Путевской Виктор (vipernn) wrote,
Путевской Виктор
vipernn

Category:

Как не надо делать

Попалось тут шикарное на хабре.

Кратко:

Некий юзверь, по какому-то недоразумению считающий себя крутым айтишнегом, работает в конторе, где в качестве ОС используется Windows и куча вполне разумных ограничений для простых юзверей. Нашему же герою захотелось странного, ему понадобился Linux и героически преодолевая трудности он его поставил себе на машину, чтобы ... настроить почту и календарь! Ну да, на винде же этого нет.

А теперь подробнее и с комментариями:
Сперва у нас отобрали права администраторов на компах, что напрочь лишало возможности менять какие-то настройки, требующие повышения привилегий.
Правильно, обычному юзверю эти права не нужны, он о их необходимости и не подозревает.

Но как известно, на каждую хитрую гайку найдется болт с резьбой и наш ответ Чемберлену заключался в загрузочной флешке, на которой был установлен Offline NT password changer. При необходимости сделать какие-то действия от администратора я загружался, сбрасывал пароль на свой, заходил на тачку локально (а не в домен) и производил необходимые модификации. Все эти действия были нужны потому что при следующей перезагрузке пароль администратора накатывался обратно групповыми политиками из домена.Гнать поганой метлой из конторы.

Следующим этапом было блокирование ICQ (да времена были еще те), Jabber и социальных сетей.Тем более правильно. На работе работу работаем.

В какой-то момент в rdp-сессиях был заблокирован буфер обмена, а в корпоративном vpn — возможность открывать сетевые шары на рабочем пк.Тоже вполне разумно. А для обмена данным есть почта и делается обменник на сервере.

Копирование файлов стало сильно сложнее — только через флешку. Но потом мы лишились и этого — usb порты на компах хотя и не были заварены физически, но работали только как зарядное устройство для телефонов, любая вставленная флешка блокировалась антивирусом.Аналогично предыдущему.

Ну и финальным штрихом, который переполнил чашу терпения, стало ограничение запуска программ только из «разрешенных мест». За годы работы мной был накоплен багаж из различного полезного софта (который жил на отдельном от системного разделе в силу того, что его обычно не нужно было устанавливать, а достаточно просто скопировать): пакеры\анпакеры, редакторы ресурсов, hex-редакторы, PE-редакторы, отладчики\трассировщики, целый пак утилит с канувшего в лету сайта sysinternals, декомпиляторы (например DeDe для Delphi, JAD для java, ILspy для дотнета) и т.д.Аналогично. Софт, надо сказать, весьма специфический. Уж не программист ли наш герой?

И вот после этого автор статьи героически преодолевая трудности ставит себе Linux, а далее с таким же успехом настраивает почту и календарь. Надо сказать, что админам данной конторы все же стоит поставить неуд за то, что лазейка все же нашлась.

А теперь о том, как все это делается по нормальному.

Ну, во-первых, почта и календарь у пользователя есть по умолчанию и не надо тут что-то придумывать. Если этого нет, то это очень специфическая контора (КОНТОРА).

Для нормальной работы обычному пользователю совершенно не нужно наличие открытых портов, возможности изменения настроек и установки каких-либо программ. Тем более нет необходимости доступа к социальным сетям, да и к интернету, как правило, тоже. На работе надо работу работать. Комплект ПО для работника будет стандартным для каждом (с учетом специфики должности). Если же вдруг кому-то что-то нужно нестандартное, то пишется служебка с обоснованием необходимости установки конкретного ПО, открытия портов и доступа в интернет. Если пользователь работает на должности программиста, то у него, естественно будет стоять все необходимое для его работы. Если же нет, то зачем оно ему? Если у непрограммиста возникла необходимость в программировании, то опять же пишется служебка с обоснованием. При правильном подходе к вопросу, все решится и не будет никакой партизанщины.


З.Ы. А вот комментарии к статье вполне разумные.
Tags: it, компьютерное
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 1 comment