Объявление

Хотите приглашение на сайт? Пишите: niikto@samovarchik.info


 

Когда начинаем обслуживать новую организацию, следует создать специально заточенный под неё эталон, чтобы сэкономить время на настройке компьютеров для сети этой компании.
Лучше всего иметь базовый эталон, где интерфейс и ярлыки уже настроены, а обновлений, офиса - ещё не установлено.



Итак, делаем базовый эталон:

Базовый эталон будет называться начиная с 0 (с 0 у нас начинаются снимки, в которых не установлен офисный пакет), затем версия Афины на которой он основан, затем имя компании, затем атрибуты настроек, например:
0-a134_omvs_simplefsh_3printers_hosts_group-omvs-bz_no-trm-bz_no-office_snmp-srv_notimesrv_nowsus.tib
Значит это базовый снимок на Афине 1.3.4 для ОмВС, ещё простой общий доступ, уже установлены 3 сетевых принтера в эталон, hosts-уже в системе, группа omvs и ярлык уже в панели быстрого запуска, офис не установлен, SNMP-сервис активирован, локальный таймсервер не настроен, сервер обновлений в сети ОмВС отсутствует.

1) Рабочая группа.
Сперва необходимо правильно назвать рабочую группу сети компани (по умолчанию в АФИНЕ группа samovar). Чтобы сразу после установки компьютеры были в одной рабочей группе.

2) Интерфейс.
В Компании необходимо убирать лишние элементы интерфейса, оставляя те, что необходимы для каждодневных операций.
- убрать из меню "Пуск" - Помощь и поддержка, Поиск (т.к. по корпоративной политике сети мы, как правило отключаем индексирование и запрещаем доступ к большинству папок)
Ещё нужно заставить пользователя хранить данные на сервере, поэтому
- Мои документы, Мои рисунки, Мою музыку - эти пункты надо спрятать из меню Пуск (а пользователю вывести на рабочий стол ярлык не сетевую папку/диск).
Ещё в каждой компании могут быть свои особенности настройки интерфейса (например на фоне рабочего стола все параметры ПК: Имя, ip-адрес и т.д.)

3) Ярлык на рабочую группу.
На панели Быстрого запуска в АФИНЕ по умолчанию калькулятор и свернуть все окна, добавьте туда ярлык на рабочую группу сети компании.

4) Ярлык на подключение к удалённому рабочему столу.
Добавьте в панель быстрого запуска ярлык на подключение к Удаленному рабочему столу, если пользователи часто пользуются терминальными подключениями (например для работы в 1С на сервере).

5) internet-gateway, Hosts и мастербраузинг.
Если в сети компании принята статическая адресация, и активно используется файл hosts (вместе или вместо контроллера домена), надо сразу внедрить его в эталон (но не забывать пополнять его по мере необходимости, следовательно нужен bat-файл который его обновляет при внедрении).
Так же надо определить какой компьютер в сети будет MasterBrowser, и у остальных при внедрении системы отключать мастербраузинг, чтобы не было конфликтов.
Интернет-шлюз в разных подсетях компании может быть разным и менять его всё равно придётся при внедрении, но по умолчанию лучше сразу же задать какой то основной шлюз и DNS-.

6) Система мониторинга.
Если в сети компании есть (или скоро будет) Nagios-, Zabbix- и другие системы мониторинга состояния оборудования, нужно активировать snmp-сервис

7) Принтеры.
Если в компании есть сетевые принтеры к  которым необходим общий доступ (как правило - есть), необходимо установить их сразу в эталон и сделать установленными у Default User, т.к. если нет домена, то устанавливать принтеры придётся в ручную каждому пользователю на каждом ПК.

8) Доступ к общим ресурсам.
Админ-пароль у каждой компании свой, пароль базового пользователя (если он есть - тоже).
Пользователи и доступ к общим ресурсам (принтеры, сетевые папки и т.п.). Необходимо определить какая политика доступа в компании. Как правило в небольших фирмах принято пользоваться компьютерами без паролей, а доступ к папкам осуществляется по модели  "просто сделал папку доступной" как было в Windows 98. Это очень опасно и затрудняет возможности ограничения для пользователей, следовательно снижает надежность функционирования систем (каждый пользователь может убить Windows, если у него есть права доступа куда не следует). Но если отключать простой общий доступ, значит надо разрабатывать политику доступа по всей сети и раздватьа пароли, обучать пользователей не разглашать их и пользоваться ресурсами сети в условиях ограниченного доступа. Это сложно, но оно того стоит.

9) Таймсервер.
Если в сети компании используется ПО, критичное к совпадению времени, такое как 1С- (1С- просто не даст провести  операцию, если на сервере с базой и на рабочей станции время отличается хотя бы на несколько минут), необходимо использовать один из серверов как таймсервер, и ориентировать все компьютеры по нему (тогда время будет синхронизировано у всех ПК одинаково).

10) Обновления антивирусных программ.
Чем больше в сети компании рабочих станций, тем больше нагрузка на интернет-канал при обновлении антивирусной базы каждого ПК. Правильно будет завести сервер обновлений, который один скачивает обновления антивирусных баз, а остальные ПК настроить так, чтобы они обновлялись (и управлялись) с него. Как правило мы используем NOD-антивирус и его сервер.

11) WSUS.
Аналогичная нагрузка (и даже сильнее) при единовременном обновлении Windows- всех компьютеров в сети. Решается добавлением в домен сервера обновлений WSUS. Остальные компьютеры следует настроить на него. С автоматическим обновлением сложнее, т.к. иногда возможны сбои, не совместимости с свежевышедшими патчами сложившихся годами конфигураций оборудования и ПО, Поэтому некоторые ПК стоит аккуратно обновлять вручную. А иногда даже, патчи отзывают уже через пару дней после выпуска.

12) Спец.софт
У нас, например гугльТалк-клиент ставится уже в эталон, чтобы потом попасть на все компьютеры в сети, и там включен автозапуск...
Где то это может быть чат, где то программа мониторинга и т.п. (как принято в сети конкретной компании).
Ещё мы используем BGinfo, для вывода на фон рабочего стола информации облегчающей пользователю обращение в техподдержку:

bginfo-resultScreen.PNG
800 x 600   |   53.32 KiB   |   Скачано: 1816   |   Комментарии (0)
Результат применения настроек BGInfo

Базовый эталон хорош, потому что при выходе новых обновлений или новой версии Офисного пакета можно быстро собрать конечный эталон, готовый к внедрению, не настраивая интерфейс и другие мелочи заново. Но для внедрения он не годится (например обновления в сумме устанавливаются более 2-х часов, офисный пакет с обновлениями еще пол часа).

Поэтому чтобы сэкономить время будем делать конечный эталон. В отличие от базового, он будет называться не с 0, 1, а с даты ггммдд - число последних установленных в систему обновлений и дополнений (патчи, флеш-плееры и т.п.), например:
121127up-nots-nolan_a134_omvs_no-simplefsh_3printers_au-pass_hosts_group-omvs-bz_no-trm-bz_Loffice361_snmp-srv_notimesrv_nowsus.tib
Означает что в систему установлены все дополнения и патчи по 27 ноября 2012 года (но не откртыты режим TS и не сняты огранияения LAN-подключений), Система на базе АФИНЫ 1.3.4, для фирмы ОмВС, "простой общий доступ" отключен (следовательно при внедрении придётся создавать пользователей и пароли), установлены 3 принтера сетевых, админ- и юзер-пароли заданы, hosts-файл внедрён, группа omvs на панели быстрого запуска, а подключения к удалённому рабочему столу там нет, в систему установлен и настроен Libre Office 3.6.1, сервис SNMP- включен, тайм сервера и wsus-сервера в ОмВС нету.

13) Установим [и настроим для Default User] Офисный пакет. Сейчас это Libre Office (который итак идёт в виде портабельной версии в комплекте с Базовой АФИНОЙ, но в компании лучше интегрировать его в систему - и решить нужен ли его автозапуск и автообновление). Подробнее: http://samovarchik.info/viewtopic.php?id=462

14) Libre Office требует установленной JAVA от SUN/ORACLE. С версии Афины 1.3.5 мы решили ставить везде


15) Установим все патчи от Microsoft, необходимые дополнения (такие как Silverlight, .Net-фреймфорки, C++ библиотеки, hive-сервис, обновления корневых сертификатов и т.п.), дополнения от других компаний (shockvave-, flash- плееры, Air, и т.п.). Подробнее: Часть 3. Обновления и дополнения для MS Windows XP
- Кроме того могут быть сняты ограничения на терминальный и сетевой доступ к каждой рабочей станции в сети.
- Ещё в некоторых компаниях, скажем можно не ставить JAVA-машину (или ставить только в бухгалтерии, где она нужна для работы банк-клиентов).






После создания эталона для компании следует завести новый раздел на сайте. и там сделать статьи-алгоритмы установки для разных ролей компьютеров в этой компании (компьютер-рабочая станция, сервер, интернет-шлюз и т.п.). Естественно, этот раздел должен быть скрыт от посторонних пользователей сайта.

Редактировался ktokto (22.04.2013, 14:22:38)

Кстати я считаю эффективным сперва внедрить АФИНУ с простым общим доступом, и по мере того, как пользователи проникнутся удобными фишками АФИНЫ, через какое то время создать логины каждому и отключить простой общий доступ.

ещё стоит решить включать ли гугл-сервисы в систему, как это сделано у нас: гугл-чат и другие сервисы (гугль-войс энд видео в браузере уже есть в афине 1.3.4).

могут ли сотрудники с правами обычных пользователей записывать диски?
- в обычной XP - нет, в Афине - да.

 

Дизайн сайта отсутствует
оформление: Группа «САМОВАРчик»

[ Сгенерировано за 0.015 сек, 9 запросов выполнено - Использовано памяти: 2 MiB (Пик: 2.06 MiB) ]