апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №1 (24) / ИТ-комфорт в Windows-сетях

Рубрика: ИТ-управление

Иван Коробко, сертифицированный специалист MCP, автор более 50 статей и двух книг. Занимается созданием различных приложений для Active Directory

ИТ-комфорт в Windows-сетях

Люди очень быстро привыкают к хорошему и также быстро забывают о том, кто это сделал, а то и вовсе считают, что так было всегда и за это не нужно платить

Вы никогда не задумывались, почему люди покупают новые версии приложений? Ведь используемые версии работают стабильно, быстро… Производители программного обеспечения подталкивают нас к этому решению, привязывая каппаратной составляющей. При всех прочих условиях, мы все же идем в магазин или загружаем пробную (trial) версию из сети Интернет, ведь в ней масса новых инструментов. Это путь повышения эффективности и удобства работы.

Это одна сторона медали ИТ-комфорта. Есть другая сторона, про которую многие руководители предприятий забывают, – ИТ-персонал (программисты, системные администраторы), предоставляющий массу сервисов для быстрой и удобной работы с компьютером в целом. Задача любого руководителя ИТ-подразделения не только обеспечить бесперебойную работу оборудования, внедрение новых технологий, но и создать комфортные условия для сотрудников компании.

Если усилия службы системной поддержки видны рядовому сотруднику, то труд программистов и администраторов остается, как говорится, за кадром. Нередко топ-менеджеры спрашивают, почему компания платит такую высокую зарплату этой группе программистов? Чем они занимаются? Мы не видим результатов их труда. Давайте урежем им зарплату и сократим численность. Перед ИТ-директором стоит сложная задача – отстоять нужных ему специалистов, ведь без них придется увеличить штат службы поддержки, нанять еще одного-двух системных администраторов, начать обучать пользователей навыкам администрирования и объяснять топ-менеджерам, «почему раньше работало само, а теперь нет?».

Что же такое ИТ-комфорт, и кто его создает?

Понятие ИТ-комфорта

ИТ-комфорт – это решение комплекса задач по автоматизации различных процессов в сети, позволяющих рядовым сотрудникам не отвлекаться от своей работы.

Многие топ-менеджеры уверены, что автоматизация процессов заключается в обеспечении выполнения рутинных действий системного администратора скриптом. Заметьте, о помощи рядовому сотруднику даже речи нет. На самом деле это далеко не так. Автоматизируя и актуализируя окружение пользователя с помощью интеллектуального сценария, мы позволяем работнику не отвлекаться от своих должностных обязанностей. Поясню сказанное.

Например, бухгалтеру необходимо предоставить доступ к новой базе «1С». При отсутствии ИТ-комфорта к нему должен направиться специалист системной поддержки, подключить базу данных и уйти. При должном уровне ИТ-комфорта ему достаточно добавить учетную запись пользователя в нужную группу безопасности. При следующем входе в сеть сценарий сделает необходимые изменения в профиле пользователя. Если необходимо добавить базу двум или трем сотрудникам, то выигрыш во времени незначительный, если количество велико, экономия трудозатрат очевидна. Пойдем дальше. Представим ситуацию: у редактора вышел из строя компьютер. Его необходимо заменить и настроить окружение. Если оно настраивается автоматически, то как минимум треть рабочего дня специалиста системной поддержки сэкономлено.

Над созданием ИТ-комфорта трудится не один человек, а команда специалистов по разным направлениям. К этому комплексу задач относится обеспечение унификации настроек рабочих станций, создание и поддержка окружения пользователя. Основная цель ИТ-комфорта – повысить эффективность труда, снизить издержки и влияние человеческого фактора.

Первый шаг к ИТ-комфорту сделала компания Microsoft, использовав перемещаемые профили и сценарии загрузки пользователей.

Составляющие ИТ-комфорта

ИТ-комфорт, как уже было сказано, состоит из нескольких составляющих. Некоторые из них являются штатными, т.е. предлагаются компанией Microsoft, часть требует самостоятельной разработки.

Из интегрированных решений обеспечивают ИТ-комфорт в Windows-сетях:

• перемещаемый (roaming) профиль;
• сценарий регистрации (logon sctipt) пользователей в сети;
• групповые политики (group policy).

Перечисленные сущности известны абсолютно всем системным администраторам со времен Windows NT. Они не изменяются, хотя придуманы очень давно. К счастью, есть универсальный механизм, поэтому администратор имеет определенную свободу действий. К сожалению, Microsoft не анализирует существующие решения и не встраивает оптимальные в свои продукты. «Почему?» – вопрос, который скорее всего останется без ответа. Сегодня все инструменты поавтоматизации базируются на одном из трех решений.

Перемещаемый профиль

Идея перемещаемого профиля проста. Существует ряд папок, которые синхронизируются с сервером, что позволяет сотруднику организации, перемещаясь между рабочими станциями, сохранять свое сетевое окружение.

Классическое решение

Для создания профиля необходимо выполнить ряд следующих действий:

• Создать папку на файловом сервере и предоставить ее в общий доступ (см. рис. 1). Желательно, чтобы она была скрыта от глаз пользователей. Для этого в конце сетевого имени добавляют знак доллара. В созданной папке создают соответствующий каталог, название которого совпадает с именем пользователя (см. рис. 2). Рекомендуется его именовать по короткому имени пользователя в сети (login). Следуя данной рекомендации, администратор позже сможет управлять группой, профилями группы пользователей с помощью переменных среды. В созданной папке необходимо ограничить доступ всем, кроме администратора и собственно пользователя.
• Во вкладке Profile (см. рис. 3) учетной записи пользователя в Active Directory в качестве значения параметра Profile path указывают UNC-путь к созданной папке в виде \\SERVER\SHARE. Сетевой доступ был предоставлен к корневой папке, в которой хранятся профили всех пользователей. Это позволило кардинально сократить количество сетевых папок. Таким образом, путь к профилю следующий: \\Storage\Profile$\Ikorobko, где Storage – имя сервера, а Ikorobko – сокращенное имя пользователя (login)

Рисунок 1. Создание сетевой папки для перемещаемых профилей

Рисунок 2. Назначение прав на папку конечного пользователя

Рисунок 3. Управление ИТ-комфортом в каталоге Active Directory

Данное решение имеет несколько недостатков:

• Во-первых, нужно файловое хранилище большого размера, или придется распределять данные по нескольким серверам, что приведет к усложнению администрирования системы.
• Во-вторых, необходимо следить за свободным дисковым пространством, поскольку в случае переполнения профиль пользователя не сможет корректно синхронизироваться. В конечном счете это грозит потерей данных.
• В-третьих, для снижения издержек на администрирование рекомендуется использовать соответствующий сценарий, написанный на VBScript или PowerShell, или редактировать профиль группы учетных записей.

В Active Directory с помощью графического интерфейса можно отредактировать профиль сразу группе пользователей. Для этого необходимо выделить несколько учетных записей и в контекстном меню вызвать свойства (см. рис. 4).

Рисунок 4. Групповое редактирование свойств учетных записей пользователей

Как видно, количество доступных вкладок уменьшилось, поскольку отображаются только общие. Во вкладке Profile необходимо указать путь к профилю. Поскольку он у каждого пользователя индивидуален, то нужно воспользоваться однойиз доступных переменных среды, а именно %username%. В этом случае путь будет выглядеть следующим образом: \\Storage\Profiles$\%username%.

Данный метод имеет существенный недостаток: групповой обработке подвержены учетные записи, хранящиеся в одном контейнере. На практике никто не хранит все учетные записи пользователей в единственном месте.

Попытка обойти систему и воспользоваться системой поиска не увенчалась успехом: пункт меню Properties недоступен. К сожалению, сегодня данное решение в этом виде безнадежно устарело: недостатков стало много больше, чем преимуществ. Его можно использовать только для работы с офисными компьютерами, где широко применяются сетевые приложения и данные не занимают много места. В качестве примера приведем такие профессии, как бухгалтер, работающий с сетевой версией «1С» Бухгалтерия, или юрист, использующий в повседневной жизни Консультант+. Кроме операционной системы, на их компьютерах обычно устанавливают офис (Word, Excel, OutLook).

В последних версиях серверных операционных систем все больший вес приобретают групповые политики. Именно с их помощью можно выполнить частичную синхронизацию профиля, выбрав только нужные папки. Существует мнение,что Microsoft в скором времени откажется от использования перемещающихся профилей.

Вторым предоставляемым сервисом наряду с перемещаемым профилем является автоматическое подключение сетевого ресурса в качестве сетевого диска (см. рис. 4). К сожалению, управлять можно только одним ресурсом, что всовременных условиях не удовлетворяет требованиям бизнеса.

Альтернативное решение

В современной корпоративной среде при возросших объемах информации сотрудники все меньше данных хранят на локальном компьютере и все больше доверяют защищенному дисковому пространству на файловых хранилищах. Это своего рода переход к экспорту информации в «местное» облако. Облачная технология пришла, и первые шаги были заметны давно.

Работодателю экономически выгодно купить и поддерживать одно большое хранилище, чем приобретать множество жестких дисков больших размеров и обеспечивать надежность хранения данных, создавая защищенные дисковые массивы RAID 1.

Сегодня рабочая станция постепенно превращается в терминал. Полноценный офисный компьютер преобразовался в NetTop (см. рис. 5), который крепится за монитором.

В большинстве случаев он представляет собой компьютер (ASUS EeeBox, Zotac ZBOX, Lenovo IdeaCenter) с облегченным процессором (Intel Atom, Intel Celeron).

В нем установлен небольшой по объему жесткий диск размера 1,8'' и присутствует большое количество разъемов разного типа (VGA, SATA, HDMI, USB, RJ-45), позволяющих подключать различные внешние устройства.

В нем не хранятся значительные объемы данных, и для офисных компьютеров вполне можно использовать перемещаемые профили.

Кроме офисных компьютеров, на предприятии используются и полноценные. Их количество и комплектация зависят от рода деятельности фирмы, а значит, и от используемого программного обеспечения. Данные, с которыми работают наэтих компьютерах, хранятся не на локальном диске, а на файловом сервере, защищенном от сбоев различного рода системами отказоустойчивости. На жесткий диск копируются лишь те данные, с которыми ведется непосредственная работа.

Конечно, информация хранится на сервере по заранее определенным правилам. Доступ к ней обеспечивается подключением сетевых ресурсов по разработанному алгоритму, а именно: в момент регистрации пользователя в сети [1]осуществляются формирование путей к доступным для него сетевым ресурсам и их подключение к различным буквам. При этом набор дисков у всех пользователей стандартизирован. Например, персональные данные подключаются на диск «Y». Содержание у каждого сотрудника разное, а назначение – одно. Поскольку одного диска мало, то к компьютеру подключается несколько сетевых дисков.

В любой организации используется распределенная система обмена данными, которая состоит из следующих подсистем:

• обмен данными;
• хранение персональных данных;
• хранение публичных данных;
• аудит данных.

Рассмотрим кратко каждую из подсистем.

Система обмена данными состоит из двух частей. Первая из них обеспечивает передачу данных, вторая – прием. Личная практика показала, что информация передается адресно, поэтому реализовывать подсистему передачи между подразделениями нет смысла.

Подсистема хранения персональных данных представляет собой сетевую папку с правами на изменение контента, предоставленными соответствующему лицу, при этом остальные пользователи не должны иметь туда доступ, кроме аудиторов, которые обладают только правами на чтение.

Подсистема хранения публичных данных состоит из двух подсистем. В пределах каждого подразделения существует общая папка, в которой осуществляются обмен рабочими материалами и их хранение. Сотрудники подразделения имеют права на изменение контента папки, остальным пользователям она не доступна. Назовем ее «Рабочая папка подразделения».

Взаимодействие между подразделениями осуществляется либо с помощью подсистемы обмена данными, либо с помощью «Проекта», который, по своей сути, является совокупностью рабочей папки подразделения. Если количество рабочих папок напрямую зависит от количества подразделений, то количество проектов определяется сиюминутной производственной необходимостью.

Подсистема аудита данных позволяет руководителю подразделения контролировать в режиме просмотра все данные на хранилище, касающиеся его подразделения.

Каждая из подсистем обычно предоставляется одним, максимум двумя сетевыми дисками (подсистема публичного хранения данных).

В каком виде реализована каждая из подсистем, зависит от рода деятельности предприятия, от квалификации ИТ-персонала, от уровня рядовых пользователей. В независимости от реализации системы она должна обеспечивать безопасноеи надежное хранение и управление данными. В зависимости от масштаба предприятия администрировать систему можно вручную или с помощью специально разработанных сценариев.

Сценарий регистрации пользователей

Как понятие сценарий регистрации пользователей в сети появился в Windows NT и с тех пор не претерпел каких-либо изменений. Парадокс, но сегодня он также востребован, как и много лет назад. Изменились лишь язык и функционал сценария.

Классическое решение

Классический сценарий регистрации входа пользователя в сеть представляет собой текстовый файл с расширением BAT, предназначенный для автоматического подключения каких-либо сетевых ресурсов и запуска приложений, выполняющих сервисные функции.

Спустя несколько лет, когда стал активно использоваться VBScript в связке с Windows Scripting Host [2], сценарии регистрации усложнились, а их запуск стал возможен в том числе через групповые политики.

Привязка сценария осуществляется к конкретной учетной записи пользователя в каталоге Active Directory во вкладке Profile (см. рис. 3) с помощью значения поля logon script. Так же, как и перемещаемый профиль, сценарий может быть указандля группы выделенных учетных записей пользователей (см. рис. 4). При загрузке ОС сценарий по умолчанию считывается из папки NetLogon (\\Domain\Netlogon), которая доступна с уровнем прав чтение для всех пользователей домена.

Альтернативное решение

Основной недостаток существовавших ранее сценариев – это минимальный функционал и отсутствие вариативности. Для каждой группы необходимо было создавать индивидуальный скрипт и отследить, что у каждого пользователя прописан нужный. Именно поэтому данная система трудно администрируется, и влияние человеческого фактора очень велико.

Сегодня сценарий регистрации пользователя в сети – это интеллектуальное приложение, разработанное на языке PowerShell. Для всех учетных записей используется единая точка входа в сценарий, что значительно упрощает администрирование системы, сводит влияние человеческого фактора к минимуму.

Внутри сценария уже определяется, к какой группе относится данный сотрудник, и ему подключаются соответствующие устройства, диски и т.д. Сегодня сценарий регистрации пользователей в сети решает ряд задач, среди которых необходимо выделить какие, как [3]:

• инвентаризация. Получение информации о сотруднике, конфигурации рабочей станции, установленного программного обеспечения и т.д.;
• управление сетевыми ресурсами. Подключение сетевых принтеров и дисков в автоматическом режиме на основе членства учетных записей пользователя в соответствующих группах безопасности;
• подключение баз 1С (7.7, 8.х). Список баз формируется в автоматическом режиме индивидуально для каждого пользователя на основе заданных параметров;
• настройка рабочей станции. В зависимости от потребностей бизнеса набор изменяемых параметров может меняться. К настройке рабочей станции относятся как управление раскладкой клавиатуры по умолчанию и способ переключения между раскладками, так и создание различных ярлыков на рабочем столе или в папке «Мой компьютер».

Современный сценарий регистрации пользователей в сети наряду с групповыми политиками является основным инструментом, обеспечивающим ИТ-комфорт сотрудника. Интеллектуальный скрипт сегодня представляет собой сложную систему, состоящую из нескольких частей:

• информационной. В каталоге Active Directory находятся группы безопасности, в свойствах которых описаны правила подключения того или иного типа ресурса. Информационная составляющая является необязательным компонентом иможет отсутствовать;
• конфигурационной. Как правило, это файл в формате XML, в котором описаны параметры, необходимые для получения доступа к информационной части;
• пользовательской. Сценарий на PowerShell, выполняющийся от имени пользователя на его компьютере;
• административной. Сайт на веб-сервере, выполняющий какие-либо действия с административными привилегиями на ином сервере или рабочей станции пользователя;
• управленческая. Веб-сайт или Windows-приложение, позволяющее управлять параметрами и настройками сценария в графическом интерфейсе, исключив влияние человеческого фактора на действия системного администратора.

Сценарий, решающий множество задач, состоит из компонентов, каждый из которых представлен отдельным скриптом, состоящим из пяти частей.

ИТ-комфорт в действии

Создание ИТ-комфорта является важным не только для руководителей подразделений и рядовых сотрудников, но и для специалистов системной поддержки. Приведем один из ярких примеров.

У сотрудника бухгалтерии возникла проблема – не печатается документ из Excel. Он формирует соответствующую заявку в службу поддержки: либо в письменном виде отправляет заявку по почте с текстом «Добрый день. Некорректно печатает принтер из программы Excel», либо звонит по телефону в службу поддержки.

На предприятии с отсутствием ИТ-комфорта выполнение данной задачи займет больше времени. Сотруднику службы поддержки необходимо связаться с автором заявки, уточнить его местоположение. Придя на место, выяснить, какой принтер не печатает, с какого компьютера, какая версия приложения на нем установлена. Только после того, как получены все ответы на поставленные вопросы, он может приступить к решению проблемы, посетив рабочее место пользователя.

На предприятии с высоким уровнем ИТ-комфорта сотрудник службы поддержки идентифицирует автора заявки как по письму электронной почты, так и по телефонному звонку. На его IP-телефоне отображается имя звонящего сотрудника, изадавать вопрос «кто вы?» нет необходимости. Воспользовавшись информацией, собранной сценарием регистрации пользователей в сети, во время решения задачи инвентаризации он однозначно идентифицирует местоположение пользователя на тот случай, если решение проблемы потребует его физического присутствия на месте, определяет статус пользователя: его должность, подразделение, идентификационный номер компьютера сотрудника. По этому номеру избазы данных считывают данные о конфигурации компьютера, установленном программном обеспечении и других необходимых параметрах. Все это делается в течение пары минут, не задавая сотруднику, нуждающемуся в помощи, различных вопросов, ответы на которые он не знает, и, что самое ценное, со своего рабочего места.

Для решения проблемы сотрудник службы поддержки запрашивает разрешение на удаленное подключение и решает поставленную задачу, не покидая своего рабочего места.

Благодаря вспомогательным сервисам на выполнение заявки тратится минимальное количество времени, а значит, повышается эффективность работы как обычного сотрудника, так и специалиста системной поддержки, что ведет ксокращению штата ИТ-подразделения.

Рисунок 5. Пример современного офисного компьютера (ASUS Eee Box + Монитор)

Групповые политики

Групповые политики – инструмент, впервые появившийся еще в эпоху Windows NT, только назывались они там иначе. C появлением Windows 2000 и каталога Active Directory они незначительно трансформировались и меняются до сих пор[4]. Групповые политики – по своей сути, инструмент, позволяющий вносить изменения в двух ветвях (HKLM и HKU) удаленного реестра. Почему именно в них? Потому, что пользователь, лишенный административных привилегий, неможет внести туда никаких изменений. Доступные для него ветви реестра (HKCU) обычно изменяют с помощью сценария регистрации пользователя в сети.

Комплексное использование групповых политик и сценария входа позволяет внести любые изменения в реестр пользователя, а значит, сформировать его сетевое окружение. Использование интеллектуального сценария расширяет область ивариативность действий, а в некоторых случаях и заменяет групповые политики.

И все же роль групповых политик не стоит принижать. Умелое сочетание политик и интеллектуального сценария входа в сеть позволит достичь максимального ИТ-комфорта для пользователей с минимальными трудозатратами на его создание и поддержание.

***

Основу ИТ-комфорта еще в 1996 году компания Microsoft заложила в свои продукты, однако с тех пор ситуация не изменилась, и предлагаемые инструменты устарели. Сегодня обеспечение комфортной работы – задача ИТ-директора и ряда программистов. Руководителям предприятий необходимо понимать, что ИТ-комфорт не возникает сам по себе: его необходимо создать и поддерживать, а это труд нескольких высококлассных специалистов. Качество решения этой серьезной задачи зависит не только от этих специалистов, но и от компетенции и опыта ИТ-руководителя.

1. Коробко И. На языке PowerShell. Сценарий регистрации пользователей в сети. Часть 3. //«Системный администратор», №3, 2011 г. – С. 60-65.
2. Коробко И. Администрирование сетей Windows с помощью сценариев. – СПб.: «БХВ-Петербург», 2007. – 368 c.: ил. ISBN 978-5-0775-0140-8.
3. Коробко И. PowerShell как средство автоматического администрирования. – «ДМК Пресс», 2012. – 224 с.
4. Яремчук С. Windows Server 2012. Новое в групповых политиках. //«Системный администратор», №12, 2012 г. – С. 36-39.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи