Философия Юзверков =)

[Vertris]

Сталкнулся с проблемкой выбора =) вобщем ситуация следущая , пока все было хорошо и прекрасно что народу было мало в локалке на работе , но время идет и все движеться , и в последнее время мне что очень очень ненравиться (после 3х днейвной борьбы с вирусами и переработок сверх времени) что они все администраторы на своих РС , вот хотелосьбы выработать стратегию =) какие права давать какие запретить

может кто поделиться своими стратегиями , или раскажет как у них устроено на работе или в локалке =)

Вобщем вопрос философский , и хотелось бы послушать мысли ... и не только свои

[Олег А]

Я начинаю склоняться к мысле о Линухе... хотя геммора (особенно вначале) тоже много будет....

Люди ещё говорят что можно AD настроить и позапрещать там всё нафиг...

[Vertris]

Система Windows 2003 на серваке , и на узерах приумущественно XP , так же важный фактор что многие из них не являються даже продвинутыми еслми не считать вобще пользователями , вот хочеться прикинуть какие им права дать а какие отнять

[Timba]

Ситуация, когда ВСЕ пользователи в локальной сети компании имеют администраторские права на свои станции - это нонсенс!!! Если не хочется сверхурочно вычищать вирусы и прочую дрянь не 3 дня, а постоянно, надо это безобразие прекратить. Пользователи должны работать под учетными записями пользователей, а не администратора. И только некоторым из них иногда можно дать права Power User, если они достаточно опытны, и если им разрешено руководством самим устанавливать программы.

А вот как выбрать стратегию... вопрос достаточно широкий, для начала я бы посоветовал обратиться к первоисточникам, и внимательно ознакомиться, что для этих целей предлагает Microsoft. А она предлагает достаточно много средств управления как станциями в сети, так учетными записями. Это можно делать как через локальные политики безопасности, через управление профилями, через управление GPO в AD, через централизованное управление программным обеспечением на станциях, влючая антивирусное ПО. Что касается административных мер, то через выработку корпоративных стандартов на используемое ПО и утверждение этого списка руководством а так же разработку и утверждение должностных инструкций по использованию АРМ в компании. Для сокращения времени восстановления систем, естественно надо выбрать стратегию и средства резервного копирования.

ВАЖНО: В идеале цель стратегии - минимизировать риски повреждения систем от необдуманных действий пользователей и вредоносных программ, и уменьшить затраты времени для выполнения тех или иных задач при администрировании.

Подробно здесь вряд ли кто будет ВСЕ описывать, вопрос уж очень широкий. Я бы посоветовал для начала прочитать книги по администрированию Win 2003 SRV + Win XP + Active Directory, а уже после выложить здесь свою стратегию применимо к своей сети и выслушать комментарии.

[boogger]

В родной канторе админы исповедуют двойные стандарты.

Первый – официально единственный. При получении компа админы сами ставят всё ПО и создают 2 аккауната (Admin и Гость). После этого User ходит под Гостем и прав на установку ПО, смену паролей, мало-мальски осознанную активность не имеет - нужно звать, объяснять, договариваться ит.д.и т.п..

Второй - официально несуществующий. User может снести всё наххххрен и сам поставить ПО. Прописаться в сетке с выданным ранее IP* получится без проблем (если только ранее додумался его записать, потому что админы прописывать ЭТО в сети сами не будут, западло!), но случай чего все беды придут на user'ову голову. Поскольку админы и знать не знали и ведать не ведали. На самом деле всё они, админы, знают, но пока конкретное существо простотой своей не надоедает сверх меры - терпят.

Исключение из вторго стандарта - если вдруг на службу приехал личный комп (ноутбук), то после согласования с начальством, через не могу, его пропишут в сетке. Таких случаев очень немного.

Третий стандарт - НОЧНОЙ КОШМАР АДМИНОВ . При установке Admin'ского аккаунта используется один и тот же пароль в течение вот уже 2-х лет. Для всей сетки password ОДИНАКОВ . Группа энтузазистов с помощью специального программного обспечения уже полтора года, как его знает и только для своих...т-сссссс... дает Гостю админские права… и понеслась кривая в щавель.

В целом при таком подходе, при умеренном показательном терроризме админов (раз в 3 месяца от сетки на пару дней отлучают очередного блудодея и обратно подключают только после беседы у большого Босса с раздачей призовых звиздюлей), сетка существует практически без сбоев ко всеобщему удовольствию.

=============================

* Регистрация в сетке по IP и паролю

Изменено 2 апреля, 2007 пользователем boogger

[Vertris]

самое ужасное в моей ситуации что с простыми работниками можно стандартными методами гостя бороться , а ноуты забераються и увозяться в командировке и както предугодать какая праграмма или девайсина понадобиться очень очень трудно =) при том если учесть что половина офиса большие босы ... а другая не менее "крутая" половина ... ужас =)

boogger - спс =)))

[Delphi]

Я б посоветовал сделать доменную структуру сети.

Насчет пользователей я б давал им права в зависимости от тех заданий которые они выполняют в фирме (Тоесть если он к примеру бухгалтер, разрешить ему только работу с 1с, вордом, екселем.. и выдать место на винте к примеру гиг), учётные записи можно хранить как на компе где работают так и на сервере, а если какиет вопросы возникают удаленно поставить всё что надо и невыходить с кабинета )))))

Насчет ноутов проверять когда приехжают из командировки

Ну если боссы то прийдеться побольше прав дать, но всеравно права админа не стоит давать это очень плохо для сети

Изменено 2 апреля, 2007 пользователем Delphi

[boogger]

Нужны, насколько я понимаю не столько структурные, сколько административные мероприятия.

Если полно начальников, то нет смысла подчиняться всем. Нужно вычленить главных. Как правило, их 2 – сам большой Босс и начальник службы безопасности. Начальник СБ, если таковой имеется - потенциально самый сильный союзник.

Чего больше всего боятся начальники в нашем богоспасаемом отечестве? Что кто-то узнает их секреты! Так вот и нужно составить план под тем углом зрения, что ситуации, которые мешают тебе жить, это потенциальные дыры утечки информации. Тебе же и прикажут сполнять. И после этого ты уже не инициатор зверств с гостевыми аккаунтами, а такая же птаха-исполнитель. И не хочу, а надо.

И с ноутами, после приезда из командировки перед включением в сеть к тебе на проверку на предмет выявления шпионских модулей. А кто не хочет – к начальству. А начальство скажет, да это же брат Вася. Хорошо. Проявляем солдатскую выдумку и смекалку. Брату Васе, как только подключился – всаживает некое файло, которое потом сами же и выявляем, а боссу докладываем, что вот именно на Васином компе хрень какая-то живет и все куда-то лезет, может это просто паучок мыльные адреса ищет, а может… лучше не думать об этом. Пару раз ситуация повторится большой босс, сам издаст указ об обязательных проверках.

Ну все далее в том же духе…

ЗЫ! И постоянно информировать босса о том что в инете завелось очередное Годзилло и скоро у нас всё срисуют, если только нам не защищаться.

[Форматцевт]

Vertris:

1 - Ответь, у тебя есть административные права? Не админские, а административные? Поясню, этак лет 5-7 назад я работал в отделе ТП (зам. нач. отдела из 16 человек - админы, программисты и железячники).

2 - Каждый день была утречком планёрка или пятиминутка, приблизительно минут 30-40. Собирались все нач. отделов и их замы. Наибольшие претензии были к бухгалтерии, валютчикам и нам, да к нам самые большие.

3 - Работу производили только через заявку (две подписи - ген. директора и главбуха и подпись начальника или заместителя отдела ТП, а в конце работ - подпись исполнителя с отсылкой этой бумажки в бухгалтерию).

4 - на каждом рабочем месте висела официальная бумага с разрешённым ПО, пользователь, поставив ПО без разрешения, не мог к нам обратиться с просьбой о наладке компа, те он должен был выполнить процедуру №3.

5 - Всё установленное железо и ПО по каждому компу хранилось у нас в БД.

6 - ОС и ПО мы ставили сами, сами всё настраивали и ни у кого из пользователей не было админских прав.

Да всё это гемморойно, но за то всё работало. Уж лучше я сам поставлю железку и загружу драйвера, чем 10-20 раз переустанавливать ОС.

Вот такая философия.

Изменено 2 апреля, 2007 пользователем Indomito

[Timba]

А если использовать AD + Инструкции по пользованию АРМ (утвержденные руководством и под подпись ознакомление пользователей) , то пользователь не то что админить рабочую станцию будет, он, извиняюсь пукнуть :D не сможет, не посоветовавшись с админом . А если и сделает что-то, то.... получит соответственно не от админа, а от своего же начальства.

[Vertris]

поставил эксперемент , отнял права у работника ... 2 недели неслуху не духу =) и он нечего непонимает и я доволен ... но тут ему понадобелся ноутбук ... и понеслась душа в рай ... =(

Эксперемент провален , хотя пока придерживаюсь мнения что набор програм а дальше , что то нужно бежать ко мне ... правда чуствует моя душа бегать буду я ...

А вобще вопрос очень философский ...

[Andrey_al]

А вобще вопрос очень философский ...

философии тут меньше, чем тебе кажется... в любом случае должна быть разработана корпоративная политика безопасности (компьютерная безопасность только часть этой политики), озвучена руководством и оформлена в виде приказа, и совсем не дело бегать и с каждым юзером решать его права и полномочия индивидуально...

[Loader]

Vertris: На ноут конечно ставить ограничения жестковато. Можно сделать чтобы ноут не мог подключится к сети без согласования с тобой. А ты берешь и ноут на проверку и т.п.

[Multimedius]

должна быть разработана корпоративная политика безопасности и оформлена в виде приказа

Это произойдет только если насчальство напугается, а напугаться оно может двух вещей:

1) как писал boogger - кражи корполративных секретов;

2) претензий и судебных исков по части нарушения DRM;

Если суметь начальнику объяснить какими это грозит потерями в цифрах (лучше в условных еденицах )

приказ появится быстро и никто пикнуть не сможет, эт точно!

[Lynx.]

У меня домен, в котором я сделал пользователей по возможности ограниченными. Но действительно, с ноутами так не поступишь-они уезжают в коммандировки и часто приходится что-то устанавливать владельцам ноутов. Самое частое-драйвера местных принтеров. Что еще они могут и ставят-не хватит листа, плюс не дураки качнуть порно, а это чревато. Пока удается перехватывать ноуты до включения в сеть. Но можно ли программно так, чтобы ноут при подключении в локалку был заблокирован, пока не его не разблокирует админ? Извините за сумбурность вопроса. Спасибо

[Andrey_al]

мне это видится так: создание "карантина", например, при помощи VLAN' ов - стационарные компьютеры находятся в VLAN1, для прибывших из командировки - VLAN2, члены каждого вилана могут общаться между собой, но не видят членов другого вилана, для вилана "карантинщиков" есть смысл сделать доступ в интернет, люди, как правило, переживают не о том, что не могут получить доступ к шарам Марьи Ивановны, а о том, что не грузится порнуха и невозможно трещать в аське... после проверки можно будет переводить из "карантина" в VLAN1, другой вариант: раз у тебя домен, то ты можешь легко блокировать любую учетную запись, допустим человек поехал в командировку, сразу его учетку заблокировать и вход в домен ему будет заказан; домен для того и сделан, что бы можно было управлять сетью из одной точки и, похоже, никакого дополнительного ПО или оборудования и не потребуется

Изменено 5 апреля, 2007 пользователем Andrey_al

[Lynx.]

Тьфу, блин. Точно, туплю сегодня. Да, с блокировкой записи должно работать достаточно хорошо и мне не придется отслеживать приезжающих-сами найдут

[Vertris]

Все конечно супер , но представим что когда пользователей не 50 а 5000 =) то проверка и отключка ноутов ... т.к ноуты беруться не только в командировки но и просто домой ... а чтот происходит дома и ежу понятно , а так я всетоки думаю придерживатьсяя набором прав и програм

[boogger]

Все конечно супер , но представим что когда пользователей не 50 а 5000 =) то проверка и отключка ноутов ... т.к ноуты беруться не только в командировки но и просто домой ... а чтот происходит дома и ежу понятно , а так я всетоки думаю придерживатьсяя набором прав и програм

5000 - много.

Один знакомый сисадмин (редкостная сволочь!) обожал устраивать учебные тревоги. Он обслуживал сетку из 300 или 350 машин (тонкостей архитектуры сети не знаю) и раз в ??-дней, под предлогом в сетке бродит злобный вирус, будет всем крантец - отрубал и постепенно включал все компы... ручками типа надо, заплатки поставить, а то и взаправду пострадает любимое АОЗТ.

Занимала процедура до 3-4 часов, зато все видели - АДМИН РАБОТАЕТ! Отрубались машинки все и одновременно. В первую очередь в течение 10-15 минут подключались критически важные для работы терминалы, а так же терминалы от хозяев которых Админ мог получить реальных призовых звиздюлей.

И поскольку неспешное подключение среди прочего позволяло проверить наличие реально компа на рабочем месте (вариант с ноутбуком) контроль осуществлялся более или менее полный.