Я еще не встречал системных администраторов, которые бы намеренно вредили компании. Во всех известных мне случаях системные администраторы создавали проблемы компаниям исключительно из лучших побуждений, стараясь всячески угодить текущим потребностям компании и пренебрегая при этом долгосрочными последствиями своих решений. Особенно этим страдают начинающие специалисты, у которых уровень лучших побуждений просто зашкаливает.
В данной памятке я собрал ориентиры для офисных системных администраторов, которые помогают добиться качественной работы информационных систем и выстроить отношения с пользователями и бизнесом. Надеюсь, что эта памятка поможет начинающим системным администраторам осмыслить полученный опыт и сделать правильные выводы на будущее.
Далее кратко и без воды:
1. Компьютер в офисе – это рабочий инструмент
Компьютер — это такой же рабочий инструмент, как и молоток, пила, дрель, трактор. Офисный компьютер должен помогать сотрудникам работать, а не развлекать их в рабочее время. На компьютере в офисе должны стоять только те программы и приложения, которые нужны сотруднику для работы.
2. Пользователь – человек бесправный
Несколько десятков, а то и сотен пользователей ежедневно пытаются случайно сломать что-нибудь в построенных вами системах. Чем больше у них прав – тем больше возможностей для этого. Ограничивая доступ пользователей к системам, приложениям и информации до нужной им для работы уровня, вы уменьшаете их шансы причинить ущерб компании.
3. Если компания не готова это купить, значит ей это не нужно
Водитель не собирает мерседес из жигулей и не крадет его у производителя – он водит и ремонтирует ту машину, которую смогла купить компания. Вам так же не надо собирать отказоустойчивый кластер из старых системных блоков и незаконно использовать программы, которые компания не хочет покупать. Если компании подобные решения действительно нужны – она их купит.
4. Пользователи должны уметь работать с компьютером
Знание ПК, Word, Excel в вакансиях указываются не просто так – пользователь должен знать, как вставить картридж в принтер, подключить клавиатуру к компьютеру и как использовать нужные для работы приложения. Единственное исключение – сотрудники, у которых для этих задач есть личный ассистент.
5. Ваша работа стоит дороже железа и программ
Компьютеры и программы работают 5 и более лет и за этот срок затраты на вашу зарплату превысят стоимость их покупки. Если хотите сэкономить компании денег – приобретайте те решения, которые не будут тратить ваше время и проработают в компании как можно дольше.
6. Раз в 5-7 лет ИТ-инфраструктуру придется обновить полностью
Ничто не вечно. Однажды оборудование устареет и начнет приносить больше проблем чем пользы. Единственный вопрос – сможете ли вы заменить старое оборудование новым до того, как оно создаст головную боль вашей компании, или нет.
7. Экономических чудес не бывает
Армия маркетологов постоянно думает, как заработать побольше на тех, кто хочет купить подешевле. Если низкая стоимость решения очевидна, то, скорее всего, вас усиленно водят за нос. Умение считать совокупную стоимость владения помогает защититься от уловок маркетологов.
8. Подумать 3 месяца экономит 3 года работы
Планирование никогда не бывает излишним. Особенно когда построенное сейчас приходится обслуживать на протяжении пяти и более лет. Лучше один раз быть наказанным за срыв сроков запуска системы, чем в течении нескольких лет исправлять допущенные ошибки и терпеть нарекания к качеству проделанной когда-то работы.
9. Сделанное аккуратно лучше сделанного быстро
Эффективный системный администратор – это не тот, который делает сто задач в час, а тот, который доводит задачи до конца. Именно умение концентрироваться на задаче и доводить ее до конца исключит ситуации, когда нужно делать сто задач в час.
10. Упрощай, структурируй, стандартизируй или сдохни
Когда у вас один сервер и десять пользователей можно делать что угодно, как угодно и используя любые приложения и в любом количестве. Проблемы начнутся, когда инфраструктура вырастет до десятков серверов и сотен пользователей, и тогда, вместо администрирования информационных систем, вы займетесь администрированием бардака. Берегите порядок смолоду!
11. Сломаться может все
Если не сломается само, то будет сломано кем-то, сгорит в огне, будет залито водой или просто исчезнет в покрове ночи. Абсолютно надежного оборудования и программного обеспечения не существует. Надежность определяется только твоей готовностью и готовностью компании к любым ситуациям.
12. Резервные копии – это ценная для компании информация
Резервные копии – это не только способ восстановить системы в случае сбоя, но и возможность получить доступ к информации на какую-то дату в прошлом. Определять количество резервных копий, глубину и надежность их хранения нужно совместно с руководством компании.
13. Всегда проверяйте поставленный кем-то диагноз
Верный способ не решить проблему – это решать ее на основе чужого диагноза. При этом не важно кто тебе сообщил этот диагноз – пользователь или твой коллега. Если они не смогли решить проблему самостоятельно, то нет оснований полагать, что поставленный ими диагноз верен.
14. Чем серьезнее авария, тем дольше нужно пить чай перед ее устранением
В момент аварии, адреналин подскакивает до невиданных высот. Попытки в таком состоянии что-то сделать зачастую причиняют ущерба больше, чем сам сбой. Кружка чая помогает прийти в себя и спланировать действия по диагностике и устранению аварии. По моему опыту, время на чаепитие в подобных ситуациях всегда окупается.
15. Не доверяй системе резервного копирования
Обидно, когда ошибка разработчиков, ваша ошибка при настройке резервного копирования или сбой в хранилище приводят к нечитаемым резервным копиям. Вдвойне обидно, когда эти самые резервные копии вам нужны позарез и прямо сейчас. Чтобы не попадать в подобные ситуации, регулярно проверяйте резервные копии вручную.
16. Лучшее снотворное — уведомление о том, что все работает
Системы мониторинга обычно присылают сообщения только когда сбой уже случился. Утреннее же уведомление о том, что резервные копии сделаны успешно, ключевые узлы в сети доступны и дисковые массивы в норме продлевает сон на 30 минут. Мелочь, но чтобы дойти до нее у меня ушло десять бессонных лет :)
17. Никто не хочет, чтобы вы вздрагивали от телефонного звонка
Все хотят, чтобы системы работали так, как ожидается. Проблема в том, что кроме вас, зачастую, никто не знает, как этого добиться. Это ваша задача формировать ожидания пользователей и руководства компании, а также обозначать необходимые ресурсы и условия для их достижения. Если вы вздрагиваете от телефонного звонка, значит, вы этого не сделали или сделали не до конца.
Успехов!
Комментарии (254)
LoadRunner
26.04.2016 15:02+2Хорошо написано (Я бы даже сказал, что все эти вещи очевидны и не требуют большого опыта для их осознания), но в дело вступают нюансы каждой конкретной фирмы\компании\шарашки и так далее.
Например там, где я работаю:
1. С Генеральным директором трудно спорить.
2. Очень трудно спорить с начальником IT-отдела, который больше программист 1С, чем эникейщик (про навыки системного администратора умолчу).
И в итоге, чтобы сделать как надо — надо полностью рассказывать что, зачем и почему. И всё равно во многих случаях будет «делай, как сказали».
А уж сказать пользователю «делай сам, ты должен это уметь» — это нарываться на ответы в стиле «делай ты, тебя для этого наняли», «я не умею» (стандартная отмазка, когда человек сам не хочет это делать), от начальника — «Иди и сделай» (хочется ему врезать за такой приказной тон, когда погружён в решение проблемы, у которой малый срок для решения и эту задачу он и ставил).
Самое ужасное — это от начальника слышать «иди, учи» и в очередной раз показывать то, что он с прошлого раза не запомнил (или не хотел запоминать).
Обновлять инфраструктуру? — Если компания не готова это купить, значит ей это не нужно.
Время на подумать и спланировать? — Ты должен был сделать это вчера. Или ещё лучше: предложи своё решение, но сделай как тебе сказали.
А во время факапов ничего не делающий админ как красная тряпка для быка. Адреналин подскакивает у всех, всем надо работать, а крайний — админ, который «а ну быстро чини». Хоть лекции всем устраивай, что в такие моменты лучше вообще не подходить и не отвлекать вместо наездов. Но неадекватных пользователей хватает и они не воспринимают объяснений.zeronice
26.04.2016 15:49+4Вы сейчас как раз в состоянии вздрагивания от каждого телефонного звонка. Либо меняйте характер, либо меняйте компанию, в которой работаете. Ответ на этот вопрос искать вам, поскольку из вашего комментария непонятно, кто же больше виноват в ситуации. Возможно, вам просто стоит успокоиться, написать план работы на год и следовать ему, возможно стоит махнуть на работодателя рукой
LoadRunner
26.04.2016 16:03Нет, 17 пункт не об этом. Потому что нюансы — по иерархии внутри компании (у нас есть стенд, где расписано, кто кому подчиняется) системный администратор — низшее звено, потому что цепочка такая:
Генеральный директор -> Начальник IT отдела -> 1С программист -> системный администратор.
Не знаю, почему так, но вот так сложилось исторически.
Как и прочие факторы сложились за всё время существования компании. Я работаю здесь около полутора лет, и с таким отношением начальства к IT сложно им объяснить, что хоть они начальство, но в IT им лучше не соваться, это моя территория и пусть признают мой авторитет. А то ответственность несу я, а решения принимаются ими.
Менять характер — это просто встать в штыки и разосраться с коллективом, в котором работаешь. Или же действовать потихоньку и неторопливо, за годы меняя мнение других работников о сисадмине и тем, чем он должен заниматься.
Менять работу — да, в последнее время чаще посещает эта мысль. Но поскольку статья — памятка для начинающих системных администраторов, то стоит принимать во внимание две вещи: опыт и размер заработной платы. Когда количество денег за количество работы перестанет удовлетворять и не будет компенсироваться получаемым опытом, значит точно пора менять работу.RicoX
26.04.2016 17:35+3Не работайте в клоаке, у вас очень странная иерархия в компании, если админ бесправное существо для обслуживания всех и вся, то бегите оттуда ни карьерного роста, ни проф. навыков ни новых знаний вам там не видать, так и погрязнете в переставлении ярлыков и собирании из кучи хлама чего-то рабочего. Лучшая структура для карьерного роста админа — это когда: исполнительный директор, фин. директор, начальник IT и начальник ИБ не подчиняются друг другу, терпеть друг друга не могут и отчитываются напрямую перед советом директоров, тогда и права настроены и регламент работ есть и безопасность на уровне и любой пользователь, не соответствующий занимаемой должности на ней не задержится, а уж первое же «делай, как сказали» наткнется на такой кипиш со стороны ИБ и IT, что директор 1000 раз подумает в следующий раз перед таким распоряжением, т.к. за него лишаться работы или садиться никто не будет. Статья отличное напоминание и для продолжающих админов, а так же для начальников IT департаментов и технических директоров, большинство пунктов универсальны и мало зависят от уровня иерархии. Редкий случай когда согласен со статьей по всем пунктам.
LoadRunner
26.04.2016 17:55По поводу статьи: там есть упоминание начинающих, поэтому я, как начинающий, высказываюсь, что памятка больше для продолжающих и начальников IT. И директоров.
А по поводу клоаки — с опытом Вы не правы, светлые моменты тоже есть, и интересных задач хватало. И какой карьерный рост у офисного админа?RicoX
26.04.2016 18:38Как и у любого другого несколько распространенных путей:
1) Windows администратор с АД, контроллерами доменов, офисной автоматизацией, сертификатами MS, короче суровый энтерпрайз уровня обеспечения функционирования самой компании и ее подразделений.
2) *nix администратор — тут больше хостинги, облачные технологии, кластера, CDN — тот же энтерпрайз только в сторону обеспечения работы высоконагруженных и высокодоступных сервисов.
3) Сетевой администратор — работа ISP разных уровней, маршрутизация, коммутация, резервирование каналов, обеспечение высокой пропускной способности и низких задержек.
4) DBA — закопаться в базы данных разных типов.
5) Системный/сетевой архитектор — стык всего вышеперечисленного с пониманием архитектуры систем, сильных и слабых сторон разных решений с выбором что в данной конкретной ситуации лучше применить из огромного разнообразия.
6) Уход в ИБ в сфере IT — все вышеперчисленное, только с точки зрения защиты и проникновения, плюс куча бумажной работы по составлению регламентов, проверок, отчетов, имитации различных векторов атаки на компанию и т.п.
7) Остаться эникеем забить на проф развитие найти теплое место и заниматься другими делами в свободное от работы время.
8) Свой индивидуальный путь.
navion
26.04.2016 19:32В корпорациях тоже хватает своего веселья, а вакансий на всех не хватало даже в сытые времена.
RicoX
26.04.2016 19:38+1Хватает везде веселья просто разных уровней. Вот с вакансиями не соглашусь, IT спецов дефицит, к хорошим спецам компании сами на собеседования ходят, рынок в отрасли как раз за работниками, особенно сейчас, бакс подскочил — многие ушли на аутсорс за $ работать, так что при наличии рук и головы на местном рынке выбор есть, чуть подупал спрос в Европе, но при хорошем резюме и знании языка админу устроиться не проблема даже удаленно. Можете сами проверить, составьте хорошее резюме по выбранному стеку технологий и разошлите в топ 5 компаний на рынке РФ, думаю из 4х с вами как минимум свяжутся и назначат первичное интервью.
navion
26.04.2016 19:56Я периодически мониторю HH по ключевым словам из мира ентерпрайза и с каждым месяцем вакансий всё меньше — единицы вместо десятков в 2013 году. Выдача уже стала похожа на аграрную Новую Зеландию с населением в 4.5 миллиона человека.
RicoX
26.04.2016 20:11+5На HH специалистов в сфере IT ищут редко, это из разряда «наберут по объявлениям». Крупные компании размещают вакансии у себя на ресурсах, по-меньше ищут на SO, linkedin или просматривая проекты нужной направленности на гитхабе, много предложений приходит с форумов по соответствующим технологиям. Как утрированный пример, если вы тусуетесь на наге, постоянно там пишете, отвечаете на вопросы и вообще «в тусовке» то с большой долей вероятности получите в личку оффер по сетям, вы спец по zabbix, постоянно висите на их форуме, у вас куча своих доделок, доработок и модулей, участвуете в багфиксинге — если компании нужен спец по мониторингу вы получите предложение не выходя за форум, так же у CDNщиков, DBA, цисководов, джунипероводов и прочих прочих, я и все мои знакомые админу находят себе работу или проекты именно на таких площадках либо через сарафанное радио, на HH в основном требования вида:
Требуется системный администратор со знанием конструкции ракетоносителей, умением играть на балалайке, знанием сетей не ниже CCIE, знание Linux не ниже RHCE, Windows не менее 30 компетенций, опытом написания драйверов под Solaris, умение чинить принтеры Brother, знание С/Java/1C обязательны, знание бухучета, не нормированный рабочий день, ведение склада и прокладка кабеля. Уверенный клингонский и знание устройств подводных лодок будет плюсом за 30-40К рублей по результатам собеседования.navion
26.04.2016 21:33Такие закидоны может себе позволить какой-нибудь Гугол, а обычная компания попадёт в категорию "Работать в нашем банке — большая честь".
Кстати, на iXBT когда-то был неплохой раздел с вакансиями, но сейчас там полный тухляк, как и на большинстве профильных ресурсов. А неадекват LinkedIn тоже освоил — хрюши постоянно лезут дружить с пустым профилем и кидают всякий мусор.RicoX
26.04.2016 22:16+2В том числе и на iXBT, каждый знает в своей специфике такие профильные ресурсы. Неадекват везде есть, но есть и интересные варианты, во всяком случае не как на НН, где последний вменяемый работодатель бывал так году в 12. А по закидонам как раз встречаю чем меньше компания тем больше закидонов, у крупных четко определена позиция и требования под нее, ну или мне так везло. Про честь работать в банке статья к сожалению прошла мимо меня, увидел только по вашей ссылке, улыбнула, но в жизни встречал у реальных компаний похожие закидоны да и встречаю регулярно. Одно время держал резюме в открытом доступе «что бы было» с четко указанной компенсацией, каких только закидонов не почитал, регулярно писали эйчары уверенные что компансация указана от фонаря и столько платить не могут да и вообще у меня скилов маловато работать в мегакомпании из 20 сотрудников и 2х серверов (как это я windows не знаю и 1C не умею настраивать и знать и уметь не хочу), убрал резюме нафиг из открытого доступа, теперь только по рекомендациям работаю, пока на заработки не жалуюсь, работы хватает.
navion
26.04.2016 22:45Как-то не заметил отсутствия интересных вакансий на HH, там есть Яндекс с Мегафоном и когда-то выкладывали позицию в премьер-поддержку Microsoft. А из профильного помню набор в Cisco TAC на certification.ru, но не факт что это было только там.
На iXBT есть ещё одна эпичная тема, герой которой теперь радует Хабр своей неповторимой манерой общения.RicoX
26.04.2016 23:02Эти монстры везде есть включая хабровский хантим, благополучно переехавший в круги, но соотношение интересных вакансий и всякой дряни вида девочка загуглила вакансию на сисадмина и первые 2 страницы гугла скопипастила в требования — на НН не в пользу ресурса, тут вон ниже пишут что в отрасли все плохо и работы нет, видать личный опыт играет роль сильно, я по своему сужу и на НН давно не суюсь, с года 4 назад был подписан на то что удаленка, но в основном по рассылке небыло ничего стоящего втечении года, так совсем отписался, а теперь как-то и не нужно.
varnav
26.04.2016 21:18Вы не правы. Рынок труда сисадминов сейчас в очень плачевном состоянии.
http://sysadmins.ru/topic422060.html
https://gist.github.com/varnav/1ece5892b0e8d5c9cc7bRicoX
26.04.2016 22:33+1Я человека заказчику пол года искал при компенсации вдвое выше средней по региону, не хватает админов катастрофически, нет приходит народу много но один не знает чем dns от dhcp отличается, другой мультикаст с юникастом путает, третий шторм на L3 по макам ловит, нужен был сетевик до L3 включительно с базовыми знаниями *nix в небольшой ISP. Причем без особых излюбонов ни тебе MPLS, ни FCoE, несколько плоских сетей, между ними обычный OSPF на одну area, да 2 FV пира на BGP, даже без IPv6, взяли человека из другого региона, оплатили жилье и переезд. У вас ссылка по данным запросов по МСК, на сколько я знаю в тот же Яндекс админы на постоянной основе требуются (https://yandex.ru/jobs/vacancies/maintenance/adv_technology_admin/), переезд оплатят и на интервью билеты на самолет закажут, наверно от того что админов рядом так дофига что выбрать есть из кого. Еще одна контора местная меня уже год схантить пытается, тоже видать от обилия спецов, не вижу я кризиса в отрасли. Тут либо живете в регионе где совсем все туго и переезжать не вариант ну вот совсем, а англ. не знаете и знать не хотите, либо не там ищите.
pawellrus
27.04.2016 10:32Если имеется узкая или редкая специализация, тогда конечно можно найти работу, но не совсем уж на перифирии.
А среднестатистическим админам сложнее, потому что их сейчас валом.RicoX
27.04.2016 10:48Что вы имеете в виду под среднестатистическим админом, просто в моем описании — это базовые знания сетей, даже не CCNA. Да обычно нужны знания выше эникея, куда втыкается мышка и почему «интернет» со стола пропал, но эти знания можно получить самостоятельно при желании, просто по-мониторить рынок, посмотреть что требуется и подучить целенаправленно — это и входит в понятие умение обучаться. Те же сети из примера можно неплохо понять прочитав цикл статей прямо не выходя с хабры «Сети для самых маленьких». Чтоб быть востребованным, надо специализироваться — это да, но так в любой специальности, пока ты делаешь то же что и все, то и получаешь как все.
pawellrus
27.04.2016 10:51Базовые знания сетей, и виндовых сервисов, типа active directory, умение настроить прокси-сервер, роутер итд. Плюс умение оперативно гуглить и понимать неизведанное.
RicoX
27.04.2016 11:05Размыто, с базовыми знаниями сетей очень часто люди нужны в ISP, но эти знания должны реально быть, не «я сеть на винде настроить могу», а понимание протоколов, уровней OSI хотя-бы чтоб не искать маки на L3, а маршрутизацию на L2, а если еще знаете что такое QOS, как работает QinQ, немного радиосети, немного динамическую маршрутизацию, то шлите резюме в ближайшего к вам провайдера, на FLS точно возьмут, а дальше пол года усердного обучения у местного админа, вместо игр в доту в свободное время и вы зам начальника, зам админа или самостоятельный админ в филиале.
С виндой чуть сложнее, реально много студентов которые могут то-же самое, тут нужны компетенции или какая-то своя фишка, типа умею хорошо настраивать Lync или там отлично понимаю TMG, просто попробуйте у себя развернуть и настроить пробную версию, десяток распространенных сервисов, не входящих в программу обучения вуза и вы тоже нужны работодателю.
Роутер — это вообще понятие растяжимое, тот же JuniperMX — это тоже роутер или Cisco ASR, если их можете настроить — поздравляю вы сетевик и меняйте желаемую вакансию в резюме, сетевики много где нужны и важны, и на хостингах и в облаках и в ISP.
Умение гуглить для любого IT спеца даже не обсуждается, без этого его потолок винду переставлять и принтеры заправлять.
varnav
27.04.2016 11:08По ссылке сотни человек жалуются на плохую ситуацию — расскажите это им.
ikormachev
27.04.2016 11:12+1Эти сотни человек зачастую не могут объяснить чем коммутатор от маршрутизатора отличается и почему витая пара витая. Это естественный путь рынка отказываться от подобных «специалистов» в пользу тех, кто разбирается.
RicoX
27.04.2016 11:19+2Когда ездил в общественном транспорте я наблюдал сотни человек в день жалующихся на правительство и умеющих лучше всех управлять государством играть в футбол или лечить других не являясь докторами, я к тому, что жалобщики есть везде и нифига это не показатель. Лично проводил эксперимет, когда очень нужны были сотрудники взяли 5 человек на испытательный срок с условием за месяц подтянуть знания сетей, через месяц не оставили ни одного, все забили что-то изучать, взяли еще раз трех новых — остался работать один, потом этот один привел еще 2х адекватных работников среди знакомых ему студентов, кто тоже смог прочитать документацию самостоятельно и относился к работе с интересом, причем этот один через год ушел в другую компанию на должность главного администратора, прошло 5 лет, сейчас иногда пересекаемся как коллеги и у него та-же проблема, не может найти адекватных сотрудников к себе в отдел, из тех что он привел один ушел вообще из IT, понял, что не его, второй работает в той же компании, вырос до начальника отдела радиосетей. Можем призвать в тред представителей компаний, ведущих блоги на хабре, чтоб рассказали как у них с нахождением сотрудников и полностью ли укомплектованы отделы.
pawellrus
27.04.2016 10:05В городах численностью населения меньше миллиона, лучшей альтернативы зачастую не бывает.
RicoX
27.04.2016 10:13Кто хочет — ищет возможность, кто не хочет — причину. Вот прям во всем городе ни одной компании с адекватной структурой и руководством? Фриланс, аутсорс и переезд запрещен надзирателем? Тогда да, альтернатив нет, в остальных случаях работника все устраивает и ему лень оторвать зад от стула, а для любой неприятности всегда найдется виноватый где-то там.
pawellrus
27.04.2016 10:29Компании может и есть, а вот вакансий, увы нет. А фриланс и переезд — это уже другая история. Речь шла про обычную работу на ставке.
RicoX
27.04.2016 10:53Может и нет вакансии вот прямо сейчас, но компания все же не одна, если крупная, то вполне могут нанять на перспективу, да и не все выкладывают вакансии в открытый доступ, ищут среди знакомых и «тусовки», составляете нормальное резюме по своим умениям пишете на ящик компании, я такой-то такой-то, вот мое резюме, хотел бы у вас работать нет ли в данный момент открытых вакансий? Может прям ща админ и не нужен, но нужен помощник админа, человек в саппорт и т.п. внутри компании уже проще двигаться, главное зацепиться и будете первым кандидатом, когда должность все-же откроется, при условии что работали вы хорошо и с обязанностями справлялись.
pawellrus
27.04.2016 15:15+1Крайне прискорбно, то, что, как вы сказали, не все вакансии в открытом доступе. Я уже пятый год тружусь в IT в своем городе и до сих пор не видел возможности к этой «тусовке» примкнуть, или хотя бы ее найти.
Тем более сейчас кризис, и все держатся на своем месте до последнего. Я конечно не сижу так просто. За прошедший год пытался попасть в две крупных компании, но к сожалению, находились люди с большим, чем у меня, опытом.RicoX
27.04.2016 16:43Для начинающего проще всего познакомиться со спецами внутри компаний на конференциях — это пожалуй единственное полезное для чего они нужны, ну не считая пожрать на халяву и сменить обстановку. Смотайтесь на пару тематических конф, возможно даже за свой счет, особых знаний вы оттуда не привезете, а вот контактами обзаведетесь, если на кофебрейках общаться с соседями и выступающими, во всяком случае это самый просто способ без знакомств пообщаться со спецами из конкретной, интересной вам, компании.
pawellrus
27.04.2016 16:53Интровертам этот путь явно не подходит. Я, например, не представляю, как можно просто начать общаться с человеком без конкретного повода. А лучше вообще не общаться.
rub_ak
26.04.2016 18:12+1Офигеть системный администратор подчиняется программисту, как вообще связаны 1с и администрирование?
У нас 1с сидят под пользователя как и все с зарубленными правами, только имеют доступ к базе, сервер приложений запускается от отдельной учетки к которой они тоже доступа не имеют, и подчиняться они фин деректору. А IT исполнительному, раньше было к генеральному, но потом генеральному видно неинтересно стало разбираться с IT и переподчинили исполнительному.
И работает все годами без переустановок, разве что иногда профили перособирать приходиться и то это очень редкое явление.LoadRunner
26.04.2016 18:35Иерархия зависит и от размера организации. Всё-таки заголовок статьи говорит об офисном сисадмине. А в моём понимании — это не такой уж и большой парк машин (до сотни?), который обслуживает один человек.
Ну и стенд с иерархией к счастью расходится с реальностью чуточку — я не нахожусь в подчинении программиста 1С.
Да и часто не иерархия задействуется, а кумовство и дружба, где новички проигрывают тем, кто давно в компании работает.foxmuldercp
27.04.2016 12:56Кумовство и дружба хороши в баре и постели (после бара :))
Но на работе — ты сотрудник. и мешать бизнес и «эта свинья меня печенькой не угостила», идея плохая.
После работы, в обед, делайте что хотите, если успеете, а на рабочем месте — надо работать.
kvinn
26.04.2016 21:06Вы работаете всего полтора года и просто ещё не заработали авторитет. Для того чтобы облегчить свою участь разрабатывайте методики, инструкции, СТП в которых чётко пропишите свои и остальных сотрудников обязанности и порядок работы. Это и в глазах начальства вас поднимет на новый уровень. Вы перестанете быть единственным исполнителем, а перейдёте к управлению процессом. И если вы хотите что-то менять, приготовьтесь быть для всех плохим. Но тут нужна поддержка руководства. Посоветуйтесь с вашим непосредственным начальником и с ним (или без него, если не согласится) обратитесь к начальнику ОИТ с просьбой переподчинить вас ему непосредственно. Аргументация — 1С-специалист недостаточно компетентен в области администрирования, да и вообще, оно ему не нужно, только лишняя ответственность.
LoadRunner
26.04.2016 21:22Возникла путаница. Мой начальник — начальник отдела IT. Программисту 1С я не вхожу в прямое подчинение.
И да, правильно говорите, у самого такие мысли, которые разбиваются об «но тут нужна поддержка руководства».
Ещё может возникнуть впечатление, что я Д'Артаньян, а все г… вардейцы кардинала, но нет, не всё так плохо, я пишу лишь про минусы. Про плюсы упоминал вскользь (в плане опыта — его я получаю всё же, и это не эникейство, а реальный опыт работы с разными серверами).kvinn
26.04.2016 23:00+1Тогда «описывайтесь» стандартами со всех сторон. СТП направляйте на рассмотрение официально установленным порядком, согласно которому вам должны давать аргументированные отказы в письменном виде либо соглашаться с вашими предложениями. Тогда для того, чтобы вас нагнуть, нужно будет нарушить собственноручно подписанные стандарты, а это чревато срывом управления и нормальный руководитель на такое не пойдёт. Если вы в себе уверены, вообще старайтесь всё переводить в письменный вид: разъяснения пользователям, обращения к руководству и т.д. Это сложно и долго, но зато ваша деятельность строго формализована и если уж вы что-то делаете сверх того, что прописано, то это вы уже делаете одолжение и все это понимают, любят вас и уважают :)
OksikOneC
26.04.2016 16:10+1>>трудно спорить с начальником IT-отдела, который больше программист 1С, чем эникейщик
Зеркальная ситуация: начальник Сис.Админ, а я — программист 1С. Это какой то грёбаный Адъ! Я все время должен доказывать ему, что виновата «не ваша 1С». Если есть любая проблема — ответ один: иди разбирайся, это ваша 1С! Если скажешь — найн, то сразу же — докажи!!! Вот типовой случай: тормозит сервер, на нем 1 база (Карл, ОДНА!) с парой тройкой активных сеансов, которые вообще ни о чем. Смотришь в Activity Monitor SQL нагрузку на подсистему ввода-вывода, там одни ожидания WRITELOG и LOGBUFFER. Показываешь, что время отклика журнала транзакций с диска в районе 5000(!!!) мс, и получаешь ответ — и что? Ну и что? Это в вашей 1С запросы «тяжелые» :) А то что утилита, которая мониторит рэйд показывает, что один диск вылетел, и включился рибилд — это ничего страшного. Ну вообщем и все вот ровно в таком духе. Самое ужасное, что я должен, просто должен всегда ДОКАЗЫВАТЬ с пруфами к сайту microsoft, к 1С, что да — вот это, так.LoadRunner
26.04.2016 16:36+1Несмотря на то, что я по ту сторону баррикад, я Вас вполне понимаю.
Мне тоже приходится доказывать, что это не сервер виноват, все показатели в норме, всё работает в штатном режиме, мониторинг не показывает ничего аномального, все остальные приложения работают стабильно и вообще никаких проблем и ошибок в журналах нет.
И я бы очень хотел, чтобы мне давали аргументированный ответ, как Вы приводите, потому что я не DBA, чтобы самому разбираться, что не так в 1C 7.7 и MSSQL 2000. Но когда мне программист 1С говорит «перезагрузи сервер, потому что прошлый сисадмин так делал и после этого всё снова нормально работало». И ладно бы если только сервер SQL (рестарта службы ему мало?), так ещё и терминальные серверы надо перезагружать, потому что с них основная масса пользователей заходит в 1С (ему мало завершения процессов 1С?).
Тут просто вопрос квалификации и знаний. У кого их больше, тот и считает себя правым. У кого их нет — компенсирует это тем, что старше и выше по должности.OksikOneC
26.04.2016 18:37Вы пишите: «мониторинг не показывает ничего аномального». Если я включу моего начальника, то сразу вопросы: что собиралось, чем, какие цифры, за какое время? И вот за все это время, Вы не выявили ничего-ничего? Прямо все идеально, а сервер — тормозит? «не верю» (с). Смотрите очереди к дискам в ОС, наличие доступной ОП. Если все гут, значит нужно промониторить механизм ожиданий SQL Server'а: на каких типах ресурсов возникают самые большие ожидания. Как выясните нужно дальше оценить какие типы ожиданий самые большие. Исходя из этого далее можно пытаться что-то делать, а не сервер постоянно перезагружать (рестарта службы ему не мало, в случае если у вас по памяти ничего больше не течет). Естественно, что все регламентные задания на уровне СУБД с базами должны выполнятся, сам скуль должен быть минимально настроен, как и сервер Win. По поводу перезагрузки терминальных серверов: а если Вы их не перезагружаете, что происходит? Я так понимаю же, все таки, что-то происходит, коли Вы их перезагружаете? Наверное, от этого и надо начинать плясать.
И еще вы пишите, что вы — не DBA. Я тоже, и не системный администратор. Но имея опыт постоянного и в хвост и в гриву, приходится в части доказательств, разбираться на уровне, хотя бы достаточном, чтоб от меня отвязались :) Я просто для себя выработал такой кейс: если мне говорят — ДОКАЖИ, мне мое расследование нужно в конце обязательно закончить словами «что и следовало доказать». Исходя из этого, я и выстраиваю свою линию защиты, т.к. априори я — виноватый. Напр., в вашем случае, я бы подготовил ответ на вопросы, которые я Вам задал выше. Но опять же, Вы считаете, что это не ваши обязанности. А я, напр., тоже не считаю это своими обязанностями. За код ответить готов, и отвечаю. Но постоянная позиция — твой код — причина всех бед, немного выбешивает. Хочется, все таки, от системного администратора немного более глубокого погружения в тему мониторинга элементарной загрузки оборудования средствами самого Win.LoadRunner
26.04.2016 20:06Единственное узкое место — SQL (память\диски — вообще не под нагрузкой, как и сеть. Точнее, я даже не знаю, как SQL 2000 работает с памятью больше 2 гигабайт, ибо AWE активирована, под процесс выделяется столько, сколько указана верхняя граница, но задействуется ли — непонятно). Согласен, надо разбираться, что там и как происходит, но я не знаю, с какой стороны подступиться, потому что 1С с этим сервером работает (а вникать в работу 1С при двух программистах 1С...) и на нём только SQL и крутится. Сам сервер Ок. Происходит что-то внутри SQL.
При этом, и программист, и начальник признают проблему — они знают, что это косяки между SQL и 1С. Просто точно так же не вникают во все тонкости процессов SQL и вместо причины (как минимум оптимизировать код всего, что им доступно — но нет времени, потому что начальство постоянно ставит новые задачи и не хватает упорства продавить начальство на рефакторинг) устраняют следствия. А устраняют радикально — перезагрузками серверов (как прошлый сисадмин приучил их, как я понял).
И вот это полный атас — в итоге у программиста полностью нарушены причинно-следственные связи в компьютерной сфере и он умудряется мне давать советы (вообще, по работе, а не в данном случае) как и что делать, основываясь на своих наблюдениях со стороны: «я видел эту проблему, другой сисадмин решал её так, после этого было всё хорошо, значит помогло и это верный путь её решения».
Для устранения следствий достаточно перезапустить службу SQL. Пользовательские сессии сами отвалятся и сеансы 1С вылетят с ошибкой (перед рестартом обычно всех выгоняют в добровольном порядке словами «всем выйти из 1С»). Но как не разбирающимся в процессах Windows людям объяснить, что этого достаточно? Это как объяснять несостоятельность теории эфира тем, кто искренне верит в неё.
Для устранения причины надо быть программистом 1С и иметь время на это. А времени у них нет. Зато есть оптимизм, что уж в данный-то раз точно косяк Windows, а не SQL.
Печально всё это.OksikOneC
26.04.2016 23:03«ибо AWE активирована» < — оооох… Я надеюсь Вы не в историческом музее работаете? :) Про 2000 скуль я вам вряд ли что-то могу сказать, ибо в годы его рассвета, я еще не работал. Но кое-какие направления для дум может и дам, исходя из гипотезы, что с кодом все хорошо, а горло — именно в настройках.
1. У вас регламентные операции с БД на самом скуле выполняются? Статистика как обновляется? Не асинхронно ли случайно? В каких-то древних версиях скуля при таком виде обновлений он тек по памяти.
2. Как организована дисковая подсистема? Файлы mdf и ldf размещены на разных дисковых массивах? Диск (-ая подсистема) журнала транзакций должна быть «более отзывчивой», т.е. требования к скорости повышены. Если все так — то хотелось бы взглянуть на времена отклика обоих файлов в момент тормозов, и в обычные моменты. Кстати, проверьте заодно, что эти файлы не сжимаются.
3. Модель восстановления самой базы какая? Если ее в simple перевести — тормоза такие же?
4. Если ОС Win 2003 или меньше, то поглядите выровнены ли сектора дисков по границе 1024Кб и отформатированы ли с размером блока 64Кб?
5. MAXDOP = 1?LoadRunner
27.04.2016 10:10Поскольку я не DBA и изначально сама база SQL — не мой головняк (только её окружение — хостовая машина и ОС), то вот мои ответы:
1. Единственное, что я знаю — джобы DBINDEX и DBDEFRAG.
2. VHDX статичного размера 60 Гб на SAS2 дисках (аппаратный рейд 0). Система и база — всё на одном диске (тут правило «Если компания не готова это купить — значит ей это не нужно»). И я, и мой начальник в курсе и понимают, что надо на разные диски разносить всё это дело.
3. Без понятия.
4. Виртуальная машина Windows Server 2012R2 на такой же хостовой.
5. Не знаю, что это такое.
По поводу дисков и всего остального — я новичок в этом деле и знаю, что что-то делаю не так, но нет старшего товарища, который бы видел, где и что я сделал не так. Поэтому учусь на своих ошибках и гугл тут мало поможет — он мне не скажет, какое из решений оптимальное, а какое — вредные советы.
И я понимаю связь между размером блока на реальном диске и виртуальном. Но я не знаю, какой размер оптимален именно для базы скуля или базы 1с.
И Ваше предположение «с кодом всё хорошо» неверно — нет, плохо, и весь IT-отдел в курсе. Старый код не оптимален, но используется много где. Про качество нового кода не знаю, но мои коллеги вряд ли скажут, что код, который они пишут — говно.OksikOneC
04.05.2016 15:37Виртуализация семеры на 2000 скуле, который в свою очередь завиртуализирован на 2012 сервере, который тоже виртуализирован? :) Ваш случай — это вершина айсберга по степени своей плохопахнущей массы, т.к. все расследования нужно начинать с самого сервера виртуализации. Внутри виртуалки смотреть особо смысла нет, ибо она может показывать не верь глазам своим что. А произвести диагностику проблемы в виртуалке в полной мере у вас не получится. Вам для начала нужно откатить сервер скуля на железо, и попытаться там продиагностироваться с учетом вышесказанного.
LoadRunner
04.05.2016 16:01Как-то Вы переборщили с Икзибитом :) Это в 2016 можно будет HyperV на гостевой ОС поднимать, в 2012 такое невозможно.
Есть тестовый сервер, где скуль на реальном железе. У него 16 GB оперативки против 10 у виртуального сервера. Виртуальный на SSD, реальный — HDD. Точнее, у тестового операционка на SSD, база на HDD. Виртуальный в VHDX, который на SSD.
На тестовом установлена 2008R2 (грубо говоря — бывший боевой).
И вот на тестовом производительность хуже, чем на виртуальном.
Я понимаю, что частичноплохопахнущая массаайсберг омываетсяканализационными стокамиводами, за которые отвечаю я, но когда проблемы с базой и входом в 1С начинаются во время выполнения сложных вещей в самой 1С — извините, это не ко мне, пусть программисты разбираются, что за код они такой накрутили.
То есть да, было бы круто и полезно во всём разобраться и со своей стороны сделать всё, чтобы было как надо, но… мне ставят другие задачи и рабочее время трачу на их выполнение. А чтобы заняться этим факультативно — надо бы понимать хотя бы направление, в котором стоит двигаться.OksikOneC
04.05.2016 17:30>>И вот на тестовом производительность хуже, чем на виртуальном.
Так надо же для начала разобраться с железневым. На нем вы хотя бы достоверно сможете определить узкое место. Пока я вижу, что на виртуальном «само рассосалось» (по крайне мере лучше, чем было на железе), что не обычно, т.к. обычно (сори), все с точностью да наоборот. Тут на вскидку, два варианта видятся:
— либо у железного сервера (тестовый) есть реальные проблемы с железом, но вы пока их не про диагностировали;
— либо ему не хватает мощи по какому-то критически разделяемому ресурсу: память, сеть, дисковая подсистема, процессор. Но память вы вроде как отсекли, т.к. ее в виртуалке вроде как больше.
Кстати, вы так и не ответили про статистику. Но я так понимаю, это не по адресу уже. Туда же, а что за сложные вещи в самой 1С, про которые вы пишите? Тоже видимо не по адресу. Но заметьте, вы выдвигаете какие-то гипотезы, но подтверждаете ее… словами ж?LoadRunner
04.05.2016 18:28По железу:
1. Железный сервер: ОС Windows Server 2008R2 на SSD + база на HDD, оперативки 16 Gb, скулю даётся 2000-14000 (границы в мегабайтах из вкладки Memory Enterprise Manager'а). Процессор — 4 ядра по 3,2 GHz.
2. Виртуальный: ОС Windows Server 2012R2 + база (не фрагментирована) на VHDX фиксированного размера, который не фрагментирован и покоится на SSD. Оперативка 10 Gb, скулю выдано от 2048 до 8192 мегабайт. Процессор — 4 ядра по 2,1 GHz.
По отзывам пользователей — на виртуальнике база работает шустрее и отзывчивее, поскольку все обычные операции происходят быстрее.
Самая жесть началась с недавних времён, когда начался переезд склада и много чего стало в 1С дописываться (хотя это происходит регулярно, но не в таких объёмах). И вот на железном сервере из-за пары обработок (пополнение резервов? Перенос остатков?) вставала колом вся работа — в этот период невозможно проводить некоторые операции, а у кого вылетает 1С — потом не могут войти, «база заблокирована».
Да и до этого проблемы тоже наблюдались — подвисание обычных операций, когда выполнялись долгосрочные редкие. Но не настолько всё критично было.
Многое упирается именно в код, программисты с этим и не спорят и знают, что там есть узкие места. Про свой код так не говорят, разумеется.
Не спорю, работа с базой была бы лучше, если бы база и лог были на разных носителях, а сама база была бы не на динозавре из прошлого, но именно это как раз не изменить.
Я не уверен даже, реально ли скуль берёт всю ту память, что ему щедро дают, но что интересно — в 2008 винде не видно, чтобы sqlsrv.exe резервировал под себя весь тот объём (свободной памяти до дури остаётся и никем не востребована — нет там больше ничего, кроме скуля), а вот на 2012 — реально 8 Gb выделяется под процесс. Но что происходит внутри, как сам sqlsrv.exe распоряжается этим объёмом — для меня загадка.
Сетевухи в серверах на гигабит, в серверном шкафу гигабитные свитчи, а дальше на 100 мегабит до компьютеров.
Загрузка сети только в очень пиковые нагрузки доходит до 10 мегабит в секунду, и то редко. Соответственно, скорость чтения с диска примерно такая же. Но это не сеть и диск так ограничивают скорость — через себя они пропускают большие скорости при банальном копировании по сети.
Процессор тоже не задействуется на всю катушку. Хотел бы я увидеть, как он будет задействован SQL2000 под потолок.
Про какую статистику спрашиваете — не очень понимаю, да и не ко мне, скорее всего.
В общем-то, я и не отрицаю, что определённые действия с железом и ПО могут улучшить ситуацию, но панацеей это не будет в любом случае, мне так кажется.OksikOneC
05.05.2016 00:20Описали много чего, но… все таки, какой же размер вашей базы?
Затем выше, я упустил вашу цитату:
>>И я понимаю связь между размером блока на реальном диске и виртуальном. Но я не знаю, какой размер оптимален именно для базы скуля или базы 1с.
У вас же ОС 2008 R2, а она сама для дисков устанавливает нужное смещение, если система ставилась с нуля. Если вы ее накатывали поверх, то есть смысл проверить.
>> база (не фрагментирована) на VHDX фиксированного размера, который не фрагментирован и покоится на SSD
Я не шибко великий гуру виртуальных машин, и могу заблуждаться: у вас же не pass-through диск, т.е. не подключение физического диска напрямую к виртуальной машине без создания VHDx?..
>> И вот на железном сервере из-за пары обработок (пополнение резервов? Перенос остатков?) вставала колом вся работа
Если лечить по фото, то в 2000 скуле была знатная бага, суть которой сводится к тому, что время выполнения процедуры sp_executesql, которую очень активно юзает семера, при длительном коннекте сессии к SQL, начинает сильно увеличиваться. Я думаю ваши программисты в курсе из-за чего это, я вдаваться в подробности не буду. В рамках 2000 скуля, проблема не решается в принципе. Либо реконектиться через какое-то время, либо использовать специальную компоненту, которая будет очищать буфер сессии. Но, конечно, в эту тему должны погружаться явно не вы, и тогда, когда уже другие программные моменты прояснены и уточнены, что проблема точно не в них, хотя тяжело так говорить в контексте 7.7 :)
>>Я не уверен даже, реально ли скуль берёт всю ту память… Но что происходит внутри, как сам sqlsrv.exe распоряжается этим объёмом — для меня загадка.
У вас 2000 скуль. Там все относительно просто и тот же Task Manager будет показывать правду. А из-за чего на железяке не жрется вся память, а в виртуалке вам рисует — что жрется — это вопрос отличный, при условии что в данный момент на самом скуле нагрузка идентична.
>>а у кого вылетает 1С — потом не могут войти, «база заблокирована».
Вылетает — с ошибками? Или просто закрывается само приложение 1С? Какие точные текста?
>>Про какую статистику спрашиваете
статистики базы данных MS SQL.
>> определённые действия с железом и ПО могут улучшить ситуацию, но панацеей это не будет в любом случае, мне так кажется.
Ну почему же? Если сама конфа более или менее нормальная, и пишут ее в данный момент, адекватные люди, то скорее всего все таки определенные «админские» штуки-дрюки, о которых я тут уже не знаю сколько пишу, вполне могут немножко подразогнать жирок с базы.LoadRunner
05.05.2016 06:591. Да, 2008R2 с нуля ставилась на неинициализированный диск. На SSD. Диск для базы инициализировался уже из-под системы.
2. Нет, не pass-through. Именно создан VHDX-диск фиксированного размера.
3. Хотелось бы верить, что наши программисты в курсе, как 1С работает с базой SQL, а не просто используют API ToySQL, без понимания того, что будет происходить дальше.
4. Выделение памяти — я больше грешу на саму систему, потому что в 2012R2 допилили много чего, в том числе и работу с памятью.
5. Скриншоты кину чуть позже.
6. Знать бы, как собрать эту статистику.
7. Мне кажется, что я уже сделал всё возможное в данной ситуации — с железом, настройками виртуальной машины. Выделить отдельный диск под базу, отдельный под лог нет возможности и мой начальник в курсе, при изначальном планировании даже это было ясно.
База где-то 12-13 гигабайт, если правильно помню. Ну и на виртуалке работает чуть лучше, чем на железном сервере, где крутилась до этого, так что уже прогресс.
svboobnov
27.04.2016 07:43Чуть ниже OksikOneC про сервер БД грамотно вопросы задаёт. А скажите-ка, какая у вас конфигурация 1С7? Жаль, не вижу тут системы личных сообщений…
LoadRunner
27.04.2016 09:53Вам данная возможность откроется с получением статуса R&C. Подробнее здесь можно почитать.
Для связи можете писать мне куда угодно (указал контакты в профиле), предпочтительно в Телеграмм (на данный момент, а так — куда угодно).
Ну и про конфигурацию 1С я вряд ли смогу написать без инструкции, где это посмотреть :) Это не моя область знаний, поэтому максимум, что я там могу — только то, что мне показали.
ikormachev
26.04.2016 16:16+1Могу вам сказать, что в случае с ИТ-службой, в которой работает хотя бы человек 5-6, достаточно показать руководству сколько денег уходит на железо, сколько на его поддержку и как связано качество работы ИТ, качество технической поддержки с принимаемыми в компании техническими и управленческими решениями. После этого в отношениях между руководством компании и ИТ все встает на свои места.
Но! В случае единственного ИТ-специалиста, ты можешь наглядно показать, что, к примеру, увеличить на 10% инвестиции в ИТ-инфраструктуру поможет сэкономить 30% времени специалиста, а технические и управленческие решения еще 20% времени. Но все твои цифры разбиваются о единственный аргумент: «он же у нас и так сидит на зарплате, так что пусть экономит нам деньги как может!».
Мой вам совет – покажите наглядно руководству на цифрах как экономия и текущие технические и управленческие решения влияют на конечный результат работы ИТ. Если после этого в компании ничего не поменяется, то останется только уволиться.LoadRunner
26.04.2016 16:27Даже если сократить иерархию до сисадмин -> начальник IT -> Генеральный директор, то всё стопорится на «начальник IT».
Мне это надо доказывать ему, в первую очередь. И тут два выхода — уволиться самому или мириться с ситуацией, пытаясь потихоньку менять всё в нужную сторону. Потому что открытый конфликт не нужен — ни к чему хорошему не приведёт.
А по поводу памятки — она в самом деле не для начинающих сисадминов, у которых нет авторитета перед пользователями и руководством. Если изначально работа поставлена в правильном ключе, то памятка не нужна, это прописано в должностных инструкциях. А если нет — сначала надо пробить каменную стену «а у нас так всю жизнь устроено».
Ну и новичок в отделе из 5-6 человек тем более не нуждается в такой памятке — там должно быть распределение ролей и памятка\служебные обязанности зависят от роли новичка.
hendehog
26.04.2016 15:50+2Немного добавлю.
1. В первую очередь думай что ты будешь делать когда что-то выйдет из строя и только потом какая вероятность того, что что-то выйдет из строя.
2. Если производитель пишет, что срок службы чего-то n лет не дожидайся пока убедишься в этом на практике.
3. Чем меньше активного оборудования тем меньше отказов активного оборудования.
4. Холодный резерв и есть не просит и не ломается.
5. Критические данные архивируй минимум двумя разными способами и держи в разных местах.
6. Никогда не говори «мне нужно».
7. Предупреждай!
yurec_bond
26.04.2016 15:50-1Совет всем кто страдает от IT отдела и утверждений из серии «Пользователь – человек бесправный» и тому подобных.
Особенно это касается программистов которым всегда нужно больше чем офис.
Когда что то закрыто, у вас нет прав, или вам не дают софта нужного для вашей работы. Всегда решайте подобные вопросы через менеджмент а не на прямую с IT.
Намного легче объяснить менеджменту, который заинтересован что бы работа была сделана, что нужно что то открыть или установить, чем спорить с IT-шникам.kosoroka
26.04.2016 15:54-1Подтверждаю. Еще лучше делать таск (например в письменной форме по электронной почте) на руководителя, а он со своим подтверждением делегирует на исполнение ИТ-никам. Вопросы если и возникают, то минимум.
ikormachev
26.04.2016 16:31+1Ваш совет не уникален. Все пользователи так делают — в случае чего бегут к гендиру и жалуются на это проклятое ИТ, а гендир потом «нагибает» этих нерадивых админов.
Вы правда думаете, что если вам нужно что-то для работы, админы вам этого не дадут?yurec_bond
26.04.2016 22:47-1Ну дадут не дадут, а лени и инертности у них хватает.
Недавно нужно было порт открыть, что бы Azure-ровские сервисы работали.
Админы сказали, что им нужно собирать консилиум и думать две недели.
А когда менеджмент «простимулировал», все решилось за день.
Как вы думаете как я поступлю в следующий раз при подобной ситуации?ikormachev
26.04.2016 22:55+1Я не знаю, как вы поступите в следующей ситуации, но в текущей ситуации я рекомендовал бы уволить или вас или ваших админов. Нет смысла держать в компании админов, которые саботирует рабочий процесс, или программистов, которые используя административное давление, заставляют админов колхозить костыли вместо прямых решений. Осталось только разобраться что было в данной ситуации — первой или второе.
navion
26.04.2016 23:03+2Возьмите любой банк и засеките сколько недель займёт согласование внешнего доступа для подрядчика.
kvinn
26.04.2016 21:17Поэтому нормальные админы свою деятельность описывают в СТП, которое подписывает и директор или главный инженер. И все «нагибатели» со своими хотелками идут в сад.
OstaninKI
26.04.2016 21:41+3Априори чем меньше у пользователя прав и лишнего ПО — тем лучше работает данный пользователь и меньше приносит вреда (читай отнимает времени IT-отдела).
Так же IT-отдел никогда не откажет в установке НУЖНОГО софта тем пользователям, которым он действительно необходим, но есть одно «но» — только установить, но не учить в нем/с ним работать!
«Решение вопроса через менеджмент» — ОК, вот только большинство просто «привирает» необходимость и благодаря тому самому менеджменту получает нового врага в лице IT-отдела, т.к. те получили незаслуженный нагоняй, а если же софт действительно нужен — смотри 2 абзац данного сообщения.
Все это мое ИМХО и со всем этим я сталкиваюсь в течении нескольких лет, работаю в достаточно большой компании (10к пользователей)yosemity
26.04.2016 21:55Так же IT-отдел никогда не откажет в установке НУЖНОГО софта тем пользователям, которым он действительно необходим
Я поступаю проще. Если это бесплатное для корпоративного использования ПО и оно действительно нужно даже одному юзеру, то просто беру его в поддержку и разворачиваю всем. Поддерживать софт в актуальном состоянии нужно обязательно, а уж одному поставить или централизованно развернуть — без разницы.
kvinn
26.04.2016 23:10Утверждается «Состав ПО рабочих мест» и если кому-то что-то надо, он не звонит в IT, а идёт вносить изменения в «Состав ПО РМ». Сама процедура внесения изменений в «Состав» заставляет задуматься: а так ли оно нужно?
zeronice
26.04.2016 15:54+1пункт 14. Я бы написал так: «чем серьезнее авария, тем медленнее стоит опускать кружку с кофе на стол». Все-таки, когда навернулась база с тысячей, другой активных пользователей, немного не до чаепития. Но разум должен быть холодным, когда руки коснутся клавиш.
Retifff
26.04.2016 15:55>> Пользователи должны уметь работать с компьютером
Попробуйте объяснить это тем людям, кто их нанимает.
>>5. Ваша работа стоит дороже железа и программ
Аналогично, только это уже нужно объяснить тому, кто нанял вас.
>>6. Раз в 5-7 лет ИТ-инфраструктуру придется обновить полностью
Это всё стоит денег, и нужно объяснять директору, зачем собственно что-то обновлять, если оно и так «всё работает».
>>12. Резервные копии – это ценная для компании информация
Ну, не всегда компания находит средства для резервного копирования, так что наверно не совсем ценная и не всегда.
Итого, памятка скорее для работодателя, а не для админа.ikormachev
26.04.2016 16:28+1Попробуйте объяснить это тем людям, кто их нанимает.
«Обучение Иванова основам компьютерной грамотности обходится компании в 10 000 р. ежемесячно».
Аналогично, только это уже нужно объяснить тому, кто нанял вас.
Это вообще просто. Умножить зарплату на 60 месяцев и посчитать, сколько и на какую сумму железа и программ в компании.
С остальными пунктами так же.Charg
26.04.2016 18:13> «Обучение Иванова основам компьютерной грамотности обходится компании в 10 000 р. ежемесячно».
С чего бы? Ведь Иванова ни на какие курсы повышения квалификации не отправляют, а в случае когда он в очередной раз забыл что файлы складываются в папки — он просто бесплатно зовёт «того компутерщика», который «все равно сидит ничего не делает».ikormachev
26.04.2016 18:14Из компаний, в которых руководство так думает, нужно увольняться до того, как они разоряются.
RicoX
26.04.2016 19:00+4Тот компьютерщик берет Иванова за руку ведет к начальнику ОК и просят вместе поднять личное дело Иванова, где будет написано «уверенный пользователь ПК» или что-то в этом роде, необходимое для занятия должности. Дальше Иванов пишет объяснительную, почему он являясь «уверенным пользователем» допустил нарушение рабочего регламента и не сложил файлы в нужную папку или сложил не в ту. «Тот компьютерщик» пишет докладную записку на имя руководителя Иванова о проведении проверки служебного соответствия Иванова занимаемой должности в сфере умения пользоваться его рабочим инструментом (компьютер). Иванов едет в сертифицированный центр и проходит независимое тестирование на нужный уровень компетенций, далее 2 сценария, он успешно его проходит и перестает включать дурака на рабочем месте, т.к. имел он в виду все эти сертификации и объяснительные, более вероятный — он не проходит даже по базовому багажу знаний в сфере IT и дальше вопрос ценности Иванова, либо его направляют учиться, если он ценный сотрудник, но вот с IT у него не сложилось либо он получает письменное предупреждение и конкретный срок наверстать знания с повторным прохождением сертификации и в случае несоответствия увольняется по статье со всеми необходимыми для ОК бумажками, чтоб прикрыть зад от суда. Слух об Иванове быстро расходится по всему предприятию и почему-то все остальные резко начинают понимать что они делают, читать инструкции и учиться пользоваться своими же инструментами, рабочее время IT отдела освобождается, сотрудники повышают свою компетенцию, а предприятие экономит на этом деньги и рабочее время всех участников процесса. Главное чтоб высшее руководство было заинтересовано в построении рабочего процесса.
kvinn
26.04.2016 23:17Именно так. Только надо сначала прописать регламенты работы для Иванова.
А высшее руководство всегда мыслит в категории денег и если ему красиво преподнести то, что вы написали, в рублях и копейках да ещё и объяснить на что вы потратите высвободившееся время, то оно вас просто обязано поддержать.RicoX
26.04.2016 23:45+3В компаниях от 100 сотрудников регламенты чаще всего уже прописаны и подписываются в ОК на этапе трудоустройства, даже если нет, то всегда можно ввести такую практику заручившись поддержкой руководства. Я как раз с командой занимаюсь налаживанием работ IT департаментов от технических и архитектурных до административных, после прихода на новое предприятие ты условно м_дак, всем «мешаешь» работать и тебя все ненавидят и вообще «раньше мы не так делали и все работало», скрытый и явный саботаж — норма, тут надо объяснять преимущества и жестко давить самых «вонючих» саботажников, как в примере с Ивановым. Одна-две показательных порки и идет стадия принятия нововведений (народ понимает, что никуда с «подводной лодки» не денется), проходит пару месяцев все работают по регламенту и оказывается что и работы делается больше и жалоб меньше и электронный документооборот это не когда сначала шлем письмом а потом идем и распечатку делаем, а удобный инструмент совместной работы. IT отдел занимается работой а не доделыванием работы за ленивыми сотрудниками, включившими дурачка, от чего меньше звереет на обращения пользователей, т.к. теперь все обращения зафиксированны и откровенный бред туда почти не попадает. Да предприятию чаще всего приходится попрощаться с парой «заслуженных» кадров, но уже через месяц их отсутствие перестают замечать и все идет своим чередом, регламент дисциплинирует, приходишь на это же предприятие через год в рамках обещанного надзора, многие уже и не помнят что по-другому было когда-то, главное чтоб руководство снова не развело анархию.
yosemity
26.04.2016 23:49Успехов в вашей работе. А вообще, любые перемены всегда воспринимаются в штыки. Но опять же любые перемены обречены на успех, если подкреплены свыше.
RicoX
27.04.2016 00:03Спасибо, ну если свыше не заинтересованы то и наши услуги не требуются, логично ведь, зачем руководитель будет платить за то, что ему нафиг не нужно.
utor
26.04.2016 21:06+1— Обучение Иванова основам компьютерной грамотности я трачу 3 часа ежедневно
— ты всё равно сидишь и ничего не делаешь…
saboteur_kiev
27.04.2016 15:39+2«Попробуйте объяснить это тем людям, кто их нанимает.»
Когда у меня была похожая ситуация, я наваял простенький костыль в Экселе с вопросами и вариантами ответа. Затем простенький макрос выводил итоговый балл. Пришел с рац.предложением с генеральному, показал что это, пояснил зачем это. Все начальники отделов были извещены, что перед тем, как выдать сотруднику его логин и почту, он будет обязан пройти тест и получить на нем проходной балл, объяснение больше не требовалось.
Не бойтесь пойти к начальнику начальников.
Не бойтесь прямо сказать, что обучение сотрудников это тренерская должность, а не сисадминская, что вы не являетесь преподавателем, и что тысячи учебных курсов, на которых люди мало чего понимают, показывают, что происходит, когда учить пытается тот, кто это делать не умеет. Пусть либо нанимают отдельного преподавателя, либо вы можете сами продвинуться в качестве инструктора, но в ущерб остальной работе или вдобавок к зарплате — за курс для каждого нового пользователя — xx $
То, что ваша работа стоит дороже железа и программ нужно не объяснять. Можно просто показать на примере. Если вы в этом так уверены, то составьте расчеты, напечатайте цифры, покажите, приведите свои предложения
«Это всё стоит денег, и нужно объяснять директору, зачем собственно что-то обновлять, если оно и так «всё работает»»
Так оно все и так работает, или оно «и так НЕ работает». Проблема в том, что вы не можете объяснить что что-то перестало работать, потому что либо не собираете метрики, либо вообще не пытаетесь писать докладные с цифрами и аргументами. А это как раз один из периодов взросления эникейщика в системного администратора
teecat
26.04.2016 16:05Я бы добавил — «Читай самостоятельно»
Очень много звонков по типу — а какие у вас системные требования? Лень зайти на страницу сайта / документацию и самостоятельно изучить вопрос. Звонят менеджеру по продажам. Которому нужно продавать.
Плюс «Думай сам». Если вышла какая новость — не факт, что написанное там не маскировка и основное излагается размыто.
Увы и ах — туча переводных новостей без понимания смысла, а то и новостей баянного типа — после которых возникают очень странные запросы
varnav
26.04.2016 16:43+7По пункту 1:
Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт «Одноклассники». Инь Фу Во услышал об этом и нахмурился.
– Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.
– Потому что такие сайты не нужны для работы.
– А курить нужно для работы?
– Вообще-то нет…
– А кофе пить?
– Ну…
– Ну тогда, – сказал Учитель, – открой людям доступ.ikormachev
26.04.2016 18:07+3Притча хорошая. Уточню, есть решения, которые повышают стоимость обслуживания ИТ, есть — влияющие на качество работы сотрудников компании. Одноклассники на стоимость обслуживания не влияют никак. Разрешать их или нет — это выбор руководства компании.
wildvrn
26.04.2016 18:14А я бы ещё добавил:
Изучи то что тебе досталось от предыдущего админа, особенно это касается малых организаций компов на 30, там часто внук племянника начальника «грамотный» малый работал и мог организовать сеть как угодно, лишь бы не правильно или понаставить «левого» софта или добавить все важные пароли от торговых площадок в автозаполнение гендиру и потерять их или или или…
бесконечное множество всяких мелких пакостей вас может ожидать вообщем, но если попытать предыдущего коллегу получше, то вам будет полегче.
abstractbug
26.04.2016 18:14+1Только вот кофе потребляется обычно параллельно работе, а не вместо. Курение занимает час рабочего времени в общем, а вот социальные сети могут занять его все рабочее время, потому что многие просто не могут контролировать себя, и сидят там постоянно.
gunya
26.04.2016 20:58+1Это не должно быть проблемой системного администратора. Это должно быть проблемой непосредственного руководителя человека, который сидит все рабочее время в соцсетях.
Так дойдет до того, что для SMO-отдела придется отдельные правила в фаерволле делать.kvinn
26.04.2016 22:47Админ закрывает доступ ко всякому-такому, чтобы не высаживался канал почём зря. И у него нет проблем, потому что когда его просят открыть доступ, он рекомендует обратиться через начальство и его больше не просят открыть доступ :) А если начальник Инь Фу Во, то там, по-моему, с доступом ко всякому-такому проблемы давно порешали :)
abstractbug
27.04.2016 00:51Красивые слова, только непосредственным руководителям обычно… с колокольни.
У системного администратора очень много не должно быть проблем, но почему то, в Нашей стране это совсем не так, если администратор, то должен починять все что работает от электричества в 80% работ, плюс уметь подделывать документы, или обучать этому, ну и конечно же и все что работает на компьютере. Это в фирмах до 1000 компов весьма часто. Но думаю Вы это и так знаете, но просто работаете в фирме побольше. То что вы хотите я видел только в Связном, но там 3500 магазинов по 4 компа в каждому, без учета офиса и тех поддержки (2 и 3 линия) по 100+ человек в смену.
И это не только сисадмины, с бухгалтерией такой же бардак, да и не удивлюсь что на многих других специальностях.
varnav
26.04.2016 21:22Думаете что человек не найдёт чем заняться лишь бы не работать?
kvinn
26.04.2016 23:26+1Найдёт. У каждого смартфон с вфейсоклассниками, не отнимать же на входе. Но если человек сидит не в одноклассниках, а, скажем, на хабре, то вроде как тоже ничего не делает, а над собой растёт :) Иной раз и закрывать доступ не нужно, достаточно всех проинформировать, что занимательная статистика по трафику ежемесячно докладывается директору :)
abstractbug
27.04.2016 00:42А директор смотрит открытые сессии, и не важно свернут был браузер или нет, и вычитает это время из заработной платы, открыл утром… закрыл вечером, заработал 0 за сутки. Была такая практика на одной из работ. После этого мало кто лез, хотя и так все «веселое» было закрыто.
yosemity
26.04.2016 16:54+3Согласен со всеми пунктами.
По поводу юзеров — не надо с ними воевать. Закрыл все наглухо и сидишь спокойно, но закрыл в плане безопасности, а не синдрома вахтера. Те же вконтактики, к ограничениям не относятся. Если бизнес разрешает юзерам сидеть где попало — да пожалуйста, а вредоносную ссылку должно прибить на периметре, юзер тут не при чем. Если бух скачал вирус и к чертям зашифровало базу 1с — виноват админ. Мне вот не жалко для браузерной игрушки некоторым юзерам порт наружу пробросить, мимо прокси, на безопасность это не влияет, а тиранить народ у меня никаких предпосылок и желания нет. Но вот установить клиента WoT — уж извиняйте, это перебор.
navion
26.04.2016 17:543. Если компания не готова это купить, значит ей это не нужно
5. Ваша работа стоит дороже железа и программ
Похоже на взаимоисключающие параграфы.
VBR прекрано решает пункты 5, 12 и 15, но стоит $2000 на процессор так что сисадмины мучаются с BE, DPM и другими поделиями из прошлого века. Похожий пример с IronPort, который практически без настройки решает проблему спама, но не все хотят платить $11 на пользователя в год.
Ещё забыли про антипаттерн «работает — не трогай», тогда как производители серверов даже прошивки рекомендуют обновлять раз в 3-6 месяцев.ikormachev
26.04.2016 18:10Я слабо понимаю о каких решениях идет речь, но вы пробовали оценить соотношение стоимости решений со стоимостью их поддержки на протяжении всего срока полезного использования? Надеюсь, что мой вопрос прозвучал понятно :))
navion
26.04.2016 18:56+1вы пробовали оценить соотношение стоимости решений со стоимостью их поддержки на протяжении всего срока полезного использования?
Сложно предугадать количество и качество сношений с новым незнакомым продуктом, да и вообще адекватно оценить ROI и TCO перед внедрением.ikormachev
27.04.2016 22:34Сложно предугадать количество и качество сношений с новым незнакомым продуктом, да и вообще адекватно оценить ROI и TCO перед внедрением.
Для этого существуют понятия «пилотный проект» и «опытная эксплуатация».
Arxitektor
26.04.2016 20:09Я сам не админ но на работе в своём отделе меня сразу зовут если с компом что-то не то
или дрова поставить, плашку памяти воткнуть, диск новый поставить.
Для бекапа на машинах стоит акронис.
какие еще алалоги есть для индивидуальной установки?
Помогал раз 5.
Спасал инфу и систему не приходилось с 0 ставить
качали электронные книги book.exe…
Бекапы нужно делить а ещё их нужно проверять
А как проверять бекабы акрониса?
А еще был на в офисе 1 фирмы там показывали удалённые рабочие места
когда всё крутиться на 1 сервере а у пользователей тонкий клиент.
Понравилось как за короткое время клонировали или запускали несколько новый машин со всем софтом
для инженеров кады, офисный пакет, всё настроено и работает.gunya
26.04.2016 21:02> какие еще алалоги есть для индивидуальной установки?
veaam
>А как проверять бекабы акрониса?
Разворачивать на виртуальной машине из бекапа — это по поводу проверки образа, но это не решает архитектурной проблемы с тем, что важные данные хранятся на компьютерах сотрудников.
Правильно в такой ситуации использовать nfs/samba шары для любой сколь угодно ценной информации.
yosemity
26.04.2016 21:21Как выше ответили — Veeam Endpoint Backup. Акронис у вас левый, похоже. Давно пора отучиться от нелицинзионного софта. По проверке бекапов, лучше решение — автоматические рекавери в тестовой среде, но вам не подходит. Остается либо руками, либо положиться на внутренние средства самотестирования VEB.
AVX
26.04.2016 21:44Как быть с winxp? Указанный продукт не работает с этой ОС. Только вот не надо про то, что «устарела, переходите на новую». И так понятно, но…
yosemity
26.04.2016 21:58Как быть с winxp?
Никак. WinXP не поддерживается разработчиком. Что делать? Использовать альтернативные средства резервного копирования. Например BackupPC, Bacula, да хоть скрипты набашена cmd. Оно конечно не акронис/вим, но данные спасти поможет.
Jump
26.04.2016 21:37Ну в принципе все верно, кроме седьмого пункта, там все ровно наоборот.
Хорошие продукты это хорошие продукты.
Они могут быть и дорогими и дешевыми.
А по вашему выходит, что хороший продукт обязан быть дорогим.
Маркетологи как раз и работают, чтобы продать копеечный продукт втридорога.
navion
26.04.2016 22:05Плохой продукт задорого никто не купит, а за хороший можно заломить по максимуму и всё равно будут покупать.
Например: Veeam, Altova, IDEA и PowerDesigner. Последний в России идёт с «индивидуальным сервисом» — попросил у поддержки обновление, они выложили его на ftp и прислали ссылку :-)grossws
27.04.2016 06:03IDEA ещё дешевая. Вот, например, yourkit..
navion
27.04.2016 18:51Или продукты Atlassian, которые покупают сразу пачкой (Jira, Confluence, Crowd) и каждый год платят по 50% от начальной цены за обновления.
grossws
28.04.2016 01:16В расчёте на человека там ощутимо меньше получается, но collaborative tools всегда стоят ощутимо.
navion
28.04.2016 16:52Начальству не нравятся абсолютные цифры в десятки килобаксов в год, да и относительные цифры впечатляют, особенно когда к вам ходят клиенты с подрядчиками.
Сейчас посмотрел на сайте: Jira и Confluence на 500 пользователей стоят по $12k в год, а Team Calendar уже $24k.
ikormachev
27.04.2016 22:39Ну в принципе все верно, кроме седьмого пункта, там все ровно наоборот.
Хорошие продукты это хорошие продукты.
Они могут быть и дорогими и дешевыми.
А по вашему выходит, что хороший продукт обязан быть дорогим.
Маркетологи как раз и работают, чтобы продать копеечный продукт втридорога.
Речь идет о предложениях вида: «арендуйте у нас сервер за 30 тысяч в месяц, вместо того, чтобы тратить 500 тысяч на его покупку», а также «наши принтеры стоят всего 2000 р.» (а картриджи к ним — 5000 р./штука).
Arxitektor
26.04.2016 21:37За Veeam Endpoint Backup спасибо
посмотрю что за зверь.
Для проверки образов VMWare подойдет?
автоматические рекавери в тестовой среде, а что это за зверь такой?
и можно ли использовать это на домашнем ПК?yosemity
26.04.2016 22:03Я так понял, что вы промазали с ответом. VEB прекрасно работает в виртуальной среде, в VMware и Hyper-V точно. Автоматическое развертывание не поддерживается VEB, Endpoint в названии намекает. На домашнем ПК, как и на любом другом не то, что можно, а нужно. Вот тут писал.
yurec_bond
26.04.2016 23:13-1Если админы сильно достают, попробуйте сделать ваши проблема проблемами админов.
Например. У нас в конторе, как и везде, запрещена пересылка исполняемых файлов по почте в неупакованном виде.
В принципе, для средней «бухгалтерской» конторы это правило имеет право на жизнь. Но для R&D софтверной компании, где часто нужно обмениваться бинарниками, это правило явно не к месту.
Что бы бороться с этой демагогией, я решил, что не буду просить людей перепаковывать бинарники если они мне их уже послали.
Ведь человек уже потратил время послал мне письмо а тут оказывается что нужно еще раз посылать. Это не правильно. Пусть страдают те кто придумал правила.
Вместо этого я просто заставляю админов вынимать бинарники из почтового карантина, каждый раз. Пусть развлекаются раз им так нравится.
Пока что админы не сдаются но и мне не сложно тикет завести.navion
26.04.2016 23:20Боюсь вас расстроить, но админы получают плюс в KPI за два клика мышью. Ведь благодаря утверждённой политике задача идёт как запрос на обслуживание, а не как инцидент.
yurec_bond
26.04.2016 23:33Плюс в KPI, это на здоровье. Сомневаюсь что у них зарплата от этого сильно зависит.
Главное что бы они ощущали последствия своих решений и запретов.navion
27.04.2016 00:02Это дело хорошее, обычно лень писать заявку и накопившееся недовольство выплёскивают через начальство на летучках.
RicoX
26.04.2016 23:27+1В чем сложность для админов была завести централизованный файлообменник, раздать отделам нужные права чтоб спокойно могли обмениваться файлами как внутри отдела так и отдавать в другие отделы и наружу по ссылке (даже одноразовой ссылке). При этом обменник должен иметь функцию самоочистки, если фаил не востребован более х дней, он удаляется, проблема решена по почте пересылаются ссылки, при этом при бэкапе почты внутрь не попадают жирные бинарники, не сканируются на вирусы и прочее, снимается ограничение на размер пересылаемых файлов, ссылку хоть на терабайт давай, какие проблемы. Второе решение — корпоративное облако с тем же функционалом. Задача админов выработать удобное, безопасное и надежное решение а не саботировать работу отдела, при желании такое решение всегда находится, а бинарников в почте быть не должно — это правильно, для самых упоротых контрагентов которые продолжают слать бинарники из вне на почту делаем скрипт выгребающий все вложения из почты, складирующий их автоматом на файлопомойке в директорию всякий хлам (проверяем антивирусом и т.п.), а в письмо вставляющий вместо вложения ссылку на эту самую помойку. Глупо считать админ отдел врагами и пытаться гадить им и перекладывать проблемы, при нормальной совместной работе всегда можно найти устраивающее всех решение которое не усложнит работу никому и при этом нормально впишется в регламент.
yosemity
26.04.2016 23:30Маленькая, но победа над злобными админами.
RicoX
26.04.2016 23:51И в чем победа, они время потратили, вы время потратили, за это время компания не выпустила новый продукт или заплатку, не привела нового клиента вы же не получили премию, админы ненавидят кодеров, кодеры админов — получается гадюшник, избежать который способен один адекватный руководитель и простое желание решить проблему а не нассать друг другу в тапки.
yurec_bond
26.04.2016 23:41Так проблема в том что они ленивые и ничего искать не хотят. Им легче все запретить и не за что не отвечать.
Если не давать им фидбека то они точно ничего и делать не будут. Ну как видим если давать то тоже не очень.
Поставили например антивирус, который на столько тупой, что ломится проверять только что скомпиликованные файлы. Чем заметно замедляют компиляцию. Ну я их только что скомпилил, из своего кода, ну какие там вирусы? Нет надо проверить.
Ну и что жалуемся а админам все равно.kvinn
26.04.2016 23:45+2Писали служебные записки на начальника админов? Вносили предложения в письменном виде? Если ответа нет, обращайтесь выше по иерархии руководства. Если ничего не писали, то это всё плач Ярославны, как выразился наш директор.
RicoX
26.04.2016 23:55Решать вопрос через руководство, решать в том смысле что поставить проблему и выработать решение а не героически преодолевать следствия проблемы забив на причину. Решать через начальника отдела письменно. Редко когда люди намеренно хотят работать хреново, если это не обида и откровенный саботаж, обычно из-за недопонимания отделов, собрались начальники отделов выразили позицию отделов пришли к устраивающему всех решению, донесли решение до подчиненных, главное желание найти удобный выход а не выяснить кто же не Дартаньян.
1nt3g3r
27.04.2016 01:15Кстати, по моменту, что заражены только что скомпилированные файлы — и такое может быть, я с этим лично сталкивался. Вкратце — вирус заражает Delphi, и любые скомпиленные exe идут уже с вирусом :)
Детальней, кому интересней
kvinn
26.04.2016 23:42Всё правильно вы говорите, но только о самоочищающейся шаре обязательно нужно хотя бы маленькое положеньице утвердить. Вот обязательно в письменном виде всё организовать. Пользователи ведь академий не кончали и не понимают, что в папке «Только для передачи» или «Не храните здесь ничего» нельзя организовывать хранилища ценных данных в одном экземпляре :) А козёл кто? Правильно, админ!
yosemity
26.04.2016 23:47+1Не знаю. У меня вполне себе живет папка «Обмен», как отличная альтернатива каталогу «Общая». Время хранения файлов 31 день, дальше без предупреждения грохается. Хотя, от положения под подпись хуже не будет.
RicoX
27.04.2016 00:00Это уже не техническая а организационная задача, на практике за неделю две привыкают ничего ценного в папке не хранить, появилось — скачали локально или перекинули в архивируемое хранилище, 80 летние бабушки научились за 3 дня пользоваться в не IT конторе, не верю что в R&D не осилят.
kvinn
26.04.2016 23:35Добавлю, что против вас собирается статистика, как против нерадивого пользователя, который беспрерывно теребит IT. Не проще ли внедрить какую-нибудь специализированную систему для решения ваших задач?
BDI
27.04.2016 11:40+2У нас в конторе теперь используется гуглопочта(Google Apps for Work) — exe(и не только) не переслать даже в архиве, если он не запаролен(https://support.google.com/mail/answer/6590 — кстати, это ссылка из отлупа гугловского, но даже её никто сам не открывает).
Это не очень удобно, но теперь это не наше ограничение(кстати, весьма помогающее от многих из рассылаемых по почте зловредов-счетов). И на размер письма ограничение ставим не мы. Так что как минимум по этим двум таскам клевать нас бесполезно — «пишите в Гугл». Особо упёртым отвечаю ссылкой на документацию гугла.
P.S. Если человек не способен с первого раза запомнить как правильно пересылать «опасные типы файлов», и упорно продолжает из раза в раз отправлять экзешник в виде вложения, мне кажется проблема в человеке, а не в почтовом сервере — пусть дальше пишет служебки. В конце концов, в локалке есть шара, в интернете есть разные дропбоксы. Проблема высосана из пальца.yurec_bond
27.04.2016 12:57-«Если человек не способен с первого раза запомнить как правильно пересылать «опасные типы файлов»...»
У меня отличная память. Но я считаю это правило совершенно бесполезным и не уместным в софтверной конторе, по этому и борюсь с ним как с проявлением идиотизма.
P.S. То что вы прикрываетесь гуглом и рассказываете пользователям что ничего поделать нельзя, не делает вам чести а скорее на оборот. Вы сделали именно то за что админов не любят.ikormachev
27.04.2016 13:07У меня отличная память. Но я считаю это правило совершенно бесполезным и не уместным в софтверной конторе, по этому и борюсь с ним как с проявлением идиотизма.
P.S. То что вы прикрываетесь гуглом и рассказываете пользователям что ничего поделать нельзя, не делает вам чести а скорее на оборот. Вы сделали именно то за что админов не любят.
Типичный пример «я в этом ничего не понимаю, но знаю как делать правильно». Если у вас в компании разрешена пересылка исполняемых файлов по почте, то это лишь вопрос когда (именно «когда», а не «если»), вам пришлют что-то не то. Скомпрометировать электронную почту и адрес отправителя — крайне легко. А потом в Интернете появляются клевые истории про то, как в компании все было сделано по уму, но злые хакеры все-равно нашли лазейку. А дело даже не в злых хакерах, а вот в таких вот «икспердах».
BDI
27.04.2016 13:55+1Мне кажется, вы выбрали странный способ борьбы — вы тратите впустую своё и чужое время. Именно впустую, так как есть множество альтернативных способов обмена файлами, и зачастую более удобных чем почта. В конце концов, можно было вынести этот вопрос на рассмотрения руководства. Тогда это положение было бы или отменено, или узаконено. Но вы предпочитаете бодаться с исполнителями. Мне кажется, это контр продуктивно.
Конечно, если вы используете почту исключительно внутри организации, подобное ограничение может выглядеть странно(кстати, во многих почтовых клиентах подобные вложения так же блокируются). Но если же почта внешняя, я бы предпочёл не рассчитывать на сознательность сотрудников. Запароленный архив прекрасно пересылается, и служит дополнительным барьером от запуска вложения «на автомате». А запуск приходящих экзешников(точнее последствия) у нас я имел счастье наблюдать. Правда контора у нас не айтишная :).
P.S. переход от своего сервера к использованию ГуглАпс был инициирован не в IT, а руководством. Таким образом отсылка юзеров к гуглу(точнее к конкретным статьям документации с ответом на возникший вопрос) не может делать или не делать мне честь. Мне поступил запрос, я более чем подробно на него ответил :). У гугла есть вещи которые меня не устраивают, но в целом, для себя, я нахожу больше плюсов от такого перехода. Многие задачи которые ранее приходилось выполнять мне, теперь пользователь может и ДОЛЖЕН делать сам через вэбморду к своей гугловской учётке. Я написал для пользователей подробную инструкцию с картинками, я могу один раз показать эти действия на месте(пользователь делает, я стою рядом и подсказываю). После этого при повторном вопросе я с чистой совестью отсылаю пользователя повторно читать документацию. И подобный порядок был подтверждён руководством когда один из пользователей попытался встать в стойку — сделай ты, ты здесь для этого и сидишь.
rockin
27.04.2016 00:04Практически со всем согласен, кроме п.4
Тут грань очень тонка и каждый должен выбирать самостоятельно, либо он включит «делайте то, что написали в резюме», либо будет помогать, только вопрос, до какого уровня.
Например, в мою бытность сисадмином — да я без проблем подключу клавиатуру, пожурю, мол, видите, она просто выпала, могли бы и сами сделать, вы же умненькие ребятки. Пару шуточек, и вот ты выходишь из бухгалтерии, а бабёнки все улыбаются.
Пользователей надо подводить под переподключение клав и замену картриджей, но в индивидуальном порядке и всегда хвалить, какой вот Пупкин молодец-то у вас, сам картриджи меняет, а вы не умеете, давайте, я вам покажу, что ли ;)
Я редко встречал настолько упоротых товарищей, что они будут до последнего сисадмина ждать, чтобы назло. Чтобы сисадмин им обязательно сделал.
И про п.3
Знаете, если использовать только то, что вам купят… то у вас не будет возможностей в будущем показать потенциальному работодателю, что вы умеете админить классный популярный продукт, и до этого не поставите упоминание о нём в резюме.
Одно дело — тискать продукт на виртуалках, и совсем другое — в реале.
***
А ещё хочется рассказать про «карьерный рост». Расти, господа, можно не только вверх, но и вширь. Вот стал я когда-то старшим сисадмином, начальником отдела. И что? Сейчас я просто «приходящий сисадмин». Пара десятков постоянных организаций, доход суммарный выше, чем у начальника отдела. Яйца разложены по разным корзинам, если вы понимаете, о чём я (10х10 намного лучше, чем 100х1). Времени свободного вагон. Задачи все простые. Юзеры небалованные — пришёл я, уже праздник. С руководителями на «ты» и так далее.
И хочется вам пенсию встречать в роли Гуру в Кресле… Не понимаю уже, хотя когда-то хотелось…
shpaker
27.04.2016 08:15+1> Я еще не встречал системных администраторов, которые бы намеренно вредили компании
Я встречал, и даже приходил работать после таких.
> Если компания не готова это купить, значит ей это не нужно
Согласен на 146%, ак и делаю. Но если бы в этой жизни всё было бы так просто…
> Ваша работа стоит дороже железа и программ
Не понял. Какая-то вода.
> Сделанное аккуратно лучше сделанного быстро
Ох как у вас всё просто )
> Всегда проверяйте поставленный кем-то диагноз
Двойная работа. Если за кем-то всегда перепроверяете, то это плохой диагноз
> Лучшее снотворное — уведомление о том, что все работает
Спать всегда лучше хорошо) Даже если всё плохо)navion
27.04.2016 15:41Я встречал, и даже приходил работать после таких.
Именно намеренно со злым умыслом или как в примере с принтером ниже?
Первое мне сложно представить — надо хорошо знать систему, чтобы грамотно её сломать и обычно это направляют в полезное русло. А вот саботаж автоматизации и надувание щёк «вахрёрами» видел, как и вредительство по незнанию, вроде копипасты первой попавшейся инструкции из гугла.
snipsnap
27.04.2016 09:11+1Был случай в моей практике, когда я пришел на новую работу и оказалось, что абсолютно все пользователи были администраторами домена. На резонный вопрос: «Почему»? Админ, который передавал дела ответил: «Без этого не работает печать на принтеры». Пришлось менять не только настройки, но и привычку пользователей делать на рабочих ПК то что им хочется.
SkyHunter
27.04.2016 10:23Пункт 4 не имеет никакого отношения к реальности.
Простой пример — кассиры розничных торговых точек. Они тоже пользователи ПК, но в подавляющем большинстве случаев не умеют менять картриджи, и, как бы не хотелось автору статьи — не обязаны это делать.
Касаемо знания пользователями программ — 1). сисадмин не должен мнить себя руководителем службы персонала; 2). не нужно впадать в крайности. За отказ помочь с составлением сложной формулы в Экселе по шапке должен получить айтишник. За систематическое отвлечение айтишника пустяковыми вопросами из серии «пропал ярлычок с рабочего стола» — по шапке должен получить отвлекающий. А некоторых сотрудников, которые «умеют обращаться с компьютером», лучше не допускать даже к подключению клавиатуры.rockin
27.04.2016 13:53> За отказ помочь с составлением сложной формулы в Экселе по шапке должен получить айтишник
Почему это вдруг? Ни разу не видел в требованиях вакансии на что-то околосисадминское «знание excel»
А пользователям я всегда говорил так:
«Вы в экселе понимаете значительно лучше меня, это ваш инструмент, я же в нём только прайсы открываю изредка»
Да, это неправда. Но после этих слов с экселем от меня отставали, он же его просто не знает, а они такие умные.ikormachev
27.04.2016 13:56+1Почему это вдруг? Ни разу не видел в требованиях вакансии на что-то околосисадминское «знание excel»
Просто в головах многих пользователей (и, судя по комментариям к данной статье, и программистов), системные администраторы — это мальчики для битья, а не специалисты. Ну а уж повод найти всегда можно, если очень хочется.rockin
27.04.2016 14:53-3Такие сисадмины сами виноваты.
Затюканное, небритое, в поношенной одежде нечто с полным отсутствием харизмы идеально подходит под роль «мальчика для битья»
Тут уж кому какая роль в жизни интересна.
Я не снимаю с себя роль сисадмина, но… мне так стыдно бывает за своих коллег. Бриться, ребята, надо раз в два дня минимум. Если бороду хочешь носить — ухаживай. Намазать себя антиперсперантом — обязательно. Полость рта держи в чистоте. Рубашка/носки на один день.
Тогда и с экселем приставать не будут.
С пользователями же работать приходится. Даже, если вы к ним не ходите — они-то ходят к вам.
SkyHunter
28.04.2016 15:53Почему это вдруг?
Потому что должно быть эффективное распределение трудозатрат. Можно упереться рогом в то, что «пользователи сами должны знать» и т.д., и потратить на решение определённой задачи N часов, а можно единоразово проконсультироваться с компетентным специалистом и потратить на решение задачи 5-10 минут. И если перед руководством всплывёт тот факт, что из-за необоснованного отказа IT-специалиста компания потеряла X времени, а значит, Y денег — то дальнейшее развитие событий становится очевидным.
heleo
27.04.2016 11:21+1Считаю, что пункт 4 должен быть на первом месте. А так же было бы неплохо добавить пункт, про то что начальство это те же пользователи и полных привилегий у них быть не должно даже если они очень просят.
SkyHunter
27.04.2016 11:48Рискнёте отказать гендиру с такой формулировкой?
RicoX
27.04.2016 11:54Легко, гендиру многие IT доступы нафиг не нужны и root пароль он просить не будет, ему нужны финансовые документы, доступы на уровне админа к KPI и прочее необходимое для его работы. Если лично попросит ему открыть «одноглазников» — не вижу проблемы, но давать административный доступ на все ресурсы компании это лишнее, да многие руководители любят перестраховаться, тогда договариваетесь с ним, что вот листочек со всеми доступами в организации, распечатан и положен в конверт, кладите в сейф, доступы у вас есть на экстренный случай. Адекватный руководитель вполне может иметь права администратора на своем ПК, но не в домене или вообще на всех серверах.
heleo
27.04.2016 23:43Хороший случай, но главное что бы он этот листочек кому ещё не показал. Вот честно, адекватность таких людей это штука спорная.
ikormachev
27.04.2016 11:55А чем тут рисковать? Генеральные директора обычно крайне вменяемые люди, которым достаточно объяснить причины и цели для которых им нужно также работать с правами пользователя.
Исключения — это генеральные директора из числа бывших админов и программистов. Такие ни на какой должности не могут работать с правами пользователей.
heleo
27.04.2016 23:40Я как бэ не админ, другой профиль уже хотя и не без этого. Но криворукость руководства, пытающегося под админскими правами производить настройки под себя лично вместо настроек своего профиля, я хорошо знаю. А наличие у них рутовых паролей, в лучшем случае это дыра в безопасности и как показывает практика вполне себе хорошо работающая. А отказать запросто, либо учётка с доп. привилегиями либо нафиг. Дураков ни черта не понимающих, но лезущих и так хватает, а лишний геморрой на свою голову это уже лишнее.
RicoX
28.04.2016 00:27В любом случае рутовые права должны быть у нескольких человек, на случай если админа «собьет автобус», для небольшой организации вполне распространенная практика когда копия всех паролей и ключей лежит в сейфе руководителя, опечатанная на случай ЧС, процедура вскрытия пакета описана безопасниками и может быть реализована в случае недоступности одного из ключевых лиц, имеющих доступ к важной информации. Если в организации нет такой структуры и регламента, а гендир единственный владелец, царь и бог, то уж забрать у него доступы насильно никто не сможет, но тогда он сам и отвечает в случае утечки своими деньгами и он ССЗБ если что-то сломал и пролюбил. Проблема описанная вами существует, но в основном для очень небольших компаний, без четкого регламента, службы безопасности, режима коммерческой тайны и прочих заморочек, там админ в крайнем случае рискует только своей работой, так что может себе позволить забить на безопасность и отдать рута руководителю, даже не пытаясь спорить, в структурах по-крупнее даже руководители высшего звена согласовывают доступы с СБ и IT, в которых начальники отделов чаще всего доверенные лица совета директоров или учредителей и напрямую не подчиняются исполнительному директору, а запрос рута на какой-то критичный сервер типа процессинга вызовет эскалацию на уровне сбора учредителей для разбора полетов.
heleo
29.04.2016 19:57Как говорится «Всё относительно» и тут всё зависит от конкретного случая. Само собой, что в малых компаниях всё в этом плане проще и доступней. Крупные компании чем хороши, там как правило «объемы инфраструктуры» таковы, что всяческие гендиры и хозяева даже не полезут в эту кухню, так как они даже с этим не пересекаются и им это не интересно, хотя опять же зависит от профиля компании. В мелких фирмах же всё рядом и под рукой. Хотя порой бывает начальство из стиля «везде свой нос суй», «я умный ты дурак — делай так!», эти вообще мрак и хорошо если это не самый главный )))
Kedul
27.04.2016 11:404. Пользователи должны уметь работать с компьютером
Спасибо. Посмеялись всем отделом. =)RicoX
27.04.2016 11:49Если у вас отдел землекопов, клинменеджеров, штукатуров, поваров или любой другой специальности не связанной с IT напрямую, то с вас никто и не требует уметь работать с компьютером, если же компьютер ваш основной или единственный рабочий инструмент, то да должны или меняйте специальность, поставьте себе вопрос работа с каким средством труда приносит деньги вам и вашей компании, если это не компьютер, то вас статья не касается, я знаю отличных продажников, потолок которых в IT это принять и отправить почту, им больше и не нужно и с них большего никто и не просит. Если вы бухгалтер, вы не обязаны знать компьютер, но обязаны знать 1С и прочие проф. инструменты, пк вам настроят администраторы, но учить вас работать в вашей программе они не будут, либо ваш потолок работа с первичкой и так далее для любой профессии надо оценивать проникновение IT в нее.
Kedul
27.04.2016 13:29Поверьте. Я работаю в техподдержке одного муниципального предприятия. И по роду деятельности наш отдел каждый день сталкивается с пользователями, которые иногда элементарных действий на компьютере сделать не могут. Они в 1С знают как нажать одну кнопку, и знают где посмотреть время на ПК. Утрирую конечно, но суть ясна. И ты как попугай по сто раз объясняешь одно и то же! Поэтому фраза «Пользователи должны уметь работать с компьютером» вызывает у меня и моего отдела вызывает усмешку.
ikormachev
27.04.2016 13:39+1Моя статья не про муниципальные и государственные предприятия, где любая неэффективность и некомпетентность покрывается из средств клиентов и государственного бюджета. Для таких предприятий ни один пункт из моей статьи скорее всего не применим в принципе.
Моя статья для реального сектора экономики, где люди изо дня в день своими руками зарабатывают себе на жизни. Если построить подобный бизнес, используя приемлемые в муниципальных предприятиях принципы, то такая компания не проживет и одного дня — все клиенты разбегутся в ужасе.SkyHunter
28.04.2016 15:44У вас статья называется «памятка для офисного сисадмина», а не «как должен работать сисадмин в идеальной сферической компании в вакууме».
ikormachev
28.04.2016 15:55+1Как раз таки сферические компании в вакууме — это госучреждения. В них даже за убыточные проекты премии дают — http://www.rbc.ru/technology_and_media/28/04/2016/5721f86e9a7947175d738b60?from=main
navion
27.04.2016 13:394. Пользователи должны уметь работать с компьютером
Моя подруга устроилась в небольшую гостиницу на 30 номеров и в первый день ей дали толстый толмуд со скриншотами, где описаны все действия с их системой учёта начиная с включения компьютера.ikormachev
27.04.2016 13:41+1Да, инструкция для пользователя по работе с информационными системами компании должна быть. Просто чтобы пользователи знали на каких принтерах печатать, какой почтовой программой пользоваться и где какие есть приложения и возможности в корпоративной сети.
SchmeL
27.04.2016 14:51>>Вам так же не надо собирать отказоустойчивый кластер из старых системных блоков и незаконно использовать программы, которые компания не хочет покупать.
Про кластер — спорный совет, смотря для каких целей он нужен и какие решения используются. Например у нас есть сайт, который вполне хостится в офисе и работает 24х7, сделан как раз на старых пк и для надежности по личной инициативе сделан кластер из nginx, keepalive vip, master-master mysql, glusterfs. Сайт не критичен, нагрузка маленькая, данного решения вполне хватает. Да, железо отказывало, но благодаря кластеру, заменялось не спеша в рабочее время.ikormachev
27.04.2016 14:56А для каких целей нужен собранный вами кластер? Самореализоваться?
yosemity
27.04.2016 15:05Как минимум получить опыт. Не развивающийся айтишник обречен.
ikormachev
27.04.2016 22:13+1Развиваться надо в виртуальной лаборатории, а не на живой компании. Ваши действия только увеличили стоимость обслуживания и не принесли никакой пользы компании. Вы поступили как эгоист, т.к. не подумали ни о компании, ни о специалистах, которые будут работать после вас.
SchmeL
28.04.2016 16:10>>>Ваши действия только увеличили стоимость обслуживания и не принесли никакой пользы компании.
В чем кардинально увеличивается стоимость обслуживания в данном случае? В том что, в тех же mysql, nginx в конфигах есть поддержка балансировки? Разве простенький кластер на Linux, описанный в поднятой корпоративной вики, это настолько сложно для понимания?
Ну допустим, после увольнения придет новый админ, который не будет разбираться во всех новомодных штуках, ну так никто не мешает ему поднять то, что он знает — хоть на apache с Windows 7 или вообще перенести все на хостинг.ikormachev
28.04.2016 16:14+1В чем кардинально увеличивается стоимость обслуживания в данном случае?
Ну допустим, после увольнения придет новый админ, который не будет разбираться во всех новомодных штуках, ну так никто не мешает ему поднять то, что он знает — хоть на apache с Windows 7 или вообще перенести все на хостинг.
Вы сделали вещь, которая требует высокой компетенции в обслуживании, с высокой вероятностью однажды сломается, никому не нужна и которую с большой вероятностью придется переделать. Вы потратили свое время (которое оплачивает компания), а также потратили время ваших последователей на переделку вашего креатива.
Уверен, что кластер из двух старых системных блоков для сайта, который никому не нужен — это не единственная ваша поделка, которую придется за вами переделывать вашим коллегам.
SchmeL
28.04.2016 15:49для своих нужд, как уже выше писал, чтобы в случае падения не искать в попыхах новый ПК, а планомерно заменить старый.
SchmeL
28.04.2016 18:28>>>>Вы сделали вещь, которая требует высокой компетенции в обслуживании, с высокой вероятностью однажды сломается, никому не нужна и которую с большой вероятностью придется переделать. Вы потратили свое время (которое оплачивает компания), а также потратили время ваших последователей на переделку вашего креатива.
Ну во первых, компания платит не за время как таковое, а за обслуживание инфраструктуры и helpdesк для пользователей. У штатных сотрудников не почасовая оплата. А разгружать, знаете ли фуру, когда «время все равно оплачено», не входит в обязанности.
Хорошо — опишу весь «айсберг», а не верхушку в виде кластера.
Компания — 50 человек. Рабочие станции на Windows 7 OEM, пара XP, у всех админские права, где-то нелицензионщина стояла — вроде всяких Photoshop. без антивируса. Компания живет от одного крупного заказа, до другого, денег на модернизацию ИТ нет. Этот кошмар оставил мне предыдущий админ, через день у кого-то выскакивали winlocker'ы, а сеть тормозила из-за умников с торрентами. Документации небыло, так как нечего описывать.
Был сайт с БД на mysql на древнем debian, откуда параллельно выгружались данные неким самописным ПО, для обработки бухгалтерией.
Автоматических бекапов не делалось. Один раз после отключения света, пришлось чинить БД. И это все в первый месяц!
Задач конкретных мне не ставилось — все сводилось к обслуживанию имеющегося, в виде оперативного залатывания дыр.
Что было сделано:
1. Поднят Zentyal в качестве AD и файловой шары на Soft Raid 1. Настроена учетка локального админа.
2. Все пользователи введены в корпоративный домен, настроены GPO, учетки ограничены в правах.
3. На ПК установлены бесплатные антивирусы (есть ограничение на кол-во машин по лицензии)
4. Настроен шлюз на pfsense с шейпером трафика и dual wan. Так же настроен резервый роутер, с подробной инструкцией куда воткнуть проводок
в случае если упадет основной шлюз.
5. Поднята тогда еще новая LTS ubuntu, настроены ежедневные бекапы на сетевую шару, создан злополучный кластер для отказоустойчивости.
6. Поднял Redmine для Wiki и задачника.
7. Для себя, эгоиста — еще и vpn настроил.
Результат — куча свободного времени, за которое получается, да — мне платит компания.
Усложнили ли мои «поделки» инфраструктуру — однозначно.
Будет все работать если отрубить сервера и убрать все это — будет, но так же как и до моего прихода.
Будут ли переделывать за мной — не исключаю, возможно поставят ломаный Win Server и AD. А документацию будут вести в ворде.
Сложно ли найти специалиста по администрированию этого хозяйства — нет.
Эгоист ли я — возможно, а может просто ленивый…
P.S я уже как год оттуда ушел и как это не парадоксально, из-за кучи свободного времени.
Инструктаж новому админу был минут 20, остальное он по документации сообразил.
Из 5 собеседуемых человек, трое вообще не знали основные базовые понятия сетевого администрирования, но слава монстру, хоть не первого встречного берут.ikormachev
28.04.2016 21:25+1Компания — 50 человек.
Это ключевое. Пока размеры компании таковы, что затраты на специалиста превышают затраты на оборудование, делать можно что угодно и как угодно, используя какие угодно решения и оборудование в каком угодно виде и состоянии. Тем более что у вас из айти хозяйства был только файловый сервер, да доступ в Интернет.
Olezaika
«На компьютере в офисе должны стоять только те программы и приложения, которые нужны сотруднику для работы.»
Я считаю по другому. В идеале у пользователя должна быть возможность работать хоть с личного ноутбука. Ничего более бессмысленного нет, как забрать админские права и на каждое обновление node.js бегать к каждому сотруднику и обновлять в ручную.
2. Пользователь – человек бесправный
Не согласен. Если сотрудник сломал систему — он об этом сообщит или сам пофиксит. Если никто не будет пытаться ее сломать — за них это сделают другие (привет bug bounty)
ikormachev
Нет ничего более бессмысленного, чем строить системы, в которых каждое обновление на компьютерах пользователей нужно делать вручную и непосредственно за их компьютером.
Ага, вы еще и рута им дайте сразу.
ctacka
Если ваши пользователи — специалисты IT (разработчики, тестировщики, админы), то им без рута на локальных машинах никуда.
А если пользователи работают с личных ноутбуков, то вообще невозможно отобрать у них рут.
RicoX
Если ваши пользователи — специалисты IT соответствующей компетенции и рут им нужен для работы, то это ни как не противоречит концепции выше, но опять же рут будет только к тем системам, на которых они непосредственно работают, а не ко всем возможным серверам если пользователь не главный админ или безопасник и то под вопросом, встречал в своей практике системы где получить рут можно только по регламенту и введя одновременно ключи главного безопасника, главного админа и руководителя предприятия, все люди и нельзя исключать возможность утечки через сотрудника любого уровня.
Visteras
А можно пожалуйста пояснить как этого достичь? К сожалению не сталкивался с подобным, куда можно посмотреть что бы понять как подобное организовать?
RicoX
От банального каждый знает только свой пароль, вводят по очереди, общий состоит из всех введенных по порядку, до специальной софтины для аутентификации, просящей вставить несколько токенов, от масштабов и задачи зависит и не забываем что это целый комплекс процедур включая шифрованный раздел, ограничение физического доступа к серверу и т.д.
ikormachev
Если наши пользователи — специалисты ИТ, то рута на локальных машинах они получат сами.
Fedcomp
Не путайте всех специалистов IT с хакерами. На системниках где на биос пароль, сидирома нет, usb нет, а сам корпус под замком — не так уж и просто получить рута.
WST
Подмену инита в опциях ядра никто не отменял
saboteur_kiev
Увольнение без компенсации за нарушение политики компании — тоже.
mydoom
Надеюсь, что это у Вас шутки такие.
Ghool
Если всё так строго — то локальные машины должны быть только способом доступа к удалённым машинам.
navion
Наши бойцы часто работают у заказчиков с наглухо зарезанными правами — жить можно, но приходится давать им ноутбуки с LTE для доступа в интернет.
alexmarch232
Грамотная настройка и делегирование полномочий пользователя UNIX позволяют абстрагироваться от характера действий последнего — «SUBSTITUTE user & do». Учетная запись root используется для организации!!! пользовательского доступа к привилегированным ресурсам и мониторинга протокола работы sudo.
BoDRbI
Tufed
Вот именно, в большинстве ситуаций необходимо искать компромисс, будь то наличие прав пользователя, сложность паролей и их количество, количество и качество бэкапов и т.д. Программист в отделе разработки софта тёте Вере из бухгалтерии, если первому можно дать локально админа (а в случае если сломает собственную машину дать загрузочный диск и он сам всё починит), то второму сотруднику лучше даже лишние длинные провода связать намертво и спрятать. А в целом да, согласен с ТС по всем пунктам, но как-то маловато что-ли, быстро памятка закончилась.
ikormachev
В общем случае права админа можно давать человеку, только когда он знает как и умеет с ними обращаться. Если программист своими действиями убил свой компьютер, то это означает, что с вашей подачи компания потеряла несколько часов его работы на переустановку операционной системы и приложений. Задача системного администратора — организовать бесперебойную работу и обеспечить сохранность данных у всех пользователей, включая разработчиков.
И да, забудьте уже об установке операционных систем с диска — уже лет 10 как существует заливка по сети. Уважайте свой труд.
У меня все публикации на хабре так или иначе связаны с темой офисного системного администрирования. Можете посмотреть мои предыдущие статьи в профиле.
Tufed
Именно что ключевыми элементами являются: умение обращаться + цель предоставленного доступа. Если программистам например нужно часто грузить какие-то библиотеки, плагины, модули и т.д. и отбирать у них доступ к установке софта (изменения системных настроек) = отбирать у них их же рабочее время.
AVX
Я бы у программистов отобрал админские права — просто для того, чтобы они сразу приучались писать программы, которые бы работали и без админских прав (если конечно они не пишут какие-то утилиты специальные). И комп 10-летней давности, чтобы не писали монстров, жрущих over 200M памяти для вывода пары сообщений в окошке.
P.S. программисты — не обижайтесь, не все такие, но в большинстве случаев так.
gunya
Потом к вам придет сначала разработчик, потом DevOps из его отдела, потом руководители по цепочке, потому что ребята не могут поднять Vagrant для разработки, надо доставить пару пакетов, нужна свежая версия библиотек, вышла свежая версия интерпретатора и npm не работает с корпоративным прокси.
AVX
Каждый должен делать свою работу. Программисты — программы писать. Админы — управлять всем этим зоопарком. Но если уж у кого-то в обязанностях программиста самому ставить себе софт, обновлять ситему, и т.п. — то и отдать уже компьютер ему ПОЛНОСТЬЮ, пусть сам и систему ставит, и всё остальное. Но тогда никаких жалоб, что «Ось не грузиццо» — сам сломал, сам чини. А то получается — права у программиста на установку, обновление софта и ОС, а обязанности устранять неполадки и отвечать за это — у администратора. Не совсем правильно это.
yosemity
Если бы я заведовал средой разработчиков, то это была бы изолированная сеть в DMZ. Регулярное резервное копирование в этой среде было бы на первом месте, при чем относительно «опасной» сети, тоже изолировано фаерволом, с инициацией соединения только снаружи.
gunya
Достаточно SLA, по которому в такой сети сохранность данных предоставляется как Best Effort.
Хотим, чтобы хранилось надежно — окей, NFS с версионированием файлов, резервным копированием и резервированием.
gunya
> Но тогда никаких жалоб, что «Ось не грузиццо» — сам сломал, сам чини
У меня вылетел жесткий диск — ехать в магазин за новым, да?
> А то получается — права у программиста на установку, обновление софта и ОС, а обязанности устранять неполадки и отвечать за это — у администратора.
Взяли, развернули вчерашний бекап машины из образа, пошли играть в доту дальше.
ikormachev
В общем случае должно быть именно так, да. Это называется — жесткое разграничение зон ответственности. Иначе вы операционную систему на компьютере убили и звоните админу с требованием «заменить сломавшийся компьютер». И ему приходится доказывать вам, что с компьютером все в норме. Нет уже — сказали все сами, так и давайте все сами.
AVX
Это я же не просто так придумал. Это работает. До некоторых юзеров только так и доходит осознание, что лучше всё-таки какие-то задачи делать администратору, а ограничение — это необходимость, а не прихоть админа. Но есть и вполне продвинутые, которые имеют и админские права, но пользуются ими разумно, и не разводят самодеятельность, при этом пользуются всё той же поддержкой со стороны отдела ИТ, что и остальные. Как только начинают делать что-то сами (переустановка ОС, изменение настроек сети, установка левого софта и т.п.) — прав лишаются. Со временем остаются с правами только те, кому они реально нужны, и кто ими может правильно пользоваться. (исключение — когда имеются кривые программы, которым хоть тресни, нужны права, а на разработчиков повлиять мы не можем, или их уже нет вовсе)
yosemity
На текущем месте работы мне удалось реализовать тему, что в вопросах ИТ я главнее гендира. У последнего прав не больше, чем у всех остальных. Мало того, сидит как все на LibreOffice и нет проблем. А вообще, я однажды со стула чуть не упал, когда новый коммерческий, имея лицуху MSO 2013 попросила по дефолту настроить открытие файлов через тот же LO. Уверен, что и сама бы справилась, но я тут рядом был.
gunya
Переустановка ОС по-хорошему не должна вообще давать пользователю пользоваться любыми ресурсами.
yosemity
По-моему, это само собой разумеется. В теории, у меня юзеры могут через WDS, сбросив пароль на биос, загрузиться по сети, поставить любую винду из списка, потом весь софт по WSUS и влететь в домен. Только дальше своей учетки все равно не прыгнуть. Собственно, я даже это не запрещаю. Если кто-то просит переставить винду, я объясняю что нужно сделать и говорю пароль от его биоса. Если чел не в состоянии сам переставить винду, то ему оно и не надо.
gunya
В большинстве случаев можно снять post mortem и выяснить примерную причину, почему легла машина.
Если в результате выясняется, что причина проблемы в радиусе кривизны рук пользователя — окей, за работы платит кост центр его отдела.
foxmuldercp
Внутренние «валюты» это тоже интересная область, кстати, и далеко не все понимают, что это и зачем оно надо. и как это поможет бизнесу
navion
На самом деле в айтишных конторах программисты именно так и поступают, убивая кучу времени без гарантии результата — лучше бы сразу звали хелпдеск. Но даже там есть много других менее продвинутых пользователей и нельзя всех помещать в одну категорию, хоть это и проще для ИТ.
saboteur_kiev
DevOps придет гораздо раньше, но для того чтобы выбить отдельную виртуалку для билдсервера и репозитория, где у него будет Рут, и где он сам разберется с бэкапами, либо сообщит сисадмину доступ и список папок, которые нужно поставить на бэкап.
Рабочие тачки и инструменты CI должны жить раздельно и независимо друг от друга, иначе разработчик уходя выключит свою рабочую тачку, и весь CI накрылся?
mydoom
Похоже, у Вас синдром вахтера в тяжелейшей форме. Не обижайтесь, но из-за такого же умника у одного из работодателей приходилось ждать установки каждого необходимого пакета в лучшем случае часами, в худшем — днями. К счастью, после нескольких недель мытарств и некоторого количества жалоб на саботаж моего рабочего процесса локального рута все-таки дали.
А если Вы считаете, что наличие или отсутствие локального рута влияет на проектирование разрабатываемого программного обеспечения, то опять-таки, не обижайтесь, но, видимо, Вы очень плохой админ.
P. S. Надо же, «чтобы сразу приучались». Давайте-ка Вы лучше будете жену приучать писать в бутылочку, или кота своего приучать не гадить где попало.
gunya
Вашей задачей должна быть минимизация и автоматизация действий для приведения компьютера сотрудника в готовое к бою состояние, а также минимизация времени и потерь при гибели машины. Если разработчик уложит себе систему без особой надобности — это событие в любом случае должно пройти через его руководителя, и это не должно быть проблемами системного администратора.
yosemity
А кто виноват, если с кампа разработчика был запущен шифровальщик?
gunya
Системный администратор, если пострадали данные за пределами машины разработчика.
1. Отсутствие антивирусной защиты на прокси/почте, позволившие пронести вирус. Если вирус пришел на флешке, то:
2. Несвежие базы антивируса на машине разработчика, пропустившие шифровальщик. Если антивирус был отключен, то:
3. Некорректно настроены политики безопасности домена — разработчик смог отключить антивирус.
В любом случае — на машине разработчика не должно храниться ценной информации, плюс должна быть резервная копия его данных.
yosemity
Шифровальщики легко могут быть 0day, антивирус — не панацея, и находится далеко за первым эшелоном защиты. Чуть выше я отписал как бы поступил сам.
AVX
Посоветуйте, как защититься от vault?
Скрипты обфусцированы, и меняются чуть не каждый день, антивирус не спасёт (пару случаев было, но смогли восстановить данные). Запрет скриптов — не вариант, в стартовых доменных скриптах (которыми управляют вышестоящие администраторы домена) используются те же js/vbs/…
ikormachev
Только запрет скриптов. Вышестоящим админам накрутить хвоста, чтобы учились работать с ГПО.
AVX
Слишком тяжела бюрократическая машина в РЖД, над некоторыми проблемами бьёмся уже много лет, и безуспешно, даже с привлечением более-менее высокого руководства.
yosemity
Так то не техническая проблема, а организационная.
yosemity
SRP. 5й пункт. Доменные скрипты тут не при чем, белые списки могут работать по путям, хешам, сертификатам…
AVX
Слишком велико разнообразие программ, применяемых у пользователей (домен большой, и доменов более десятка в общем). А уж какой безобразие у части этих программ — далеко не все ставятся в %програмфайлс%, какие-то в свою папку на системном диске, какие-то в других местах. Проблема глубже, чем кажется. Должна быть воля руководства, чтобы жёстко ограничить список софта, создать единые требования к вновь разрабатываемому ПО, и вот только после внедрения всего этого можно говорить про SRP. При наличии только отраслевых всяких АРМов, АС, АСУ, и прочего в количестве более нескольких тысяч разных программ — об этом только мечтать остаётся.
yosemity
Вы хотите чтобы я вам посочувствовал? :) Понимаю, у вас беда, зоопарк. Но вы же спрашиваете что делать. Тогда вы и сами знаете ответ — победить зоопарк. Реально это или нет — не мне решать, но вопрос явно не технический.
AVX
Спасибо, но не настолько всё плохо, чтоб сочувствовать :)
Перефразирую вопрос: как в таких условиях защититься от vault (и подобных) техническими способами?
yosemity
Выше ответил же. SRP/AppLocker, в любом случае. Других нормальных средств не существует. Не проверять же все самому в песочнице, это невозможно.
ikormachev
Делайте блокировку запуска скриптов из определенных папок (темпы, рабочий стол, appdata), далее исключайте те папки, которые мешают запуску приложений, разносите компьютеры пользователей по разным OU исходя из политик безопасности и т.д…
Но да, это требует кропотливой работы.
navion
Кидать вложения со скриптами в карантин — нормальным людям такое не присылают, а разработчиков можно включить в исключения.
AVX
скрипты прилетают почтой в архивах .zip, да ещё адресно как-то — бухгалтеру или экономисту приходит (от человека, находящегося в списке контактов при этом!) письмо с архивом, в котором «счёт за бла-бла-бла за такой-то месяц по таким-то условиям… куча букав.doc [тут куча пробелов].js
navion
ESA режет прямо в архивах, запароленные можно отправлять туда же с уведомлением админу.
AVX
Что такое ESA? Нагуглить вменяемого не получается сходу.
navion
Cisco Email Security Appliance или просто лучшая спаморезка на рынке.
rub_ak
расскажите как запретить выключение антивируса через политики, при локальном админе у пользователя?
LoadRunner
Если антивирус управляется с центрального узла, то в нём самом заложена функция запрета локального изменения настроек антивируса. Если у Вас используется антивирус без данной полезной штуки, как Центр Администрирования Антивируса (просто от балды название, у каждого антивируса он по-своему называется), то стоит задуматься о переходе на другое решение.
DaemonGloom
Вот только производители ещё и предоставляют утилиту для удаления антивируса, например. Требующую админские права и ничего более.
LoadRunner
Вообще, для этого должен быть агент администрирования, который ставится через центр и который обладает нужными правами, и пользовательские сессии тут вообще ни при чём.
rub_ak
у нас symantec endpoint protection
ikormachev
Сносите это решето. Не припомню случаев, когда он находил вирусы.
rub_ak
У нас SRP настроен, все под пользователями сидят, даже админы (для админских дел отдельные учетки, без какого либо интернета) да и интернет у половины по белым спискам или нету вообще(NAT только только там где он нужен для работы программ). Поэтому он при сканировании только иногда в темпах находит установщики от вирусов. За 9 лет работы, не было не одного вируса которых заразил бы машину.
PS ну а другие могут дальше выдавать права администраторов бухгалтерам, и придумывать как можно быстрей восстановить рабочее место и не потерять данные.
ikormachev
Это все совершенно правильные действия, но они не отменяются необходимость нормального резидентного антивируса на рабочих местах. Просто чтобы попавшие в компанию зараженные файлы не выходили за ее пределы и не наносили ущерба клиентам и контрагентам. А то это любимое развлечение у бухгалтеров разослать полученный файл по списку рассылки со словами: «У вас этот документ открывается?».
Но из антивирусов SEP — худший вирус. Сделанные под российский рынок вирусы SEP не находит в принципе или находит с полугодовой задержкой.
Alexsandr_SE
А вариант свежего вируса не рассматривается? Неужели никогда не отлавливали свежие вирусы которых еще нет в базе?
ikormachev
Задача сисадмина — обеспечить бесперебойную работу организации, а не «быстро чинить возникающие проблемы».
gunya
Бог миловал, я избежал работы в компаниях, в которых требуется жестко ограничивать пользователя, чтобы он не дай бог не уложил себе машину. При этом я ни разу не видел, чтобы наличие пользователя в Local Admins как-либо вредило безопасности среды.
ikormachev
Это аргумент из разряда «я никогда не мыл руки перед едой и еще ни разу не болел из-за этого».
yosemity
Тут два варианта. Либо вы работали исключительно с высококлассными админами, либо у вас профиль работы никак не связан с «обезьянами» с клавиатурой.
UPD. Про грязные руки выше не стал упоминать, у вас же гордое DevOps в профиле, и подумать не могу, что «просто повезло».
gunya
В целом, могу согласиться с обоими пунктами. Просто тюленей старались не брать, но Local Admins был в том числе и у бухгалтерии.
ikormachev
Ну да, те бухгалтера, которые имея права локадмина однажды подвели всю компанию под монастырь, никогда и никому об этом не расскажут. Типичная ошибка выжившего.
yosemity
Вот ровно сейчас (пока что)под этим комментарием находится ответ v
gunya
А никто не говорил, что на машине с 1С у бухгалтеров был админский доступ. На рабочем ноуте — хоть браузер амиго себе ставь, но 1С — на сервер через RDP. End of story.
yosemity
Вы говорите совсем про другое. Доступ из вне по RDP совсем не то же самое, что работы внутри периметра.
ikormachev
Правильно эти истории начинаются так: «мы думали, что если у нас 1С через RDP, то бухгалтерам можно выдавать права локальных администратор на компьютерах и разрешать им ставить туда все, что угодно..»
gunya
Правильно эта история начинается так: все было сделано настолько грамотно, что даже при заражении трояном/шифровальщиком все, что можно было сделать —
дернуть себе анусничего.navion
Потери всё равно будут в рамках RPO, который для обычных компьютеров и некритичных файлопомоек редко делают меньше суток.
yosemity
Справедливости ради, 1с в РДП через сервер приложений обезопасить достаточно просто. По крайней мере от потери данных БД. А далее, как верно заметили, развернуть из бекапа зараженный хост с РДП можно очень быстро.
ikormachev
1С то вы обезопасите. Но бухгалтер к себе на комп поставить клиент-банк и будет ходить в него через браузер амиго. Зачем компании 1С, если у нее денег на счете нет?
yosemity
Речь идет именно про доступ из-за периметра, например с домашнего кампа. Если бух унес домой токен для доступа к клиент-банку, зацепил дрянь и слил бабло со счета, то это преступная халатность. Внтури сети компании, конечно, никаких амигов быть не может.
gunya
Такие политики безопасности должны обеспечиваться не системным администратором, а руководством. Может, сисадмину еще стоит задуматься о том, как защититься от кражи ключей от клиент-банка бухгалтером, который хочет их украсть? Дойдет до того, что я открою ключи в блокноте и сфотографирую его.
rub_ak
Зачем что-то разворачивать и тратить на это время и свое и сотрудника который ждет пока развернется.
Парни нафига админские права бухгалтерам? Которые в 1с сидят? Или они у вас тоже кодят в свободное время?
Alexsandr_SE
Везет. Приходится давать ибо часто обновления различного ПО, но это реально самый проблемный отдел.
foxmuldercp
Обновления различного п/о — пакетами sccm/wsus/msi
yosemity
В каждой похожей теме находится какой-то девелопер, который начинает нести пургу про разработку. И бесполезно объяснять, что раз на раз не приходится и контор по разработке софта по определению меньше, чем контор этот софт использующих.
foxmuldercp
Я и админ и разработчик. Мне, и на некоторых проектах, с которыми я сотрудничал — на рабочей машине права урезаны, бекапы и все такое. А для разработки виртуалка с полными правами, делай что хочешь, сноси хоть всё, восстанавливай, и ставь себе хоть тонну библиотек.
ikormachev
Это, кстати, отличный метод, при котором и волки сыты и овцы целы. Когда у технических специалистов личные амбиции не хлещут через край и люди пытаются понять работу друг-друга, то всегда находят адекватные технические решения, устраивающие обе стороны.
yosemity
Чуть выше, я писал про DMZ. Виртуалка по сути то же самое, верное решение.
Alexsandr_SE
По сети дольше :) Сети тоже разные ведь бывают.
n01d
Раздавать права кому попало, или использовать принципы BYOD можно только в компании, где тех.поддержки (в плане обслуживания ПК) нет, и каждый сотрудник сам обслуживает свой ПК.
AVX
Даже для BYOD есть решения, когда рабочая среда изолирована от личной в устройстве пользователя. Есть для смартфонов, есть для планшетов и ноутов. И только эту среду и будет обслуживать техподдержка. Подробности не помню, ранее на русскоязычном форуме (ныне закрытом уже) intel были статьи.
В остальном полностью поддерживаю.
navion
BYOD и CLEO являются синонимами VDI. С исключениями в виде SMB на 5 человек, программистов и жадных помоек, заставляющих бухгалтеров приносить свой ноутбук с пиратской 1С.
n01d
Просветите неуча, что за CLEO — гугла не подсказывает :-(
navion
Это я набрался глупостей, когда читал про BYOD с точки зрения бизнеса:
https://www.linkedin.com/pulse/cl-byodcyod-cope-cleo-stacy-cody-cpsm-cpsd