После установки System Center Configuration Manager в системе уже созданы основные коллекции для удобного администрирования отдельных групп клиентов.
В принципе, начального набора вполне может хватить для большинства применений. Но не всегда.
Что хотелось бы добавить, для целей разделения мух и котлет:
- Отдельную группу, куда будут автоматически помещаться все записи о рабочих станциях с установленной Windows Vista.
- Отдельную группу, куда будут автоматически помещаться все записи о серверах с установленным Server 2008.
- Отдельную группу, куда будут автоматически помещаться все записи о серверных операционных системах, установленных на пользовательских рабочих станциях.
Вы меня поймете, если у вас в организации есть сотрудники, которым в силу по специфики работы не только повышенные права в рамках определенной структуры домена, но также сама работа
связана с разработкой или тестированием ПО. - Отдельную группу, куда будут автоматически помещаться все записи о серверах и рабочих станциях, назначенных (assigned) конкретному SCCM сайту.
Как ни странно, но по умолчанию этой группы не создается. Группе же «All Desktops and Servers» как правило, принадлежит масса записей о станциях, представляющих из себя и давно несуществующие рабочие станции (после запуска AD discovery) и даже некоторые сетевые принтеры (после запуска Network discovery). - Отдельную группу, куда автоматически помещались бы все найденные рабочие станции, исключая станции в каком-либо доменном OU.
Это может оказаться актуально при использовании AD discovery вкупе с регулярным применением определенной методики чистки домена от записей о старых рабочих станциях.
отзывы (0)
Недавно я кратко пересказал руководство по использованию SCCM для развертывания приложений, применительно к наиболее часто используемым и наименее специфичным.
Вот только совершенно не стоило спешить с принудительным разворачиванием FireFox. По меньшей мере, не стоит его устанавливать в конфигурации по умолчанию. Потому как что в процессе развертывания мы узнали о себе много нового, интересного и необычного.
И хотя в принципе, нет никаких проблем собрать дистрибутив, заодно сразу же включив в него необходимые дополнения и расширения, стоит еще раз задуматься о том, что мнение большинства может кардинально расходиться с нашим. И посему не стоит увлекаться.
Я несколько раз встречал вопрос, какое средство лучше использовать для составления отчетов по Exchage 2007. Да, собственно говоря, ничего более того, что предоставляет сам вендор.
Существует свободно распространяемый инструмент под названием LogParser, который можно скачать на сайте Microsoft. Но, правда, конечно, он требует некоторого приложения усилий для своего использования, пятью кликами мышкой здесь действительно не обойтись. Зато, должен заметить, не требуется ни дополнительных капиталовложений, ни нарушения лицензии на использования средств сторонних разработчиков. Всего лишь нужен не слишком ленивый системный администратор и четкое понимание, какой именно отчет необходимо сформировать.
При причине того, что групповая политика обновляется не единомоментно, даже, казалось бы, тщательно проверенное на совместимость изменение политики может иметь неожиданные последствия.
Дело в том, что для обоих нод кластера опции безопасности Minimum session security for NTLM SSP должны быть изначально идентичны. То есть, если аккуратно включить «Require NTLMv2 session security» и «Require 128-bit encryption», то первая нода, получившая обновление политики безопасности, немедленно будет выкинута из кластера. Хотя, казалось бы, ничто не должно препятствовать тут же установить более безопасную сессию между двумя серверами, поддерживающими все указанные опциональные NTLM флаги.
Conficker.A-E или зачем нам фаервол
Автор: admin. Рубрика: (анти)вирусы, безопасность, управление компьютерами
Пока Conficker успешно осуществляет санитарную функцию, разделяя предусмотрительных профессионалов и самонадеянных балбесов, у многих из последних в панике возникали очень странные желания.
- Срочно установить на все компьютеры в сети брандмауэр приложений от независимого разработчика. Это хоть и сама по себе странная идея, но в ней что-то есть, особенно, если хорошо известно, какие приложения должны иметь права на сетевое взаимодействие.
Сложность заключается в том, что среднестатистический системный администратор представляет из себя несколько не специалиста по сетевому взаимодействию и еще неизвестно, чьи действия приведут к более длительному простою предприятия 😉 Встроенный же во все современные ОС брандмауер вполне достаточен для корпоративной среды. Да, разумеется, его тоже необходимо адекватно настроить. Но, благо, сделать это можно через групповые политики. - Запретить работу службы SERVER на всех рабочих станциях пользователей. Эта идея тоже сначала кажется далеко не самой плохой. Вот только необходимо понимать, что с запретом этой службы, пропадет всякая возможность удаленного управления рабочими станциями.
И в сети, где есть более 100 рабочих станций, я бы на такую экзотику решился только при условии острого желания физических нагрузок и полного отсутствия серьезной работы.
Как происходит типичный процесс обеспечения нового сотрудника рабочей станцией:
- Со склада достается рабочая станция
- На рабочую станцию устанавливается операционная система и все необходимое ПО
- Рабочая станция заводится в домен по неким именем, подозрительно похожим на фамилию пользователя
- Запись о рабочей станции в структуре AD перемещается в необходимый OU
- Рабочая станция устанавливается на рабочее место нового сотрудника
Какие типовые сценарии обычно выполняются при увольнения сотрудника:
- Рабочая станция уволенного сотрудника передается на склад, а содержимое жесткого диска ждет одна из следующих судеб
- Все необходимые документы переносятся на общеизвестный общий сетевой ресурс, доступ к папке, содержащей перенесенные документы дается для сотрудника, который принимает дела
- Все необходимые документы переносятся непосредственно на рабочую станцию сотрудника, принимающего дела увольняющегося коллеги
- Рабочая станция уволенного сотрудника не передается на склад, а вместо этого
- Переименовывается в соответствии чем-то, подозрительно похожим на фамилию уже нового пользователя
- Не переименовывается по причине халатного отношению к работе или по простой забывчивости
Таким образом, при солидном парке ПК и ненулевой текучести кадров, с течением времени в Active Directory накапливается масса записей о рабочих станциях, в точном статусе которых уже не уверен никто.
Естественный отбор или эпидемия Conficker (W32.Downadup)
Автор: admin. Рубрика: (анти)вирусы, WSUS, управление компьютерами
Можно сколь угодно ругать и авторов недостаточно защищенных операционных систем и авторов вирусов.
Вирусов с годами не становится меньше от того, что за головы их создателей назначаются крупные суммы, а пойманные преступники получают по заслугам.
А эта самая общеизвестная незащищенность некоторых операционных систем, по большей части, порождена вынужденными компромиссами из-за необходимости обратной совместимости с собственными старыми продуктами и разработками сторонних производителей. Операционные системы, де-факто являющиеся стандартом, не только становятся все защищеннее и надежнее от версии к версии, но и их текущие обнаруженные уязвимости уже много лет решаются производителем достаточно оперативно.
Но Conficker (он же Downup, Kido, или даже Win32.HLLW.shadowbased) в очередной раз показал, что уж от собственной глупости человека невозможно уберечь. Ни навязчивыми предупреждениями, ни напоминаниями о необходимости обеспечения собственной комфортной жизни.
Да, средство автообновления давно и надежно интегрировано в ОС, да, специально для корпоративной среды выпущен совершенно бесплатный инструмент для централизованного обновления клиентов. Но на личных компьютерах автообновление зачастую принудительно отключается для экономии трафика, а потратить два часа времени на чтение документации и еще час на разворачивание сервиса WSUS ленится большинство системных администраторов.
Путь не один
Автор: admin. Рубрика: Новости
Есть примерно два пути построения информационных систем предприятия:
- Полная реализация требуемого функционала системы в соответствии с разработанным техзаданием и строгим соблюдением промышленных стандартов. Это путь настоящего воина, готового днями и ночами издеваться над своим здоровьем и нервами окружающих, трижды срывая все дедлайны, в попытке научить пингвинов летать. Зато, в теории, это путь построения максимально быстрой и безотказной системы, в будущем гарантированно совместимой со сторонними расширениями.
- Поиск готовых решений, функционал которых можно взаимоадаптировать с потребностями предприятия. Пусть решение будет совместимо, в основном, лишь с продуктами одного вендора. Пусть решение не совсем соответствует не только требуемому предприятию функционалу, но даже имеет скрытые и очень неприятные ограничения в своем основном функционале, задекларированном вендором. И даже пусть производительность готовой системы оставляет желать лучшего. Зато из готовых косых разноцветных кубиков очень быстро складывается некий функционал, вполне достаточный для комфортной работы конечных пользователей — сотрудников предприятия. А на остальные проблемы можно закрыть глаза ради возможности работать уже здесь и сейчас.
Оба пути имеют право на жизнь. И оба пути имеют массу подводных камней и на этапе внедрения и на этапе эксплуатации. Все вопросы квалификации разработчиков и обслуживающего персонала, а также готовности конечных пользователей к заботе об их собственном удобстве, можно обсуждать бесконечно.
Собственно говоря, в каждом конкретном случае хорош свой подход. Вряд ли разумно сажать за пульт управления атомной станцией балбеса-недоучку, хорошо запоминающего последовательность из 15 кнопок, но слабо понимающего, что при этом происходит. И вряд ли разумно заставлять седого доктора наук рассказывать молоденькой бухгалтерше, как пользоваться новой версией почтовой программы.
Так что, возможный путь вовсе не один, один лишь только адрес: One Microsoft Way, Redmond, WA 98052, USA
Впрочем, мир вовсе не плоский, а этот блог, по большому счету, лишь записная книжка, призванная собрать в одном месте методы устранения некоторых типовых проблем типового рабочего окружения.
Проблемы, увы, имеют неприятную особенность возвращаться именно в тот момент, когда в памяти уже надежно стерлись пути их быстрого решения. Но у меня никогда не было ни острого неуемного желания спасти мир от невежества, ни доказать кому-либо, что путь выбранный мною есть единственно верный и я сам хорошо понимаю, куда и зачем иду.