[Мальцев]

AlexeyVB :

Если да, тогда вопрос - на кой так сделано?

AlexeyVB, предлагаете вечноглючащую через ж.пу работающую эктив директори? Почему так работает? Админ крепкий. Натрахается, флешка устанет и тогда задумается (шучу ессно)


ИМХО правильней всего создать дистр (образ) с нужным набором софта, юзеру админа не давать, а если выяснится что кто-то попытался или сломал пароль админа - ШТРАФ! А чего нет? За игрушки трахают а на это обычно сквозь пальцы смотрят. Конечно же в такой ситуации очень важно чтобы админ работал вместо "гоняния думов".
_________________
https://vk.com/club186396900

[AlexeyVB]

Мальцев, Как конкретно сеть организована, в принципе неважно, просто доменной проще рулить не отрывая ж... от кресла И если пользователь сломал админский пароль на серваке - этого пользователя в админы, а того админа - на поиск новой работы.
alex_iork, А на кой ЮЗЕРУ - админские привилегии? что бы работы прибавлял? Неее, нефих, зарезать все права, дать доступ ТОЛЬКО к тем сайтам и ресурсам, которые требуются для работы - и ни вирусов, ни падений системы...

[alex_iork]

AlexeyVB, теперь понял ваш вопрос.
и полностью с вами согласен, юзеру не должно иметь админских привелегий.
и в домене они как раз и есть бесправные. А вот на юзереовских рабочих
станции такое не всегда возможно. Потому как некоторым юзерам по
штату положены программы, которые требуют эти права, но таких по
большому счету не много, есть ещё небольшая группка которую я за
глаза называю -группа ППЖ ( особы приближенные к начальству и
вечно путающие казенное и своё), ну большая часть это ленность аникейщиков (моя недоработка), а ходить за ними и проверять времени
нету. Поэтому когда приходится за аникейщиками найти такую дыру, то
исправляю.
Мечтаю у юзеров изьять DVD/RW, и запечатать USB.

[Юра]

Так! Коллеги! закрываю тему!
Я похоже как тот фокстерьер укусивший чужую собаку (Джером).
Шутю типа...

[027]

AlexeyVB :

И не надо про трафик для автообновления - это забота сисадмина, 90% организаций сейчас на безлимите.

Вот! Ключевые слова - "90%". Я же веду речь за те 10%, которые не так жируют в смысле айти.

AlexeyVB :

Блин, читаю и поражаюсь - а автообновление у всех вырублено, чтоли? Эта дыра с автораном была мелкомягкими прикрыта практически сразу.

У меня вырублено, а как же. Мало того, подсеть мелкосовта забанена нафиг.
По моему глубокому убеждению, венде нужно давать как можно меньше самостоятельности. Особенно, если ты админ приходящий, а добираться до подопечных - час в одну сторону.
Предпочитаю, как и Алекс Йорк, ставить критические апдейты ручками. Что касается этой дыры. Надо бы заткнуть, конечно, но не горит.
Я поступил более радикально - отключил авторан къ. е. мъ. Как только нашел надежный метод для хренового хомяка (XP Home Edition).

Дядя Боря :

Ты ещё спроси - а у кого тут реально лицензионная Винда стоит?

У меня сейчас штук шесть лицензий без дела простаивает. Сокращение. Кризис.

AlexeyVB :

Вообще без антивиря сидели, правильные GP+сетевой экран+автообновление, без проблем...

Все вы правильно говорите, только хомяки не могут быть членами домена. Хомяк есть "тварь глупая и паскудная" © и никаких GP не понимает. А у меня их 10 штук в одной сетке. Экономия-с...

AlexeyVB :

Автообновление можно настроить локальное - т.е. сервак вытягивает, а с него все апдейтят. И не надо про трафик для автообновления - это забота сисадмина, 90% организаций сейчас на безлимите.

Сервак у меня только файловый, под дебианом, апдейтить венду не умеет

alex_iork :

некоторые из юзеров в тихушку поставили вместо опеновмикрософтовские пиратские офисы

Мне пришлось купить два лицензионных офиса. Для тех задач, с которыми опенофис не справляется.

alex_iork :

мне предлагали безлимит от 20тысяч в месяц и скорость 1Мбит,

Не помню, говорил ли я тебе - Волгалинк у коллеги в больничке поставляет 1 мбит за 10 тыр, причем дает двухмесячный кредит. Только есть ли он у тебя поблизости?

alex_iork :

Потому как некоторым юзерам поштату положены программы, которые требуют эти права, но таких побольшому счету не много, есть ещё небольшая группка которую я заглаза называю -группа ППЖ ( особы приближенные к начальству

А мне удалось убедить самого босса работать под простым юзверем. На личном ноутбуке. За три года ни одного виря не поймал - он, по-моему, даже гордится втихую, что умеет работать безопасно.
Я считаю, это большая удача, ну и... без ложной скромности скажем, я умею доходчиво объяснить.
Тут, конечно, вопрос тонкий. Как себя сумеешь поставить. Насколько удастся убедить босса, что ИБ - это не шутки. Что админ не цену себе набивает, а дело говорит.

В одной конторе, с которой я расстался, пришла шибко грамотная главбухша, которая начала с того, что нагнула 1С под терминалкой, а потом истребовала себе админские права на своем компе. Через директора. Типа сама там будет одминить.
Я, конечно, подчинился, но образину диска сделал. Через пару месяцев, ясен пень, доадминила винду до полной невменяемости. Но к тому времени истек срок ультиматума насчет зарплаты, и я покинул сие жлобское заведение.
Хе-хе... звонит вскорости замдиректора, просит админские пароли сказать. Наняли двух(!) мальчиков на зарплату меньшую, чем у одного меня. По три рубля мальчик. Лол.
- Саша, - говорю я ему, - поздравляю с приобретением. Что, не осилили поменять админский пароль, имея физический доступ к компу? Ну, пускай упражняются в переустановке винды.
Самое веселое обнаружил потом. Случайно, от временного безделья. У этих бойцов через внешний айпишник оказалась расшарена база 1С зарплаты.
_________________
Ку

[AlexeyVB]

027, По поводу автоапдейта - не соглашусь, практика показала - что те машины, которые апдейдятся автоматом - гораздо выносливее и живучи. Есть машинка, на которой профка еще без сп вообще была поставлена(при покупке системника) и ничё, ща уже сп3 и пашет сутками(правда цел1,7 и 1,5Гб оперы - интересное сочетание получилося ) и будет пахать, пока тачка не списана будет. По поводу хомяка в организации - ну тут без комментариев... А по поводу жлобствующих - в итоге заплатят больше, проверено уже многократно.
alex_iork, По поводу ППЖ - а нефих, я сразу письменно начальству заявил, что за сохранность ИХ данных и работоспособности ОС - я ответственности не несу, подействовало...Ну у нас к безопасности ИТ относились серьёзно.

[alex_iork]

AlexeyVB, я наверное такой рапортик тоже сооружу, чтоб на всякий
случай свою задницу закрыть. На счет айти безопасности начальство да и многие сотрудники не доросли.
Представляете парни, когда у нас зарплату начали выдавать по электронным картам, все куры имеющие инет на рабочем
месте пооткрывали себе к своим счетам электронный доступ, я плакаль.
и при этом они даже не озабочиваются залочивать свой комп
на время отлучки с рабочего места. и частенько и мобильничек
рядышком лежит. Короче провел ликбез, но дошло не до всех. Иногда открываю
статистику траффикинспектора и вижу, вот одна полезла проверять счета, а вот
и другая. Ну да черт с вами подломят вас, тогда поймете.

[AlexeyVB]

alex_iork, Я разок, по просьбе админа знакомого, поклал ИЗВНЕ его сервак с 1С, потом они его "восстанавливали" около суток, специально для бухгалтерии, больше там вопросов не было... Нехорошо конечно, а что делать. Лучше уж так, без утечки данных...

[027]

Бгг. Поднял дома интернет-шлюз на старом компе. Для тестирования и познания, планирую такое подопечным поставить. Специальная сборка линукса, IPCop называется.
Поглумились ребята, у них веб-интерфейс на 445 порту.
Сегодня попытался админить изнутри локалки академии - куй там, пакеты дропаются где-то. Не иначе какой-нибудь шибко грамотный кашпировский по дороге разбойничает.
_________________
Ку