Sasha Odarchuk

Ок, давайте рассмотрим вопрос в различных аспектах. Прежде всего, не будем вдаваться в подробности того, почему такой вопрос вообще возник. Может у компании аудит на горизонте, или бюджеты не освоены или у CTO ачивка намечается. А отдуваться админу, конечно.

Тут уже написали, что Windows подход не работает, но это не совсем так. Устроить огораживание на Mac можно, но это уже неэффективно. И это первая ошибка в подходе закоренелого Windows-админа, воображение которого волею судеб оказалось заперто в рамках того, с чем он привык работать.

Отдельно добавлю, что формулировки вопросов на Тостере сегодня показывают грустную картину отсутствия инженерного подхода. Ну да ладно.

Итак.

Менеджмент Mac
Все как привыкли? gpupdate запустил и счастлив. Если у AD есть свои политики и механизмы, то Apple со своей стороны сделало свои, которые работают только под управлением сервера MDM, который вы можете реализовать самостоятельно, потому что это, по сути, веб-сервер и БД, которые для доставки используют APNS. Функционал MDM ограничен тем, что добавило в него Apple. И каждый год он обновляется. Где-то он круче AD, где-то нет. Например, для 10.15 добавили Activation Lock. Что касается коммуникации с сервером - вы не привязаны к конкретному офису, достаточно доступа в Интернет. А так как команды “прилетают” через Push - о NAT думать не надо.

Но не политиками едиными. На Windows мы ещё и скрипты используем, батники запускать любим. А что с MDM? Сам по себе сервер MDM скрипты не выполняет, но решения MDM, которые продаются сегодня, (Jamf, Workspace One, Mobileron, Filewave, Fleetsmith...) предлагают возможности установки агента, который будет эти функции выполнять. И заметьте, что скрипты полностью не перекрывают функционал MDM, это заблокировано на уровне системы в целях безопасности.

Что касается интеграции с AD, Azure AD, Microsoft 365 - решения есть (Nomad, Jamf Connect), но это уже надстройки к MDM.

Задача (задачи?) минимум
Подключение
Вы же на Windows не через механизмы AD подключаетесь (если отбросить аутентификацию и авторизацию), а через определенный протокол, который обеспечивает определенная служба, которую можно включить вручную или через AD. На Mac почти также, просто протокол другой.

Блокировка
Это зашито в протоколе MDM и Works like magic. Но желательно к этому включить пароль прошивки и Activation Lock

Задача (задачи) максимум
Централизованный сетап пк с macos возможности схожие с AD
С настройками разобрались, теперь надо ставить ПО. MDM ставить PKG не умеет (ну почти), поэтому пользуемся решениями вендоров, которые по сути выполняют команды в терминале. Учимся паковать Skype в PKG, меня настройки, боремся с TCC, UAKEL и что там еще...

Соответственно читаем:
Apple Device Managemnet за авторством Charles Edge и Rick Trouton
Если сложно - можно и Arek Dreyer почитать
Bash Cookbook
Python
Про упаковку приложений в PKG

САМЫЙ ВАЖНЫЙ АБЗАЦ
Когда мы (мак-админы) объясняем Windows-админам то, как происходит современное управление устройствами Apple, у последних (у админов) происходит катарсис и в лучшем случае просветление.
Почему? Потому что в современном мире вы не даете все права, а потом отбираете их по кусочкам. Вы даете пользователю только то, что ему требуется для работы. Это нелегко понять, особенно с первого раза.

Windows админы для скриптов вы ещё юзаете JavaScript ?

Чего? Когда был админом, то ни разу, никогда и ни при каких условиях не использовал его.
Даже не могу кейс придумать такой.

Отдельный поддомен с туннелированием трафика. На серверах - доступ только или с ip-"туннеля", или только после авторизации "туннеля" на запрашиваемом сервере (если необходимо сервера открыть в паблик, как сейчас; лучше - не держать их в паблике!).

Это когда надо камплюхтер починить или картридж поменять - мы не сисадмины. А если поздравить - то пожалуйста.

Ну конфигурация как конифгурация, работать будет.
По скорости примерно так же как и старая, может чуть производительнее за счет двух ядер дополнительных.
В принципе и старая должна справляться по идее, с чего вы решили что она не справляется?

Еще один Микротик или 4Ж роутер вам поможет

Добрый час, Константин.
Разделю ваш вопрос на две части:

1. Настройка почты на домене
   
2. Организация рассылок клиентам
   

I. Настройка почты на домене
Я предлагаю рассмотреть несколько популярных инструментов, опыт использования которых у меня имеется.

И там, и там, есть:

• антиспам
  
• фильтры сообщений
  
• веб-клиент
  
• почтовый клиент можете использовать любой, SMTP/IMAP имеется
  
• привязка к вашему домену
  

A) Яндекс.Коннект
В базовом варианте использования (выглядит, что это ваш случай), сервис будет предоставляться бесплатно.
Если же захочется фишек (доп. место на облачном диске, активное использование вики), то 190 руб за пользователя также вписывается в бюджет (190*50 = 9500 руб).
Подробнее с ценами можно ознакомиться здесь

Б) Google GSuite
Славится своими инструментами для совместной работы:

• Таблицы
  
• Документы
  
• Видеоконференции
  
• Календарь-органайзер
  

Если этот функционал не будет использоваться, нет смысла переплачивать.

Цена в базовом варианте - ~6$ за пользователя. При текущем курсе, выезжает за ваш бюджет (6*50*63 = 18898 руб).
С тарифами можно ознакомиться здесь

Вариант актуален в случае, если описанный выше ключевой функционал будет восстребован.

II. Организация рассылок клиентам

Начну с неясностей. Вопросы нумерую для удобства ответов.

Из комментария:

рассылка ведется из программы которая формирует счета клиентам и в идеале в этой программе необходимо настроить параметры отправки и отправлять через нее

есть вопросы:

1. Интересует, что это за программа (название)?
   
2. Имеется ли возможность модифицировать код программы для использования внешнего API?
   

Массовую отправку писем от корпоративного адреса, обслуживаемого почтовым сервисом, вам мешают производить лимиты самого почтового сервиса.
Поэтому вариант решения - в дополнение к почтовому сервису для обслуживания корпоративных адресов использовать сервис почтовых рассылок.
Это актуально, если на мой второй вопрос ответ положительный.

Мне нравится сервис Mailgun (mailgun.com).
Для интеграции потребуется:

1. Завести аккаунт
   
2. Подтвердить права на домен
   
3. Внедрить вызовы API в тех местах, где формируются счета клиентам
   

Цена в случае 5*5000 писем укладываетесь в тариф 35$. Подробнее с тарифами можно ознакомиться здесь

Почему вариант с Mailgun менее вероятно будет попадать в Спам?

• Они используют различные IP адреса, не замеченные в СПАМ рассылках
  
• Они заточены под рассылки (нет внутренних лимитов - защиты от вирусных атак)
  

Тем не менее, у почтовых служб есть свои СПАМ анализаторы, которые могут посчитать, что ваше письмо - спам.
Рекомендую прочитать эту статью по теме причин попадания писем в спам и выполнить рекомендации.

Ожидаю от вас ответа на мои вопросы и успеха с настройкой корпоративной почты и рассылок.

С уважением,
Олег Раев
CIO of Athanor

В такие моменты всегда подходите с юмором, когда нет других решений повлиять на ситуацию и вам предлагают смериться с тем что есть, можно воспользоваться "Вредными советами" Григория Остерова)))
В целом если хотите получить моральное удовлетворения от невеждества юзеров, просто грузите им мозг пока не возровется, по максимуму отнимайте их рабочее время чтобы они начинали нервничать (под видом что вы пытаетесь установить причину).
К примеру ситуация "создай мне таблицу в Эксель на основе старой. У тебя быстрей получится, а мне вспомнить надо"

Вы говорите хорошо давайте вспоминать вместе надо чтоб в следующий раз Вы могли сделать все сами, соберитесь с мыслями а я пойду кофейка заварю мне тоже надо настроиться.
И ведите с юзером как с ребенком
- давайте найдем файлик с табличкой на основе которой нам нужно сделать
- давайте его откроем и посмотрим (можно тут еще сербануть кофейка)
- давайте создадим новый документ. Я надеюсь Вы умеете создавать новый документы?
- теперь перейдем пожалуйста в первый файлик найдем нужную колонку давайте ее скопируем и перенесем в новый нами созданный файлик, что не получается? да у меня бабушка знает комбинацию ctrl+C
и тд так можно сидеть целый день (если у Вас оно конечно есть, но час другой можно потратить)
Поверьте пару таких ликбезов взбесят любого, и тут нужно всегда улыбаться и говорить я же за Вас беспокоюсь, снижаю компьютерную безграмотность и тренирю память в наше время это очень важно.

"ну ты DND нажала случайно, видимо"
тут можно попросить пользователя повторить все действия которые он совершал, если он начинает говорить не помню, вы можете ответить давайте вернемся к тому моменту который помните. Вы помните как вошли сюда, вы помните как сказали здравствуйте охраннику или сколько сахара положили в чашку с чаем.

После такого к Вам будут обращаться все реже и реже только по важным вопросам

Тут две стороны - игра в политику и техническая работа.
Если вы не умеете в первую - то всегда будете проигрывать таким "неграмотным", хоть сколько у вас там будет систем тикетов и прочего. Технически тут может помочь только детальный регламент одобренный на верхах и строгое ему следование, и то, пару раз поставите на место таких "я не нажимала" перед лицом руководства, они вам столько крови выпьют что не рады будете.
Судя по вашим реакциям из поста - для вас лучшее средство изолироваться и решать все через начальство. Начальство обычно умеет в такие игры играть.

Вторая сторона - техническая работа - это просто обучение пользователей и создание документации на самые распространенные ситуации. Будет работать если в первом пункте все ок - тут все просто - налаживать процессы, ваша система тикетов и прочее как раз сюда.

В плане всей ситуации:

Профильные("рабочие") проблемы
Преимущественно вопросы/проблемы у пользователей часто повторяются. Подготовьте шаблоны ответов на часто встречающиеся проблемы.
Важно чтобы он:
1. Был компактен, желательно оформлен как пошаговая инструкция.
2. При возможности - имел иллюстрации.

3. Свести к минимуму техническую терминологию, использовать понятный язык пользователю
4. Использование "Если ..., то ...". - добавляйте информацию об связанных проблемах, или других схожих исходах, чтобы уменьшить потенциальные будущие обращения.

Непрофильные проблемы

Желание сделать лучше квалифицированный отбор имеет смысла, но есть существенные проблемы:
1. Старые сотрудники останутся. Если нет текучки - подобное решение только в далекой перспективе поможет.
2. Если проблема не возникает на регулярной основе от преимущественного числа сотрудника - увеличение требований может нерационально сказаться на ЗП сотрудникам.

Не можете бороться с движением - возглавьте его: соберите частозадаваемые вопросы, как рекомендовал Владимир Куц поясните руководству на цифрах, что вы рискуете и занимаетесь рутинной ерундой.

Предложите сделать платные тренинги "неучам" после работы.
Обоснование: у Вас будет мотивация этим заняться и таким образом компания будет работать эффективнее. Иначе выходит что из-за одного человека фактически стоит работа, при этом:
* Крутится аренда
* Растут расходники
* Начисляется ЗП сотрудникам

Таким образом, Вы только сэкономите деньги компании, а сами заработаете.

1) Да, можно. Только он бекапит не сетевые папки, а сервера. Если сервер физический ставьте агента Veeam, если виртуальный, то поддерживается Hyper-v и Vmware виртуализация. До 10 VM можно бекапить бесплатно, только для этого надо ставить Veeam Backup & Replication Community Edition.
2) Нет. Делает полные и инкрементные.

Добрый день,
В тему первого вопроса была одновременно очень смешная, грустная, умная и поучительная статья на хабре про внедрение HelpDesk в компании: https://habr.com/ru/post/162749/
(автор собрал немало грабель и все описал, в том числе, как всех "переучить" пользоваться только тикет-системой для заявок в саппорт).
Статья 2012-го года, но мне кажется, ещё актуальная. Надеюсь, пригодится!

DameWare - платно, но очень удобно.

Ограничьте скуль половиной памяти, а то на сервер 1с ничего не остается. Ну и настройте технологический журнал на отслеживание длительных запросов и конфликтов/ожиданий блокировок, есть неплохой визуальный инструмент для этого (и для анализа собранного журнала) devtool1c.ucoz.ru/index/nastrojka_tekhnozhurnala/0-15

Надо начать с проверки настроек:
1) Если две роли стоят на одном сервере до должна стоять настройка работы через Shared Memory
2) позапускать тесты Гилева. Общий расчет производительности и анализ долгих запросов.
3) всем настроить ограничение по памяти(sql и1С). Ограничить рабочие процессы 1С(рпхост)
4) Соглашусь с клиентом выше технологический журнал может помочь, но он будет тоже потреблять ресурсы надо это учитывать.
5) Логи баз, если пишутся то куда?
6) TempDB есть? Где она лежит?
Пункт 5 и 6 должны быть на отдельных физически носителях. Что бы не проигрывать по производительности системы. Но этот пункт можно пока пропустить и перейти к мониторингу и от него уже смотреть.
Теперь про мониторинг:
1) Серверу 1С нужна частота процессора потому мониторим утилизацию процессора и общию загрузку в процентах.( 1с любит многогерцовые ЦП на многопотрчность можно особо не рассчитывать)
2) очереди к дискам на чтение запись ssd это конечно хорошо, но может не хватать рейд контроллера. Не понятно что ещё там же крутится.