Сис.Админ и УК

HPC.ru lite - Все форумы
Форум: [OFF] Оффтопики не про КПК
Тема: Сис.Админ и УК
Страницы: 1 [2] 3 4 5

[Ответить]
woot [14.10.2008 11:46] :
все это интересно в свете _возможной в будущем_ борьбы с пиратством, понятно, что сейчас ее нет, как таковой, и наказания ничтожны.

alien8 писал(а):

... в нашей организации просто физически нельзя отследить ВЕСЬ софт...

а каков характер деятельности??? обычно у пользователя нет прав инсталляции, а что работает без установки - не отследить, конечно.

Nora [19.10.2008 09:58] :
Наверное, самое надежное для сисадмино тупо сидеть и писать докладные начальству в 2 экз. :
а) у нас стоит нелицензионка, прошу выделить денег на приобретение
б) на компе у тети Кати стоит ворованная программа по изготовлению выкроек, которую она стырила с порносайта
и я прошу разрешения принять меры )))

fenec [19.10.2008 12:03] :
у меня таких проблемм не возникало, в моей конторке все ПО лицензионное, правда бывает доходит до абсурда..., место того чтобы купить корпоративную лицензию, купят кучу дисков и потом приходится гемороится с каждым, дозваниваясь до ТП и диктуя номера...

alien8 [19.10.2008 12:46] :
Nora

Пункт 2 не всегда выполним. Конечно, когда есть маленькая конторка с двумя тетками, это еще реально - проконтролировать. Когда ТОЧНОЕ количество рабочих станций никто не знает - это уже сложнее

Любителям рассказывать, "как надо" вести учет - поясняю - во-первых, если бы все делалось "как надо" - мы бы уже жили очень замечательно. Но идеал недостижим, по причине "человеческого фактора" . Кроме того, есть гадская и достаточно распространенная практика, когда предыдущий админ сдает дела по принципу "ну...эта...вот серваки, а вот тут до фига компов. Скока? Да хз, че-та около 700"
Журнала коммутаций нет, СКС нет, учета компов нет...ничего нет, населена роботами (с)

То, что числится на учете - это отдельный разговор. Во первых, часть старого хлама уже есть только на бумаге и пылится в подсобках (ибо работать уже нельзя, а списать "не положено" по срокам и т.д. - ну это отдельное искусство). Во-вторых, ЛИЧНЫЙ досмотр всех помещений - хорошо, когда комнатушек несколько. А когда несколько корпусов, плюс для проникновения в некоторые посмещения без владельца (в отпуске, в загранкомандировке и т.д.) надо составлять акт вскрытия .....в общем, это надо ВСЕ бросить и месяц этим заниматься. даже какой месяц - это ж вскрыть, найти компы, включить их, проверить...тоже время занимает. Короче - практически нереально.
К примеру, сейчас я точно знаю только о тех компах, которые подключены к ЛВС. И то, пока что с "дельтой" около десятка (т.к. ПОКА, до завершения модернизации и переделки сети, есть рудименты типа неуправляемых хабов, к которым идет пучок проводов - сколько реально компов функционирует - можно только примерно посчитать, по линкам. Ну, есть более точные методы, но это по количеству, а "где оно установлено - это уже сложнее) Сколько еще всего в наличии - похоже, не знает никто. Ну это примерно как спросить "сколько сейчас ручек (пишуших) находится в использовании?"

- фиг кто ответит (в большой организации), несмотря даже на точные данные по закупкам и учету. Это только некоторые себе представляют - мол, как же, КОМПУТЕР не учеть (потерять и т.д.)
А в зависимости от масштабов, компьютеры уподобляются чуть ли не тем же ручкам -типа, одним больше, одним меньше...

Далее - даже те компы, которые известны - НЕВОЗМОЖНО контролировать. Даже с юзерскими учетками - установка некоторого софта методом копирования вполне реальна.
Опять-таки можно долго рассказывать про р-админы и т.д. - поверьте, в больших масштабах это нереально. Опять-таки с учетом человеческого фактора, а не идеальных условий. Проверено.
Рекомендации на эту тему могут давать ТОЛЬКО люди, ЛИЧНО испытывающие свои теории на БОЛЬШОМ (под тысячу) количестве рабочих станций. В том числе включаемых периодически, а не постоянно подключенных и готовых к контролю. Причем штат - пара админов, пара инженеров-эникейщиков и все. Которые и без того не бездельничают - своих дел полно.

Конечно, в теории можно пользователям запретить вообще все, кроме рабочего софта, но...во-первых, такое делается только на ряде компов, во-вторых - дальше уже идет "политика партии".

Так что не все просто, как представляется некоторым законодателям.

Если б к чиновникам предъявлялись такие же требования - мол, ОБЯЗАНЫ и все. Никаких "да черт его знает, куда эти деньги девались" (с)
Но - парадокс, чем меньше должность, тем больше может быть ответственность. И наоборот - чем выше, тем меньше.

И те, кто возлагает контроль на админов - сами-то не могут сказать, куда в стране делось столько-то миллионов, а то и миллиардов баксов

Новый папа [19.10.2008 13:27] :
Э, да у вас можно тырить компы, я погляжу

Новый папа [19.10.2008 14:29] :
В общем, как это было у нас. Организация большая, громадная просто. Филиалы. За каждым человеком закреплен компьютер табельный номер такой-то. Все

Только не говорите, что есть организации, где неизвестно точное количество сотрудников. Если мы не про бардак беседуем конечно. Т.о. всегда можно взять список сотрудников и список компьютеров, за которыми они работают.

Чтобы поставить сотруднику новый компьютер, нужно сначала списать старый или переместить на другое место. Оформлятся соответствующим актом. Апгрейд - акт модернизации. С занесением соответствующих данных в программы учета (вообще хватает простого екселя). Периодически Еверест опрашивает компы на предмет конфигурации и если есть различия, посылает алерт начальнику админов. Т.о. мой начальник практически сразу заметил, что я поменял 2 планки памяти - себе вставил побольше с соеднего компа, а туда сунул поменьше )))

Пришлось обратно менять, чтобы конфигурации компьютеров табельный номер такой-то соответствовали записям в файле-ексель.

При перемещении компа на склад - соответсвующий акт.

Нигде нет флоппи, си-ди, УСБ отключены в биосе и запечатаны пломбами. Корпуса запечатаны пломбами. При обслуживании техники администратор сдирает пломбы, записывает их номера в журнал учета пломб, описывает характер своих работ и вешает новые пломбы. Начальник заверяет подписью. Если нужно поставить программу или что-то скопировать с флешки-сиди - то просто приходят в отдел ИТ мы копируем.

Да, конечно бюрократия страшная, зато всегда знаешь кто за каким компьютером работает.

В эту схему само собой не вписываются личные компьютеры, типа ноутбуков.

И еще, конечно любой проныра найдет способ как поставить себе что-то неразрешенное. Но такие проныры обычно в течение месяца выявляются (в момент проведения инвентаризации ПО на компах пользователей, которая заключается в том, что админ удаленно лазиет по дискам пользователя и смотрит что там у него находится), получают заслуженное наказание и больше уже не шалят.

alien8 [19.10.2008 14:47] :
Новый папа
>>Э, да у вас можно тырить компы, я погляжу

Смех смехом, а "почти можно". Главное, чтоб на момент инвентаризации было, что показать комисии. А у бухгалтеров же как "учитывается" - типа "процессор пентиум" - одна штука"

И тому подобные записи. Детальный конфиг компа практически редко встречается (хотя если акты, накладные поднять, то более-менее новые компы таки имеют более подробные данные)
То есть, по сути, можно начинку подменить, но показать корпус с требуемым инвентарником. Другое дело, что старый хлам никому не нужен (да и фиг с ним, если кто-то поставит в старый комп в кладовке свой Р-100, а сопрет Р-133

), а более новые "хоть как рабочие" компы - это уже вызовет подозрение у инженеров, т.к. они (компы) в большинстве своем "засвечены" в работе, есть немалая вероятность, что подмену заметят при очередной возне с данным компом.

Кроме того - вот описанное тобой - это как раз пример "как надо". Но - в твоем случае это УЖЕ есть и поддерживается. А мы еще пока стараемся привести к примерно такому. Блокировка приводов, USB и т.д. - это уже "политика партии". Пока такого распоряжения не было, да и не во всех организациях такое. И тут уже должна быть жесткая воля руководства. А то - пломбы...что пломбы, видишь - пломба сорвана. Кто, чего...Ну составишь акт и на этом все заканчивается. Повторюсь - ЕСЛИ этим не займется руководство. А ему ведь не прикажешь

А так, была б моя воля - я вовсе не против, за забытый пароль - N баксов, за сорванную пломбу -ремонт за свой счет по коммерческим расценкам....

Я же говорю - удивление "а почему бы не сделать вот так-то" - оно, во всяком случае для России - просто наивно. Ибо "человеческий фактор". Попробуй удивиться - как у нас бюджет разворовывается - ведь "все просто контролировать вот так-то и так-то"
Тут примерно та же ситуация - как надо и как делается. Админ во многих случаях может ТОЛЬКо предлагать. Так же, как например и рядовой честный финансист в финансовой системе - типа, говорит-то правильные вещи, да кто ж ему позволит-то

>>что админ удаленно лазиет по дискам пользователя и смотрит что там у него находится

Ага, это если все компы включены. Либо - согласовывать свои действия с комиссией - типа "вот мы зашли, давай и ты проверяй)
Кроме того, совсем уж ушлому юзеру не составит труда скрыть софтину. Либо просто стереть ее на момент инвентаризации. А вероятность того, что админ будет проверят "случайно" - два админа, тысяча компов, на момент возникновления желания админа проверить чей-то комп, твой не обязательно окажется включенным, у админов своих дел выше крыши - вот и посчитай, практически вероятность мизерная.

Да, на всякий случай еще добавлю - вот есть тупая фраза, что, якобы, нормальный админ не должен ничего делать,т.к. у него все настроено и все работать должно. Во-первых, тут абсолютно не учитывается сам период настройки. Само по себе ничего не делается. Во-вторых, повторю пример - даже в случае, когда админ занимается только сетевыми вопросами - 1000 пользователей, допустим у каждого проблема, требующая вмешательства админа (а не эникея) возникает всего ОДИН раз в год (эх, идеальный человек получается

). Уже, с учетом рабочих дней - примерно по три-четыре человека в день. Учитываем, что люди не идеальны, учитываем, что модернизация предполагает не только серверы, но и раб.станции (указание монтажникам о прокладке новых линий, коммутация, подключение...) - итого в день имеем, что админу-таки есть, чем заняться.
Хорошо, конечно, в небольшой конторке, где все настроено, и этого всего - мало, сидеть, попивать кофеек и рассуждать о "нормальных админах"

А когда одинх только серверов под сотню, да еще половина - на стадии внедрения (а программисты и инженеры поставщика, как ни странно, тоже не идеальны

)....эх...

Да. и еще добавлю - контролировать или выполнять чужую работу (бухгалтерия, мат.учет, инженеры и т.д.)- у админов не ни полномочий, ни времени. Да и желания - взваливать бесплатно чужую работу на себя. Ну с инженерами еще более-менее, все же "свои люди". А прочее - можно только "предлагать". Что не факт, что будет сделано.

Подводя итог - я чего сказать хотел-то - по логике "админ отвечает за все. потому что он админ" - это тогда за разворовывание бюджета каким-нибудь мэром - должен сидеть министр финансов, что ли?

Он же "за деньги" отвечает. Как "компьютерщик" в представлении некоторых особо одаренных особей - за все, что вообще связано с компами.

Новый папа [19.10.2008 15:52] :
На счет проверки софта - не обязательно проверять все 1000 компов. Например, дать поручение специлисту проверять раз в неделю, скажем в четверг после обеда 10 компов. И дать ему на это 2 часа. Список компов можно самому составлять. К примеру, новых людей проверять в первую очередь. Марь Иванну не надо, она старый проверенный глав.бух, у нее всего равно только шарики, да пасьянсы - ничего страшного. А вот молодые энергичные менеджеры - их пожалуй проверить нужно.
Ну и конечно санкции. Не просто там поорать, а реально штрафануть деньгами, чтобы окружение видело. И отпадет желание ставить софт

И проверки анонимно надо делать.

P.S. Помню как давно попал в неловкую ситуацию. Позвонил мне админ (а я работал специалистом по ценообразованию) и говорит, вот у тебя на диске Д много музыки откуда-то взялось - удаляй или переноси на сетевой диск (а на сетевом нам разрешалось иметь лимит музыки и там у меня уже было все забито). Ну я взял из D:/Music перемести в D:/tmp/Music наивно думая, что админ не найдет. Потом краснел перед ним

)

Новый папа [19.10.2008 16:58] :
Ну можно просто премию не давать

sibtiger [19.10.2008 19:30] :
to Nora [19.10.2008 11:28] :
Наверное, самое надежное для сисадмино тупо сидеть и писать докладные начальству в 2 экз. :
а) у нас стоит нелицензионка, прошу выделить денег на приобретение
б) на компе у тети Кати стоит ворованная программа по изготовлению выкроек, которую она стырила с порносайта
и я прошу разрешения принять меры )))

И меры будут приняты .... ОБЭПом при проверке....... и к директору и к админу ))
а ежели они насчитают ущерб правообладателей софта больше 75т.р. то это уже статья а не административка
С точки зрения УПК выглядит как письмо домушника своему подельнику "....что де квартира чужая и раз ты меня на ее кражу привел то ты и ответе а я в курсе что это противозаконно..."

[Ответить]
[< Назад] [Вперед >]