Автор Тема: Требуется совет, домен или ну его куда подальше при таком раскладе, см. внутри.  (Прочитано 3409 раз)

0 Пользователей и 2 Гостей просматривают эту тему.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Жила была компания, сидела дружно в одном московском офисе, куда практически все ходили на работу каждый день. Посему выстраивание доменной инфраструктуры было логичным решением. Прошли годы. Компания стала расти и обрастать ОП, которые располагались по всей стране. Размер этих ОП был смешным от 1 до 6 человек поэтому речи о доменных контроллерах на площадках тех офисов даже не шло. Соответственно под управление контроллеров они не опадали. А потом пришел злой вирус и с тех пор началось. Даже в московский офис кто хочет тот и ходит а кто не хочет тот и не ходит. Некоторые год уже не были. Вот такая сказочка в которой в доменной сети оказывается по факту менее чем пятая часть рабочих мест, а остальные к ней вообще не подключаются.

В связи с этим есть два вопроса, вопроса, а нужна ли сеть на основе домена при таком вот бардаке. И есть ли хорошие средства управления и контроля за пользовательскими машинами основанная на недоменной сети?

С одной стороны конечно можно сделать VPN SSO, но вот что меня останавливает, в региональных ОП некому настраивать машины, и что то можно делать только через удаленное подключение, к сожалению здесь вариантов что то пошло не так просто очень много.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6668
  • Рейтинг: 58
  • Пол: Мужской
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
в доменной сети оказывается по факту менее чем пятая часть рабочих мест, а остальные к ней вообще не подключаются.
А почта корпоративная, нопермер?
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
А Чангу мы похороним, сразу после НГ, не надоть нам такое.


Updated: 14 December 2022, 15:58:36

Итого, обсудили с Руководителем направления автоматизации бизнеса и решили, скрипач не нужен.
« Последнее редактирование: 14 декабря 2022, 15:58:36 от Triangle »
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
а нужна ли сеть на основе домена при таком вот бардаке.
Всё просто на самом деле. Регионы хотя сидеть отдельно, пусть сидят. Но если они что-то хотят от центрального офиса, какой-то его сервис, нате, получите доменную учетку и вперед. Не нравится вам учетку вводить, пароль запоминать? Вводите компы в домен. Не хотите? Х..й вам, а не сервис центрального офиса (это предложение самое важное из всех).


Сначала вопрос:
а нужна ли сеть на основе домена при таком вот бардаке

А затем на него ответ:
И есть ли хорошие средства управления и контроля за пользовательскими машинами
AD.


Updated: 14 December 2022, 16:26:30

за пользовательскими машинами основанная на недоменной сети?
Почему тебя это должно волновать? Кто не в домене - это его проблемы. Всё.
« Последнее редактирование: 14 декабря 2022, 16:26:30 от Retif »

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Всё просто на самом деле. Регионы хотя сидеть отдельно, пусть сидят. Но если они что-то хотят от центрального офиса, какой-то его сервис, нате, получите доменную учетку и вперед. Не нравится вам учетку вводить, пароль запоминать? Вводите компы в домен. Не хотите? Х..й вам, а не сервис центрального офиса (это предложение самое важное из всех).
Ну оно примерно так и есть, с одним но, доменные политики на них а хрен там, залезть на машину собрать данные ну блн надо опять уникальную пару логин пароль той машины куда лезу. И получается не в домене они а проблемы в итоге как саппорта мои. И получается что вот управляемость через AD, и все его плюшки похерились. Ну и контроллер 2008R2, это позор... Вобщем в таком виде скрипач не нужен.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
залезть на машину собрать данные ну блн надо опять уникальную пару логин пароль той машины куда лезу
А тебе это зачем? Это ИХ проблема, не твоя.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Это как не моя проблема, мне вот ставят задачу, собери данные что у Иванова установлено. Иванову при этом на эту задачу вобщем то...


Updated: 14 December 2022, 17:09:35

Или придумай как Иванову ограничить права а то он ставит всё подряд.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Это как не моя проблема, мне вот ставят задачу, собери данные что у Иванова установлено. Иванову при этом на эту задачу вобщем то...


Updated: 14 December 2022, 17:09:35

Или придумай как Иванову ограничить права а то он ставит всё подряд.

Так и отвечай, что не могу собрать, потому что комп Иванова не в домене.

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6668
  • Рейтинг: 58
  • Пол: Мужской
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
Triangle, какбе в том числе и для этого домен и нужен...

И что сразу Иванов??
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Что мне не нравится в текущей инфраструктуре.
1. 2008R2(денег на новое не дадут)
2. Cisco SSL VPN, не новый а тот старый которому лет 15.(денег на новое не дадут)
3. Тот факт что архитектура домена практически не используется, какой мне смысл в политиках если они не применяются, просто потому что пользователь не подключает свою машину к доменной сети? (Нет мы не можем его заставить, у нас так не принято)
4. Домен создает мне проблемы при удаленной поддержке, вот сейчас у меня второй саппорт есть, какой никакой, но есть, но при всем этом бардаке я не могу обеспечить ему нормальный доступ на клиентские машины.
5. Задолбали время от времени выпадать машины которые долго не подключались к домену. И никто не может мне объяснить внятно как это чинить когда машина за 2000км.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6668
  • Рейтинг: 58
  • Пол: Мужской
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
2008R2(денег на новое не дадут)
У вас там все белое и официальное?

Cisco SSL VPN, не новый а тот старый которому лет 15.(денег на новое не дадут)
А просто штатный L2TP?

Тот факт что архитектура домена практически не используется, какой мне смысл в политиках если они не применяются, просто потому что пользователь не подключает свою машину к доменной сети? (Нет мы не можем его заставить, у нас так не принято)
Тут надо админ ресурс использовать. Ну или нет домена, нет мультиков, куда тогда юзер денется?

Домен создает мне проблемы при удаленной поддержке, вот сейчас у меня второй саппорт есть, какой никакой, но есть, но при всем этом бардаке я не могу обеспечить ему нормальный доступ на клиентские машины.
Нифига не понял, почему проблемы?

Задолбали время от времени выпадать машины которые долго не подключались к домену. И никто не может мне объяснить внятно как это чинить когда машина за 2000км.
Чинить - reset-computermachinepassword
Избежать - https://learn.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
У вас там все белое и официальное?
да, да на кой мне вероятность проблем на свою жопу то?

А просто штатный L2TP?
ну в принципе вероятно решение. ОК.

Тут надо админ ресурс использовать. Ну или нет домена, нет мультиков, куда тогда юзер денется?
Админресурса нет и не будет(ну так в этом лесу было принято), а нет домена нет мультиков, как? Ну при том что рабочие ресурсы они сейчас внешние в не внутри домена и не на моих серверах.

Нифига не понял, почему проблемы?
Не хочу давать саппорту права админа домена, LAPS, ну блин опять нужно безусловное подключение по VPN и применение политик AD, старую фичу с созданием через политики локального пользователя с правами админа убили же. вот и выходит что проще для саппорта завести отдельную локальную учетку с админскими правами руками на каждой машине и рулить при необходимости с неё.

Чинить - reset-computermachinepassword
Избежать - https://learn.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age
Ну и, для чинить нужны админские права на той машине, а вот сейчас у меня двое сидят, и одна и та же фигня, кешированого моего аккаунта не понимают, админских прав у меня нет, хотя по VPN подключаются и контроллер видят, что увеличить срок действия токена для членства в домене знаю и сделал же 180 дне но некоторые повторюсь вообще перестали ходить и подключаться к сети, как работают? Да так, почта, CRM, 1С, всё на внешних ресурсах.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Не хочу давать саппорту права админа домена
А с какой целью права-то эти давать?


Updated: 15 December 2022, 11:08:20

вот и выходит что проще для саппорта завести отдельную локальную учетку с админскими правами руками на каждой машине и рулить при необходимости с неё.
В чем проблема создать доменную учетку для саппорта и добавить её политиками в группу локальных админов?

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
А с какой целью права-то эти давать?
Да на самом деле то мне ему в домене то и не надо, мне надо ему дать их на машинах пользователей, но как я писал выше через политики нет, значит только руками создавать локальных админов и "писать на листочек"

В чем проблема создать доменную учетку для саппорта и добавить её политиками в группу локальных админов?
Если ты про старую методу создать локального админа через политики, так оно теперь не работает, признано потенциально уязвимым все дела, я две недели бился пока не нашлись те кто объяснил что это выпилили к чертям, только LASP, ну и опять оно не сработает если пользователь не подключается. Замкнутый круг.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Если ты про старую методу создать локального админа через политики
Создать доменную учетку, через политики Restricted Groups добавить ее в локальную группу Administrators. LAPS, он для локальных учеток.