Критерии качественной настройки Active Directory

Наиболее заметное предназначение Active Directory – централизованная аутентификация пользователей. Именно благодаря Active Directory сотрудникам компании для доступа ко всем внутренним ресурсам корпоративной сети достаточно знать один логин и пароль, а не десяток.

Но централизованная аутентификация – это не самый ценный функционал Active Directory.  Куда более значимая, хоть и куда менее заметная роль Active Directory – это централизованное применение настроек к компьютерам, серверам и рабочему окружению пользователей. Данный функционал впервые появился еще в 1996 году в операционной систем Windows NT и назывался он тогда System Policy. В настоящее время этот функционал серьезно расширился и теперь называется Групповыми политиками (Group Policy). Через групповые политики можно настроить практически все параметры в операционных систем Windows, а разработчики приложений под Windows выпускают специальные Административные шаблоны, позволяющие через групповые политики настраивать в том числе и их приложения.

К сожалению, редко в какой компании возможности Active Directory применяются на полную катушку, а еще реже – применяются корректно. Часто можно встретить домен Active Directory в котором все учетные записи размещаются в контейнерах по умолчанию, а групповых политик одна-две штуки на всю компанию, не считая созданных по умолчанию (Рис. 1, 2): Читать далее

Тонкие клиенты под Windows Embedded: что это, зачем нужно и как использовать

Продолжаем рассказывать о ноу-хау, которые мы используем в своей работе. Напомню, что мы в «Депарамент ИТ» строим и обслуживаем корпоративные ИТ-инфраструктуры так, что наши клиенты работают, а не звонят в техподдержку.

Сегодня поговорим об использовании тонких клиентов с операционной системой Windows Embedded. Для тех, кто не в курсе: тонкие клиенты — это компьютеры, единственная задача которых – подключать пользователя к серверу для работы. В случае тонких клиентов все вычисления выполняются не на локальном компьютере пользователя, а на сервере. Выглядят тонкие клиенты как небольшие компьютеры:

Рис. 1. Шесть поколений тонких клиентов в полном составе. Справа – «прадедушка» (HP t5550) с WinCE, слева – «правнук» тонкого клиента (t530) c Windows 10 IOT, все исправно работают.

Из-за того, что основная задача тонких клиентов – дать доступ пользователю к серверу для работы, к тонким клиентам предъявляется меньше требований по производительности, и они слабее традиционных стационарных компьютеров. Именно небольшая мощность тонких клиентов и формирует их преимущества – они дешевле стационарных компьютеров, потребляют меньше электроэнергии, занимают меньше пространства, не шумят (им хватает пассивного охлаждения), благодаря своей простоте реже ломаются. Если разобрать прадедушку и правнука тонкого клиента, то внутри у них принципиально ничего не меняется с годами, разве что для разборки прадедушки требуется открутить пять винтов, а правнук разбирается голыми руками: Читать далее

Дедупликация данных на файловых серверах: что это и какие результаты дает

Это пятая статья из цикла «как надо делать ИТ». Напомню, что мы в «Депарамент ИТ» строим и обслуживаем корпоративные ИТ-инфраструктуры так, что наши клиенты работают, а не звонят в техподдержку.

Файловый сервер практически в любой компании – это самый неэффективный сервис с точки зрения соотношения размеров ценной информации к общим объемам занимаемого дискового пространства. Информация на файловых серверах зачастую сохраняется в десятках одинаковых экземплярах из-за плохо проработанной структуры хранения или же в виде сотен слабо отличающихся друг от друга разных версий одного и того же. К примеру, коммерческое предложение для каждого клиента представляет из себя отдельный файл на сервере, хотя все эти документы отличаются друг от друга зачастую только парой байт, поскольку сделаны по одному шаблону.

До выхода Windows Server 2012 R2 проблема неэффективного использования дискового пространства на файловых серверах не поддавалась решению (при использовании Windows Server в качестве файловых серверов). Файловые сервера в компаниях пухли как на дрожжах, требуя гигантских объемов хранения на серверах, системах хранения резервных копий, а также производительного сетевого оборудования для того, чтобы эти резервные копии вовремя делать. Но в Windows Server 2012 R2 наконец-то появился сервис дедупликации файлов на дисках. Сервис дедупликации сканирует все файлы на диске, разбивает их на части (чанки), находит схожие части с другими файлами и освобождает от дублей место на диске. Теперь, если в копии огромного документа поменять только пару фраз, место на диске под новый файл будет занято только этим изменением, а не повторением одного и того же.

Но давайте, для начала, от описания перейдем к демонстрации. Читать далее

Как нужно бороться с вирусами

Это четвертая статья из цикла «как надо делать ИТ». Напомню, что мы в «Депарамент ИТ» строим и обслуживаем корпоративные ИТ-инфраструктуры так, что наши клиенты работают, а не звонят в техподдержку.

Тема сегодняшнего разговора – борьба с компьютерными вирусами. И начать я хочу с разрушения двух мифов: 1) что в операционной системе Windows на порядок больше уязвимостей, чем в других операционных системах и вообще, Windows – это решето, 2) что хороший антивирус обезопасит компьютер от вирусов и зловредов. Читать далее

Как правильно оказывать удаленную техническую поддержку

Это третья статья из цикла «как надо делать ИТ». Напомню, что мы, в «Депарамент ИТ», строим и обслуживаем корпоративные ИТ-инфраструктуры так, что наши клиенты работают, а не звонят в техподдержку.

Дыра в безопасности – это пугающее слово, но нет ничего хуже, когда эти дыры создают сами ИТ-специалисты, потому что в этом случае эти дыры просто циклопического размера. Примерно такого:

Вот именно такие дыры в безопасности и создают айтишники, когда подключаются к пользователям с использованием внешних сервисов для оказания технической поддержки, таких как Ammyy Admin и TeamViewer. Делать так не нужно и уж боже вас упаси ставить эти приложения в качестве системных служб. Во-первых, это внешние сервисы и никто не знает как они работают. Во-вторых, эти сервисы даже при своих добрых намерениях являются очевидной целью для злоумышленников, которые регулярно находят в них уязвимости и успешно их используют: Читать далее

Как правильно подключать принтеры в корпоративной сети

Это вторая наша статья из цикла «как надо делать ИТ». Напомню, что мы в «Депарамент ИТ» строим и обслуживаем корпоративные ИТ-инфраструктуры так, что наши клиенты работают, а не звонят в техподдержку.

С принтерами в корпоративной ИТ-инфраструктуре существует два смертных греха, из-за которых техподдержка и пользователи попадают в ад еще при жизни:

  • Подключение принтеров через интерфейс USB,
  • Подключение принтеров пользователям руками.

Подключать принтеры в корпоративной сети нужно исключительно по сети (Ethernet), а настраивать принтеры на компьютерах пользователей нужно исключительно автоматически через Group Policy Preferences с использованием сервера печати, на основании расположения пользователя в офисе или членства в группе Active Directory. На этом чтение можно заканчивать — далее будет занудное описание причин, по которым так делать нельзя и как именно это нужно делать. Читать далее

Как управлять приоритетами любого трафика в корпоративной сети на примере Skype

Это первая наша статья в цикле «как надо делать ИТ». Напомню, что мы в «Депарамент ИТ» строим и обслуживаем корпоративные ИТ-инфраструктуры так, что сотрудники у наших клиентов работают, а не звонят в техподдержку.

Согласитесь, не дело, когда компания получает письма от клиентов с задержкой, у сотрудников тормозят рабочие сервисы в интернете, а телефония «квакает» из-за того, что кто-то в офисе решил посмотреть фильм на ютюбе или скачать сериал с торрентов. Именно поэтому доступ в сеть Интернет у наших клиентов мы всегда разделяем по приложениям и приоритетам для бизнеса, чтобы всякие торренты и обновления занимали канал Интернет только тогда, когда он не занят более важными вещами.

Для приоритизации доступа в сеть Интернет по типам трафика еще при царе горохе была придумана такая технология как Quality of service (QoS). Суть ее в том, что сетевое оборудование определяет тип проходящего через него трафика и на основании заданных на нем правил дает зеленый сигнал приоритетному трафику и притормаживает менее приоритетный, если ширины канала на всех не хватает.

Недостаток этой технологии в том, что сетевое оборудование не всегда может правильно определить тип сетевого трафика. К примеру, Skype в своей работе очень схож с торрентами, а некоторые приложения используют в своей работе стандартные порты https и тем самым не отличаются для сетевого оборудования от обычных веб-сайтов. Читать далее