» Флейм для сисадминов (часть V)

vlary
извиняюсь *собрал чемодан - ушел в раздел винды*

- Кто враг сисадмина?
- юзер!
- кто злостный враг сисадмина?
- "продвинутый" юзер?
- кто самый злой враг сисадмина?
- "продвинутый" юзер способный оказывать влияние на директора...

55550000

55550000

55550000

Приветствую.
В организации до моего прихода сложилась политика, что на компы все могут ставить что хотят и когда хотят. Взялся за это дело, и начинаю постепенно на каждой машине удалять весь левый софт, взамен ставлю либо лицензию, либо бесплатную альтернативу (GNU GPL).
И вот тут то началось, вырисовались индивидумы, которые стараются мне внушить мою неправоту и не дают что-то менять на их пк. У кого-то стоит крякнутая восьмая винь, которая видите ли ему очень нравится, и он не хочет другую, в то время как системнике наклеена наклейка с OEM ключом для Win 7 Pro. У кого всякие CAD'ы, фотошопы и прочее.

Потихоньку я сужаю круг до этих индивидумов, на машинах паролю BIOS, создаю своего админа с паролем, на их учетках отключаю админские права, включаю UAC, еще думаю к этому прибавить AppLocker.
Хотел вообще домен сделать, но тот факт, что хаотично меняем место дислокации (построили объект - уехали на следующий), сотрудники сидя в одном офисе завтра могут быть раскиданы по трем разным объектам с ПК, закрепленными за ними, не дает мне свободы маневра в этом направлении, ибо я с серверами могу просидеть и полгода-год на текущем объекте (хотя очень бы хотелось, интересно и самому, и те же групповые политики и прочее очень хотелось бы иметь).

Так вот, хотелось бы, чтобы столкнувшиеся с такой ситуацией люди подсказали, как дожать и этих индивидумов, прежде чем пойду к руководству с распечаткой статьи 126 УК РФ. (хочу собрать в довесок к статье больше аргументов, и быть готовым к возможным вопросам руководства и выпадам индивидумов)

Многие скажут - уволься с такой организации, но пока не могу, финансовая сторона меня устраивает, да и есть желание гнуть свою линию.

Быть можно дельным человеком
И думать о красе ногтей

insyo Начать нужно именно со статей УК РФ и показать директору чем это ему грозит при проверках. Если босс проникнется ,то издать приказ и принять Положение об информационной безопасности, с которым нужно всех ознакомить вплоть под подпись каждому сотруднику. В Положении прописать желаемое, что не устанавливать и тд и тп и разрешить админу применять локалаьные политики вплоть до Windows Home, к ним тоже можно прикрутить политики - поиск в гугль - Политики для windows home. Но это иногда чревато, если перцы далеко в командировке, а что-то нужно поставить. Ну это уже чисто твоя забота.

Цитата:

Так вот, хотелось бы, чтобы столкнувшиеся с такой ситуацией люди подсказали, как дожать и этих индивидумов

А зачем их "дожимать"?
Вы, батенька, садист?



Цитата:

да и есть желание гнуть свою линию.

Весьма сомнительное желание.
Если бы Вы самореализовались как технарь, а не как держиморда - коллеги-технари с удовольствием подсказали бы Вам здесь, что возможно сделать технически.

А так ждите сочувствия только от себе подобных.



Добавлено:

Цитата:

insyo Начать нужно именно со статей УК РФ и показать директору чем это ему грозит при проверках

Умолчав о том, чем бизнесу работодателя грозит ползучее разлитие ядовитого коктейля от insyo - бесплатно-альтернативного ПО, Applocker и запароленных биосов?

LevT

Цитата:

Умолчав о том, чем бизнесу работодателя грозит ползучее разлитие .... и запароленных биосов?

И чем запароленый БИОС грозит работодателю?

Цитата:

insyo Начать нужно именно со статей УК РФ и показать директору чем это ему грозит при проверках. Если босс проникнется ,то издать приказ и принять Положение об информационной безопасности, с которым нужно всех ознакомить вплоть под подпись каждому сотруднику. В Положении прописать желаемое, что не устанавливать и тд и тп и разрешить админу применять локалаьные политики вплоть до Windows Home, к ним тоже можно прикрутить политики - поиск в гугль - Политики для windows home. Но это иногда чревато, если перцы далеко в командировке, а что-то нужно поставить. Ну это уже чисто твоя забота.

Спасибо, приказ - то, что нужно.
Локальные политики думаю тоже.


Цитата:

Если бы Вы самореализовались как технарь, а не как держиморда - коллеги-технари с удовольствием подсказали бы Вам здесь, что возможно сделать технически.

Технические возможности меня в первую очередь и интересуют
Для чего BIOS паролить? Завтра один из умников летит на другой объект, там сносит из-за своих прихотей винду, ставит какое-нибудь гамно, и что мне с этим потом делать? Опять все по новой.
Не вижу ничего плохого в этом, если надо что-то на том объекте, скоординирую более менее смышленного человека на том объекте, что и как.

Бесплатность ПО - вместо какого-нибут XNViewer'а взять Imagine, вместо Adobe Acrobat PRO - doPDF, PDF Split and Merge и т.д.
Пересаживать на Libre/Open Office и linux никого не собираюсь, это покупается.
1С - работа по удаленке, сервер в головном, который обслуживает другие нанятые ребята.
Остается разобраться с CAD-системами, которые думаю тоже закупим.

Цитата:

если это ноутбук, а админ поднял зад и ушел (неустраивает финансовая сторона), отключив телефон, то ноутбук может и в сервисный центр поехать на профилактику.

Админ - человек думающий, делится логинами-паролями с начальником.

Цитата:

И чем запароленый БИОС грозит работодателю?
 

если это ноутбук, а админ поднял зад и ушел (неустраивает финансовая сторона), отключив телефон, то ноутбук может и в сервисный центр поехать на профилактику.

Добавлено:
ИМХО, все эти движение по внедрению нового ПО и переучиванию сотрудников, только трата времени своего и работников и трата денег капиталиста.

Я не одобряю работу под админом и фотошоп, но где то есть предел: зачем дожимать, какая цель?

d0r0fey

Цитата:

если это ноутбук, а админ поднял зад и ушел (неустраивает финансовая сторона), отключив телефон, то ноутбук может и в сервисный центр поехать на профилактику.

))) Т.е. стационарный компьютер в таком случае везти не надо? )))

Цитата:

Я не одобряю работу под админом и фотошоп, но где то есть предел: зачем дожимать, какая цель?

Может сильно сказано - дожимать. Скорее "объяснить", "растолковать", чтобы не было фырканий, будто это их личный пк. В случае чего по шапке то получаю я и руководитель, а не они. Вот и надо мне руководству это растолковать и решить это административнм методом, плюс узнать технические решения - вот как пример локальные политики прозвучали

Тотального внедрения нового ПО как такого не будет. Выше написал. Никого мучать не собираюсь.
Есть ПО, в котором работаешь - на пожалуйста, но не засоряй систему всякими крякнутыми играми, програми, айтюнсами и прочим.

Про фотошоп - есть мысль использовать подключаемую porable версию, стоит вопрос - как реализовать технически (закупить флешек и на них поскидывать, или какую-то шару зашифрованную организовать, в случае чего с которой быстро все уничтожить).
Он нужен 3-5 людям как таковой-то для того, чтобы иной раз в документации отсканированной чего-нибудь переделать, но и тут есть альтернатива, возможностей того же Paint.Net хватает.

Цитата:

))) Т.е. стационарный компьютер в таком случае везти не надо? )))

если не знаешь что сделать - однозначно везти. Любой каприз за ваши деньги.

d0r0fey

Цитата:

если не знаешь что сделать - однозначно везти. Любой каприз за ваши деньги.

Да... кстати и домен тоже в ТП везти надо, я правильно понял?
Ну раз вы не в состоянии сменить пароль на БИОСе, то смена пароля доменного админа тем более окажется сложным

insyo
вы объясните руководству какими методами будете достигать этого. Ведь это ваше время, которое должно оплачиваться, время сотрудников, которым вы настраиваете applocker, пароль на bios, - тоже оплачивается. Может лучше двигаться, чтобы высвобождать своё время. Делать так, чтобы ты, как специалист, затрачивал не шесть часов на работу в день, а два?

Зачем куда-то что-то везти? )) Последний раз, когда я столкнулся с запороленным БИОСом, сделал сброс CMOS. Продвинутый пользователь найдет и узнать/сменить пароль админа, если захочет, но не думаю, что здесь это кому-то будет нужно.

Цитата:

вы объясните руководству какими методами будете достигать этого. Ведь это ваше время, которое должно оплачиваться, время сотрудников, которым вы настраиваете applocker, пароль на bios, - тоже оплачивается. Может лучше двигаться, чтобы высвобождать своё время. Делать так, чтобы ты, как специалист, затрачивал не шесть часов на работу в день, а два?

Что вы этим имеете ввиду?

Цитата:

В случае чего по шапке то получаю я и руководитель, а не они.

Если Вы считаете, что Ваши страхи стоят
Цитата:

траты времени своего и работников и траты денег капиталиста 

- может быть, стоит обратиться к психотерапевту?

Если Вы действительно ценный сотрудник, Вам могут даже оплатить лечение ))

KapralBel
не туда, вот здесь решают проблемы биос
http://forum.ru-board.com/topic.cgi?forum=81&topic=0055&start=580

[more]Подытожу: пароль снять так и не получилось, перепробовал несколько генераторов паролей. Сделал с запрос в техподдержку Acer - через неделю молчания ответили: "т.к. Unlock key содержит буквенные символы, то разблокировка возможна только в сервис-центре." Судя по инфе из интернета - услуга сия платная, стоит около 2-х т.руб. В итоге "подключил к другому компу и раскатал винду". В принципе работает, но загрузка возможна только с HDD. Всем спасибо, с наступающими праздниками![/more]

ЗА. А если Вы по-настоящему ценный, заслужили к себе уважение успешными проектами такого рода радикальных изменений без ущерба для бизнеса - то Ваше мнение должно иметь авторитет и без шантажа.
Руководство Вас поддержит обязательно... и не надо будет за понюшкой храбрости шататься по форумам.





Добавлено:

Цитата:

Продвинутый пользователь найдет и узнать/сменить пароль админа, если захочет, но не думаю, что здесь это кому-то будет нужно.

Там, где вынимание батарейки поможет одмину в случае чего - оно поможет и продвинутому юзеру.

d0r0fey
Ну если вы не в состоянии понять то скажу открытым текстом. лично меня пароль на БИОС никогда не остановит (в случае если мне по должности нужно их обслуживать)

А теперь еще раз первоначальный вопрос повторю

Цитата:

И чем запароленый БИОС грозит работодателю?

Только больше не надо рассказывать про злого и нехорошего админа, который ушел и не оставил паролей.
Потому что в этом случае пароль на БИОС ну не самая большая проблема....

Какой траты времени? Дать готовую машину со всем предустановленным ПО, без возможности простому смертному установки кучи крякнутого ПО ?
На что я трачу время изначально - создание образа с подборкой ПО виндовыми средствами.

Цитата:

ЗА. А если Вы по-настоящему ценный, заслужили к себе уважение успешными проектами такого рода радикальных изменений без ущерба для бизнеса - то Ваше мнение должно иметь авторитет и без шантажа.
Руководство Вас поддержит обязательно... и не надо будет за понюшкой храбрости шататься по форумам.

Я сейчас на этапе разработки такого подхода. Когда будут все ответы на мои и возможные их вопросы - иду к руководству и разговариваем.
Сюда я обратился за советом. Одна голова хорошо, но можно и не одна.

LevT
Так все таки чем пароль на БИОС грозит работодателю?

Цитата:

Дать готовую машину со всем предустановленным ПО без возможности простому смертному кучу крякнутого ПО установить?  

Дайте!
Так, чтобы в итоге ценность этой машины стала выше, хотя бы для бизнеса. (но и в этом случае советую внедрять это аккуратнее... стать врагом юзерам может выйти себе любимому дороже)

А не так, чтобы ценность её сразу уменьшилась для юзера - а бизнес огрёб отложенные проблемы.

Цитата:

А не так, чтобы ценность её сразу уменьшилась для юзера - а бизнес огрёб отложенные проблемы.

Можете конкретизировать - о каких проблемах речь и от каких моих действий ценность машины может оказаться ниже?

Цитата:

На что я трачу время изначально - создание образа с подборкой ПО виндовыми средствами.

Не надоел ещё сизифов труд? Как думаете, который Вы по счёту?
Где готовый результат от Ваших предшественников на этом скорбном пути?

LevT
Все таки )))
Ответь на вопрос о пароле на БИОС

KapralBel
на моей новой(дополнительной) работе когда-то залили usb порты термоклеем. убитый день на выковыривание этой фигни из системников завода.

Цитата:

Можете конкретизировать

Могу, но не очень хочу: тема мне неблизка.

Де-факто многие шарашкины конторы полагаются на способности продвинутых юзеров самостоятельно админить свои компы.

Проект внедрения управляемых десктопов дико затратный.
Кто за него платит в Вашей конторе?

Упд.
Вы тоже как исполнитель - ЯВНО не обладаете требуемой квалификацией, и собираетесь тренироваться на кошечках изобретать велосипед.

Вот подите к начальству и расскажите честно, сколько это стоит.
Если удачно подадите идею - может, оно отправит Вас на курсы от (того или иного) уважаемого вендора?