smwed — здрасте, а OU для чего тогда нужны, если GPO работает на весь домен, по Вашим словам?
создаём OU, в нем группу пользователей, туда добавляем пользователей. в OU создаётся групповая политика, где назначается нужный функционал
групповая политика — всегда по домену.
локальная — всегда по конкретной машине.
Плохо искали. я, пока настраивал политики на новом домене нашел еще пару вариантов перенаправления
Из второго вытекает то, что п/о кого-то из пользователей может заглючить и забить весь этот Ваш TEMP, что может вызвать как проблемы как в работе всех пользователей, так и проблемы в работе сервера.
Групповая политика -> Конфигурация пользователя -> Настройка ->
дальше напрямую поправить переменную среды TEMP в настройках Среды или же сделать новый виртуальный диск, например T, и завернуть %USER_PROFILE%\TEMP в него.
угу. особенно когда в коде одного из проектов у товарища (делавшегося достаточно давно) было полтора десятка ссылок на подключение к базе. Из которых половина — неявно выраженных…
обманная база данных = обычная база данных но с тоестовыми значениями.
+ копия проекта, в которой вс подключения к БД идут к новой БД с тестовыми значениями.
в лучае нахождения бага и т.п. он исправляется, изменения после проверки уходят в продакшен
При правильной настройке системы такой доступ вообще может даваться автоматически по подтверждению тикета ответственным за доступ лицом, вообще без телодвижений.
Не считая того, что почта/учётка в AD может заводиться автоматом при принятии пользователя на работу и заведении сотрудника в 1C (с заполнением полей типа отдела/города/подразделения).
ssh, rdp, samba, многие почтовые сервера, asterisk (SIP). squid proxy (скорость канала, доступ к группам сайтов) — интегрируется с AD, та же wiki, bitrix — тоже. Доступ к бухгалтерскому серверу — 1c + AD — влёт. vpn тоже интегрируется.
авторизация в mysql/postrgre, apache тоже прикручивается.
Разве что какие-то старые разработки или БД в dbf формате, да, доступ на уровне FS и тот можно ограничить.
Один скрипт на пару строк с параметром «имя пользователя» получает полный список доступа.
скайп уже показывает время собеседника, как-йто из плагинов лаборатории гугль почты — тоже, аутлук вроде научился.
осталась аська, похоже.
насчет почтового клиента мозиллы/kde или джаббер клиента — уже и не знаю.
кстати, меня вот гложет мысль — нарисовать gui контрол в C# как раз такие вот часики, ка в семерке…
автономность сильно заивсит от режима использования — когда у меня на телефоне (Lumia 800 ) первое время инет не выключался, жила больше 2х суток. Сейчас инетом в телефоне почти не пользуюсь — на работу хожу пешком
1. при наличии белых списков на запуск отпадает.
Правильно настроенные бекапы спасут от «шифрации чего попало где есть доступ».
Настроенные предыдущие версии файлов начиная с 2008 сервера спасут от шифрованных документов за полдня.
Выход одной рабочей станции из строя никаким образом глобально не может повлиять на все остальные сегменты экосистемы.
2. При нормально работающих первых пунктах пункт про антивирусы снижает риски.
3. Я работал тоже в крупных компаниях — утвержденная руководством политика по серверам, рабочим станциям, спискам софта, политикам безопасности (с использованием в том числе и частей пункта 1) работает если юзер хочет странного.
А так — даже большей части програмистов администраторские права не нужны, кроме тех кому нужен доступ к железу и прочие хитрости.
Кстати, программистов и прочих особо одарённых можно вынести в отдельную сеть/влан — пусть развлекаются, основным бизнес процессам они не навредят
Ну пролезет, и что он сделает с привилегиями обычной пользовательской учетки без админских прав?
а с висщим антивирусом? а если еще и запрет на запуск непонятных exe кроме белого списка?
cepera_ang полностью согласен. с одной из прошлых моих интеграторско-аутсорсовых работ была приблизительно такая ситуация — клиент тоже хотел костылей через задницу, на что ему было обьяснено, что лепить стопицот костылей вместо нормального решения ни одной нормальной конторе неинтересно. в результате они нашли каких-то двух «пальцатых студентов-айтишников», которые через месяц умудрились переделать «быстро, качественно, недорого» так, что поломали полностью экосистему почти в ноль, имя на руках нормально полностью документированную работающую экосистему, в которую было вложено где-то полтора месяца планирования и чуть больше перехода на новую инфраструктуру.
в общем директор клиента позвонил нашему в жуткую рань с фразой «верните как было, мы заплатим».
им повезло, что незаметными скриптами бекапы баз и конфигурации делались на машину директора, но простой в день обошелся им в приличную сумму.
1099511627776 везде, куда приходил я, мне приходилось переставлять завирусованные машины с необновлявшимся от года антивирусами, т.к как сказали выше — у 90% пользователей админские права
fedor_malyshkin любая тикетная система. привязываться к пользователю она умеет, а дальше групповой щаблон «выдача прав доступа» — если нужно найти — фильтры по поиску.
Если п/о привязано к AD то обработка запроса на добавление прав заключается в том чтобы внести пользователя в группу и отписать пользователю о том что му надо выйти и зайти в систему для работы с новым ресурсом, который находится там-то и там-то.
Если п/о непривязано — все равно это придётся делать ручками.
создаём OU, в нем группу пользователей, туда добавляем пользователей. в OU создаётся групповая политика, где назначается нужный функционал