способ доступа к интернет-протоколу (IP)
Для меня домен – это возможность контролировать компьютеры, введенные в него
Ничего, что это разные домены? Как ключ, которым двери открывают, и ключ, из которого воду набирают.
Я вам предложил вариант в предыдущей статье без этих профилей.
Так у Вас в прошлой статье не профили, а домашние папки.
Связываем (перетаскиваем) политику в OU с профилем Иванова. Теперь политика работает только на нее.
А если нам нужно одновременно две политики на одного пользователя (запретить одновременно флешки и Интернет), то...
Может всё же хотя бы официальную документацию прочитать и делать так, как указано там? С правами групп на групповые политики?
В пошлой статье не домашние папки, а папки профилей.
Если вам нужно две политики на одного пользователя, так и свяжите эту политику с нм. Хоть 10 политик. А лучше создайте на каждого отдельную многоуровневую политику, если вам так необходимо.
В пошлой статье не домашние папки, а папки профилей.
Если это папки профилей, то покажите ntuser.dat в них.
Если вам нужно две политики на одного пользователя, так и свяжите эту политику с нм. Хоть 10 политик.
10 пользователей, 20 политик. Перемножите самостоятельно?
А лучше создайте на каждого отдельную многоуровневую политику, если вам так необходимо.
Иванова в бухгалтерии, Сидоров в продажах, обоим нужно отключить флешки, но при этом отделу в целом - оставить.
Спагетти-код вроде уже был, пришло время спагетти-подразделений :))
Вам просто по существу нечего сказать? Или спросить? Хоть раз своими ручками создайте что-то подобное, тогда я и буду с вами обсуждать надуманную проблему.
Вам просто по существу нечего сказать?
По существу чего?
Перемещаемых профилей? Уже сказал: у Вас нет перемещаемых профилей, Вы можете в этом убедиться самостоятельно, попытавшись найти в смонтированных папках ntuser.dat.
Групповых политик? Уже сказал: предложенная система превратится в спагетти-подразделения; в официальном руководстве описан правильный подход с установкой группе прав на GPO.
Хоть раз своими ручками создайте что-то подобное
Работал с AD уже на Win2k.
Уже сказал: у Вас нет перемещаемых профилей, Вы можете в этом убедиться самостоятельно, попытавшись найти в смонтированных папках ntuser.dat
Вы посмотрите папку пользователя под которым входите на компе, с которого входите. В скрытых системных файлах профиля юзера все есть.
Видно, что вы никогда не работали с перемещаемыми профилями.
Вы посмотрите папку пользователя под которым входите на компе, с которого входите
Убедились, что в Ваших сетевых папках нет ntuser.dat? Отлично. И где же тут заявленная "перемещаемость"?
Одним из принципов перемещаемого профиля является "мои настройки следуют за мной". Пользователь настроил цветовую гамму, расположение иконок на рабочем столе, параметры отображения папок (например, порядок сортировки), параметры офиса, пересел за другой компьютер и должен увидеть всё в точности также. Как это произойдёт в Вашей системе, в которой ntuser.dat существует только "на компе, с которого входите" и никуда не копируется?
В своей основе системный администратор - это царь и бог для всех, кто пользуется компьютерами организации. - Вы точно уверены в этом? Лично с моей точки зрения вот именно эта мысль в своей основе неверная и приводит к серьезным конфликтам!
Хорошо. Ваше мнение мне тоже важно. Бухгалтер, работая в 1С, считает, что он главный. Но если слетят базы или в ступор встанет сервер, тот же бухгалтер не сделает ни-че-го. Конфликтов у меня нет. Каждый отвечает за свое направление. И в моей организации еще до меня было заведено правило - системный администратор не мальчик на побегушках, а человек, от которого зависит работа всех служб. В чем я не прав?
Спасибо за комментарий.
У меня большая часть, описанных тут проблем, решилась сама собой, когда после серьезного инцидента с вирусней, у всех поголовно забрали права администратора. Побухтели немного, но поняли-приняли и успокоились.
Но не факт, что политики применятся без перезагрузки
Орнул. Админу пора открыть MCSA с 740 по 742 и MCSE (413 что ли. Core Infrastructure который, Designing AD. Как то так называется). И подучить матчасть. А также поискать политику кэширования гпо. А также поискать политику частоты применения гпо. А также найти кнопку gpo update из GPMC, кнопки gpresult. Найти powershell с invoke-gpupdate / invoke command.
Не примениться может только Client side extension. Ибо он применяется во время logon компьютерного обьекта, не юзера. И это разве что принтеры могут быть.
это царь и бог для всех, кто пользуется компьютерами организации
Какой-то комплекс неполноценности, простите. Прекратите считать себя кем-то там. Вы такой же наемный РАБотник, снимите корону.
ежедневно что-то с них скачивают к себе на компьютер
Почему юзер имеет локального админа? Экзешники и прочие прекрасно банятся в NGFW, но судя о чем статья, у вас такого еще долго не будет
Для этого есть замечательная штатная утилита Robocopy
О. Костыли. То, что я люблю. Это когда люди начинают придумывать себе работу ради работы, имитируя бурную деятельность (статья об этом вся в принципе)
профили пользователей
Мои соболезнования тому, кто потом будет отказываться от этого костыля в инфре, если юзеров хотя бы 200.
политику, которая ограничивает подключение к сети Интернет
NGFW любой с АД интеграцией с сертом выпущенным на рут ЦА для интерсепта всего трафика. Пили рулы, хоть обпились. На крайняк статику выдать и запилить рул.
В любом случае: сетевое только на сетевом оборудовании
Антивирус установлен, но это не всегда помогает
Поржал. Есет тот же с центральным менеджментом на виртуалке справляется с 99,99999% проблем при правильной настройке
После прочтения у меня прям вопрос: что мать твою такое я только что прочитал? У меня одного такая мысль?
Автору: кривить руки, прямить извилины. Тьфу. Наоборот. Не заниматься работой ради работы, почитать MCSA/MCSE серты 2012-2016. Наггетлабс курсы лежат на известном трекере. Направить свою безудержную сексуальную энергию на тесты в тестлабах более глобальных вещей, а не вещей уровня "как какать, забивая гвозди микроскопом".
З.Ы. для выноса чего-то за пределы компании есть штука под названием DLP. Не нужно изобретать свои решения DLP.
Много умных фраз, много аббревиатуры. По большому счету каждый делает так, как считает нужным. Да, я такой же наемный работник, ка и все. Но администратору свернут голову, если по его вине люди останутся без зарплаты. А то, что кто-то занес что-то в сеть - это никого не касается.
NGFW любой с АД интеграцией с сертом выпущенным на рут ЦА для интерсепта всего трафика .
Вам самому-то не смешна эта фраза? Я объясняю все доходчиво, стараюсь сделать это простым языком, а читая ваш комментарий, кажется, что это у вас корона на голове от своей значимости.
И напоследок. Вы видно читаете через строчку или у вас плохое зрение.
Акцентирую ваше внимание, что все, о чем здесь написано, применяется на моих серверах к моим юзерам и ни в коей мере я не призываю и не склоняю вас делать так, как сделано мной.
Это в начале статьи. Я выкладываю свой труд. То,что я пошел этим путем, может и несколько неправильным, но тем не менее финальный результат положительный. Ну а вы можете бросаться умными фразами, меня этим не пронять.
И все равно вам спасибо.
Много умных фраз, много аббревиатуры
Вы админ или кто? Какие аббревиатуры? Какие умные фразы? Если админ не знает, что такое:
NGFW
AD интеграция
Сертификат
Root CA
Intercept
Traffic
То может точно всё же настоятельно стоит прочитать стандартный набор из MCSA и MCSE? Это слова уровня "спросить на собеседовании: объясните своими словами".
Вам самому-то не смешна эта фраза
А почему она должна быть смешной? Sophos UTM имел бесплатную версию, теперь Sophos XG всё еще бесплатный для "Home use". У остальных есть триалки. Тот же PaloAlto имеет. У Фортика можно попросить. Может пора поднять вмку и подрыгать оное туды-сюды вместо robocopy, если для вас всё еще здесь есть какие-то смешные фразы?
Акцентирую ваше внимание
Я могу придти, написать: "Я верю в летающего макаронного монстра, а вашего Бога нет" на стене церкви и потом долго удивляться, почему приходит сообщество верующих сообщество и начинать объяснять мне, что так делать не надо и это плохо.
Если долго стучать головой о стену, результат тоже будет положительный. В школьные времена программирования и математики учили одной хорошой вещи: не заниматься подгонкой ответа под задачу.
Ну а вы можете бросаться умными фразами, меня этим не пронять.
Так может стоит начать их понимать? :D А то всё же в шапке "Учебный процесс в IT". Умных фраз тут было примерно 0. Были хорошие советы явно админу уровня "эникей-принеси-подай-кабель-подергай", как поднять набор скилсета и ответы на его вопросы. Но возмоооооооожно, этот админ не понял "умные фразы" и счёл, что ответы на заданные им вопросы его внезапно не касаются :)
Но администратору свернут голову, если по его вине люди останутся без зарплаты
Ну в таком мире и генеральному нужно бежать делать первому, когда у него что-то не работает. Только потому, что он генеральный. В нормальном мире, уверяю, это не так. Есть список обязанностей, есть список работ. Не стоит прыгать попцом на амбразуру и пытаться играть в универсального затыкателя дыр в менеджменте, HR, бухгалтерии, разных процессах фирмы и т.п. ИТ специалист/архитектор/админ/отдел им не является.
З.Ы. У меня всё еще ощущение, что автор слишком хорошо троллит.
З.З.Ы. И да, мы всё еще в интернете. И к тому же на Хабре. Попытка менять свечи через глушитель внезапно вызывают эмоции. И как я вижу: не у меня одного.
Автор, смотри в сторону GPP и Item level targeting.
[Дисклеймер]
Говорю как сисадмин с общим стажем в 5 лет, 3 из которых были отработаны в компании, где "айти" было написано только на моей футболке.
Я не стремлюсь ничем поливать автора (даже завидую навыку качать права), скорее мысли в воздух, исходящие из опыта.
А теперь к сути :
Вы же не лезете в работу планового отдела
А план на год\два\три\десять по айти сдавать?
...или бухгалтерии...
А подписи и сертификаты на новые\ресетнутые машины ставить?
...или отдела кадров...
Та же история.
Это круто, когда в средних\больших энтерпрайзах число сотрудников равно чуть больше чем одному : когда есть назначенный эникейщик, сетевик-монтажник, - такие ребята. Но правда в том, что сейчас такие компании далеко не в большинстве, особенно за пределами столиц.
Если сказано, что профиль будет ограничен 3 гигами, значит так оно и будет...
...Так и будет написано в причине увольнения. Ещё одно свойство малых компаний, и зачастую образовательных учреждений, - "головные" понимают не намного больше юзеров. Прочитал в посте цитату выше, и "посмеялся носом", - как правило на такой подход идут тикеты "Эээээ... Как это - нельзя\ограничен??? Аряяяя!!". Причём от "головных" в первую очередь.
Моё любимое - "при Петрове было лучше!". Сноска : при "Петрове" вся сеть выходила через неуправляемые коммутаторы сразу "наружу", - какие тут GPO.
Если сказано, что необходима замена железа на компе юзера или замена ОСИ...
Довод выше распространяется и на это, но у гос. организаций есть карт-бланш : бумажка "сверху", которая пророчит что-то вроде "Не юзайте это, юзайте это. А то а-та-та!". Нередко случается, что эта бумажка общается с юзерами лучше, чем ты.
И моё любимое...
Или держите свои фото ... на флешке...
...создаем GPO-шку с полной блокировкой всех машинных носителей информации.
У меня всё. Ещё раз - никакого хейта, никакого негатива - просто разный опыт разных людей.
Разные GPO для пользователей или зачем такое количество OU