مدیریت دومین و جلوگیری از هرج و مرج

خوب راه حل چیه :) این بچه زرنگا ما رو دور نزنن.ایده های نابتون رو گین

باتشکر

یک برداشتی از پست قبلی من شده که فکر می کنم باید توضیح بدم

من نگفتم لج بازی کنید و کابل شبکه رو قطع کنید .عرض کردم که از توی روتر غیر فعال کنید یا از سوئیچ بکشید اما وانمود کنید که چون توی دومین نیست این مشکل پیش اومده .... و نکته مهمتر اینکه :

""من توی تمامی پستهای این سئوال شما عرض کردم که اینها ایده است و قرار نیست دقیقا به همین روش عمل کرد""

هزینه Zero Client برای سازمانی که تعداد زیادی PC داره بالاست.اشتباه متوجه منظورم نشوید.اتفاقاً استفاده از Zero Client ها در مقیاس بزرگ بسیار به صرفه تره و تحقیقات این رو نشون داده.اما در سازمانی که از روز اول تعداد زیادی PC خریداری کرده ، اوضاع فرق میکنه.

من یه پیشنهاد خیلی خوب براتون دارم:

اگر واقعا اینقدره کارکنای شرکتتون این همه دخالت بیجا میکنن توی کار و خودشون اقدام به نصب ویندوز میکنن، به نظرم بیاین از یه ویندوز خاص با برنامه هایی که مد نظرتون هست رو در قالب یه فایل WIM ازش Image بگیرین و اونوقت یه MDT Server یا WDS Server که هر دوی اینا وظیفه نصب ویندوز از طریق شبکه رو دارن راه اندازی کنین.

مورد بعد اینکه DVD ROM تمام کلاینت ها رو از روشون بردارین تا نتونن خودشون ویندوز عوض کنن و روی بایوس تمام کامپیوترام رمز بزارین تا کسی نتونه سرخود ویندوز عوض کنه، و فقط و فقط توانایی نصب ویندوز شخصی سازی شده شرکتتون رو اونم تنها از طریق شبکه که Join دومین هست داشته باشه.

اتفاقا من یه ویندوز سفارشی رو ساختم و ازش با Acronis بک آپ گرفتم.به دلیل گستردگی شبکه هنوز WDS رو اجرا نکردم.ولی این Backup رو به تعمیرگاه تحویل دادم و اون هم روی سیستم ها این رو Restore میکنه.ولی خوب هنوز نتونستم به این نتیجه برسم که Domain base شدن این شبکه ، کارهای ما رو کمتر میکنه یا نه ! ولی اعصاب خوردی زیادی رو داره.چون از روز اول Workgroup بودن و به سختی میشه این عادت رو به اون ها ترک داد.ولی خوب من کاری که تا الان کردم ، این بوده که سیستم هایی که ویندوز خودمون روش نبوده ،مشکلاتشون رو حل نکردم و شرط ام این بوده اول تعمیرگاه برن و بعد مشکلی داشتند من حل میکنم.و جالب اینه ویندوز سفارشی خودمون انقدر بی ایراده که یه بار نصب بشه ، دیگه سراغ ما نمیان :)

ولی من فکر میکنم بازکردن CD-ROM و رمز گذاشتن روی Bios و پلمب کردن سیستم ها چاره کار نیست.به نظر من یا باید فرهنگ سازی کرد که خییییییلی مشکله یا باید ما خودمون حرفه ای عمل کنیم.به نظر من بهترین اهرم فشار همین بستن DHCP هستش.ولی خوب DHCP سیستم Workgroup رو از Domain تشخیص نمیده ! کاشکی میشد کاری کرد که DHCP به سیستم های Workgroup هیچوقت IP نده.اینطوری قطعاً مجبور میشن به حرف ما گوش کنند.

درضمن چون تعداد PC ها خیلی زیاده ، اصلا نمیشه برای این تعداد PC رسانه SSD تهیه کرد! همچنین جابه جایی اطلاعات و ... خودش یه معضل بزرگه.زمانی که هنوز شرکت اطلاعاتی نداره و تعداد کیس اش کمه این فکر شما فکر خوبیه

واقعا از مهندس شوهانی عزیز تشکر میکنم.بله ایشون واقعا از اساتید درجه یک زیرساخت و مباحث مربوط به CISCO در ITPRO هستند و مقاله های خوبشون من رو در راه اندازی Port Security خیلی کمک کرده اند. اونجا با MAC آدرس کار خیلی راحت بود.ولی خوب من نمیتونم درک کنم چه ارتباطی میشه بین لایه دوم و لایه Application برقرار کرد!؟

البته قسمت اول از مقاله مقاله: 802.1x و IBNS چیست رو خوندم و شما خودتون نوشته بودید : «براساس تعاریف این تکنولوژی یک تکنولوژی لایه دو هست و مکانیزم کاریش و تبادل اطلاعات بین دستگاه مثل سوئیچ و کلاینت در لایه دو اتفاق می افته و از پروتکل EAP که یک پروتکل لایه دویی هست استفاده می کنه اما برای احراز هویت از پارامترهای مختلفی میشه استفاده کرد مثلا از یوزر و پسورد های اکتیودایرکتوری که یک سرویس لایه هفت محسوب میشه می تونه استفاده کنه » !

ولی من درک نمیکنم این ارتباط چه طوری برقرار میشه !؟ برای درک این موضوعات خوندن چه مباحثی پیشنهاد میشه !؟ من میخوام این کار رو عملی راه اندازی کنم.به چه دانشی و چه تجهیزات نرم افزاری و سخت افزاری احتیاج دارم.البته باید بگم من از CISCO چیزی نمیدونم و حتما باید حداقل تا سطح CCNP مطالعه کنم.ولی یکی مشغله ام زیاده یکی هم تنبلی میکنم.

برای انجام و پیاده سازی این کار شما آموزش عملی هم در سایت وجود دارد !؟

امضای من رو هم جدی بگیرید و هم جدی نگیرید ! جدی نگیرید چون شوخی کردم ! جدی بگیرید ، چون که ازدواجی که بر اساس شناخت و معیارهای محکم و درست حسابی نباشه و از روی احساسات باشه ، عاقبت اش همین جمله ها میشه ! برای اینکه این پست ام اسپم نباشه ، شاید بتونیم یه قیاس بین ازدواج و دومین داشته باشیم! اگر بخواهید خیلی سخت هم بگیرید و دنبال فرشته هم باشید شاید هیچ وقت نتونید ازدواج کنید.در بحث دومین هم اگر بخواهید سخت بگیرید شاید هیچ وقت نتونید اجرایی اش کنید و یا اگر اجراش کنید به قول دوستمون همه دشمنمون میشن :) البته خیلی وقته میخوام امضامو عوض کنم ، فرصت نکردم :)

این جمله شما که فرمودین "به نظر شما چرا مایکروسافت ، فکری به حال این موضوع (مشکل) نکرده !؟ ""

جالب بود

دوست عزیز اینکه یوزرهای شما از شبکه خارج میشن و هرکار دیگه می خوان انجام میدن یک بی قانونی و قانون گریزی است و در اینجور مواقع در کشورهای قانونمند و حتی در بخش خصوصی ایران مسئول it یک گزارش می نویسه برای مدیر مجموعه که این مشکل در شبکه توسط فلان یوزرها بوجوداومده و با توجه که این خروج از شبکه با هدف کم کاری و سوءاستفاده از ساعت کاری برای امور شخصی است و استفاده نابجا از کامپیوترهای مجموعه و برای امور شخصی است. مدیران مجموعه برای جلوگیری از سوءاستفاده به سرعت وارد عمل میشن و جلو این مشکل رو میگیرن

و یک موضوع دیگه هم اینه که در کشورهای قانونمند هر کسی مسئول کاری است و گاهی حتی برای عوض کردن یک لامپ (ویندوز که جای خود داره ) هم مسئول دارن و مسئولش باید این کار رو انجام بده ضمن اینکه در کشورهای منظم و جهان اولی افراد فقط بر روی یک رشته خود و پیشرفت در یک مسیر مشخص تلاش می کنند نه مثل ما ایرانیها که فکر میکنم بچه های 10-12 ساله هم برنامه نویسی میکنند و ویندوز عوض میکنند و راجع به بیماری و پزشکی هم نظر میدن

همین چند وقت پیش یک مدیر کانال تلگرامی رو گرفته بودن که 15 سالش بود و خودش رو پزشک روانشناس معرفی کرده بود و 6500 تا عضو داشت که حدود 200 تاشون کارشناس ارشد روانشناسی بودن و سئوالات تخصصی روانشناسی می پرسیدن....

بهش گفتن چطور سئوالات تخصصی رو جواب میدی گفته بود توی نت سرچ میزنم و اگر پیدا نکردم از یک پزشک سئوال می کنم و جواب میدم...

بگذریم داستان این بی فرهنگی و درد زیاده...

استاد اگه از نظر شما این یه مشکله و همین دو تا سوالی که مطرح کردید یعنی نصب ویندوز توسط یوزرای شرکت بدون کنترل مدیر ای تی و پراکندگی سخت افزاری در توپولوژی شبکه هستش .دقیقا سه روز دیگه ویدیوی آموزشی مرتبط با این موضوع رو آپلود و در اختیار شما قرار میدم.توی این آموزش نحوه کنترل تمام یوزرای شرکت به روشهای مختلف که 1-هر یوزری فقط پشت کامپیوتر خودش بشینه 2-نتونه ویندوز نصب کنه نتونه به پورتهای سخت افزاری برسه و همچنین نتونه به فایلهای شیر شده غیر مرتبط برسه.و کامپیوترش فقط یک اینترفیسی بشه که فقط از طریق اون بتونه کار کنه.نه اینکه هر کسی بیاد ویندوز نصب کنه یا فلش میموری بذاره شبکه رو ویروسی کنه این چجور شبکه ایه من اولین باره اینجوری میشنوم که یوزرا عادت کردن به ورکگروپ توی دومین هم هر کاری دلشون خواست انجام میدن.

دوست عزيز باز هم من ميگم شما بيا و از زيرو كلاينت استفاده كن ويندوزش رو كسي نميتونه عوض كنه كسي نميتونه از دامين خارج بشه و خلاصه مثل اين ميمونه كه همه كيس ها در يك اتاق بسته است و فقط مانيتور و موس كيبوردش و اينجور چيزاش در دست كار بر هست و شما كنترل كامل داريد

سلام

یک ایده دارم اساتیدی که به گروپ پالیسی مسلط هستند می تونن بهتر راهنمایی کنند

به نظر من بیان یک گروپ پالیسی خاصی توی شبکه بزارین که با اون گروپ پالیسی خاص نرم افزارها (اتوماسیون ) باز بشه و با غیر اون پالیسی باز نشه ..... اینجوری تا یوزری جوین دومین نشه اون پالیسی خاص اعمال نمیشه و اون نرم افزار کار نمیکنه

مثلا برای باز شدن اتوماسیون یک آدرس خاص و سخت بزارین (از ریدایرکت کردن هم می تونید استفاده کنید) و با پالیسی این آدرس روی home بروزر بزارین....یا پالیسیهای دیگه.....

دقيقا بايد همين كاري كه بالا خودتون عرض كرديد رو انجام بديد تا اگر كسي جوين نبود عملا اون كامپيوتر براش بي استفاده شه و اينكه بيايي يك هارد يا ssd ظرفيت پاين روي سيستم ها بگذاري كه كاربر براي ذخيره اطلاعاتشم كه شده جوين به دامين شه

داداش من که گفتم کارتون شبکه ای نیست کامنتمو دوباره بخونید آخرش کشید به ازدواج و امضاء و آخرش طلاق منم به کلمه ازدواج خیلی حساسم

یه راه حل بگم امتحان کنید ضرر نداره شاید مشکل حل بشه

شما تمام پورتای یو اس بی و درایورای سی دی و دی ویدی و فلاپی و امثال اینارو ببندید که کسی نتونه ویندوز نصب کنه

به شرطی که کامپیوترا جوین بشن به دومین بعد از اکتیودایرکتوری مشخص کنید که کدام یوزر به کدام کامپیوتر میتونه لوگون کنه

حالا دیگه فقط خود شما میتونین به عنوان ادمینیستریتور دومین وارد هر سیستمی بشید همچنین یه سیستم برای خودتون تعیین کنید WDS روش نصب کنید و فقط از WDS ویندوز رو برای سیستمهای توی شبکه نصب کنید هم سرعتش 10 برابر نصب عادیه

هم یوزرا نمیتونن اینور و اونور بپرن ویندوز نصب کنن.

من به همتون احترام میزارم (این شعار منه)

این سوالتون که مشکل شبکه ای نیست.کار آی تی بازدارندگیه شما چون قبلا ورکگروپ کار میکردید و به دومین منتقل شدید

شبکه شما احتیاج به یک پیکربندی اساسی داره.

از نظر من این یه مشکله ! خودتون هم میفرمایید کار آی تی بازدارندگیه.خوب بازدارندگی ما اینجا جلوگیری از Work group شدن Client هاست.به نظر شما چرا مایکروسافت ، فکری به حال این موضوع (مشکل) نکرده !؟

حالا حتما نباید از همین پالیسی که گفتم استفاده کنید

یک کم فکر کنید شاید پالیسی بهتری پیدا کردین؟ مثلا برای اینترنت وب پروکسی تعریف کنید و بروزرها رو از طریق پالیسی وب پروکسیشونو تنظیم کنید تا اگر کسی به دومین جوین نشه پروکسی ست نشه و اینترنت نداشته باشه...

یا مثلا آدرس اتوماسیون رو یک چیز عجیب و بی ربط و خیلی خیلی طولانی بزارین که نشه تایپ کرد و اونو با پالیسی توی home بروزرها بزارین تا کسی نتونه بدونه وارد شدن به دومین آدرس رو داشته باشه...

من از طراحی سایت و برنامه نویسی زیاد سر در نمیارم اما یک راه دیگه اینه که باز شدن اتوماسیون رو منوط کنید به تنظیم خاصی روی بروزر و یا نرم افزار خاصی که قبلش باید نصب بشه... و تا اون تنظیم انجام نشه یا نرم افزار نصب نشه اتوماسیون کار نکنه و با تنظیم پالیسی اون نرم افزار و تنظیم روی بروزر رو روی شبکه دومین نصب کنید و تنظیم کنید .....

با سلام به شما ای تی پرو های گرامی

این مشکلی که شما باهاش سر در گریبان هستین همون چیزیه که در اوائل کار من در این شرکت باهاش درگیر بودم

کار یک آی تی من IT man اینه که به کاربران جهت بده یعنی شمایی که باید اونها رو مهندسی اجتماعی کنید

اول از همه مستندات شبکه تون رو کامل کنید

1)نقشه ی نود ها، هوپ ها ،لن، سویچ ها، یوزرها و همه و همه رو تهیه کن(بک بون،گلوگاه،مسیرهای اصلی و مسیرهای فرعی رو مشخص کن )

2)لیستی از کاربران،computer names ،پسوورد ها، کانفیگ سخت افزاری سیستم ها، پرینترها و اسکنرها، شماره اموال ، سخت افزار های شبکه چه اکتیو و چه پسیو و در صورت نیاز نرم افزارهای تخصصی مورد نیازشون رو هم تهیه کن

3)ترجیحا در لایه ی دو شبکه ات سوئیچ manageable بزار

4)در اکتیو دایرکتوریت بر اساس سیاست سازمانتون یوزر ها و کامپیوتر نیم ها رو تعریف کنید.

برای کنترل بیشتر در اکتیو دایرکتوری گزینه user can not change password رو بزنید

5)برای کل شبکه یک رنج آی پی در نظر بگیرید که بطور کلی متفاوت با رنج ای پی فعلی سرور و شبکه تون باشه که باعث قطعی کلی شبکه بشه(حالا میگم چرا)

6) بنظرم سرور های اتوماسیون server DC و ... رو از هم جدا کنید

7)در صورت امکان یک سرور کریو کنترل راه اندازی کنید(برای پوست کندن کاربران)

--------------------------------------------------------------------------------------

حالا کار شما اینجا شروع میشه:

وقتی کل شبکه قطع شد(اینکارو حتما با جلب نظر مدیران ارشد انجام بده که خدایی ناکرده قطعی شبکه و طبعا داد و بیداد کاربران باعث کلافگی شما و تاثیر منفی در نظر مدیران نسبت بشما نشه)

کاربران با یکمی تقلا وقتی راع بجایی نمیبرن دست اخر دست به دامن شما میشن...

کارشما اینجا شروع میشه:

به محضی که رفتین سراغ سیستم کاربران اول از همه لوکال ادمین اون سیستم رو عوض کنید و یوزرنیم و پسورد دیگه ای رو واسش ایجاد کنید.

سیستم رو با اون کامپیوتر نیم ها و یوزرنیم و پسوردهای قبلی که در اکتیو دایرکتوری ایجاد کردین جوین دامینتون کنید.

برنامه ها و نرم افزار های غیر ضروری رو از سیستمشون پاک کنید.

اگر برنامه ها و شبکه های اجتماعی استفاده میکنن کافیه در کریول کنترل آی پی هاشون رو بلاک کنید.

همچنین اگر میبینید دانلود زیادی دارن میتونید در همون کریو کنترل دانلود فایل های صوتی و تصویری رو ببندید.

آی پی مشخصی رو به سیستم بدید که بعدا بدویند هر گروه ای پی واسه ی کدوم واحد و برای چه سیستمیه

امیدوارم که مفید بوده باشه

4)

به نظر من همه این کارها بی فایده اس و یه چیز دیگه هم باید درنظر گرفت اونجا که شما دارید کار میکنید محیط کار هست نه میدون جنگ

همه ی اون آدمها دور هم جمع شدن تا کاری رو انجام بدن که در نهایت به نفع سازمان باشه

درسته هدفی که شما در پیش گرفتید به نفع سازمان هست ولی مسیرتون برای رسیدن به این هدف اشتباه هستش به نظر من

کابل شبکه اش رو قطع کنید که دست به دامن شما بشن

فکر کردید چند بار این اتفاق میافته؟؟؟

دفعه بعدی ، کارمند بعدی یا ... میگه وصل نمی کنی باشه منم کار نمیکنم وقتی هم کار نکنه و کارش پیش نره مقصر شما میشید که دسترسی اینترنت یا هر چیز دیگه ای بهش ندادید

پس باید فکر بهتری بکنید و با سیاست پیش برید چون اگه این روش های محدود کردن رو پیش برید در اصل دارید به شرکت ضربه میزنید با اینکه فکر میکنید دارید کمک میکنید چون وقت خودتون و یه نفر دیگه رو دارید میگیرید

فرهنگ سازی هم قبول دارم و خیلی خیلی هم مهمه

اون کارمند حسابداری یا ... حالیش نیست که PC که داره باهاش کار میکنه جز اموال شرکته و اگه مشکلی پیش اومد باید با شما تماس بگیره

مثل اینه اگه حقوق شما رو به اشتباه کمتر واریز کردن شما با مالی و حسابداری در میون نذاری و خودت بری دسته چک شرکت رو بردارید و برای خودتون چک صادر کنید یا یه همچین چیزی (مثال بود)

شما به پشتیبانی مدیریت شرکت خیلی خیلی احتیاج دارید

وقتی کسی خلاف مقررات پیش میره یه Mail بهش بزنید CC هم مدیریت رو بزارید اون موقع ببینید چطور پیش میره

اینم باید در نظر بگیرید که همه همکاراتون شما رو دشمن خودشون میبینن

حالا سبک سنگین کنید ببینید باید چیکار کنید

والا چی بگم ، من هم همون اول عرض کردم خدمتتون : " من فکر میکنم بازکردن CD-ROM و رمز گذاشتن روی Bios و پلمب کردن سیستم ها چاره کار نیست.به نظر من یا باید فرهنگ سازی کرد که خییییییلی مشکله یا باید ما خودمون حرفه ای عمل کنیم."

درسته ما باید خودمون حرفه ای عمل کنیم.ظاهرا ما باید خودمون آستینارو بالا بزنیم و به فکر چاره ای باشیم.چون مایکروسافت کاری برای ما نمیکنه ! چون نیاز مادر اختراعه.اما ما در این بحث به این نتیجه برسیم که در ایران باید چه کرد!؟ به نظر من این بحث میتونه مفید واقع بشه.چون اینجا ایرانه !

Rasool1 عزیز یه موقع بد برداشت نکنید من قصد توهین نداشتم

حالا جمله شما رو به عنوان مثال گفتم

منظور کلی من این بود نمیشه یه کاری کرد که مثلا گولشون بزنیم یا بخوایم یه زور قطع کردن اینترنت توی Domain نگهشون داریم

باید از قدرت مدیریت استفاده کرد باید طبق قانون باهاشون رفتار بشه

و همونطور که گفتم اگه یه مدیر IT بره به مدیر عامل بگه همچین چیزی رو میخوایم جلوش رو بگیریم

خود مدیر عامل هم روی خوشی نشون نده و بگه ولشون کن

خب این سازمان یه سازمان مریض هست و نه فقط تو بحث کامپیوتر بلکه مطممئنا توی همه چیز هرج و مرج هست (توهین نشه به شخص یا سازمان خاصی)

هیچ کاری با همچین جایی نمیشه کرد چون خود مدیر عامل هم نمیخواد درست بشه

يك راه ١٠٠٪‏عملي براي شما با اين وضعيت اين هست كه بري به اندازه كيس ها دورشون قاب المينومي با قفل كتابي سفارش بدي فقط و فق به اندازه سيم خروجي و يك كليد پاور روش جاي خالي بگذاري اگر شما نخواهيد از زيرو كلاينت استفاده كنيد.

سلام دوست عزیز

همانطور که دوستمون مهندس شوهانی گفتن راه حل شما استفاده از dot1x هست که وقتی کاربر pc خودش را وارد شبکه می کنه یوزرنیم و پسوورد بخواد. راه حل پیشرفته تر این مسئله استفاده از Certificate هست که اگر PC جدید Join به دامین نباشد اصلا IP نمی گیرد

میخواید DHCP به کلاینت IP نده؟؟؟

به نظرتون کسی که تو یه سازمان ویندوزش رو خودش عوض میکنه نمیتونه Static IP بذاره؟؟

کافیه یک نفرشون بلد باشه ...

بله باید کار فرهنگی بشه . اولین کار فرهنگی هم که باید انجام بشه در مقوله همین امضای شماست که اول تکلیف این امر مهم رو مشخص کنید (خخخخخخخخخخخخخخخخخ....)

دوم و جالبتر اینه که شما در این سایت موضوع رو مطرح کردی و حالا دوستان و اساتید کمک می کنن و ترفندهایی و فوت کوزه گریهایی رو به شما و ما آموزش میدن و ما عمل می کنیم و چند روز بعد میبینیم که همکاران یاغی و قانون گریز شما میان و روش بدل و از کار انداختن همین ترفندهای شما رو توی همین سایت می پرسن و جواب میگیرن

خوده من بارها و بارها دیدم سئوالاتی مطرح شده که هدفش دور زدن مسئول it و بخش it بوده (یاغی بودن بعضی از همکاران و دوستان it کار هم داستان خودشو داره) که از کارش ناراضی بودن...

خلاصه هیچی سرجاش نیست و کلاف سر درگمه...

یک کار دیگه هم میتونید انجام بدین

یک نرم افزار مانیتورینگ در شبکه نصب کنید که اگر یوزری 10 دقیقه توی شبکه نبود یا کارت شبکه اش ip نگرفته بود(مدت زمان نصب ویندوز) یک آلارم به شما بده و شما به صورت دستی یا کابل شبکه رو قطع کن یا پورتش رو از توی روتر ببند و وقتی توی ویندوز میاد میبینه شبکه نداره و مجبور میشه دست به دامن شما بشه که شما هم میگی باید جوین دومین بشه تا درست بشه و باقی ماجرا....

ایده rasool1 ایده بدی نیست ! شاید بشه عملیاتی اش کرد.هزینه ای هم نداره.ولی مشکل اینه سرور اتوماسیون از سرور DC جداست.و اینطوری چه طوری میشه از روی DC با Policy آدرسهای رو سرور اتوماسیون رو کنترل و Redirect کرد!

ایده استفاده از Zero Client بسیار عالیه.ولی از روز اول باید بهش فکر میکردند.الان ما این 500تا PC ای که داریم چی کارش کنیم !؟ از روز اول باید TC یا Zero Client میخریدن.خوب بعدش این سمت کلاینت رو میشه حل کرد ولی بخش زیرساخت و سرورها رو چی کار کنیم !؟ به هرحال این Zero Client ها بخشی از Virtual Desktop Infrastructure هستند که کلی دنگ و فنگ برای پیاده سازی داره و من هم دانشش رو ندارم!

البته يك راه ديگر هم بنظر من هست و اون استفاده از زيروكلاينت هست كه