• Мистика с внутренней локальной сетью - что происходит?

    @Dobryak88
    Системный администратор
    Пинги вполне могут резаться файрволом. Возможно, в Брэндмауэре не везде правильно настроены разрешения для ICMP. Или серверы видят сеть как общедоступную, а ICMP разрешён только в частной/доменной сети.
    Ответ написан
  • Как увеличить число пользователей по RDP?

    @Dobryak88
    Системный администратор
    Если нужен именно Удалённый рабочий стол Windows, то никак. В этом-то и суть лицензирования.
    А если хочется чего-то бесплатного, то надо идти и искать в гугле.
    Ответ написан
    Комментировать
  • Стоит ли выпускать новую версию как отдельный продукт?

    @Dobryak88
    Системный администратор
    Ключевой вопрос: было ли приложение платным?
    Если нет, то вполне можно завершить поддержку старого приложения, выкатив новое.
    Если приложение платное, то нужно обновляться или обеспечить адекватный перевод пользователей со старого на новое.
    Ответ написан
    Комментировать
  • Что делать сисадмину с предустановленным не им нелицензионным софтом?

    @Dobryak88
    Системный администратор
    1) Большинство (если не все) лицензионных соглашений запрещают не только установку, но и использование контрафактного программного обеспечения. Т.е. использовать ПО, узнав о его пиратском происхождении, уже нельзя. Таким образом ссылаться на то, что ПО было установлено другим специалистом, практически бесполезно.
    2) Маленькие компании считают, что они никому из проверяющих не нужны, большие - что у них "всё схвачено и все подмазаны". Чушь. Знаю о небольшом предприятии (порядка 200 сотрудников) пищевой промышленности в маленьком городе (50-70 тысяч населения), которое тряхнули за пиратский софт. Почему их, не знаю; рядом десятки таких же предприятий с тем же уровнем лицензионного порядка. На крупном предприятии в случае проблем как раз виновный будет один сисадмин, так как у руководства "всё на мази", а сисадмин - паршивая овца на абсолютно законном предприятии.
    3) Любое письменное обращение к руководству с требованием/прошением/предупреждением о нелегальном программном обеспечении подтвердит информированность специалиста о наличии пиратского ПО и его понимание незаконности действий.

    IMHO, если увольняться не вариант, то как минимум не устанавливать ничего лично; информацию донести до руководства, но в недокументированной форме, чтобы потом ещё больше не встрять.
    Маловероятно, но гипотетически, если в должностной инструкции указано, что специалист устанавливает программное обеспечение, предоставляемое работодателем, работодатель становится заинтересованным лицом.
    Ответ написан
    Комментировать
  • Можно ли делегировать просмотр паролей в Keepass?

    @Dobryak88
    Системный администратор
    Keepass - это не сетевой продукт. Можно копировать базу, удалять лишние разделы и отдавать другому пользователю, сменив пароль. Т.е. целая база только у старшего (администратора), а он уже раздаёт урезанные копии младшим. И его уже не волнует, что именно они меняют в своих копиях.
    Ответ написан
    4 комментария
  • Что надо сделать, чтобы антивирусы не блокировали запуск программы?

    @Dobryak88
    Системный администратор
    Средства защиты Windows проверяют издателя программы, соответственно нужен сертификат разработчика/издателя и определённый уровень доверия у Майкрософта.
    А ещё есть контроль запуска приложений, который запрещает использование неизвестных приложений, неизвестных издателей или из неизвестного источника, например, разрешены только программы установленные с администраторскими программами в ProgramFiles или другую заданную папку. Но это обычно в руках пользователя или системного администратора.
    Ответ написан
    Комментировать
  • Нужно ли 32Gb RAM для обычного домашнего компьютера?

    @Dobryak88
    Системный администратор
    В начале 2012 года, покупая новый компьютер, взял 16 Гб памяти. С тех пор ни разу не испытывал нехватки оперативной памяти ни с играми, ни с виртуалками. В планах замена машины с установкой тех же 16 Гб, но DDR4 и одной планкой с перспективой на вторую такую же. Расширяться под текущую архитектуру смысла не вижу, если нет острой потребности.
    Ответ написан
    Комментировать
  • Система загрузки файлов для организации, какой софт использовать?

    @Dobryak88
    Системный администратор
    owncloud (файловое хранилище с http/https доступом и авторизацией) + Samba (чтобы расшарить папку для доступа с Windows-машин, например)
    Ответ написан
    3 комментария
  • Почему сломался сертификат?

    @Dobryak88
    Системный администратор
    Это личный кабинет налогоплательщика. ФНС уже запустило новый сайт с новым доверенным сертификатом, ссылка на новый ЛК есть на сайте службы.
    А переделывать сертификат на сайте, который они решили закрывать, никто не стал.
    Ответ написан
    Комментировать
  • Ключи в формате .reg - как использовать на linux с cryptcp (КриптоПро)?

    @Dobryak88
    Системный администратор
    Сразу в Linux подгрузить сертификат в ветке реестра не получится.
    Нужно загрузить ветку на виндовой машине (только user-id поменять в reg-файле на тот, из-под которого работаете). А уже потом пытаться экспортировать закрытую часть ключа средствами криптозащиты с виндовой машины.
    Однако, по-умолчанию, закрытый ключ в реестр записывается с запретом на экспорт, и, если разрешение на будущий экспорт ключа не было задано на этапе его создания, вытащить его не получится.
    Ответ написан
  • Что настроить в службе удалённых рабочих столов после введения нового контроллера домена?

    @Dobryak88
    Системный администратор
    1) Сервер лицензирования удалённых рабочих столов (можно поднять на контроллере, и назначать его через GPO).
    2) Пользователи останутся локальными или они будут заменены доменными? В домене их можно объединить в группу, и права на ресурсы давать группе, а не конкретным пользователям.
    3) Правила Firewall'а для доменных сетей на доменном компьютере не будут распространяться на внешние сети.
    Ответ написан
  • Как правильно организовать ИТ структуру?

    @Dobryak88
    Системный администратор
    В филиале обязательно нужен свой домен? Почему бы не использовать в филиале ReadOnly контроллер домена того же домена, что развернут в головном офисе?
    Почему бы не взять IPSec-тунель? Он, установив соединение между двумя шлюзами, объединяет равнозначные локальные сети), статические маршруты прописываются на интернет-шлюзе, и клиентам уже всё равно к ресурсам в какой из сетей подключаться.
    Главное, чтобы на DNS-ах на каждой из сторон были прописаны необходимые доменные зоны, но это как раз и решается развертыванием ReadOnly DC со своимом DNS.

    Если же необходим именно отдельный домен в филиале, то у клиента, который переедет из одной сети в другую, сеть надо настроить с Main Gateway той сети, в которую он приехал, а DNS-ы оставить от его же домена (через ipsec они будут доступны, если gateway даст маршрут до них).
    Ответ написан
    1 комментарий
  • Причины не отработки GPO?

    @Dobryak88
    Системный администратор
    1) Не применилась политика к компьютеру. (# gpupdate force + перезагрузка)
    2) Не применилась политика к пользователю (# gpupdate force + перезапуск сеанса)
    3) На часть компьютеров применяется вторая политика, создающая конфликт с первой.

    Хотя у меня похожая проблема, с тех пор, как со свежим дистрибутивом 1С ставится MS Visual C++ Redis.: на некоторых компах нормально ставится, а на некоторых запрашивается повышение прав до админских. Логику ещё не нашёл.
    Ответ написан
  • Как можно реализовать такую задачу без днс сервера. В адрес папки пишу \\address1 и меня бросает в ип? \\address1 - меняю как хочу?

    @Dobryak88
    Системный администратор
    Если я правильно понял, то проблемы две:
    1) адресация; тут либо поднимать локальный DNS, либо ручками файл hosts на каждой машине отдельно. Не понимаю, чем DNS вредит безопасности (только если перехват и подмена записей, но тогда в сети большие проблемы, и дело не только в DNS);
    2) маршрутизация между подсетями: нужен узел, который будет выступать в роли маршрутизатора между подсетями, и добавление статических маршрутов на конечных устройствах.
    Ответ написан
    Комментировать
  • Внедрение easy print стоит ли?

    @Dobryak88
    Системный администратор
    Админил два терминальных сервера, оба на WindowsServer 2008R2. Принтеры, провешенные в сессию подключались индивидуально, периодически глючили, а проблема с ошибкой драйвера обычно лечиться перезапуском службы печати. Перезапуск службы печати приводил к сбросу подключенных принтеров и все пользовательские сессии приходилось перезапускать. Возможно, мы что-то делали неправильно.

    Потом переехали на WindowsServer2012R2, там распробовал радости EasyPrint'а и отсутствие большинства привычных сбоев. Единственная проблема - древние принтеры времён 2007-2009 годов, их поддержка завершилась задолго до Windows 8 (и Server 2012), с ними придётся помучиться или отказаться от них.
    Ответ написан
    6 комментариев
  • Как мне завиртуализировать на своем ноутбуке Windows Server 2012 R2?

    @Dobryak88
    Системный администратор
    Если на ноутбуке стоит Windows 8.1 (или 10), то Hyper-V: при развертывании можно указать второе поколение ВМ для "более тесного контакта".
    Ответ написан
  • Будет ли работать ноутбук если туда скопировать все содержимое жесткого диска другого ноутбука?

    @Dobryak88
    Системный администратор
    Если машины идентичны, то можно клонировать жёсткий диск подготовленной системы и раскатывать его на остальных. Clonezilla, Acronis True Image, Paragon и т.д. Не все программы бесплатны, не все работают без косяков.
    Только активировать софт лучше ПОСЛЕ клонирования и на каждой машине отдельно, а не копировать 10 копий с одной и той же лицензией.
    Ответ написан
    3 комментария
  • Как получить доступ к сетевому ресурсу по имени в домене?

    @Dobryak88
    Системный администратор
    1) cmd> ipconfig /flushdns
    Почистить кэш ДНС. Маловероятно, но если по ip работает, а по имени нет, то может быть.
    2) Проверить находится ли учетная запись в группе "Пользователи домена". И нет ли случайно на сервере DNS запрета доступа для этой учетки.
    3) Проверить в хранилище учётных данных Windows, не сохранён ли для ресурса "\\srv-fs" какой-либо пароль.
    Ответ написан
  • Как безопасно и доступно хранить доступы к клиентским хостингам?

    @Dobryak88
    Системный администратор
    Не совсем понятно, нужно хранить учетные записи от ресурсов или записки-шпаргалки?
    passwork - сетевое хранилище паролей, доступы можно ограничить по пользователям или группам. Действия пользователей логируются (в т.ч. прсомотр пароля).
    Ответ написан
  • Уязвимость ли, что открыть 22 порт?

    @Dobryak88
    Системный администратор
    Сетевые сервисы (очевидно, ssh, web и почта) вам нужны, значит открытые порты в любом случае будут. Можно их поменять на нестандартные, но пользы от этого чуть больше нуля: сканирование открытых портов на интерфейсе занимает несколько секунд.
    Значит нужно защищать уже открытые: аутентификация, фильтрация по IP/mac, fail2ban, авторизация по сертификату и т.д.
    Ответ написан
    Комментировать