Мы уже больше 8 лет используем подобное решение от компании SEH, устройства myUTN-80 и myUTN-800, на 8 и 20 портов соответственно. Оно мало того, что решает вопросы передачи ключей между юзерами, еще и сильно упрощает виртуализацию серверов лицензирования. С такими устройствами ВМ больше не привязаны к конкретному серверу. У нас всего 80 ключей таким образом работает, еще ни одного не совместимого не встретили.
Только благодаря этим устройствам бухгалтерия и плановый отдел смогли уйти на удалёнку. Больше 10 ключей от банков подключили, и возвращаться назад к физическим ключам пользователи уже не хотят.
Менеджер ключей даже автоматизацию поддерживает, например можно подключать и отключать ключ вместе с запуском ПО, т.е. наличие ключа для пользователя вообще полностью прозрачно, он открывает программу, автоматически подключает ключ, закрывает автоматически освобождает ключ. На серверах лицензирования ключ автоматически подключает служба.
В устройстве myUTN в отличии от DistKontrolUSB ключи спрятаны внутрь под металлическую крышу с замком. Это мало того, что физическая защита, еще и случайно ключи задеть не дает. НО менее удобно вставлять и вынимать устройства, вот недавно пришел новый ключ от Guardant, а он размером в меньше 5 мм над USB портом (похож на радио приемник от беспроводной мыши) вставлял между 2 уже подключенными ключами, только раза с 10 поучись воткнуть, как его вынимать вообще не представлю, пинцет нужен будет.
Из проблем:
— Примерно 1-2 раз в год одно из устройство ловит какой нибудь странный глюк, но все решается ребутом.
— Устройство на 20 портов имеет 2 БП и 2 LAN порта, но почему то при подключении к сети через 2 линка оно периодически сваливается в ошибку, отказались от второго линка. (Может новая прошивка поможет)
Мы тоже страдаем от проблемы, что некоторый софт требует права администратора. Пытаемся использовать разные ухищрения, но есть ряд трудностей.
1. Поиск конкретных мест где нужны права. Это хорошо если права нужны только на запуск, а если в процессе работы появляются такие моменты, то нужно заново траблшутить. И это еще хорошо если ПО прямо говорит «permission denied», а то бывает просто падает без конкретных ошибок.
2. Запуск разными средствами от имени админской УЗ это рабочий вариант, но только если идет локальная работа. Что делать при сетевом доступе, когда каждый пользователь состоит в десятках разных групп, а где-то прописан напрямую. Создавать 2 УЗ на каждого пользователя? Как то не очень…
3. Что делать с софтом, у которого права администратора прописаны в системных требованиях? А ТП сразу отклоняет все запросы если их софт работает без прав администратора. Каждую проблему тестировать с правами, а потом убирать назад?
Есть очень большой полюс у этих карт — процент по остатку и ежемесячный кэшбек в рублях, а у зеленого банка кэшбек в виде фантиков, а % по дебетовой карте вовсе нет. У меня коллеги полностью перешли на него, и в итоге на халяву получают больше 1000 рублей в месяц на % и кешбеке. Стоит такая карта 100 руб в месяц, что бы она окупалась с нее нужно тратить порядка 10000 в месяц.
Обналичивание не только бесплатное, но еще и в банкомате любого банка, что в некоторых случаях очень удобно.
От зарплатной карты карты можно не отказываться, а просто переводить ЗП на карту желтого банка, как уже писали, удобнее и быстрее всего это делать через мобильное приложение, проходит как покупка, соответственно без %. Если это делать как перевод с карты на карту то комиссия будет.
Вообще я исповедую принцип, что хороший админ вообще работать не должен
ИМХО, Если это выполняется, то это застой, значит нет ни развития бизнеса, ни развития админа.
У нас 4 админа, и ВСЕГДА есть работа, если нет каких то внедрений нового ПО или сервисов, то значит что-то улучшаем (автоматизируем процессы, увеличиваем надежность, улучшаем безопасность и т.д)
Да, действительно, через некоторые приложения можно запустить исполняемый файл, например, если приложение использует диалог открытия файла со свободным выбором типа файла. Потенциальная дыра.
Ограниченные права позволяют запускать приложение от имени другой учетной записи, а AdmiLink безопасно автоматизирует этот процесс.
Утилита по шагам запрашивает данные, и генерирует ярлык с путем вида:
Есть еще вариант воспользоваться утилитой AdmiLink которая создает специальный ярлык позволяющий запускать конкретный софт от имении другой ученой записи без ввода пароля. Это более быстрый способ, но не такой красивый.
Только благодаря этим устройствам бухгалтерия и плановый отдел смогли уйти на удалёнку. Больше 10 ключей от банков подключили, и возвращаться назад к физическим ключам пользователи уже не хотят.
Менеджер ключей даже автоматизацию поддерживает, например можно подключать и отключать ключ вместе с запуском ПО, т.е. наличие ключа для пользователя вообще полностью прозрачно, он открывает программу, автоматически подключает ключ, закрывает автоматически освобождает ключ. На серверах лицензирования ключ автоматически подключает служба.
В устройстве myUTN в отличии от DistKontrolUSB ключи спрятаны внутрь под металлическую крышу с замком. Это мало того, что физическая защита, еще и случайно ключи задеть не дает. НО менее удобно вставлять и вынимать устройства, вот недавно пришел новый ключ от Guardant, а он размером в меньше 5 мм над USB портом (похож на радио приемник от беспроводной мыши) вставлял между 2 уже подключенными ключами, только раза с 10 поучись воткнуть, как его вынимать вообще не представлю, пинцет нужен будет.
Из проблем:
— Примерно 1-2 раз в год одно из устройство ловит какой нибудь странный глюк, но все решается ребутом.
— Устройство на 20 портов имеет 2 БП и 2 LAN порта, но почему то при подключении к сети через 2 линка оно периодически сваливается в ошибку, отказались от второго линка. (Может новая прошивка поможет)
1. Поиск конкретных мест где нужны права. Это хорошо если права нужны только на запуск, а если в процессе работы появляются такие моменты, то нужно заново траблшутить. И это еще хорошо если ПО прямо говорит «permission denied», а то бывает просто падает без конкретных ошибок.
2. Запуск разными средствами от имени админской УЗ это рабочий вариант, но только если идет локальная работа. Что делать при сетевом доступе, когда каждый пользователь состоит в десятках разных групп, а где-то прописан напрямую. Создавать 2 УЗ на каждого пользователя? Как то не очень…
3. Что делать с софтом, у которого права администратора прописаны в системных требованиях? А ТП сразу отклоняет все запросы если их софт работает без прав администратора. Каждую проблему тестировать с правами, а потом убирать назад?
Обналичивание не только бесплатное, но еще и в банкомате любого банка, что в некоторых случаях очень удобно.
От зарплатной карты карты можно не отказываться, а просто переводить ЗП на карту желтого банка, как уже писали, удобнее и быстрее всего это делать через мобильное приложение, проходит как покупка, соответственно без %. Если это делать как перевод с карты на карту то комиссия будет.
ИМХО, Если это выполняется, то это застой, значит нет ни развития бизнеса, ни развития админа.
У нас 4 админа, и ВСЕГДА есть работа, если нет каких то внедрений нового ПО или сервисов, то значит что-то улучшаем (автоматизируем процессы, увеличиваем надежность, улучшаем безопасность и т.д)
Утилита по шагам запрашивает данные, и генерирует ярлык с путем вида:
C:\Windows\saferun.exe -th C:\Windows\AdmiRun.Exe -d+ -i+ -w- -l+ -c- -a- -m- Z/2B8tY5AABDRcgV9RAWOUft2sfSYo1dWM6F5mnNlh7aIU2ZH97rtISnA/F6LmWk «C:\Program Files\...\...\....EXE»
В этой строке зашифрованы все данные для запуска. Параметры UAC стандартные, работает нормально.