Организация Next: Восстановление

Тема данной статьи довольно необычна для технических специалистов, но обычна для Российской действительности и освещает самые главные проблемы фирмы (нет не "дураки и дороги" хотя и от этого недалеко), а "Что делать?" Н. Г. Чернышевского и "Кому на Руси жить хорошо" Н. А. Некрасов. И так начнем своё повествование.

Однажды директора фирм M в городе N очень допекло, что компьютеры постоянно ломаются, вирусы везде, деньги из он-лайн банков крадут, и тп. Подсчитал, что выгодно нанять специалиста по информационным технологиям, который как факир преобразит их фирму и поведет к светлому будущему. До этого они экономили на этой ставке в виду того, что один мальчик там что-то может тыкать и ставить винду, но последствия этих тыков все нарастали и толстели. Точкой отсчета стало, что украли со счетов ~300 000 руб через компьютер глав. бухгалтера

"там была дискета с ключем и днем странно окошки начали прыгать и деньги на следующий день куда то делись" (c) со слов гл. бухгалтера

Это и был финальный аккорд и начало нашей пьесы.

Собственно мне эту фирму и преподнесли со словами "сделай с ней что-нибудь вменяемое, если по $ договоритесь". Ну что начнем в хронологическом порядке.

• Подготовительный этап
• Оборудование
• План работ
  • Роли
  • Этапы
  • Секретные материалы
• Работа
• Проблемы
• Сетевая инфраструктура
  • Роли серверов
  • Структура домена, GP
  • Групповые политики
  • Распространение ПО
  • Общие директории
  • WSUS
  • Помощь пользователям GLPI
  • Фаервол
  • Документация
  • Резервное копирование
• Финал

Подготовительный этап

В процессе переговоров попросил ответить на три вопроса.
1. какое кол-во клиентских компьютеров.
2. что конкретно нужно и сроки исполнения.
3. какая ставка.

Ответы.
1. компьютеров ~20 (в итоге оказалось 32)
2. по срокам и конкретным работам тоже пространственно, но чтобы было безопасно и работало как часы.
3. ставка 20к руб в месяц.

Проверка

Попросил дать мне возможность проверить техническое и организационное состояние фирмы для решения того буду ли я работать с ними.

Результаты инспекции
СКС:
1. в одном здании три офиса и они не связанны между собой + филиалы но это отдельный разговор.
2. три разных интернет провайдера с разными скоростями и качеством связи. Никто не мог сказать какие это провайдеры и как заключен договор с ними.

Оборудование:
1. Стойка забитая до отказа: набита телефонией от всего здания и максимум, что можно туда поставить это что-то размером в ~5U (стоит в приемной без вентиляции и кондиционера).
2. свич D-Link DES-1250G (все патч-корды без стикеров и пометок)
3. компьютер на котором крутятся HDD диски со старого сломанного "сервера" с базами. Чудом Windows 2003 заработал на другом оборудовании при перемещении HDD.
3.1. монитор, клавиатура с мышью подключенные к нему
3.2. много рабочих сетевых сервисов на "сервере". На нем стояла сетевая 1С 7.Х с вариациями, сетевая 1С 8.Х тоже с вариациями, Консультант +, Гарант и тд.
4. UPS Smart-UPS 2200
5. Сломанный "сервер", по его останкам я понял, что это ПК с отдаленной претензией на сервер Intel® SC5650 с мамкой S3000AH.

Клиенты:
1. пользователи работали с правами администратора, установлено ПО - черт знает какое, у кого не было антивирусов, у некоторых 2-3 одновременно (у большинства стояло по два) в дополнении этого базы были последний раз обновлены 2-8 мес. назад. У каждого ПК была своя расшаренная директория для обмена файлами.
2. Везде Windows XP без заплаток и максимальный SP - SP2, а то и SP1 или его отсутствие.
3. Железо разношерстное, примерные хар-ки 2,5ГГц 512Мб RAM.

Аэл би бэк

Вернулся и сказал, что согласен только при выполнении трех условий.
1. закупка оборудования на сумму ~100 тыс. руб (больше они не могли обеспечить по результатам переговоров).
Из расчета:

• а. srv1.firma.local - контроллер домена, шары, wsus, master dns, антивирус и т.п. (W2k3)
• б. srv2.firma.local - базы данных (W2k3)
• в. thor.firma.local - обслуживание сети, slave dns, dhcp, NUT, ftp, synch (восстановлю старый сервер и там будет жить FreeBSD amd64-8.1)
• г. сетевое оборудование - хардварный фаервол

2.выполнение обязанностей только сетевого и системного администратора т.е. только сервера, сетевое\серверное ПО, работа и общение с пользователями будет в минимальной функциональности. Это контроль работы, безопасность, элементарная тех. поддержка, и поддержка ПО, которое необходимо для работы в данной локальной сети. Максимум, что могу позволить с ПО, которое не нужно для работы с СКС - это элементарная поддержка (установка и обновление) 1С, Гарант и Консультант. В дальнейшем при закупке новых компьютеров включать в их стоимость необходимое лицензионное ПО.
3. все работы и дальнейшее администрирование проводить удаленно через VPN. И самое главное все должно быть документально оформлено все права и обязанности без всяких звездочек. И я приступаю к работе после закупки всего оборудования.

Подписал договор и сказал звоните когда закупите.
Директору показал, составленный план работ, который кстати я начал в черновом варианте составлять когда инспектировал эту организацию. Он посмотрел и спросил как будут проводится работы и дату их окончания я сказал, что сначала будут установлены и настроены сервера, удаленный доступ и т.п. - это основа вертикального подхода, а потом будет и горизонтальный подход - настройка клиентских компьютеров и их ПО с дополнительными настройками. Дата окончания работ через 4 недели с условиями поставки оборудования в срок и без форс мажора, но сразу предупредил, что после этого еще 4 недели я буду держать эту фирму в тестовом режиме т.к. будет тестироваться и обкатываться техника, ПО и выявляться проблемы и баги программного обеспечения - это самое критичное время. После этого я смогу сказать, что все в порядке и можно пускать в автопилот. Итого весь сентябрь на работы, а октябрь на обкатку и доводку до ума.

Оборудование

Я отправил им список необходимого оборудования.

• Список закупки

Немного опишу. Выбирал исходя из цены и необходимых потребностей.
1. WAN - для интернета и удаленной работы выбрал проверенный временем хардварный фаервол D-Link DFL-210 с подпиской на обновление сигнатур IDS/IDP. DFL-210 недорогой как раз для небольших фирм, позволяет создавать VPN серверы, имеет поддержку сигнатур IDS/IDP, поддерживает так же антивирусные сигнатуры, есть система фильтрации содержимого, pipe и многое другое.

2. Сервера - до полноценных HP серверов по деньгам не доросли и я обратился к недорогим серверным платформам для до сборки фирмы Intel и подобрал 1U Intel SR1630HGP (конфигуратор системы и небольшой обзор) в поставку этой платформы отсутствует RAM, HDD, CPU и это необходимо нужно опционально докупать. А так же к нему необходимо: набор крепления в стойку, защитная морда, DVD-RW, SATA\SAS панель.

3. KVM - переключатель заказал Aten CS1734B без этой железки жизни не будет. Подключим 3 сервера в стойке к одному монитору, клавиатуре, мыши, в работе это очень удобно, особенно при возникновении проблем с железом или осью.

План работ

Роли

Перед созданием плана необходимо определится какие нужны серверы, и за что они будут отвечать. Необходимо утвердить наименование серверов их синонимы, наименование клиентских ПК, привязать MAC+IP, отметить IP и PORT подключений в свитче, диапазоны подсетей и т.д.
И вот как я распределил:

• Имена, IP и конфигурация

Ну начнем по пунктам:

Диапазон подсетей.

Как вы видите я разбил на четыре группы "Сервисные", "Бухгалтерия", "Общие", "VPN" и каждому выдал диапазон IP. У группы "Сервисные" и "VPN" привязка статическая без DHCP, а у группы "Бухгалтерия", "Общие" привязка к IP через DHCP по MAC. И к слову сказать последние цифры IP отображаются в имени клиентского ПК, но это позже.

Именование ПК

Здесь я указал основные сетевые серверы и группы, а так же указал их, имя, алиасы, IP, порт свича и номер по KVM.
Прошу обратить внимание на PC0050 с этого наименования начинается нумерование клиентских ПК, а так же их IP адресов. То есть ПК с именем PC0051 присваивается IP 192.168.0.51.

Советы:

• Нумерование машин происходит по часовой стрелке от входа в помещение и так по всему зданию по часовой стрелки.
• В начале можно IP и не присваивать, но при снятии хар-к ПК запишите MAC адрес и в будущем в DHCP укажите его с привязкой MAC+IP так будет быстрее и мягче переход.
• На рабочем столе клиента в место надписи "Мой компьютер" укажите новое имя ПК "PC0051" так будет легче пользователю когда ты спрашиваешь его имя ПК который и является IP. Ну не будешь же ты спрашивать, а какой у вас IP =)

Характеристики серверов

Тут я расположил таблицу где указанны сервера с их внутренним распределением HDD, САТА каналами и алиасами. Это поможет вам в будущем. Я указал два новых закупленных сервера и третий который надеюсь починить.

Маркировка

Чтобы не запутаться в компьютерах, а так же кто подключен к KVM и свичу я всегда маркирую их.

• Маркировка KVM и серверов

Я делаю вот такую простую таблицу: разрезаю и приклеиваю на KVM и сервера. Далее я маркирую патч-корды серверов и сетевых устройств т.е. с обоих сторон патч-корда указываю IP (последние цифры). Для маркировки продаются спец. блокнотики, где уже есть номера\буквы, которые можно наклеить на кабель. Так же есть программы, которые делают маркировку и потом ты со клеишь на кабель.

Этапы

Как я уже говорил ранее уже при первом посещении фирмы я начал составлять план будущих работ - это САМОЕ ВАЖНОЕ. Этапы работ - как вы представляете свои действия и что будет являться вехой для перехода к следующему этапу. В каждом этапе есть список работ с определенными зависимостями без которого вы не сможете начать следующую работу. И укажите время на конкретную работу + 20-30% сверху и столбцом времени и готовности.

Необходимо учесть, что план может дополнятся и изменятся тк бывают нюансы которые вы может упустили или не знали.

Вот какой план работ я составил исходя из того, чтобы большинство работ я мог делать удаленно.

• План работ

Рассмотрим вкратце каждый этап этого плана.

Подготовка

Все что касается сбора информации, заказа оборудования, подписания договоров. Все это должно быть тут. Но я уже заранее этот этап выполнил и можно ставить даты и степень готовности.

Нулевой этап

Этот этап важен и многие забывают о нем, а ведь при сборке может возникнуть ситуация, что чего то не хватает или может вы сами физически не можете что то сделать и требуется напарник: распутать витухи и разобраться с СКС в стойке, установить сервера, да много ли каких проблем может возникнуть.

Первый этап

Именно на этом этапе я подготавливаю себе удаленный вход, защиту сети от внешних вторжений, ограничения по работе с интернетом для пользователей и тд. Очень важно после настройки данного устройства перезагрузить его и протестировать VPN соединение с данной сетью, проверить возможность изменения правил через интернет по ssh и\или https.

Второй, Третий, Четвертый этап

Тут все понятно я собрал сервера, протестировал их работоспособность, установил ОС и сделал так чтобы они могли управляться посредством удаленного доступа. Все остальные настройки и установки специфичного ПО я уже мог делать из дому т.к. в первом этапе я обеспечил это.

Пятый этап

Это самое трудоемкое и нервное занятие - подключение к домену, конфигурирование клиентских ПК, решение ошибок ОС, контролирование что бы GP применились без ошибок, блокирование ненужных учетных данных этого ПК, объяснение пользователям как вести себя в сети, для чего нужен пароль, почему удалились все игрушки и левые программы оптимизации ПК. А так же перенос всех данных и документов пользователей в новые учетные записи. И многое другое я для этого написал небольшой Чек-лист, чтобы ничего не упустить.

• Чек-лист

Опишу каждый пункт

1. Заблокировать BIOS - это важно в виду того что некоторые продвинутые пользователи пытаются через биос сделать возможность загрузки с CD ну и программно сбросить пароль локального администратора с последующими выводами. Пароль (цифровой) на BIOS клиентских машин я ставлю один и тот же.
2. Запретить в BIOS загрузку с других устройств - запуск только с HDD на котором ОС и никаких CD, USB, NET и тп загрузок.
3. Изменить пароль для локального Администратора - я ставлю один длинный пароль на все клиентские машины.
4. Понизить в правах существующего пользователя до прав обычного пользователя - без этого никак тк обычно пользователи работают с правами администратора или самим администратором.
5. Сохранить старого пользователя, записать его логин и пароль, с именем ПК - это очень помогает при разборе полетов с пользователями
6. Удалить стороннее ПО (с сохранением, закладок браузера, почты) - я поддерживаю на ПК только необходимое ПО все остальное, что мешает работе системы подлежит удалению. Нужно без фанатизма этому следовать, что то можно и оставить =)
7. Присоединить к домену с указанием имени ПК - имя ПК уже у меня заранее зарезервировано.
8. Установить необходимое ПО, проверить как установились MSI из групповых политик. Установить полные права на необходимое специфичное ПО для пользователей домена, например для Thunderbird, спец программ и тп. - это важно и тут могут быть некоторые проблемы и нужно быть внимательным.
9. Установить удаленный доступ к ПК - для решения проблем через удаленный доступ. Вы можете для этого использовать "Удаленный рабочий стол", Netop, Radmin и тп.
10. Копирование данных со старой учетной записи в новую - именно копирование старых документов, чтобы все осталось на местах и это ОЧЕНЬ ОЧЕНЬ запомните помогает при разборках в стиле "у меня была папочка, а теперь ее нет вы ее удалили, а там отчеты и тп!" а ты и говоришь вот ваша старая учетная запись покажите, где она есть? Вопросы испаряются. Дальше идут закладки IE\FF, документы с рабочего стола и из директории "Мои документы", импорт электронной почты в Thunderbird, восстановление ссылок на необходимое установленное ПО (1С и тп))
11. Снять характеристики оборудования - это все что внутри компьютера, а так же версию BIOS, MAC адрес и тп можете воспользоваться любой программой например Everest. Сохранить характеристики в файл с таким же именем как и ПК и прикрепить в профиль данного ПК созданного в GLPI

Советы

• Подключайте поэтапно по блоку\комнате\этажу так будет легче работать с людьми и будут выявляться все скрытые проблемы.
• Проводите работу и подключайте ПК по возможности без пользователей, например в выходной день, чтобы не отнимать у них время, но сделайте так чтобы при приходе на работу у них было все на месте и они могли полноценно работать.
• На следующий день когда пользователи приходят на работу будьте там, раздайте пароли, объясните как работать и какие перемены у них будут и самое главное не планируйте в этот день ничего вы должны выявить проблемы с которыми могут столкнутся пользователи и оперативно их решить, а так же рассказать как они могут получить помощь. Узнать что им не хватает или хочется реализовать к примеру я спросил какие вам нужны сетевые директории и как они по отделам должны быть разграничены и это позитивно отразилось на отношении со мной пользователей. Оставьте свои координаты, покажите как работает тикет система и е-майл поддержки. Если у вас все прошло гладко то поздравляю и можно подключать оставшихся. Если нет то проанализируйте в чем было больше вопросов и решите проблему до подключения других компьютеров.

Дополнительно

Здесь все то, что можно делать плавно и после того как все устаканится. Это перенос БД на новый сервер, создание документации которую я веду в GLPI паралельно работе и т.п.

Секретные материалы

Самое главное - это база логинов и паролей от серверов, учетных записей пользователей, баз данных и многое другое.Хранилища БД паролей нужно для:

• удобной работы с паролями и защиты от угона файла паролей
• структурирование БД паролей как угодно
• генерации паролей по любому алгоритму
• работы без привязки к ПК например с флешки
• грамотной распечатки для работы или для архива

Я всегда делаю пароли криптостойкими и я физически не смогу запомнить подобный пароль "yAiFsx7Bw1f8p", но оно мне и не нужно. Я уже давно пользуюсь программой KeePass Password Safe. Это очень удобная программа я храню там все и пароли от сетевых устр-в и от сетевого ПО и тп. Научитесь с ней работать и вы ее полюбите!

KeePass Password Safe — это бесплатная программа с открытым исходным кодом. Она предлагает безопасное хранение всех паролей в одной базе, зашифрованной стойкими алгоритмами — AES/Rijndael с 256-битным ключом (можно дополнительно указать ключевой файл и мастер-пароль для открытия базы). Обладает многоязычным интерфейсом (русская локаль доступна для скачивания с официального сайта), обеспечивает удобный доступ к паролям (например с флэшки портативная версия). Программа работает почти со всеми версиями Microsoft Windows. Существует кросплатформенный порт — KeePassX и версии для различных мобильных платформ.

KeePass Password Safe поддерживает автозаполнение, поиск по базе, безопасную работу с буфером обмена, и многое другое. Более того — изначальная функциональность может быть расширена с помощью плагинов, которые публикуются на официальном сайте.

Советы

• Заранее создайте все учетные записи и пароли к ним от серверов и учетных записей клиентов, а так же от сетевого оборудования, ПО, баз данных, список вендоров с контактами и тп.
• Создайте два шаблона одинаковых данных один для серверов другой для клиентов. К примеру в шаблон могут войти одинаковый пароль от BIOS, от удаленного доступа и тп.
• Распечатайте БД и в папку, она вам пригодится при работе на месте подключения.

Работа

Ну что же для начала соберем все сервера установим в стойку и проверим HDD и RAM тк нам нужно долго и счастливо работать.

Проверка

Для этого я использую сборку Hiren’s BootCD, в ней есть множество замечательных утилит в том числе.

• MHDD - для проверки поверхности жеского диска и возможным ремонтом HDD
• Memtest86+ - для теста памяти

Запускаем на трех серверах и ждем окончания работы и результатов. У меня обошлось без приключений.

Обновление

Так же я захотел обновить прошивки всех серверов для этого есть специальный загрузочный образ Intel® Deployment Assistant Wizard, который позволяет настраивать и модернизировать BIOS и встроенное ПО, а также позволяет автоматически установить ОС. Для каждой платформы необходимо закачивать свой Assistant, поэтому у меня были заблаговременно записаны два диска.
И с помощью него я обновил BIOS, настроил RAID и провёл некоторые манипуляции с сервером.

Проблемы

Сервера
При установке Windows 2003 St на сервера SR1630HGP Windows отказался видеть жеские диски хоть с драйвером хоть без него. Для этого и нужен нам Intel® Deployment Assistant Wizard он спросил, что хотим ставить, где образ системы и спросил некоторые настройки. После этого он бодро закатал себе образ и скопировал в корень Windows драйвера от контроллера и сказал, что будет перезагружаться. После перезагрузки система была уже установлена. =) Пока я до настраивал два виндовых сервера до возможности удаленной работы, третий сервер с FreeBSD уже бодро качал порты и обновления из интернета.

Сеть
Как было озвучено стоял свич D-Link DES-1250G и я все три сервера воткнул в гигабитные порты вечером в воскресенье все работало, и в понедельник пришли пользователи, нагрузка на свич возросла и клиентские компьютеры стали терять интернет, сетевое соединение, доступ к расшаркам и тп.
Начал смотреть свичь, переключил сервера с портов 1Gb на 100Mb порты проблема ослабла, но не исчезла. Я сразу все понял и полез на сайт D-link за новой прошивкой и после прошивки свича все встало на место.
Так же мне пришлось ждать два дня когда фирма соединит два офиса, проведет от них СКС до свича.

Оборудование
KVM Aten CS1734B иногда после долгой работы (2-3 суток) терял монитор, клавиатуру, мышь. Лечится тоже перепрошивкой.

Клиентские ПК
Проблем было много и они были разнообразные. Начиная с того что:

• не подсоединялись некоторые ПК в домен из за поврежденных файлов (решение sfc /scannow)
• не зайти в safe mode системы из-за аналогичных проблем и\или были проблемы из-за вирусов (решение AVZ и sfc /scannow
• старые SP я обновлял сразу до SP3
• проблемы с установленным ранее ПО
• и т.п.

Сетевая инфраструктура

Роли серверов

Каждый сервер в сети отвечает за свою часть работы и их совокупность дает полноценную работу всей инфраструктуры сети. Для повышения стабильности некоторые сервисы продублированны.

• srv1.firma.local - контроллер домена, распространение ПО, настройка и защита клиентов.
  • Primary DNS
  • Active Directory
  • Групповые политики
  • Разворачивание ПО через AD
  • Расшаренные директории с теневыми копиями
  • Антивирусный сервер и точка распространения антивирусных политик и обновлений.
  • Система обновлений WSUS
• srv2.firma.local - сервер баз данных, 1С, Гарант, Консультант + и т.п.
• thor.firma.local - сервер обеспечивающий эксплуатацию СКС, подержание работоспособности серверов и сетевых ресурсов.
  • Slave DNS
  • DHCP
  • Управление питанием серверов - NUT
  • Служба технической поддержки и менеджмент ресурсов компании GLPI
  • Сетевые ресурсы - oldap, jabber, squid и тп

Структура домена

Сейчас она простая в будущем возможно будет сделана репликация Active Directory.

Групповые политики

Тут все просто я создал контейнеры для компьютеров и для пользователей с вложенными субконтейнерами.

• PC - контейнер для компьютеров с общими GP.
  • PC_Admin - ПК админов, наделенные некоторыми привелегиями
  • PC_User - все остальные
  • Servers - сервера
• USERS - контейнер для пользователей с общими GP.
  • Admin - администраторы (применяются ограничения группы USER)
  • Tech - технические учетные записи для оборудования и ПО (применяются ограничения группы USER)
  • User1 - пользователи группы №1 (применяются свои ограничения и группы USER)
  • User2 - пользователи группы №2 (применяются свои ограничения и группы USER)

Каждой группе присваиваются свои политики, но я упомяну некоторые из них.
Для контейнера PC я присвоил следующие политики.

• WSUS - настройка клиентов на работы со службой WSUS работающий на этом сервера
• Log - ограничения на кол-во записей в логах сервера по дням
• Security - ограничения связанные с работой клиентов и того что им категорически нельзя
• Preset - автоматически устанавливаемые программы
• NTDP - указание сервера времени
• Autorun - отключение автозапуска. И в дополнении я запрещаю запускать программы с USB\CD\DVD с помощью Symantec Endpoint Protection

Как вы видите я многое привязал к ПК, а не к учетным записям пользователей и это очень важно тк все довольно стандартизировано и при этом не будет постоянных изменений конфигурации и ПО. В группу пользователей я вынес только то, что должно меняться при их входе это и расшаренные директории, и закладки и некоторые ограничения характерные для определенной группы.

Советы

1. Неправильная обработка GP и присоединение к домену

Клиентом неправильно обрабатывались GP. Коды ошибок 1000, 1006, 1030 источник Userenv, UserInit. А так же неудача запроса GP и соединения с доменом.
* cmd
* rundll32.exe keymgr.dll,KRShowKeyMgr
* gpupdate /force

Для визуализации GP, применимых на клиенте, выполните
1. gpresult
2. cmd + rsop.msc

В Windows 7 можно применить следующее
1. GPRESULT /H D:/GPReport.html

2. Обновления WSUS

Если клиент не обновляется\не видно его в консоли WSUS то:
* cmd + wuauclt.exe /detectnow или Wuauclt.exe /resetauthorization /detectnow
* WindowsUpdateAgent20-x86.exe /wuforce
* WSUS client Diagnostics

3. Проблема с учетными записями клиентов домена на ПК, сетевыми директориями и тп.

Необходимо удалить кешируемые записи для устранения проблем с аутентификацией. При возникновении ошибок о не нахождении учетной записи хотя она существует и работает, и невозможности штатно подключить сетевые диски с ошибкой "Не найден пользователь" делаем:

* cmd + rundll32.exe keymgr.dll,KRShowKeyMgr
* Удаляем существующие учетные записи и перезагружаем компьютер.

4. Активное применение групповых политик

* cmd + gpupdate /force

Распространение ПО

Как вы уже видели групповая политика распространения ПО по сети это "Preset" в ней я указываю, что нужно ставить обязательно, а что по выбору пользователя. Так же как и что обновлять.

Как вы видите тут несколько программ и их обновления. Необходимо чтобы все программы были доступны по сети, те должны находится в сетевой директории после применения GP на компьютере при следующем перезапуске все это программное обеспечение будет установлено или обновлено.

Общие директории

Общие директории для офисной сети важны, а так же важно чтобы они работали хорошо, была возможность откатить до нужной даты ФС если нужно восстановить удаленный файл. А так же распределить чтобы при входе пользователя монтировалась сетевая директория нужной группы пользователей.
Так же я в свойствах нужной директории указал необходимость "Теневой копии" и включил ее создание через каждые 4 часа с ограничением общего объема до 10 Гб.
К примеру я сделал несколько сетевых директорий на сервере.

• Shared_1 - для пользователей группы 1
• Shared_2 - для пользователей группы 2
• Software - место дистрибьютора программ
  Administrator - специальное ПО которые которое устанавливает только администратор
  ISO - образы систем и программ
  Preset - программы в MSI формате для установки через GP домена
  Standart - все остальные программы

Для автоматического монтирования сетевых директорий при входе учетной записи в домен необходимо создать GP в контейнере нужной группы и указать параметры подключение в bat.

Shared_user.bat

net use * /delete /yes
net use X: "\\SRV1\Shared"

Расшаренные директории в FIRMA.LOCAL

В сети существует несколько типов директории:
Пользовательский
o Сетевой путь: \\SRV1\Shared

Административный
o Сетевой путь: \\SRV1\Software

Резервные копии
o Сетевой путь: \\SRV1\Backup

Пользовательский
Сетевой путь: \\SRV1\Shared
Права:
o Администраторы домена чтение\запись
o Пользователи домена чтение\запись в своих директориях
Структура:
o FIRMA
+ Shared-1
+ Shared-2 (для пользователей по фамилиям)

На диске D на сервере SRV1.FIRMA.LOCAL, где находится директория Shared включена поддержка "Теневых копий".
Расписание:
o Ежедневно с 08:00 до 17.00 через каждые 4 часа

Административный
Сетевой путь: \\SRV1\Software
Права:
o Администраторы домена чтение\запись
o Пользователи домена чтение
Структура:
o Software
+ Administrator - Программы для установки только администратором в виду наличния лицензий или тонкостей в установке
+ Drivers - Драйвера
+ Backup - резервные образы систем
+ ISO - Образы необходимых ОС и программ
+ Preset - Программы для распространения через GP
+ Standart - Сборник стандартных программ для возможной установки

Резервные копии
Сетевой путь: \\SRV1\Backup
Права:
o Администраторы домена чтение\запись
o Пользователи домена чтение
Структура:
o License
+ New_install - Образы новых инсталяций систем.
++ Servers - Сервера
++ Hosts - Клиенты
+ Work - резервные образы работающих систем
++ Servers - Сервера
++ Hosts - Клиенты
o Config - конфигурационные файлы устройств

Автоматическое подключение
Директории подключаются средствами GP согласно группы учетной записи.

Admins
net use * /delete /yes
net use X: "\\SRV1\Shared"
net use Y: "\\SRV1\Software"

Users
net use * /delete /yes
net use X: "\\SRV1\Shared"

WSUS

Windows в интернете без заплаток это как голой попой на ежа. Я всегда разворачиваю службу WSUS в домене это позволяет повысить безопасность работы клиентов и повысить устойчивость работы ПО.
Советы

• При большом и разнообразном парке ПО от Microsoft выделяйте большой раздел жесткого диска под WSUS
• Создайте хотя бы две группы, к примеру "Test" и "PC" в первую группу поместите 30% компьютеров, во вторую 70%. И при появлении новых заплаток сначала примените в группу "Test" и если после применения (1-2 дня) все прошло успешно то можете разворачивать данные заплатки в группу "PC". В больших группах компьютеров ~200-500 и тп я рекомендую распределять так если по процентам то 10% 15% 30% 45% или блочно отдел, этаж, здание. Так вы избежите больших проблем.

Помощь пользователям GLPI

Для своего удобства в работе я заставляю пользователей переходить от звонков к тикет системе и отправкой е-майл в суппорт систему. И необходимо показать как с этим работать, а так же проследить чтобы они под вашим присмотром смогли сами сделать свой первый запрос в поддержку. И в дальнейшем принудительно переводите на ее использование всех пользователей. Невсегда это получается , но стремитесь к своей цели.
Как уставновить и настроить GLPI см тут.

• GLPI - Менеджер ресурсов компании

Фаервол

Всегда ведите документацию по всем работам и в том числе о том какие порта разрешены для работы в интернете, а какие запрещены. Вот к примеру небольшая выдержка из моей документации по фаерволу из базы знаний GLPI.

Разрешенные порты:
Сетевые сервисы
o DNS: 53 (UDP)
o Ping - ICMP
Веб
o HTTP: 80
o HTTPS: 443
Почта
o POP3: 110
o SMTP: 25
o SMTPS: 465/TCP,UDP
o IMAP: 143
o (IMAPS): 993/TCP
Внешние сервисы
o SSH: 22 (remote access)
o Telnet: 23 (remote access)
o FTP: 21, 20 для команд и для данных
o NTP: 123 (UDP)
o XMPP: 5222/5223 - клиент-сервер, 5269 - сервер-сервер (Jabber), 5298, 9090,9091 - веб админка.
o ICQ: 5190
o # Torrent: 45678 (6969, 6881—6889) - закрыт
o cvsup: 5999
o PPTP: 1723/TCP,UDP, 47
Рабочие программы
o MSSQL: 3306
Из VPN в WAN [DNS суффикс firma.local]
o Ping: ICMP
o SSH: 22 (lannet)
o WEB: 80:443 (lannet)

Все остальные порты отключены.

Документация

Главное в работе и последующей эксплуатации - грамотное ведение документации. Вы можете записывать все, что посчитаете нужным для того чтобы эксплуатация всего комплекса, даже у замещающего вас человека, не вызывало вопросов. В документации может быть и структура сети, и правила применимые в этой СКС, и сборник ответов на вопросы по проблемам и faq для пользователей и список устройств с IP и многое другое. И желательно сделать бумажные варианты документации со списком паролей и сложить в папку так иногда на месте проще решать проблемы.

Резервное копирование

Тут я поступил просто я настроил:

• Windows 2003 - NTBackup
• FreeBSD - dump\restore

И каждые две недели по cron\планировщику проводится бекап полного образа систем. Как вы заметили в пункте Роли есть документ Имена, IP и конфигурация и там я под каждый сервер зарезервировал отдельный диск Backup на который и сохраняются бекапы.

Финал

После всех работ и фиксирования когда и что сделал я получил следующий вид плана.

• Реализованный план

Итого все работает и не требует вмешательства, FreeBSD и ПО серверов Itel шлют отчеты о состоянии работы. И я захожу иногда проверить логи, разрешить новые заплатки в WSUS, и добавить новое ПО для обновления программ. И при возникновении проблемы с пользователями я могу заходить удаленно на их компьютер и быстро решать проблемы а не ехать за 200 км к ним. И следующий этап работы с предприятием это создание для них корпоративной почты и веб сайта.