Мануал по администрированию стада хрюшек

Все вопросы «а не подскажете, где мне найти...» обсуждаются только здесь.
GSerg
Шаман
Шаман
 
Сообщения: 14286
Зарегистрирован: 14.12.2002 (Сб) 5:25
Откуда: Магадан

Мануал по администрированию стада хрюшек

Сообщение GSerg » 09.01.2005 (Вс) 17:19

Есть задача почитать хороший мануал вообще и узнать нижеследующее в частности.

Есть сетка из хрюшек pro. Одна типа главная. Задача: иметь возможность легко и просто манипулировать настройками безопасности на всех остальных компах. Чтобы, значит, всё всем запрещать.
winfaq.ru в дауне, причём очень давно.
Искал в гугле, так он постоянно выводит меня на одну и ту же статью на разных сайтах. Вот кусок её:
Можно сконфигурировать права доступа на эталонном компьютере, который будет использован как базовый образ для установки на другие рабочие станции, гарантируя, таким образом, стандартизованное управление безопасностью даже в отсутствие Active Directory.


Что-то такое мне и нужно, собственно. И потом чтобы можно было прямо по сетке, всех разом (все профили должны быть одинаковые на неглавных компах).
Вот.
Как только вы переберёте все варианты решения и не найдёте нужного, тут же обнаружится решение, простое и очевидное для всех, кроме вас

Sebas
Неуловимый Джо
Неуловимый Джо
Аватара пользователя
 
Сообщения: 3626
Зарегистрирован: 12.02.2002 (Вт) 17:25
Откуда: столько наглости такие вопросы задавать

Сообщение Sebas » 09.01.2005 (Вс) 17:22

Ну, домен те в помощь.


ЗЫ: winfaq.com.ru )))
- Я никогда не понимал, почему они приходят ко мне чтобы умирать?

sebas<-@->mail.ru

GSerg
Шаман
Шаман
 
Сообщения: 14286
Зарегистрирован: 14.12.2002 (Сб) 5:25
Откуда: Магадан

Сообщение GSerg » 09.01.2005 (Вс) 17:29

winfaq.com.ru не подходит. Последние обновления датируются 2001 годом, про XP написано, что она ещё не вышла на бету.
Последний раз редактировалось GSerg 09.01.2005 (Вс) 17:30, всего редактировалось 1 раз.
Как только вы переберёте все варианты решения и не найдёте нужного, тут же обнаружится решение, простое и очевидное для всех, кроме вас

areh
Постоялец
Постоялец
 
Сообщения: 530
Зарегистрирован: 02.12.2002 (Пн) 12:28
Откуда: РОССИЯ, Салехард

Сообщение areh » 09.01.2005 (Вс) 17:29

в статье, из которой ты привел цитату, говорится об одной из возможностей в серверных версиях виндоуса, а именно о:
Службы удаленной установки (Remote Installation Services – RIS) позволяют создавать образы операционных систем или конфигураций целого компьютера, включая параметры рабочего стола и приложений. Затем можно предоставить эти образы пользователям клиентских компьютеров. Клиентские компьютеры должны поддерживать удаленную загрузку с использованием PXE (Pre-Boot eXecution Environment) ROM, либо должны быть загружены с гибкого диска удаленной загрузки.


это не совсем то что тебе надо...
а то что тебе надо я даже не знаю... может проще поставить серверную винду и поднять на ней ActiveDirectory?

GSerg
Шаман
Шаман
 
Сообщения: 14286
Зарегистрирован: 14.12.2002 (Сб) 5:25
Откуда: Магадан

Сообщение GSerg » 09.01.2005 (Вс) 17:32

Видимо да.
Просто я где-то слышал, что есть такая фича в XP, такое вот удалённое управление с распространением на всех. Просто неудобно же повторять одни и те же действия столько раз, сколько компов...
Как только вы переберёте все варианты решения и не найдёте нужного, тут же обнаружится решение, простое и очевидное для всех, кроме вас

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 11.01.2005 (Вт) 8:25

winfaq.com.ru, раздел "Форум". Он вполне живет и здравствует.
Если можно завести домен, то все делается элементарно.
Если домена нет, а есть рабочие группы, то смысл статьи в том, чтобы все машины имели идентичные настройки и одинаковые учетные записи. Лучше всего это сделать, установив эталонную машину и размножив ее с помощью, например, Norton Ghost.
Lasciate ogni speranza, voi ch'entrate.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 11.01.2005 (Вт) 12:52

Советую не пропускать WinFAQ, полезного там много. Есть еще SYSAdmins, но там народ менее "добрый" :)

На мануал конечно не тянет, но кое-что попробую рассказать.

Есть два пути - с доменом и без. Лучше конечно с доменом, но народ этого не любит. Непродвинутый пугается страшилок, а продвинутый не желает, чтобы на его компе кто-то хозяйничал. Подозреваю, что у тебя именно такая ситуация, поэтому домен пропускаем.

Рабочие станции тоже можно конфигурить по разному. Лучше всего, если юзеры будут работать под юзером или под продвинутым юзером, а пароль админа будешь знать только ты. Но на это скорее всего тоже не согласятся.

Предлагаю такую эталонную машину.

Учетные записи:
int-admin - встроенный администратор. Переименовать стандартного "Администратор" или "Administrator", лишним не будет. Задать сложный пароль.
(nobody) - встроенный гость. Переименовать, заблокировать, задать сложный пароль и забыть его.
user - аккаунт, под которым будут работать пользователи. Задать пустой пароль, установить флажки "Сменить пароль при следующем входе", "Пользователь может менять пароль", "Срок действия пароля не ограничен". Аккаунт включается в группы Пользователи и (опционально) Администраторы.

Создать локальные группы "Local Logon", включить в эту группу админа и юзера (int-admin, user). Зайти в локальные политики безопасности и выставить следующие параметры:
Политика учетных записей (блокировки и пароли) - по желанию. Я обычно ставлю блокировку после 3 попыток на 15 минут, сброс после часа.
В политиках аудита включить аудит входа в систему и доступа к учетным записям.
В правах пользователя обратить внимание на параметры "Доступ к компьютеру из сети" и "Локальный вход в систему". В первом должны быть "Все", в последний параметр добавить группу Local Logon.
В политике безопасности обратить внимание на параметр "Дополнительные ограничения для анонимных подключений" (выставить по умолчанию). Кроме того, после установки второго сервис-пака эти параметры настраиваются так, что на комп ты удаленно вообще не попадешь; их придется исправить.

С файловой системой и файловыми разрешениями разбирайся сам, но я бы сделал построже.

Затем ставишь средства для удаленного управления.
Можно вообще ничего не ставить - стандартные средства Windows + AdminPak умеют многое, но они не всегда удобны в использовании.
Если есть возможность, я бы развернул SMS, но это громоздко и без домена почти нереально. Так что поставь какой-нибудь удаленный рабочий стол, службу удаленного запуска приложений и монитор. В условиях локальной сети тебе подойтут продукты DameWare или NetOp.


Когда поставишь весь софт и сделаешь настройки, снимаешь образ системы с помощью Norton Ghost и тиражируешь его на остальные машины. Почему Ghost? Потому что он многое умеет, в том числе, и клонировать системы на машины с различным железом. С другим софтом тебе вначале придется подготовить ОС к апгрейду.
Lasciate ogni speranza, voi ch'entrate.


Вернуться в Народный поиск

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

    TopList