(no subject)

[ifeelgood.livejournal.com]

вопрос на засыпку. быть или не быть.
попросили поадминить компы в офисе. дело доверия. т.е. мне доверяют в отличие от тех, кто раньше там это делал. 5-7 штук в локалке и выход в инет. обычные офисные задачи. и чтоб всё всегда работало. видимо бекапы, раздача прав, подключение новых компов для новых сотрудников...
У меня нет опыта ответственности за чужие компы. Я отлично отвечаю за комп свой и всех друзей, которые обращаются за помощью. Так вот, собственно вопрос: как оценить самого себя под подобные ответственные задачи. Мне ж будут платить зарплату? Где критерии админства? Т.е. я чувствую, что могу. Но я должен не чувствовать, а знать. Ну-ка помогайте.

Comments

Сразу договаривайся...

[wamana.livejournal.com]

...что тебя в офисе быть не должно. Ты должен получать деньги за отсутствие, а не присутствие на работе. За каждый выход на работу платишь в кассу некоторую сумму. И все будет хорошо.

Re: Сразу договаривайся...

[ifeelgood.livejournal.com]

интересно. своеобразная гарантия качества?

Re: Сразу договаривайся...

[enthony.livejournal.com]

В Японии так врачам платят, вроде.

Это гарантия...

[wamana.livejournal.com]

...твоей спокойной жизни. Ибо бездельничающий админ вызывает желание не платить ему денег.

Кстати, проверь всяческие шедулеры после прежнего админа. Если он нехорошо уходит, то может оставить мину замедленного действия...

Re: Это гарантия...

[ifeelgood.livejournal.com]

да, спасибо.

Re: Сразу договаривайся...

[haviras.livejournal.com]

С нашим менталитетом будут же дергать за разную йухню (что кстати и будет в офисе на 10 компов) - то мышка бегает сама (аааа... Радмин!) то принтер не печатает потому что флешку вставить надо было, то нашествие страшных вирусов авторан.*

Роли и ограничания...

[wamana.livejournal.com]

...как раз и придуманы, чтобы сократить геморрой до минимума. Почему-то никто не возражает, что под root'ом сидеть нельзя. А вот под Администратором почему-то можно. На самом деле даже антивирусы - лишняя трата денег, времени и ресурсов. Грамотно отобрать права - и вирусы сосут с причмоком. Особенно живущие на флэшках. Да и так их пыл можно поумерить: http://www.spyware-ru.com/flash_disinfector/

Re: Роли и ограничания...

[haviras.livejournal.com]

Да вот хрен его знает... Юзерам в АД выставил -r- на %windir% и system32 (и забанил вообще запись на диск C:, юзеркаталоги находятся на диске де через хак в реестре)
все равно ж умудряются чтото затолкать в систем32. Варез банится кабанчиком, автозапуск с флешек отключен, но все равно тащут! Как не знаю. Очень интересно.
Логгировалку какую может подскажете по перемещению файлов?

Логированием...

[wamana.livejournal.com]

...давно заниматься не приходилось. Так что не подскажу.

А вот при отборе прав не следует забывать, что права не только в реестре живут, но и на NTFS. И от флэш-вирусов NTFS может помочь защититься.

Re: Логированием...

[haviras.livejournal.com]

Я через NTFS и запретил работу с каталогами :)

Ааа...

[wamana.livejournal.com]

Некоторые особенности терминологии смутили.

Кстати, какие разрешения получились на эти папки?

Насколько мне попадались такие звери, имена у них фиксированные. Можно пойти путём flash_disinfector - создавать скрытые системные папки с именем файла вируса, а внутрь папки кидать файл. Ну и мне так помнится, что запись в реестр тоже можно запретить в отдельные ветки.

Re: Ааа...

[haviras.livejournal.com]

Ну вот у меня 200 компов в локалке. Я как то глупым эникеем нахожу пойти на все компы забить папки в видир и еще куда нибудь. Это от каких то конкретных вирусов поможет. Мне бы по масштабнее.

Масштабнее?

[wamana.livejournal.com]

Да легко :)

Пишешь скрипт (.bat, .cmd, .vbs - что больше нравится) на создание нужных директорий и создаешь политику на его исполнение при загрузке системы. И масштабно, и бегать никуда не надо.

Можно и по другому. Пишешь скрипт, который по очереди обходит все компы в сети и по системной скрытой шаре создает нужные каталоги.

Да и вообще, если ты 200 компов держишь, то на счет личного посещения рабочих мест явно прибедняешься :) И советы мои для тебя не новые.

Если же по сути вопроса, то вокруг меня флэш-вирусов почему-то нет. Либо стечение обстоятельств, либо что-то давно было так настроено, что они не пролазят. А вот что именно - сказать не могу, не знаю.

Re: Масштабнее?

[haviras.livejournal.com]

Ну конечно я радмином лазаю или через mstsc, когда надо что то гуевое колупнуть и юзера не трогать

> Пишешь скрипт, который по очереди обходит все компы в сети и по системной скрытой шаре создает нужные каталоги.

Меня этот вариант смущает: он слишком ограниченный. Надо запретить доступ вообще какнибудь. Просто юзвери умудряются затянуть заразу которая от имени system работает и которой глубоко по барабану NTFS права на каталоги

Еще масштабнее...

[wamana.livejournal.com]

...это запрещать запись в реестр, установку программ и т.п.. Одним ключиком вряд ли удастся сделать. Да и вряд ли вообще на такой сети можно все законопатить безболезнено. Наверняка есть прикладные программулины, которые из-за глупости разработчиков только с админовскими правами работать могут. Я всеж-таки рекомендую виртуальную машину и на ней тренироваться.

У меня есть методичка по созданию пользователя с нередактируемым профилем. Т.е. после логоф-логон все настройки возвращаются в исходное состояние. Если интересно - могу дать, сделана на основе каких-то майкрософтовских рекомендаций. Вот такую конфигурацию интересно было бы на флеш-вирусоустойчивость проверить.

Re: Еще масштабнее...

[haviras.livejournal.com]

Поделитесь. Попробую поизвращатся

Ок.

[wamana.livejournal.com]

В понедельник постараюсь не забыть выложить. Если забуду - не стесняйся напомнить.

Вот, собственно.

[wamana.livejournal.com]

Неизменяемый клиент (http://lemoi-www.dvgu.ru/download/book/profile.zip).

Re: Вот, собственно.

[haviras.livejournal.com]

Спасибо

Re: Еще масштабнее...

[haviras.livejournal.com]

А шо ж эта методичка банится как макровирус?

О...

[wamana.livejournal.com]

Странно. У меня никто не ругается на этот файл.