Рубрика: управление компьютерами
Автоматическое развертывание Firefox 3.5
Автор: admin
На прошлой неделе вышел долгожданный релиз новой версии браузера. После всестороннего тестирования, должен признать: скорость работы повысилась просто феноменально.
А значит, тем более, есть резон обновить версию FireFox на всех рабочих станциях сети. Я уже рассказывал, как максимально удобно можно провести централизованное обновление FireFox.
Стоит только обратить внимание на два ньюанса:
- Для «тихой» установки необходимо запускать установку с ключом -ms (firefox setup.exe -ms)
- Поскольку большинство дополнений считают себя несовместимыми с версией 3.5, для возможности комфортной работы пользователей не дожидаясь момента выхода новых версий расширений, необходимо в файл firefox.js внести следующую строку:
pref («extensions.checkCompatibility»,false);
Разумеется, необходимо отдавать себе отчет в возможных последствиях данного шага.
отзывы (0)Инспектирование SSL трафика
Автор: admin
Учитывая страстную любовь Web приложений от Microsoft к использованию исключительно «правильного и совместимого» браузера, все решение, изложенное в предыдущей статье, много более актуально несколько для иных целей. А именно для предотвращения лишних вопросов со стороны браузера, которому подсовывают, уж будем откровенны, поддельный сертификат, причем, ведь исключительно из соображений усиления безопасности.
Кроме шуток: представим, что наша компания только что приобрела и успешно внедрила комплексную систему контроля доступа к данным. Не суть важно, насколько все красиво было описано поставщиком данной системы. И даже не столь важно, насколько полно все было продумано на этапе внедрения. Любую систему все равно используют люди со всеми своими слабостями.
Я настоятельно рекомендую использовать автоматическую настройку прокси-сервера в локальной сети. Потому как изменить один скрипт много проще, чем настройку всех браузеров на всех компьютерах. Не говоря уже о массе ПО, для которого попросту нет иных способов задания работы через прокси-сервер. Последней особенностью обладает, например, Google Picasa — ни единой настройки работы через прокси-сервер, но включив сниффер можно понять, почему настройки в интерфейсе приложения были бы совершенно излишни.
Автоматическая установка Adobe Reader
Автор: admin
При помощи System Center Configuration Manager без труда можно освободить массу времени для гораздо более интересных и продуктивных вещей, чем беготня по этажам с целью обновления программного обеспечения.
По большому счету, достаточно подробные инструкции по использованию тех или иных функций, можно найти в руководстве по данному программному продукту.
Но далеко не всегда бывает очевидно, как именно сделать, казалось бы, обыденную операцию. И далеко не каждый программный продукт можно установить, следуя лишь стандартным инструкциям.
Поскольку Adobe Reader является одним из самых распространенных продуктов, присутствующих в обязательном порядке на рабочих станциях пользователей, именно о нем я сегодня и расскажу. Тем более, что его автоматическое развертывание является не самой простой задачей.
Разделение по коллекциям в SCCM
Автор: admin
После установки System Center Configuration Manager в системе уже созданы основные коллекции для удобного администрирования отдельных групп клиентов.
В принципе, начального набора вполне может хватить для большинства применений. Но не всегда.
Что хотелось бы добавить, для целей разделения мух и котлет:
- Отдельную группу, куда будут автоматически помещаться все записи о рабочих станциях с установленной Windows Vista.
- Отдельную группу, куда будут автоматически помещаться все записи о серверах с установленным Server 2008.
- Отдельную группу, куда будут автоматически помещаться все записи о серверных операционных системах, установленных на пользовательских рабочих станциях.
Вы меня поймете, если у вас в организации есть сотрудники, которым в силу по специфики работы не только повышенные права в рамках определенной структуры домена, но также сама работа
связана с разработкой или тестированием ПО. - Отдельную группу, куда будут автоматически помещаться все записи о серверах и рабочих станциях, назначенных (assigned) конкретному SCCM сайту.
Как ни странно, но по умолчанию этой группы не создается. Группе же «All Desktops and Servers» как правило, принадлежит масса записей о станциях, представляющих из себя и давно несуществующие рабочие станции (после запуска AD discovery) и даже некоторые сетевые принтеры (после запуска Network discovery). - Отдельную группу, куда автоматически помещались бы все найденные рабочие станции, исключая станции в каком-либо доменном OU.
Это может оказаться актуально при использовании AD discovery вкупе с регулярным применением определенной методики чистки домена от записей о старых рабочих станциях.
Централизованное обновление Firefox
Автор: admin
Недавно я кратко пересказал руководство по использованию SCCM для развертывания приложений, применительно к наиболее часто используемым и наименее специфичным.
Вот только совершенно не стоило спешить с принудительным разворачиванием FireFox. По меньшей мере, не стоит его устанавливать в конфигурации по умолчанию. Потому как что в процессе развертывания мы узнали о себе много нового, интересного и необычного.
И хотя в принципе, нет никаких проблем собрать дистрибутив, заодно сразу же включив в него необходимые дополнения и расширения, стоит еще раз задуматься о том, что мнение большинства может кардинально расходиться с нашим. И посему не стоит увлекаться.
Cluster NTLM security
Автор: admin
При причине того, что групповая политика обновляется не единомоментно, даже, казалось бы, тщательно проверенное на совместимость изменение политики может иметь неожиданные последствия.
Дело в том, что для обоих нод кластера опции безопасности Minimum session security for NTLM SSP должны быть изначально идентичны. То есть, если аккуратно включить «Require NTLMv2 session security» и «Require 128-bit encryption», то первая нода, получившая обновление политики безопасности, немедленно будет выкинута из кластера. Хотя, казалось бы, ничто не должно препятствовать тут же установить более безопасную сессию между двумя серверами, поддерживающими все указанные опциональные NTLM флаги.
Conficker.A-E или зачем нам фаервол
Автор: admin
Пока Conficker успешно осуществляет санитарную функцию, разделяя предусмотрительных профессионалов и самонадеянных балбесов, у многих из последних в панике возникали очень странные желания.
- Срочно установить на все компьютеры в сети брандмауэр приложений от независимого разработчика. Это хоть и сама по себе странная идея, но в ней что-то есть, особенно, если хорошо известно, какие приложения должны иметь права на сетевое взаимодействие.
Сложность заключается в том, что среднестатистический системный администратор представляет из себя несколько не специалиста по сетевому взаимодействию и еще неизвестно, чьи действия приведут к более длительному простою предприятия 😉 Встроенный же во все современные ОС брандмауер вполне достаточен для корпоративной среды. Да, разумеется, его тоже необходимо адекватно настроить. Но, благо, сделать это можно через групповые политики. - Запретить работу службы SERVER на всех рабочих станциях пользователей. Эта идея тоже сначала кажется далеко не самой плохой. Вот только необходимо понимать, что с запретом этой службы, пропадет всякая возможность удаленного управления рабочими станциями.
И в сети, где есть более 100 рабочих станций, я бы на такую экзотику решился только при условии острого желания физических нагрузок и полного отсутствия серьезной работы.
Проблема старых рабочих станций в AD
Автор: admin
Как происходит типичный процесс обеспечения нового сотрудника рабочей станцией:
- Со склада достается рабочая станция
- На рабочую станцию устанавливается операционная система и все необходимое ПО
- Рабочая станция заводится в домен по неким именем, подозрительно похожим на фамилию пользователя
- Запись о рабочей станции в структуре AD перемещается в необходимый OU
- Рабочая станция устанавливается на рабочее место нового сотрудника
Какие типовые сценарии обычно выполняются при увольнения сотрудника:
- Рабочая станция уволенного сотрудника передается на склад, а содержимое жесткого диска ждет одна из следующих судеб
- Все необходимые документы переносятся на общеизвестный общий сетевой ресурс, доступ к папке, содержащей перенесенные документы дается для сотрудника, который принимает дела
- Все необходимые документы переносятся непосредственно на рабочую станцию сотрудника, принимающего дела увольняющегося коллеги
- Рабочая станция уволенного сотрудника не передается на склад, а вместо этого
- Переименовывается в соответствии чем-то, подозрительно похожим на фамилию уже нового пользователя
- Не переименовывается по причине халатного отношению к работе или по простой забывчивости
Таким образом, при солидном парке ПК и ненулевой текучести кадров, с течением времени в Active Directory накапливается масса записей о рабочих станциях, в точном статусе которых уже не уверен никто.
Можно сколь угодно ругать и авторов недостаточно защищенных операционных систем и авторов вирусов.
Вирусов с годами не становится меньше от того, что за головы их создателей назначаются крупные суммы, а пойманные преступники получают по заслугам.
А эта самая общеизвестная незащищенность некоторых операционных систем, по большей части, порождена вынужденными компромиссами из-за необходимости обратной совместимости с собственными старыми продуктами и разработками сторонних производителей. Операционные системы, де-факто являющиеся стандартом, не только становятся все защищеннее и надежнее от версии к версии, но и их текущие обнаруженные уязвимости уже много лет решаются производителем достаточно оперативно.
Но Conficker (он же Downup, Kido, или даже Win32.HLLW.shadowbased) в очередной раз показал, что уж от собственной глупости человека невозможно уберечь. Ни навязчивыми предупреждениями, ни напоминаниями о необходимости обеспечения собственной комфортной жизни.
Да, средство автообновления давно и надежно интегрировано в ОС, да, специально для корпоративной среды выпущен совершенно бесплатный инструмент для централизованного обновления клиентов. Но на личных компьютерах автообновление зачастую принудительно отключается для экономии трафика, а потратить два часа времени на чтение документации и еще час на разворачивание сервиса WSUS ленится большинство системных администраторов.