Бывает, что маленькая сетка становится большой. Потом она подрастает еще и становится просто огромной. В результате, для того, чтобы сделать простейшее действие, приходится делать далеко не одно и непростейшее. И документацию приходится исправлять не раз и не два.

Мрак и ужас? Ан нет! Если документация написана хорошо, то найти концы и связать воедино несколько, казалось бы, разрозненных вещей становится куда проще. Не ленитесь, пишите.

Решил я сегодня с утра заняться увлекательным делом — просканировать подсеть своего провайдера на предмет чего-нибудь интересного. Подключился по локальному траффику и зарядил Essential NetTools на сканнинг портов 80, 443, 3128, 8080.

Каковы же результаты?

Обнаружена огромная куча веб-интерфейсов dsl модемов со стандартными паролями. Благо ЮТК привязали логины к портам на DSLAM, зачто им спасибо. Однако никто не мешает поменять пароли модема или сбросить настройки.

Обнаружено около двух десятков прокси-серверов, в основном — Squid, несколько UserGate, несколько IPCop, две MS ISA 2000, один Kerio Winroute Firewall. На сквидах и исах правильно настроены acl’и и правила, посему пытаться подключиться через них было глупо. На юзергейтах включена аутентификация, можно попробовать подобрать пароли. На айпикопах открыты только админки. На единственном керио наружу открыт только порт Clientless VPN.

Обнаружено две машины с установленными веб-серваками аля-Денвер. Естественно, все настройки по-дефолту, поэтому можно без пароля зайти с рутовыми правами в админку MySQL.

Выводы.

Подключившись к интернету по широкополосному доступу, в первую очередь побеспокойтесь о своей безопасности. Пускать слюни от высоких скоростей будете потом. Если вы не в состоянии самостоятельно настроить брандмауэр и прочий софт — попросите помощи у специалистов. Например, у меня 😉

Прости меня, z_bra! Я совсем забыл про этот прикол с базами Outlook…

Иногда бывает необходимо подвязать любимый профиль пользователя, наработанный годами к новой учетной записи. Делается это очень просто: Мой компьютер — Свойства — Дополнительно — Профили пользователей — Параметры. Выбираем профиль, нажимаем Копировать. Указываем папку назначения и новую учетку, жмем Ок. Вуаля!

Но рано радоваться. К сожалению, далеко не все программы, сохраняющие свои данные в папке профиля, используют переменные окружения. А ведь все просто: используй %userprofile% и горя не знай. Но даже Outlook использует прямые пути, в результате чего возникают проблемы после удаления старой папки профиля.

Отсюда мораль: обязательно бэкапить старый профиль! Просмотреть реестр на предмет путей наличия устаревших путей, проверить настройки программ. А то похерите почту или еще что-нибудь важное…

Update: как вариант, можете вынести базу из профиля в более другое место. И настроить автоархивацию на сетевой диск.

К моему большому удивлению, далеко не все знают о существовании групповых политик Active Directory. Это очень хороший инструмент, позволяющий применять разнообразные шаблоны настроек системы к пользователям и компьютерам. Гибкость заключается в том, что для каждого контейнера (organization unit) можно применить свой шаблон, который может наследовать настройки, либо быть абсолютно независимым.

Чтобы приступить к изучению, запустите оснастку Active Directory Users and Computers, выберите свойства вашего домена, перейдите на закладку Group Policy, нажмите Edit.

На досуге рекомендую почитать встроенную справку и статьи по этой теме, которых в интернете большое множество. Например вот эту и эту.

Хотел сегодня написать скрипт для установки времени входа у пользователей домена. Затея показалась провальной, когда здесь прочитал структуру этого поля. Приведу цитату:

Вопрос: кто-нибудь может мне объяснить, зачем применяется двойное смещение? Чтобы админы мозги не расслабляли?

Решить задачу без скрипта можно. Берем оснастку AD Users & Computers от Windows Server 2003, выделяем нужных пользователей, вызываем свойства и задаем им время входа. Способ полуручной, но хоть так.

И напоследок горькая правда жизни: «Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси» Источник 🙂

Темы дня: документация, планы работ и пароли

Админ должен вести документацию, т.к. рано или поздно сеть начинает расти и становится тяжело держать все в голове. Кстати, админам свойственно уходить, а документация остается. К тому же, хорошо написанная документация помогает при переезде на новое оборудование, а хорошо прорисованный план СКС помогает в локализации проблем.

Составлять планы работ также необходимо, т.к. с их помощью можно определить время на выполнение работ. План нужно тщательно прорабатывать и хотя бы 1 раз мысленно пройти по всем шагам и попытаться понять, какие моменты остались неучтенными. Хорошо проработанный план позволяет избежать проблем и правильно подобрать промежуток времени для выполнения работ.

Самая большая ошибка, которую допускают большинство админов — использование одного пароля. В случае утери необходимо в кратчайшие сроки поменять пароль на новый. Поэтому необходимо использовать большое количество разнообразных паролей. Для генерации и хранения есть достаточно большой выбор программ, например: Pins, Password Agent и т.д.

Давно у меня появилась мысль о написании небольших заметок для начинающих админов, а теперь появился повод претворить ее в жизнь. Писать буду про основные моменты, чтобы осталось над чем подумать. Частота выпусков будет зависеть от количества свободного времени, которого с каждым днем становится все меньше.

Итак, поехали.

Вы будете смеяться, но большинство возникающих вопросов по Windows вы найдете во встроенной справке. Нажмите F1, не ленитесь, справка написана вполне доступным языком, рассказывается достаточно подробно, есть описания смежных технологий.

Есть еще хороший источник информации: http://search.microsoft.com, поиск идет по всему порталу Microsoft, включая MSDN и Technet.

Для начала хватит 🙂