12.04.07, Денис Смирнов написал(а): > NG> Здесь действует правило: любой винчестер может быть переформатирован > NG> в любое время. Все работают с централизованной базой. > > Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут > лежать какие-то документы, и который тоже backup'иться. "My Documents" > указывала на сетевой диск, так что все было в этом смысле нормально. Но > это нужно только в том случае, если не вся работа менеджеров может быть > четко сформулирована в рамках этой базы (например если они изобретают > какой-нибудь способ раскрутки, связываются со сторонними компаниями > предоставляющими клиентов, или ещё что хитрое и не предусмотреное при > создании базы творят).
К сожалению, рядовые менеджеры ничего этого делать не могут :-( Если у них есть какие-то мысли, они обмениваются ими по почте (лежит на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им голову всякой фигней. А если есть возможность сохранять MyDocuments - сразу начинается левак, кривые сметы, составленные не через общую базу а в экселе и т.д. В общем, лучше не искушать людей :-) > Единственное что -- совсем полезно таки сделать образы диска, и реально > раз в неделю-две разворачивать систему с образа. Чтобы не повадно было. Ну вот это не знаю... Все-таки они как минимум винду подстраивают под себя. Ставят размер шрифта, картинку на десктопе... и т.д. А морочиться с контроллером домена и общими настройками ради такого дела не хочется. > NG> Заказы, с > NG> которыми работа не ведется дольше месяца, отправляются в архив, куда > NG> менеджеры доступ не имеют. > Кстати это автоматом делается? Как как? По крону, разумеется :-) Если у заказчика ничего не менялось и не добавлялось в течении месяца - туды его, в качель. > Жутко интересно попытать тебя на предмет > какая вообще информация о заказе хранится. У меня сейчас заказ == данные > требуемые для подготовки первички + ссылка на заказчика, в инфе о котором > все реквизиты, всевозможные контакты и несколько полей для комментариев. Ну во-первых, реквизиты заказчика, контактные лица, далее составленные коммерческие предложения (на основании которых формируется первичка) и договора - в виде отдельных вордовских файлов. К сожалению, автоматизировать составление договора не представляется возможным, поскольку договор отсылается заказчику по почте, а он в свою очередь обязательно в нем что-нибудь поправит: запятую где-нибудь переставит на другое место и т.п. То есть исправления могут быть совсем незначительные, но раз уж он так хочет - пусть будет. По этому максимум что можно сделать - это сохранять все версии договора в виде вордовских файлов и внутрь их не лезть. Хорошо бы еще, конечно, сделать diff двух файлов, но это уже задача более сложного порядка :-) > NG> Офис 2. Бухгалтерия, юр.отдел. > > Кстати о базе -- они работают с тамошней базой, или ты не поленился > сделать репликацию? Поленился :-) К счастью, интернет работает достаточно стабильно, а трафик ни у менеджеров, ни у бухов никто не считает. > NG> В интернет в случае надобности ходят с консоли их сервера под гостевым > NG> паролем, где крутятся иксы и firefox. Доступа с сервера на их > NG> компьютеры для гостя нет. При необходимости пересылки текстовой > NG> информации, они могут послать себе письмо с этого компьютера на свою > NG> рабочую машину. > > А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов, > вроде mosnalog.ru и прочих аналогичных? В связи с тем, что это им не нужно. Чтобы не задавали глупых вопросов "а почему mosnalog можно а xyz нельзя". Или "а почему я нажала на ссылку (банер) а она не работает". Помимо этого, точный список сайтов, к которым следует разрешить доступ, мне не известен. А еще, в бухгалтерии у нас работают люди... м.... старшего возраста, увидевшие компьютер не очень много лет назад. Со всеми вытекающими отсюда последствиями. Так получилось. > NG> Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный > NG> сервис-центр. > NG> Хитрая система: локальные компьютеры доступа к интернету напрямую не > NG> имеют. Если им нужен интернет - они включают на своем компе X-сервер, > NG> после чего ходят в интернет с удаленных терминалов с сервера. (Криво > NG> сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на > NG> свою рабочую машину - они копируют данные в определенную папку, > NG> которая в свою очередь видна с их компов через FTP. > > Бухам не стал такое делать, потому как "для них это слишком хайтек", или > были ещё причины? Опять же, им это не нужно. Помимо этого, я не уверен, что наш главбух разберется в иксах, работающих под виндой, да еще и по сети со своими заморочками :-) А еще нефиг из интернета всякие проги устанавливать и вирусов таскать. Пусть на линухе попробуют :-) А то, блин, дали уже как-то в пенсионном фонде дискету с прогой зараженной. Хорошо что последний дисковод сломался года этак два назад :-) > NG> Если консоль не нужна одновременно нескольким людям, кто-то один может > NG> работать на локальной консоли сервера. Все же иксы по сети виндошные - > NG> это не так удобно как настоящая консоль. В общем, кто как. Есть люди > NG> которые любят свою мышу, свою клаву, свой стул и свой стол и никуда > NG> переться не хотят чтобы почту проверить. > > Кстати, а им почему не разрешили почту локально? Чтобы не придумали > способов таки послать через эту почту файлик (ююками хотябы)? Именно. Чтобы максимально усложнить жизнь желающим вынести что-либо за пределы офиса > Хотя все это > тоже не гарантировано. Если икссервер умеет copy&paste, если найдется > более-менее квалифицированый товарищ который захочет вынести -- вынесет :( Про эту дырку я знаю, как ее закрыть - хз. Поставил X-сервер, не умеющий copy&paste :-) > В SecretNet для этого мандатный контроль используют, который в том числе > буфер тоже контролирует, и данные не позволит скопипастить из ценного > файлика в какое-либо приложение, кроме имеющего право на работу с этой > информацией. Немного не понятно, он это делает на стороне x-server? Или на стороне работающих приложений? Если на стороне иксов - не годится, поскольку программистам необходим администраторский доступ для работы. Если на стороне приложений - а что мешает тем же сервером вбить содержимое клипбоарда как будто текст на клавиатуре набрали? Кстати, по-моему он так и делает. > NG> Есть некоторые тонкости организации безопасности канала по которому > NG> работают иксы, пришлось немного KDM подпатчить. Если интересуют > NG> подробности - расскажу. > > Безусловно. > Шлите патчи (c) :) В кратце - при логине юзверя поднимается правило файрвола, которое разрешает ему доступ, при выходе - правило опускается. Подробнее искать надо... > NG> На сервере имеется папка для бекапа, куда ежедневно все сотрудники > NG> уходя с рабочего места обязаны клать исходный код проекта, над которым > NG> они сегодня работали. > > Логично. А просто заставить их в добровольно принудительном порядке класть > все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их? Тогда они не смогут смотреть свой бекап по датам. Когда смотришь и видишь, что реально за последнюю неделю ты ничего полезного не сделал - очень стимулирует мыслительный процесс :-) > NG> Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на > NG> чтение, таким образом испортить они ничего не могут. Бекапы выборочно > NG> проверяются на предмет, не лежит ли в них мусор вместо работы. В > NG> случае выявления подобных проделок - человек увольняется в 24 часа без > NG> зарплаты (пока что только один раз было такое). > > Разумно. Естественно приемка работы происходит именно по содержимому > бэкапа? Само собой. > NG> Доступ к чужим бекапам имеет только начальство. Если нужно передать > NG> что-либо с компьютера разработчика наружу (например, схемы или готовые > NG> программы) - это делается через начальство. Если несколько человек > NG> ведут работу над одним проектом и им необходимо регулярно обмениваться > NG> данными - они могут делать это, опять же без возможности выноса данных > NG> за пределы рабочей группы. > > Каким образом их взаимодействие организовано? Шареные папки, или более по > человечески? Здесь я особо проблем безопасности не вижу - так что все делается через самбу. > NG> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на > NG> них нет. Все флешки, диски и прочая фигня проносятся только через > NG> начальство. > > А куда суются разрешенные флешки если USB-порты опечатаны? В мой личный комп :-) Сам понимаешь, флешка, попавшая в мой USB-разъем, будет как минимум скопирована ко мне на винчестер :-) Флешки объемом больше 1 гига не принимаются :-))) -- С уважением, Nick Gavrikov _______________________________________________ Sysadmins mailing list [EMAIL PROTECTED] https://lists.altlinux.org/mailman/listinfo/sysadmins
