Как стать автором
Обновить

Комментарии 133

неплохая статья для начинающего, жду продолжения:)
спасибо(:
Ничего не понимаю в администрировании, но почитать было интересно — как раз на моем уровне.
Отличная статья) Всеволод, если не секрет, откуда у вас эта столь полезная информация?
Из интернета, он ей полон :)
Я сам когда постигал азы, половиной утилит из статьи пользовался.
> правильно переименовать компьютеры лучше всего воспользоваться системой уникальных идентификаторов
Например?! И так чтобы потом можно было объяснить на пальцах где искать «общую папку» вот того вот сотрудника.
DO-Market-01. Донецк Офис, кабинет Маркетинг, компьютер 01
KS-Kladov-03. Киев Склад, кабинет Кладовщиков, компьютер 03
Потом убрали 2 компьютера за ненадобностью и красота нарушилась. Лучше называть компьютеры их инвентарными номерами, вести базу данных, в которой записи вида 0234325=>Киев Склад, кабинет кладовщиков… MAC такой то, порт на свитче такой то, учетные записи такие то.

А расшаривать данные я бы вообще запретил, для этого есть общая файлопомойка, которая регулярно проверяется на вирусы.
Я бы тоже запретил… Как мог пытался объяснить, что есть файл сервер, где документы и проекты отдела и папочки с фамилиями сотрудников отдела. Даже как сетевой диск подключал папку отдела. Но им удобнее обмениваться через «общую папку» компьютера, а руководство дало четко понять что бы «искусственных» трудностей в процессе производства не было.
Для текущего обмена на сервере делается отдельная папка типа Temp.Day, которая еженощно чистится скриптом.
А пользователям просто не надо давать права админа (кроме исключительных случаев), тогда и лишних шар на машинах не будет.

Касательно руководства: садитесь и пишете кучу регламентов и положений. «Положение об антивирусной защите», «Положение об информационной безопасности» и так далее. Это муторно, но это необходимо. Подписываете эти бумажки у руководства (руководство такие вещи любит, хе-хе) и потом тычете в нос особо ретивым сотрудникам.
Искусственные трудности? Да какие нафиг трудности, какая рядовому пользователю разница куда указывает ярлык на его рабочем столе или ещё где-нибудь? Можно даже незаметно для них поменять адреса с "\\userpc-01\шара" на "\\server\shares\userpc-01_шара".
нам шашечки или ехать?
главное функциональность.
к примеру у нас практикуется имя компьютера по шаблону РЕГИОН-ДЕПАРТАМЕНТ-ТИП-НОМЕР
к примеру EKB-FIN-PC001 или TUM-MNG-NB082.
при мигрировании новой машины совершенно не затруднительно узнать последнее свободное имя.
сотрудник при обращении так-же не испытывает проблем с прочтением с экрана/системника подобной последовательности (при логине у каждого пользователя на десктоп добавляется информация об имени его компьютера, учетной записи, IP адресе и времени входа в систему).
Как вывести на экран имя компа и айпишник? Чтоб он там всё время висел поверх обоев, не слишком навязчиво притом.
у нас информация во время логона дорисовывается прямо на обои не огромным шрифтом в уголке.
решение не универсальное, но простое.
можно конечно и резидента откликающегося на редкий хоткей всем раздать через политики.
Дык а как это сделать? Разжуйте)
Эту фишку подсмотрел на курсах специалиста.
Только имя компьютера и IP обычно пользователю ни к чему.
Лучше телефон службы поддержки написать, а то особо сознательные начинают звонить по всем телефонам отдела из справочника.
да-да.
а потом специалист техподдержки тратит время, пытаясь объяснить сотруднику где у того находится имя компьютера или IP, чтобы к нему подключится хД
программа позволяет легко настроить выводимую информацию.

кстати посмотрел — можно поместить всем на рабочий стол ярлык и тогда при запуске программа будет показывать попап, а не рисовать на десктоп.
У нас удалёнка запрещена — в целях профилактики простатита.
по-моему запрет возможности решить проблему удалённо сродни тому, что в некоторых компаниях на машинах со свежеустанавливаемым WinXP до сих пор стоит IE6.
Использую BgInfo, настроил однажды и не приходится бегать по компам. Достаточно просто попросить тётеньку с бухгалтерии продиктовать что у нее написано на рабочем столе.
не так часто у меня компьютеры переезжают из кабинета в кабинет и меняются. Но если такое происходит часто, то называем по инвентарному номеру, а потом пишем логон- скриптом в АД в описание пользователя имя компа, на которое он последний раз логинился, а в описание компа — имя пользователя.
Если интересно подробнее — сюда habrahabr.ru/blogs/sysadm/121801/
а как запретить расшаривать данные?
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
«NoFileSharingControl»=dword:00000001
Эмм… А еще варианты?
В одной конторе Все инженеры разных направлений сидели в одном кабинете (человек 20) — компьютеры назывались по фамилиям типа IvanovII, SidorovSS (Компьютер был закреплен за 1 человеком)
В другой конторе из-за большой текучки компы назывались как у вас по местоположению, но без деления на отделы (люди в кабинетах сидели не «по отделам» а по схожим задачам) и компы назывались 303KAB01 (303 кабинет, комп. 01)
Называть по принадлежности и местопложению — плохая практика, даже с небольшой текучкой есть вероятнось, что компьютер окажется не там или не у того.
Строить самоописывающиеся системы — отличная практика.
А при безответственном подходе любая система учёта будет содержать неактуальные сведения ;-)
У нас по номерам делается к примеру:
w3p-1-12-1-alt, w — workstation, 3 — windows xp, p — professional, 1 — место в комнате, 12 — номер комнаты, 1 — этаж, этаж начинается с подвала, alt — офис
для серверов выглядит так:
s3s-5E-14-1-alt, s — server, 3 — Windwos 2003, S — Standard, 5 — номер стойки? шкафа?, E — расположение в стойке/шкафу считая с верху, 14 — номер комнаты, 1 — этаж, alt — офис(у нас бывает ещё «ban» и «den»).

Вроде бы всё хорошо описывает и плюс попадаем ещё в 16 знаков Netbios'a.
Номера рабочих мест считаются от входной двери по часовой стрелке.
… а если бы в начале стоял этаж и номер комнаты — в списках компьютеры элементарно бы группировались по местоположению, а так — каша, которую без дополнительных ухищрений не упорядочить
А еще в некоторых конторах любят тасовать технику буквально каждый день — новый комп сюда, отсюда — туда, оттуда — в новое место и так далее… :-)
Рабочих станций около 500.
Именуются чтоб быстрее найти физическое расположение.
111-222-333
1) Номер комнаты (первая цифра этаж)
2) Комплексный идентификатор позволяет выявлять ошибки специфические только для определённой группы (Ошибка только на ноутах)
— тип станции (Станция/Ноут);
— Брэнд (если есть)
— дополнительная цифра если такой не один или номер розетки в комнате
3) Номер или сокращенное название отдела
Расставлены по важности на первом месте сортировка по физическому размещению
Очень помогало на первых этапах когда наводил порядок.

Шары запрещены. Для обмена/хранения группа сетевых дисков для каждого отдела своя + общие для всех на чтение (типа Справочников)
Как аргумент в пользу отмены шар — регулярное резервное копирование и планирование затрат на железки.
О том как выходить из мертвой петли читайте в следующем номере…
А как бы с общими принтерами после смены имени компьютера? Допустим в кабинете к одному компьютеру подцеплен принтер, а остальные 5-10 компьютеров обращаются к нему как \\compname\printer
Как вариант в сценарий входа добавить

cscript %windir%/system32/prnmngr.vbs -t -p "\\newcomp\prn-001"

Лучше всего подключать общие принтеры с помощью TCP/IP порта на DC, а у юзеров, которым этот принтер нужен, подключать его с помощью развертываныя принтера для OU в AD.
Хм… а если пользователи разделены следующим образом?

OU Marketing — vasya (kab1) printer 001
— petya (kab2) printer 002
OU Reklama — lena (kab1) printer 001
— katya (kab8) printer 008

тут нам подойдет разбиение по группам и следующий VBS…

Dim oNet

'On Error Resume Next

Set oNet = CreateObject("WScript.Network")

If IsMember("Printer1") then
oNet.AddWindowsPrinterConnection "\\comp1\Printer1"
End If

If IsMember("Printer2") then
oNet.AddWindowsPrinterConnection "\\comp2\Printer2"
End If

If IsMember("Printer3") then
oNet.AddWindowsPrinterConnection "\\" & sPrintServer & "\Printer3"
oNet.SetDefaultPrinter "\\" & sPrintServer & "\Printer3"
End If

' FUNCTION ============ IsMEmber
Function IsMember(sGroup)
' IsMember
' Test to see if user if member of specified group

' sGroup Name of group
' Returns True if user is group member

Dim sAdsPath, oUser, oGroup
' ================= Populate dictionary if not yet created =======================
If IsEmpty(g_oGroupDict) Then
Set g_oGroupDict = CreateObject("Scripting.Dictionary")
g_oGroupDict.CompareMode = vbTextCompare
sAdsPath = oNet.UserDomain & "/" & oNet.UserName
On Error Resume Next
Set oUser = GetObject("WinNT://" & sAdsPath & ",user")
If Err.Number then
IsMember = FALSE
Exit Function
End IF
On Error Goto 0
For Each oGroup In oUser.Groups
g_oGroupDict.Add oGroup.Name, "-"
Next
Set oUser = Nothing
End If
IsMember = CBool(g_oGroupDict.Exists(sGroup))
End Function


Ну да, если доступ к одному и тому же принтеру должны иметь разные люди из разных филиалов и кабинетов, то конечно же с помощью групп:) Я рассматривал самый простой вариант, когда на принтере печатают только люди, которые находятся в одном кабинете с этим принтером.
Принтеры на DC? О боже, лучше не надо.
Причем тут принтеры на DC? Принтеры на клиентских и обрабатываются данные скрипты через групповую политику… на DC вообще пользователям делать нечего!
Вы комментарий прочитайте внимательно, на который я отвечал.
объясните, почему, пожалуйста.
Что почему? Что делать пользователям ( Не администраторам) на контроллере домена?
я не говорил о том, что пользователи должны заходить удаленно на DC для печати документов. Принтеры должны быть подключены к DC tcp/ip портами, и к юзерским компам подключаться уже по пути "\\DC1\Printer1", а не от какого-то компа, стоящего в бухгалтерии(:
Потому что DC (если мы про контроллер домена) — это критически важный элемент сетевой инфраструктуры, как с точки зрения безопасности, так и доступности сетевых ресурсов и управления сетью.

Поэтому любая дополнительная функция возложенная на них ведёт к снижению надёжности (установленные принтеры — это драйвера, и покажите мне такие принтерные драйвера, которые никогда не вешаются, не роняют спулер и подобное), если например для обслуживания роли принтеров придётся перезагружать контроллер, то доступ к нему будет прерван (конечно обязательно иметь минимум 2 DC, но раз уж мы серьезно обсуждаем почему не стоит делать DC принт-сервером, то можно предположить, что он будет один).

Есть 6 принтеров:
2* HP LJ 2420(Один в Донецке, другой в Киеве)
Gestetner MP2000
2*Samsung SCX-6345(Один в Донецке, другой в Киеве)
Gestetner MP161SPF

Все они подключены тсп/ип портами к ДЦшке, которая в Донецке и подключаются от этой ДЦ к компам юзеров в Донецке и к Терминальному серваку(тоже в Донецке). За 4 года, что тут работаю, спулер подвисал один раз, и то когда я что-то крутил в политиках АД по поводу развертывания принтеров.
и еще вопрос: каким образом тогда осуществлять подключение принтеров, если у нас нет отдельного компа для сервера принтеров? Расшаривать их на тех компах, к которым они подключены и подключать к остальным по "\\Buhgalteriya3\Printer1"? А что, если комп сломался и ушел в ремонт на 2 недели? руками у выборочных пользователей менять путь к принтеру, предварительно подключив его к другому компу?
Добавлю чуточку скриптов на PowerShell ( применимо к win 2008)

Cписок пользователей / компьютеров:

PS> Get-QADUser | Get-Member
PS> Get-QADComputer

Cписок пользователей, которые не регистрировались 3 месяца и сохраним вывод в HTML-файл:

PS> $last3months = (Get-Date).AddMonths(-3)
PS> Get-QADUser -IncludedProperties LastLogon | where { $_.lastLogon -le $last3months} | Select DisplayName, LastLogon, AccountIsDisabled | ?{-not $_.AccountIsDisabled} | ConvertTo-Html | Out-File E:\report.html

Создадим новую доменную учетную запись:

PS> New-QADUser -name 'user' -ParentContainer 'OU=test,DC=iamroot,DC=local' -UserPassword 'P@ssword'

Будут вопросы — спрашивайте. Спасибо за Внимание
Будет работать только с PowerGUI
Именно. Для блокирования старых аккаунтов:
Disable-StaleDomainComputerAccounts.ps1:
function Disable-StaleDomainComputerAccounts

{ #function begin

# Use Directory Services object to attach to the domain #Leaving the ADSI statement empty = attach to your root domain
$searcher = new-object DirectoryServices.DirectorySearcher([ADSI]"")

# Filter down to computer accounts with computer running windows OS (so to not disable MacOS and other bullshit)
$searcher.filter = "(&(objectClass=computer)(!useraccountcontrol:1.2.840.113556.1.4.804:=67117056)(|(operatingSystem=Windows*)))"

# Cache the results
$searcher.CacheResults = $true
$searcher.SearchScope = “Subtree”
$searcher.PageSize = 1000

# Find anything you can that matches the definition of being a computer object
$accounts = $searcher.FindAll()

# Check to make sure we found some accounts
if($accounts.Count -gt 0)
{
foreach($account in $accounts)
{
if ($DCs -eq $account) {writ-host DC, skipping; continue}
# Property that contains the last password change in long integer format
$pwdlastset = $account.Properties["pwdlastset"];

# Convert the long integer to normal DateTime format
$lastchange = [datetime]::FromFileTimeUTC($pwdlastset[0]);

# Determine the timespan between the two dates
$datediff = new-TimeSpan $lastchange $(Get-Date);

if ($datediff.Days -gt 50)
{
#$account.Path
$ldapname = $account.path
$compadsi = [ADSI]$ldapname
if ($compadsi.psbase.invokeGet("AccountDisabled") -eq $false )
{
$compadsi.psbase.invokeSet("AccountDisabled",$true)
$compadsi.Setinfo()
$strInfoMessage = "Disabled " + ($compadsi.psbase.invokeGet("Name")) + ", password was set " + $datediff.Days + " days ago."
$strLog += $strInfoMessage + "`n"
}
} #end of datediff.days

} # end of foreach account
} #end of accounts.count

if ($strLog) {
$strLog
$strLog = "Stale Record disabled following accounts: `n" + $strLog
$EventLog = new-object System.Diagnostics.EventLog('Application')
$EventLog.MachineName = "."
$EventLog.Source = "WMIInfo"
$EventLog.WriteEntry($strLog,"Information",10)
}
} #function end

Disable-StaleDomainComputerAccounts


В строке if ($datediff.Days -gt 50) меняйте 50 на нужное количество дней
А чем плох способ, который я указал в теле поста?
Тем, что это:
а) чья-та сторонняя утилита
б) старая утилита (2004 год!). Да, она работает до сих пор (слава богу, ADSI не поменялся), но никто не проверял её на 2008/R2, а я бы не хотел узнать о каких либо проблемах hard way
в) нет возможности делать что-то ещё, кроме удаления/отключения, например перенос в отдельный OU.
г) не пишет в Application Log :)
Нужно контролировать процесс удаления неактивных компьютеров. В число удаленных могут попасть какие — нибудь директора, которые по 2 месяца отдыхают на Мальдивах, резервные компьютеры, которые заранее настроены и введены в домен. Я бы предпочел просто получить список, отсортированный по убыванию.

«лучше всего воспользоваться системой уникальных идентификаторов» — тут легче раздобыть журнал инвентаризации, но учите, он не во всех конторах актуальный. Лучше действительно пройтись самому и проверить подлинность данных журнала.

Список сотрудников по отделам? В большинстве фирм его не получите никогда.

«Мы будем использовать её для переименования компьютера» — Убедитесь, что пользователи не пользуются расшаренными папками. Обычно бухгалтеры это любят.

Бэкап AD перед совершением всех действий!

Ваш пост подходит для идеальных фирм с плохим ушедшим админом, а так же настоящим, решившим навести порядок. Вот только мой опыт работы в Российских фирмах говорит, что все придется делать вручную. А ведь это одна из двух вещей, которые админ обязан вставая с кресла. Вторая — поставить управляемые свитчи и привязать к пользователю определенный порт. Это лучше, чем управление по MAC.
ГН: «Кофе — мужского рода!!!11»

Статья очень полезна будет, спасибо большое!
Такие вещи принято писать в личку. Теперь Ваша благодарность ничего не стоит.
Прошу прощения.
Так вроде бы решили что средний род является вполне допустимым.
Хотя меня тоже коробит, но с 2009 года кофе среднего рода стало нормой русского языка.
Еще способ давать имена рабочим станция по их инвентарному номеру: их часто бухгалтерия успевает нанести на корпус (у нас это имена типа K-H0008121).
Я раньше обслуживал парк в 300 машин. Там была похожая нумерация, первые 2 буквы указывали на название отдела, а последующее — сам номер. Как ни странно, через пару месяцев я запомнил многие номера. До этого вспоминал «katyab», «bkatya», «ekaterinab».
Уволился из стрима 6 лет назад ) до-сих-пор помню ip/маски по районам (Коих более 100)… хочу кнопку «форматировать мозг»!
Как думаете, скрипт, интегрированный с базой 1С отдела кадров, который переносит учетные записи в OU «На удаление» при увольнении сотрудника? По сути все действия с AD можно автоматизировать.
Можно, но не нужно. Кадровик сделает какое-либо непонятное телодвижение — и у вас будут технические проблемы.
Ну скажем у нас в одной конторе внезапно сделали новое юрлицо и пачку народа перевели туда, причём ИТ-отдел, естественно, уведомили в последнюю очередь. Территориально люди остались сидеть на своих местах — но, естественно, они были уволены.

Лучше уж административно внести начальника ИТ/системного администратора в список подписывающих обходной лист.
Большое вам спасибо, как раз 1 октября выхожу на работу в качестве системного администратора (50 машин), хозяина у них не было, и что ждёт меня даже не знаю.
Если там никогда не было хозяина (!?!), то рассчитывать на выделенный сервер с установленной и хоть как-то настроенной AD не стоит.
Тебя ждет огромная возможность построить все с нуля или долбиться об стену.
Вот вроде интересно, и наверно полезно (ну вдруг угораздит), и вообще… Но почему-то эти слеши, проценты и двоеточия вызывают в моем воспаленном nix-мозгу какие-то специфические реакции, от которых по всему телу разливаются симптомы отравления грибами. Не знаете, к чему это, доктор? Ой, кажется я не туда пишу…
Вот только не надо опять win или lin.
Не, не, не, не. Тушим, тушим, тушим, тушим…
Вы уже не подумайте, у меня первой платформой, на которой я разворачивал сеть была samba+ldap на Debian. Но если есть инструмент — надо его использовать, даже если он неудобен.
«После этого когда кто-либо звонит вам вы просто просите прочитать имя компьютера на его корпусе, после чего…»
Не проще сделать скрипт, который создаст у каждого юзера на рабочем столе ярлык с информацией об имени компьютера и любой другой информацией, которая может пригодиться (ip, mac, email)?
согласен, проще. BGInfo придумали как раз для этих целей. Хотя есть и подводный камень — если оставить пользователям возможность менять фоновую картинку — вся информация будет стерта до момента следующей отработки скрипта (читать — входа пользователя).
Мне не очень по душе идея рисования на рабочем столе. У некоторых пользователей он забит настолько, что разобрать что-либо достаточно проблематично. Плюс из комментарий выше гласит, что могут быть подводные камни при смене обоев (сам не использовал, утверждать не буду). У нас используется обычный VBS-скрипт, который выводит окно со всеми необходимыми данными, которое можно закрыть за ненадобностью. Тем более, я думаю, что пользователь пару раз обратившись за помощью запомнит имя своего компа, и для него много символов поверх обоев будут просто бесполезны.
мне очень жаль вас огорчать, но поверьте, есть такие сотрудники, которые после пятикратного обращения за день в течение уже трех месяцев так и не могут запомнить ни IP адрес, ни (тем более) имя своего компьютера. Когда-то давно приучили сотрудников называть IP своей машины, переучивать на имена теперь очень тяжело, а IP, бывает, меняется. В особо критичных случаях просто говорим: «прочитайте учетный номер на системном блоке» (да, прошлись и проклеили руками). Выручает.
Есть даже такие, которые не помнят свой сетевой логин. Потому что оно высвечивается в поле ввода после загруки системы, и остаётся ввести только пароль — вот только его и помнят.
Кто из вас как боролся с такой ситуацией?
Нормальная практика — комбинировать имя\фамилию из загран. паспорта
Первоначально — логин на памятке, выдаваемой на руки. А после входа — все тот же BgInfo, где и логин, и IP, и имя, и телефон тех.поддержки вместе с почтовым адресом. В итоге логин все равно мало, кто запоминает, но в большинстве случаев техподдержке он и не нужен.
Самое плохое, это когда что-то построено, но очень криво. В некоторых случаях проще постепенно мигрировать пользователей и их пк на новый домен, попутно «причесывая» имена пк, пользователей, раскладывая их по разным аушкам и т.п. И уже в новом домене предварительно подумав раз 10, лучше даже 20 лепить уже группы, систему наименований учеток/пк/групп, групповые политики и т.п.
Лучше изначально продумать грамотную архитектуру, чем пытаться перебороть косяки/глюки старой.
Ийсус Христос вас явно лишил разума и отправил в AD.
Хорошая статья, будет интересно прочесть и остальные части серии. В качестве дополнения (про Powershell уже писали) — вместо использования oldcomp можно обойтись и встроенными средствами Windows — командами вида DSxxxx, например, dsquery: dsquery в technet.
Плюсую. Я вообще всяческий сторонник использовать уже имеющийся инструментарий.
dsquery computer -inactive 16 -limit 0
Компьютеры, которы не логинились более 16 недель, все.
Касательно компьютеров и имён: не надо морочить голову пользователям. Как Вы себе представляете толстую бухгалтершу, которая полезет под стол разыскивать на залитом кофе компьютере (почему-то у женщин компы самые заср… ные) стикер с номером?

Для этой цели существуют специальные утилиты. Как пример: NetScan. Запускаете и она в реальном времени отслеживает — какие машины включены/выключены, кто где залогинен, умеет их Wake-On-Lan / Remote Shutdown и ещё много вкусностей. Не реклама, просто сам пользуюсь. Есть и ещё много подобных вариантов.

Звонит пользователь — разворачиваете окошко и смотрите имя машины. Всё.
Да не звонит даже. У нее иконка на рабочем столе ВЫЗОВ СИСАДМИНА!
Я про имена в следующей статье напишу :) Нетскан штука хорошая, но посмотреть на какой машине сидит пользователь можно и при помощи PsLoggedOn — там есть хитрая опция. Всё дело в юзабилити и, как ни странно, посмотреть на системном блоке номер для большинства удобнее.
На прошлой работе использовал скрипт, который переименовывал стандартную иконку «Мой компьютер» в «Мой компьютер [%name%]». Скрипт подгружался через GPO при входе пользователя в систему. Никому не мешало и все были довольны :)
Господи вы какието роботы сумасшедшие. Компьютеры из серии w3p-1-12-1-alt
У нас каждый пользователь знает что он сидит либо на Эльфе либо на Кассиопее или в крайнем случае на Мустанге. Пользователи тоже могут быть как Vlad так и Монстр. Есть и всякие прочие желания. Это ЛЮДИ! Они РАБОТАЮТ. Им создают УСЛОВИЯ для РАБОТЫ! Я точно всегда знаю, чо Эми в Волгограде, а Мустнаг стоит внизу возле склада. Я знаю, что Цветок в отделе где чинят товар. 99% наименований Киви, Гаваи и прочие просто у всех в мозгу! И все знают, что Тортилла это комп главбуха. И это при 150 компьютерах. И еще ХЗ сколько ноутбуков…
Вы один айтишник на 150 компьютеров, или у Вас все админы обладают уникальной памятью? А что будет, если Вы уволитесь? Собственно, топик как раз про такие случаи… :)
Ну вопервых никто не отменял карту сети. Во вторых у меня пользователи просто помнят кто на чем сидит. Это они сами придумывают имена. А у меня на стене есть карта с каталогом и прочим. Я даже не парюсь, по алфавиту ищу. И да, я один, но сменил 4-х помошников, и ни у одного небыло проблем в поиске компьютера.
Кстати прийди я в контору с именами типа w3p-1-12-1-alt яб с ума сошел. У ас тоже были юзеры с именами достопер1 И компьютеры Бух15 которые стояли почему, т(чюрприз) на складе… (ну так вышло, что бухам купили новый, а старый перенсли на склад). В итоге географические названия и названия связанные с юзером действителности отвечали менее чем на 10%… До сих пор икаю от такого…
Никоим образом не хочу навязывать своё мнение, но на мой взгляд — компьютер, снятый из-под пользователя, должен перезаливаться с нуля. Мало ли чего там прошлый юзер мог наворотить. Соответственно, это и повод сменить имя (если оно привязано к локации).

Впрочем, у меня имена к локациям не привязаны, они привязаны к инвентарникам. Наверное, свои плюсы и минусы есть и у тех, и у других вариантов именований.
Ничего он не мог наворотить. У него прав как у улитки. И если пользователь сидящий на Эльфе садится за Мустанг он получает свой рабочий стол, свои документы. Список софта стандартизирован. Есть не более 10% людей обладающих спец софтом. В большинстве своем он собран на отдельном RDP сервере.
На все 200 человек есть человек 8 к которым индивидуальный подход. Все остальные сразу получат OpenOffice, Mozilla FireFox и Thunderbird, корпоративный софт Jabber IM и все.
Ест проблемы с перемещаемыми профилями MS Windows. Но с этим боремся.
Да Инвентарники это те еще цирки… У нас бухгалтерия может инвентаризовать под одним номером кресло и монитор. А еще потом поменять их. У меня на компах наклейки с штрих кодом. А еще комп это не одна запчатсть. Там и монитор и УПС. В общем это сборная штука и мой апарник рулит этим. Если летит комп, через 20 минут (если есть в наличии) на столе стоит другой. Человек перезагрузился и поехал работать. К сожалению мешают наши Москвичи. Они хотят объяснительных минут на 40…
Да еще. Перезалить не получается. Компьютеры сильно разные. Куплены в разное время. С другой стороны имиджы сделанные сразу после установки тоже не годятся. Ибо часть из них сделаны когда еще OpeOffice был максимум с номером 1.7 поэтому если переустанавливаем что, то прямо берем и переустанавливаем. С выкачиванием последних версий драйверов и установкой всех хотфиксов.
> Ничего он не мог наворотить. У него прав как у улитки.

Физический доступ к компьютеру есть — значит, наворотить можно всё, что угодно.

> Перезалить не получается.

Это говорит только о том, что вы никогда даже не пытались. С другой стороны, если у вас везде линукс, то вы еще долго не дождетесь качественной централизованной установки ОС и ПО. В виндах для этих нужд есть бесплатный WDS и платный SCCM, например.

Можете не верить, но единообразие софта гораздо лучше (для бизнеса), чем зоопарк. А то, что вы ссылаетесь на зоопарк и не делаете очевидных вещей, говорит о том, что вы просто не хотите или не умеете работать. Понятно, что ваши цели могут отличаться от целей бизнеса, но в этом случае вы рискуете в один прекрасный день лишиться работы.
Внимательнее читайте — у меня на всех машинах ПО стандартизированно. Человек может сесть за другой компьютер и получить ВСЁ свое ПО!

Из этой схемы вываливаются не более 10% человек у которых либо стоит какой-нибудь тяжелый софт. Все, что нестандартное собирается на отдельные машины с терминальным доступом.

Наименования компьютеров сделаны ДЛЯ ЛЮДЕЙ! Поэтому в первую очередь надо думать о людях. Компьютер вида OS0123456 (Основное средство с номером 0123456) или BUH1 это кошмар.

Насчет централизованной установки ПО. В Windows c помощью SSCM решают проблему которой в Unix среде практически нет. Для примера посмотрите сколько десятков лет SUN Ray и почему никто на рабочие станции не ставит ПО отличающееся от дистрибутива.

Поэтому не переиначивайте мои слова. Как раз у меня все единообразно.
Ну с Sun Ray не всё так радужно, благо успел я их повнедрять. Начать с того, что это просто удлинитель клавиатуры и монитора, а не рабочая станция. Весь софт на сервере располагается. Инсталляция софта на сервер — немножно более проблемное занятие, чем с рабочими станциями. Цена ошибки выше. Опять же, ваши пресловутые 10% пользователей не впишутся в Sun Ray. И вообще, при чем тут? Задачами SCCM с Sun Ray ну никак не пересекаются.
Кстати, с правами доступа при использовании Sun Ray и других терминальных решений ситуация действительно прекрасная. И пользовательская сессия в смарткарте — это очень удобно.

С именованием компов надо просто понимать, насколько вы будете задействовать пользователя в траблшутинге. Если ему надо прочитать имя своего компа — это одно, а если он тупо жмет «хочу удаленную помощь», то и нафиг вам лишний геморрой, пусть хоть стандартные имена вида WIN-FHRBCXY34 используются.

Из практики своей и чужой — когда в сети двести компьютеров, постоянно есть один-два на обслуживании, софт там поставить, винду перезалить. Когда компьютеров 500, для ручной работы уже нужен целый отдел. А бабки можно бы направить на автоматизацию, но главный админ говорит, что и так хорошо, и не надо никого увольнять и ничего покупать. И всё здорово, пока не появляется ЧЁРНЫЙ ИНТЕГРАТОР :)
>Инсталляция софта на сервер — немножно более проблемное занятие, чем с рабочими станциями.

Смотря что за сервер. Если после запуска setup.exe мы получаем «Компьютер необходимо перезагрузить», то да. Если пишем sudo apt-get install postgresql-server то задача проста.

У меня в организации после установки ОС на машину накатывается OpenOffice, ThunderBird и FireFox. Корпоративный АРМ приходит к ним по netlogon, благо там 1 ветка реестра только. Зачем мне SCCM? Софт который нужен на многих машинах ставится на сетевые диски и если софт писали идиоты и он активно использует реестр делаются лаунчеры которые публикуют в реестре все, что нужно. Эталон рабочего стола и меню пуск распространяется через Netlogon.

Я вообще считаю, что на рабочей станции не должно быть ничего кроме базового софта, все остальное должно быть доступно с двух терминальных серверов 1-основной 2-резервный. Все, что надо обновить обновляется на одном а спустя неделю на другом.

>С именованием компов надо просто понимать, насколько вы будете задействовать пользователя в траблшутинге.

Не только. Я один обслуживаю ватагу компьютеров. Часто народ пересаживается с места на место. Запасных компьютеров мало или вообще нет. Поэтому пользователь должен уметь: 1 Подключить по сети принтер (сломался соседний) (драйвера обычно уже стоят, просто он обычно не хочет видеть все 100 принтеров предприятия). 2 Отключить сгоревший компьютер и подключить подменный (кстати подменный сделан заранее и неизвестно куда он пойдет, как его назвать?). Еще возникают ошибки из серии файл занял иванов на компьютере гоги… Открыл внутренний сайт сверился с табличкой и все. А еще чаще просто помнят кто этот гоги (он часто монопольно работает) и вот тут два раза человек зайдет на сайт глянуть по списку кто Гоги, а потом уже помнит, а вот с WIN-FHRBCXY34 такое уже не катит. Такие вещи даже прочитать по телефону не все могут… Только вчера читали мне по телефону csrss.exe так девочка по буквам читала «С как русская, С но другая Р не как русская.....»

Насчет перезаливки… В теории все прекрасно. Есть имидж и ты накатываешь его на все новые компьютеры и с помощью утилитки syskey (или как там) сбрасываешь имя и прочие ключики. На практике при заливки 10 компов я столкнулся с тем, что у 3-х была другая буква в наименовании материнки и у них не запустилась сеть. Хотя покупали одной партией. Если делать это для компьютеров из разных партий, то получим N имиджей. Идет время, на компьютерах накапливается барахло (настройки, файлы) и тут надо внести исправление — скажем поставить новый софт. Ты его поставил, но имидж тебе сделать уже с этого компа нельзя. В итоге за год имидж потребовался ровно один раз, а потом стал непригоден. А затраты по его созданию поддержанию в актуальном состоянии были не маленькими
> Если делать это для компьютеров из разных партий, то получим N имиджей.

Это только в случае с WDS, да и то не всегда. Когда мы используем SCCM, у нас есть один базовый образ, к которому прицепом привязываются нужные драйвера для железа. А после установки винды и применения драйверов добиваем пациента нужным софтом, и всё в unattended режиме. Экономия места по сравнению с ситуацией «каждой системе свой образ» — дичайшая.

Логика простая — держим всё, что потребуется для инсталляции, на серверах SCCM, и при нужде используем. Пришло абсолютно новое устройство — запихнули драйвер в коллекцию, он сам расползется по филиалам. SCCM — это реально лучший из существующих способов управлять инфраструктурой размером в десятки и сотни тысяч рабочих станций. При этом, его польза очень ощутима и в сетях до 1000 компов. Сбор инфы, управление и контроль.
Верю. Но тут все портит софт от налоговой и прочих идиотских контор. У нас АРМ написана на FoxPro. Для соединения с MS SQL Использует ODBC. Для распространения на компьютеры написан скрипт. Я думаю таких извращений SCCM не поддержит. Там нет, не MCI ничего, такого. Зато разработчик не забывает приделывать туда серийник и прочую муру. Серийник под видом DLL кладется DBF в c:\windows\system32. В общем на мои объемы пока сравляюсь. А еще платить за софт у нас не привыкли. Мне так начальник и говорит — я не понимаю почему МС должен развиваться на наши деньги (а сидеть буду я....).
Учитывая общую направленность топика и комментариев, ради всего святого, ни в коем случае не говорите вашему преемнику, по какой дороге вы ходите домой ;)
Так вы из Ростова? Странно, я думал вы работали до меня на моем текущем месте работы :)
>>psservice \\computername start remoteregistry
Для этого есть Групповые Политики. Не надо делать руками то, что можно один раз сделать головой.
А через какое время после назначения групповая политика будет применена и распространена?
После применения GPO и первой перезагрузки.
А вам вот прямо сию секунду надо? Вот прямо в первый день и час работы на новом месте это надо сделать?
> Каждый раз удивляюсь, когда знакомые админы, которые абсолютно без проблем работают в linux теряются и не знают что делать, когда сталкиваются с администрированием домена AD.

Как бы так сказать, чтобы никого не обидеть… «Не зная броду — не лезь в воду!»(с)
У меня компьютеры названы по фамилиям, в случае совпадения так же добавляется имя, логины — имя.фамилия, каждый пользователь на ад добавлен в группу своего отдела. Каждому отделу выдан свой ip-диапазон, не больше 10 айпишников. При передаче компьютера другому сотруднику/увольнению предыдущего составляется акт приема компьютера, с указанием обязанностей и правил при работе с локальной сетью, общими ресурсами, сетью Интернет. Соответственно компьютер переименовывается. Делается это совместно с отделом кадров. Организация — банк.
Странный какой-то банк. Называть комп по фамилиям это ахтунг. Почему? Да если я буду знать что за этим компом сидит главбух с доспутам ко всем счетам, то и интерес к этому компу будет очень большой.
Доступ к компу извне это уже другая история.
Не-не. Я не про доступ извне. Я про доспут изнутри сетки. Чёрт знает, что у нового работника в голове может родиться, при знании, что это комп главбуха :)
Полемику долго можно разводить, но откуда у нового работника будет доступ к этому компу?) Он является локальным админом сего компа?)
Уже пишу. Будет минут через 40. Ок?
Отлично.
> Кстати да, создайте в дереве AD папку Companyname_Computers, а в ней — подпапки с именем — названием отдела. Это небольшое действие избавит вас от многих проблем в будущем.

Папка — это элемент интерфейса, а в AD вы создаёте «подразделение» (Organisation Unit). Я бы не сказал, что OU по отделам такая хорошая практика — по группам получается гибче, а такие мелкие OU в итоге фактически не используются.
OU намного удобнее для начинающего админа своей наглядностью. Так же, переносить компьютеры между группами немного менее удобно и менее наглядно, чем между OU.
Это прямо противоречит рекомендациям Microsoft — структуру ОП надо строить в соответствии с их основным назначением, которым является делегирование прав и применение ГП.
А зачем нам надо разбивать компы по отделам, кроме как для делегирования прав и применения GP?
Политики и ACL для разных отделов часто совпадают, в таком случае пихать их вразные ОП не нужно.
А зачем тогда их пихать в различные OU, если политики совпадают и точно не будут изменены?
Зачем их вообще тогда пихать в разные OU? Лучше разделить по типам — OU для удобства администрирования, группы безопасности (по которым можно фильтровать групповые политики) — для разделения ролей. То есть все рабочие станции в ОИ «Компьютеры — Рабочие станции», все ноутбуки — «Компьютеры — Ноутбуки» и т.д.
Прекрасная статья)
а можно еще попросить написать как вы днс в порядке поддерживаете?
извиняюсь за оффтопик.
я линуксоид. DC на самбе. ADа боюсь, хотя групповые политики хочу очень.
как я понимаю, под капотом AD лежит обычное LDAP дерево.

наколько принципиальна API-обвязка этого дерева на сервере?
тоесть — пользуются ли winxp, win7 рабочих станций каким-то особенным сделано-в-ms протоколом для доступа к AD, или им хватит протокола ldap, а значит полноценный AD вполне можно замутить на линуксе и openldap?

>Каждый раз удивляюсь, когда знакомые админы, которые абсолютно без проблем работают в linux теряются и не знают что делать, когда сталкиваются с администрированием домена AD.

Зачем *nix админу, который без проблем работает в своей системе, администрировать AD? Это уже эникей, а не админ.
Огромное спасибо за статью.
Видимо я из тех «самых маленьких админов».
Переименовывал компы, но как всегда у мс не все гладко. Так и не переименовались некоторые компы.
Кстати, одинакового(username/password) админа можно через ГПО на все компы создать.
И советую всем почаще в ГПО заглядывать… там много интересного каждый раз попадается :)
ещё весьма позезно повключать рдп не вставая с кресла. тут простенький скрипт.
«создайте в дереве AD папку Companyname_Computers, а в ней — подпапки с именем — названием отдела. Это небольшое действие избавит вас от многих проблем в будущем. „

На этом читать дальше не стал. ADUC — не Explorer, чтобы раскладывать по “папкам». Смысл создавать OU есть только в 2-х случаях:
— Когда предоставляете специфические на эти юниты (например региональным админам дать права на сброс пароля)
— Когда накатываете разные GP. Делать разные политики для отдельных отделов, в общем случае, бессмысленно.

Во всех остальных случаях не распространяйте свои привычки десктопа на AD, только запутаетесь.

«что бы правильно переименовать компьютеры лучше всего воспользоваться системой уникальных идентификаторов, наклеенных на компьютер» — это начинает терять смысл уже при нескольких сотнях компов. При 2-3 тысячах, как у меня было года 3 назад, это не мешает, но и не помогает. При 30000, как сейчас, есть смысл использовать только префиксы регионов.
И в любом случае логичнее прописывать дополнительные атрибуты у объектов компьютера в AD (там есть и Location, и Manager и все остальное, что может понадобиться). Все эти параметры можно легко поменять, в отличие от переименования компьютера.
Свои 5копеек. Наклейки хорошо, но BgInfo проще и быстрее. По поводу именование машин… мне кажется самый правильный использовать префикс устройства и инвентарный номер. Пример:
ws-0000022 рабочая станция
nb-0000033 ноутбук
srv-0000123 сервер
prn-0000124 принтер
При разветвленной сети филиалов можно добавить префикс региона.
pspasswd \\camputername Administrator Password — исправьте, а то ведь так и будут набирать!
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.