Системное администрирование
Поиск по компьютерным статьям
Системное администрирование подразумевает под собой обеспечение штатной работы персональных компьютеров, офисных серверов, сетевых коммуникаций и обеспечение информационной безопасности организации. Сотрудники, выполняющие эти функции, называются системными администраторами (sysadmin).
Обычно небольшие фирмы не имеют в своем штате системного администратора, это связано с тем, что парк компьютерной техники не велик (порядка 10-15 компьютеров и один офисный сервер, выполняющий функции хранилища документов и резервных копий), а услуги профессионала стоят достаточно много. Тем более, системное администрирование 15 персональных компьютеров занимает у профессионала немного времени. В результате рабочее время высокооплачиваемого сотрудника расходуется не эффективно, с точки зрения работодателя. Можно взять в штат так называемого “эникейщика” (как правило студенты последнего курса технических и ИТ специальностей). Расходы на него будут в разы меньше, в отличие от сертифицированного профессионала, но качество работы будет значительно хуже. Вы рискуете столкнуться с рядом проблем, решение которых будет растягиваться во времени и частично останавливать или уменьшать комфортность работы ваших сотрудников офиса. Также высока вероятность неэффективного использования парка компьютерной техники и офисных устройств (принтеры, факсы, ip-телефоны). Выходом для небольших фирм является фирмы предоставляющие услуги ИТ-аутсорсинга. Их услуги дешевле, чем содержание специалиста в штате. В таких фирмах, как правило, работают сертифицированные профессионалы, тем самым вы оградите себя от рисков связанных с “эникейщеками”. Фирмы предоставляющее ИТ-услуги, заключают SLA (Service Level Agreement – соглашение об уровне услуг), в котором прописывают в течение, какого времени должна быть устранена та или иная неисправность. Это соглашение гарантирует, что контрагент будет выполнять условия договора и все работы будут выполнены в срок, в противном случае будут применены штрафные санкции.
Давайте теперь разберемся, какие основные работы предусматривает системное администрирование. Чаще всего оно выполняет следующие работы:
— Настройка и контроль создания резервных копий. Чаще всего выполняют резервное копирование документов и баз данных программ, расположенных на компьютерах сотрудников. На серверах резервируют директории с общими папками, а также базы данных уровня организации.
— Настройка и контроль процесса обновления программного обеспечения в организации. Чаще всего это сводиться к настройке обновления операционной системы и антивирусного пакета.
— Инсталляция новых компьютеров, серверов, сетевых и периферийных устройств. Подразумевает либо сборку нового компьютера из комплектующих и последующую установку программного обеспечения, либо включение уже собранного компьютера в сеть организации и настройка его под стандарты организации или пожелания сотрудников.
— Поддержка доменной структуры организации, если таковая имеется. Заведение учетных записей новым сотрудникам.
— Обеспечение информационной безопасности предприятия, имеется ввиду её ИТ-составляющая. Она подразумевает настройку антивирусных пакетов, установку и поддержку работоспособности сетевого экрана организации, настройки доменных политик безопасности, если в организации создана доменная структура.
— Работы, связанные с расширением локальной сети организации, а также устранению неполадок в ней.
Список работ может быть расширен. Для большинства организаций, он будет таким же, но с небольшими корректировками, связанными с особенностями фирмы. Например, он может быть расширен пунктом, предусматривающим обслуживание принтеров.
В зависимости от тех функций, которые выполняют администраторы их можно разделить на следующие специализации:
— Администратор web-сервера – настройка и поддержка работы web-сервера и сайта организации.
— Администратор баз данных (DBA) – специалист по настройке и поддержке функционирования СУБД. Обычно имеют узкую специализацию, например, Oracle или Microsoft SQL.
— Сетевой администратор – занимается созданием СКС (структурированная кабельная система) и её поддержкой.
— Администратор безопасности – занимается информационной безопасностью в организации. Создает политики и требования информационной безопасности.
— Администратор почтовых серверов – занимается конфигурированием почтовых серверов, созданием учетных записей сотрудников, борьбой со спамом.
Чаще всего администратор совмещает в своей работе несколько функций. Специализация усиливается с ростом фирмы и повышением значимости той или иной ИТ-функции.
Системное администрирование
Систе́мное администрирование — это оказание комплекса работ включающее в себя обеспечение штатной работы парка компьютерной техники, сети и программного обеспечения, а также обеспечению информационной безопасности в организации.
Основные задачи системного администрирования:
- Мониторинг веб-серверов, гарантия повышенной защищенности и отказоустойчивости серверов.
- Проектирование, настройка и кластеризация высоконагруженные решений и распределенных систем.
- Оптимизация работы веб-серверов, обновление и настройка программного обеспечения, профилирование, диагностика.
От четкой и безотказной работы серверов зависит работа всей фирмы в части коммуникаций, внутреннего электронного документооборота, происходящих бизнес-процессов и многие другие важные процессы, без чего нельзя представить работу множества современных компаний, поэтому доверять работу по системному администрированию, настройке и ремонту необходимо исключительно профессионалам.
Для того, чтобы отвечать всем требованиям, предъявляемым по предоставлению услуг по системному администрированию намного лучшим решением будет обратиться в специализированные компании, предоставляющие комплексные услуги, нежели нанимать в штат отдельных узкоспециализированных профессионалов. Такой подход позволяет не только изменить структуру расходов на обслуживание сложных систем, но и получить квалифицированные услуги IT-специалистов высокого класса за разумные деньги. Также особо важным параметром качества предоставляемых услуг по системному администрированию является качество обратной связи.
Компания АРТВЕЛЛ комплексно предоставляет полный аутсорсинг следующих услуг:
- По системному администрированию серверов и распределенных интернет-решений
- Комплексное администрирование офисных серверов
- Профессиональное администрирование и настройка физических и виртуальных серверов под управлением операционных систем семейства Unix
- Базовая диагностика
- Перенос проектов
- Услуги по созданию и доработке технического задания
Основной перечень услуг, предоставляемый при администрировании серверов:
- Установка, настройка под определенные задачи, поддержание в актуальном состоянии и обеспечение работоспособности программного обеспечения для серверов;
- Постоянный мониторинг различных параметров производительности и работоспособности серверов, установка систем мониторинга и оповещения
- Помощь при подборе аппаратной части и рекомендации при выборе сервера для определенной конфигурации устанавливаемого ПО
- Обеспечение безопасности серверов, аудит безопасности;
- Организация резервного копирования и поддержки баз данных;
- Перенос проектов с одного сервера на другой
- Восстановление сервера в аварийных ситуациях
- Оптимизация работоспособности, профилирование, анализ необходимых элементов для выявления проблемных частей влияющих на производительность системы
Информация по тегу «Системное администрирование». — Хабр Q&A
Сисадмины, у нас для вас есть отдельный раздел, добро пожаловать
Системный администратор со стажем.
build engineer
Кошки не похожи на людей, кошки — это кошки!
Просто люблю качественно работать
Linux administrator
- 88 подписчиков
- 9751 просмотр
- 89 подписчиков
- 31221 просмотр
- 69 подписчиков
- 31502 просмотра
- 62 подписчика
- 16776 просмотров
- 49 подписчиков
- 61483 просмотра
Кто такой Системный Администратор (Сисадмин), что делает и что он должен знать
Системный администратор (сисадмин) — простыми словами, это специалист поддержания в работоспособном состоянии компьютерного оборудования и любой ИТ-инфраструктуры в целом.
Самая главная задача, которой занимается системный администратор, заключается в выполнении работы для организации с достижением оптимальной производительности и гарантированной отказоустойчивости компьютерных систем и служб. В зону ответственности такого технического специалиста вверяются самые разные структуры предприятия от небольших программных настроек вплоть до управления наиболее важными бизнес-сегментами с высочайшим уровнем доступа. По этой причине всё больше компаний предпочитают обращаться к надёжным ИТ-аутсорсинговым подрядчикам.
Что делает системный администратор?
Должностные обязанности системного администратора сильно различаются от компании к компании. В крупной организации широко применяются узкие специализации: администратор центра обработки данных, сетевого операционного центра (NOC), виртуализации, администратор сервера или администратор базы данных. В небольших ИТ-отделах на системного администратора возлагается широкий круг обязанностей: от настольных компьютеров конечного пользователя до локальной сети (LAN) организации, беспроводной локальной сети ( WLAN ), голосовой связи и IP-телефонии (VoIP), гибридное облачное хранилище или даже программирование в небольших масштабах.
Что должен знать системный администратор и за что отвечать
Считается, что грамотный подход к работе и значительные усилия системного администратора на первых этапах сотрудничества с компанией закладывает закладывают долгосрочную надёжную функциональность ИТ-оборудования с предсказуемыми рисками. Однако далео не всегда специалист способен справиться с поставленными перед ним целями.
-
Обязательства сисадмина
Ежедневное управление, обслуживание и настройка ИТ-систем организации.
-
Образование при найме
Для высокой степени ответственности требуются магистры и бакалавры в ИТ-областях и компьютерной/электронной инженерии с сертификатами Microsoft, Red Hat, Novell, Cisco и других отраслевых сертификатов, документально подтверждающих опыт и то, что должен знать системный администратор по определённым программным продуктам.
-
Организации с ИТ-отделом
Востребованность в техническом специалисте испытывают государственные учреждения, бизнес от малого до большого, некоммерческие компании, всевозможные институты, муниципалитеты и министерства.
-
Ответственность специалиста
Помощь сотрудникам компании и её клиентам с решением технических вопросов, выявление проблем и потенциальных угроз работоспособности систем, поддержание в актуальном состоянии программного обеспечения и его обновление, подключение и настройка ИТ-инфраструктуры, оптимизация производительности, гарантирование информационной безопасности.
-
Альтернатива системному администратору
Вместо найма штатного системного администратора во всём мире всё чаще предпочитают взаимодействие с IT-аутсорсинговыми компаниями для снижения затрат на кадровые издержки и сокращения рисков из-за человеческих факторов (от простой неопытности и даже вплоть до корпоративной мести).
За долгие годы термин «сисадмин» стал именем нарицательным для целой субкультуры людей, в той или иной степени причитающих себя к миру информационных технологий. Юмор, «мемы» и извечные подшучивания над «юзерами» уже неотъемлемая часть работы, что вынужден делать системный администратор наряду со спасением целых компаний.
Компания ZEL-УслугиЕсли вам понравилась идея отказаться от услуг системного администратора в пользу надёжного подрядчика по ИТ-услугам, то рекомендуем обратиться к ИТ-аутсорсингу для дальнейшей экспертной поддержки и консультации по этой теме и любым другим техническим вопросам.
Инструкция по применению сисадмина в малом бизнесе / Habr
Чтобы сисадмин справлялся со своей работой благодаря, а не вопреки помощи руководства
Если вы руководитель небольшой компании в 30-100 сотрудников и вас не устраивает качество работы информационных систем, то замена системного администратора — это последнее с чего стоит начать. Первое же, что стоит сделать — это изменить ваш подход в работе с системным администратором. Глобально — вам нужно научиться помогать вашему системному администратору справляться со своими обязанностями.
Да-да, вы не ослышались — вам нужно помогать вашему системному администратору справляться со своими обязанностями! Дело в том, что системному администратору в малом бизнесе нужно заниматься не только с техническими, но и с управленческими задачами: определять политики работы пользователей с информационными системами, стратегию развития ИТ, взаимодействовать с подрядчиками и, конечно же, отстаивать свои решения перед руководством. При этом редко какой специалист имеет глубокие технические компетенции, а способных совмещать в себе технические и управленческие функции и подавно «днем с огнем» не найти. Проще говоря, без помощи руководителя компании единственному системному администратору справляться со своей работой крайне сложно.
При этом я не прошу вас настраивать сервера вместе с вашим сисадмином или вникать в особенности работы программного обеспечения. От вас требуется лишь помогать системному администратору справляться с управленческими задачами, корректно информируя, направляя, контролируя и поддерживая его в работе. Как именно это делать, читайте ниже:
Держите сисадмина в курсе дел и планов вашей компании
Типичная картина в малом бизнесе — сисадмин узнает об открытии нового офиса, расширении производства, найме новых сотрудников только тогда, когда это становится свершившимся фактом. Мало того, что на него, как снег на голову, сваливается срочная задача, к которой он совершенно не готов, так еще и купленное недавно оборудование может стать бесполезным из-за произошедших в компании изменений.
Конечно, долгосрочное планирование в малом бизнесе — это что-то из разряда фантастики. Но рассказать сисадмину о том, что вы мечтаете об открытии дополнительной производственной линии, филиала в другом городе, заключении крупного контракта (при котором придется увеличить штат компании) однозначно стоит. Это поможет вашему сисадмину определить как направление своего развития, так и скорректировать планы по модернизации существующих систем, чтобы при осуществлении вашей мечты быть готовым к ее реализации.
Используйте сисадмина как проводника в мире ИТ, а не как источник абсолютных знаний и умений
Количество технологий, языков программирования, производителей программного обеспечения и оборудования настолько велико, что ИТ-специалистов, которые все знают и умеют, просто-напросто не существует. По этой причине в крупных ИТ-отделах за каждым специалистом закрепляется участок, соответствующий его навыкам, но единственному системному администратору в компании приходится браться за любые задачи. Если при этом штатный системный администратор уверен, что от него ждут абсолютных знаний и умений, то компания получает от ИТ тот результат, который может дать системный администратор, а не тот, который действительно нужен бизнесу.
Дайте понять вашему системному администратору, что вы не ждете от него абсолютных знаний и умений. Сделайте так, чтобы ваш системный администратор не боялся вам признаться, что он чего-то не знает или не умеет, и что какая-то задача в его исполнении получится либо не особенно качественно, либо слишком долго или дорого. Понимание границ компетентности — это не только основа доверительных отношений с вашим ИТ-специалистом, но и возможность добиваться нужного для бизнеса результата, привлекая, при необходимости, опытных исполнителей или осознанно подходя к получению опыта вашим системным администратором.
Интересуйтесь, какие риски у вас есть сейчас и что нужно для их устранения
Самая большая проблема с ИТ в малом бизнесе — это отсутствие у руководства компании и системного администратора понимания, что нужно бизнесу от ИТ. Точнее, это понимание есть у руководства компании и у системного администратора, но два этих мнения зачастую друг от друга сильно отличаются. Как следствие, руководство компании постоянно сталкивается с тем, что работа корпоративных ИТ в целом и системного администратора в частности не соответствует их ожиданиям, а системный администратор получает нагоняй даже за ту работу, которую он делал так, как он думал, от него ожидают.
Требования к ИТ разные в разных компаниях, но три критерия фундаментальны для любого бизнеса — это сохранность информации, бесперебойность работы, предсказуемость затрат. Как минимум эти три показателя стоит регулярно обсуждать с вашим системным администратором в разрезе рисков: что мы можем потерять, насколько долго можем встать и какие непредсказуемые расходы у нас могут возникнуть? Только не задавайте эти вопросы сисадмину с вызовом «на ковер» — только напугаете человека. Деликатно попросите его проанализировать и осветить текущее положение дел и необходимые инвестиции в ИТ для устранения имеющихся рисков. Полная картина рисков и необходимых для их устранения инвестиций, поможем вам определить экономически обоснованный уровень качества корпоративных ИТ и достичь взаимопонимания в целевых показателях работы с вашим системным администратором.
Проектируйте и стандартизируйте работу пользователей с информационными системами в компании
В малом бизнесе у системных администраторов зачастую нет понимания, как должны выглядеть рабочие места сотрудников и по этой причине они потакают любым пожеланиям пользователей. Привыкли к почтовому клиенту «The Bat»? — не проблема. Нужно подключить «облако mail.ru»? — конечно. Хотите другой браузер? Не умеете работать в новом Microsoft Office? — поставим нужную программу. Нужно установить «обои» на рабочей стол? Не показываются фильмы на «youtube»? Медленно работает «вконтакте»? — со всеми этими вопросами системный администратор поможет. Проблема такой клиентоориентированности не только в бесполезной для бизнеса нагрузке на системного администратора, но и в снижении эффективности работы компании, поскольку каждый сотрудник работает как ему привычно, а не как нужно для пользы бизнеса.
Функционал корпоративных информационных систем должен подчиняться одной цели — повышению эффективности труда в компании. Предопределенный список разрешенного для использования в компании программного обеспечения, преднастроенное рабочее окружение пользователя, ограничение возможностей сохранения информации вне предназначенных для этого мест — это действенные способы повышения эффективности труда. Именно эти ограничения делают работу сотрудников компании предсказуемой и прозрачной, гарантируют, что созданные одним сотрудником документы в таком же виде отроются у другого, упрощают подмену сотрудника на время отпуска или болезни, помогают развивать и стандартизировать опыт использования информационных систем, быстрее вводить в работу новичков, ну и, конечно же, повышают информационную безопасность. Вот только для подобной унификации рабочего окружения нужна заинтересованность, непосредственное участие и воля руководства компании. Так что смотрите на то, с чем и как работают ваши сотрудники, выделяйте лучшие практики и обсуждайте с вашим системным администратором единые для всей компании правила и политики работы с ИТ.
Просите сисадмина спланировать модернизацию корпоративных ИТ
“Чтобы корова меньше ела и больше давала молока, ее нужно меньше кормить и больше доить” — нередко так отзываются системные администраторы о подходе руководства компании к корпоративным ИТ. При этом, в большинстве случаев, сисадмины даже не обсуждали вопрос замены или модернизации устаревшего оборудования и программного обеспечения с руководством. Как следствие, ИТ-специалист тратит время на поддержание жизни в безнадежно устаревших системах, а компания постоянно испытывает проблемы в работе ИТ и накапливает «технологический долг».
Планирование бюджета на модернизацию ИТ — это не только возможность показать вашему сисадмину, что вы не требуете от него из букв Ж, П, О и А собирать слово “ВЕЧНОСТЬ”. Это еще и действенный метод повысить качество ИТ в компании, уменьшить количество финансовых неожиданностей и направить энергию вашего ИТ-специалиста на развитие бизнеса. Но сразу предупрежу: если вы ранее никогда не задумывались о модернизации, то первый бюджет на нее должен вас шокировать своими размерами. Не пугайтесь — это накопленный вашей компанией технологический долг и, как с любыми долгами, нужно спокойно и последовательно подходить к его погашению. Если же первый бюджет на ИТ не шокировал вас своими размерами, то требуйте от сисадмина проработать его более фундаментально — поверьте моему опыту, ваш сисадмин просто не поверил в то, что вы действительно хотите изменить ситуацию в лучшую сторону и по привычке заложил в бюджет только то, без чего ИТ-инфраструктура компании встанет со дня на день.
Не мучайте сисадмина окупаемостью технических решений
Помимо сисадминов, которые даже не пытались предложить руководству поменять что-либо в ИТ, встречаются сисадмины, которые пытались, но потерпели поражение. Причина поражения зачастую одна — они не смогли обосновать окупаемость предлагаемых нововведений. Ну и в самом деле, сколько денег принесет компании покупка быстрого сервера вместо существующего тормозного, увеличение скорости печати документов, переход на современную телефонию, увеличение диагонали мониторов сотрудникам? Ответ — ноль, потому что сами по себе нововведения в ИТ не приносят денег компании — деньги приносит умение применять эти нововведения на благо бизнеса.
Просить системных администраторов обосновать окупаемость технических решений — это все равно, что просить механиков в колхозе обосновать покупку тракторов и комбайнов, когда колхозники и “без этого всего прекрасно справляются тяпками и лопатами”. Задавать сисадмину вопрос об окупаемости технических решений — это перекладывать ответственность за будущее компании на человека, который к управлению бизнесом не имеет никакого отношения и не знает его в цифрах. Единственный эффект от таких вопросов — это потеря веры у системного администратора в будущее компании, нежелание у него обсуждать какие-либо нововведения с руководством (“опять будет вопрос про окупаемость”) и последующая деградация корпоративных ИТ до уровня шариковой ручки и бумаги.
Требуйте от сисадмина более дорогих решений и проверяйте на чем он «сэкономил»
Начинающие системные администраторы зачастую смотрят на приобретаемое компанией оборудование и программное обеспечение через призму собственных доходов. Это приводит к тому, что на выбираемое для компании оборудование и программное обеспечение они накладывают свои финансовые ограничители и покупают решения «подешевле» — с ограниченным функционалом или тютелька в тютельку подходящие под текущие потребности компании. Экономия от этого достигается не ахти какая, но зато любая ошибка в расчетах сисадмина или изменение ситуации в бизнесе приводят к необходимости снова что-то докупать, переделывать, а то и списывать раньше времени «экономично подобранные» решения.
Нет, я не требую от вас тратить больше денег на ИТ. Но, когда речь идет о капитальных инвестициях в ИТ и ваш системный администратор приносит вам спецификацию на закупку, стоит поинтересоваться у него более дорогими решениями и выяснить, на чем именно вы сейчас экономите и чем это может обернуться в последующем. Донесите до вашего сисадмина мысль, что ваша компания не настолько богата, чтобы покупать “экономичные” решения, которые придется выкинуть при малейшем росте или изменениях в бизнесе.
Контролируйте фундаментальное устранение проблем в ИТ
При устранении сбоев в ИТ первоочередная цель — это оперативно устранить негативное влияние сбоя на бизнес компании. И один из методов достижения этой цели — это обходное решение (на жаргоне — «костыль»), когда проблема остается на месте, но за счет дополнительных манипуляций ее негативное влияние на бизнес устраняется. Снаружи все выглядит так, как будто проблема решена и все штатно работает, а внутри все держится на честном слове и изоленте. Такие обходные решения — это временные меры, которые позволяют выиграть время для фундаментального устранения проблемы. Но поскольку в малом бизнесе никто кроме системного администратора не знает о существовании проблем, а у сисадмина не всегда доходят руки до их фундаментального устранения, то «хорошо сделанное временное решение» зачастую становится постоянным.
ИТ-инфраструктура с множеством обходных решений, из отлаженного механизма превращается в «минное поле» не только для ИТ-специалистов, но и для бизнеса. В такой инфраструктуре уже никто не понимает, что и где может отвалиться, если попытаться что-то изменить или добавить какой-то новый элемент. Чтобы ваша ИТ-инфраструктура не превращалась в подобное «минное поле», контролируйте, что причины, приводящие к сбоям в ИТ, устраняются фундаментально. Хороший вопрос, который следует задавать сисадмину при обсуждении причин того или иного сбоя: “Что я могу сделать для того, чтобы это больше не повторялось?”
Вкладывайтесь в образование сисадмина
В ИТ-отделах коллеги всегда подскажут, поделятся опытом и помогут разобраться в каком-то вопросе, а в малом бизнесе системному администратору зачастую совершенно не с кем даже просто посоветоваться. Системный администратор в малом бизнесе находится в профессиональной изоляции и просто обречен получать свой опыт методом проб и ошибок. Стоит ли говорить, что за такое профессиональное развитие компания расплачивается сбоями информационных систем, ошибочными инвестициями в ИТ, простоями в работе и потерей рабочей информации.
Лично я скептически отношусь к специалистам, которые свои знания получили исключительно на курсах, но в случае малого бизнеса, это осознанная необходимость. Если вашей компании не по карману отправить системного администратора на учебные курсы, но, как минимум, имейте смелость отпускать сисадмина на бесплатные семинары и конференции, где он сможет пообщаться с коллегами и поучиться на чужих ошибках. Не бойтесь, что ваш сисадмин вырастет профессионально и уволится — поверьте, будет куда хуже, если он не вырастет и останется у вас работать.
Хвалите и поддерживайте вашего сисадмина
Часто в малом бизнесе системный администратор — это асоциальный элемент. Никто в компании не разбирается в его работе, но все готовы обвинить его в любых грехах. Если же системный администратор, в добавок ко всему, строго придерживается принятой в компании политики работы с информационными системами и не потакает отклоняющимся от нее прихотям пользователей, то всеобщая опала ему обеспечена. Именно положение изгоя — это одна из причин по которой толковые специалисты не задерживаются в малом бизнесе.
Вам нужно хвалить и поддерживать вашего системного администратора не только потому, что доброе слово и собаке приятно. Во-первых, это возможность наладить и поддерживать доверительный контакт с вашим системным администратором, ну а во-вторых — это способ показать системному администратору, что его работа, в том виде в котором он ее делает, нужна компании. Поверьте, если информационные системы в вашей компании исправно работают день ото дня, то за этим скрывается ежедневный кропотливый труд вашего системного администратора и благодарить его за такую работу нужно не только добрым словом, но и рублем.
Послесловие:
На мой взгляд, работа в малом бизнесе — это самый сложный жанр системного администрирования. Причина этого не только в совмещении технических и управленческих функций, но и в том, что руководители небольших компаний зачастую относятся к информационным технологиям как к чему-то чуждому, навязанному, бесполезному и стремящемуся поглотить всю прибыль компании. При этом я не знаю ни одного успешного бизнеса, где к ИТ относились подобным же образом. И дело тут не в том, что у успешных компаний “больше денег”, а в том, что руководители успешных компаний умеют применять информационные технологии на благо бизнеса, чего я и вам желаю.
Успехов!
Иван Кормачев
Компания «Департамент ИТ»
it.depit.ru
Сетевой администратор в эпоху облаков / ZYXEL в России corporate blog / Habr
Какой будет востребованность сетевых администраторов в будущем? Есть мнение, что облачные технологии – «убийцы» сетевых администраторов. Однако далеко не все в ИТ-сообществе разделяют эту точку зрения. Так какое будущее ожидает сетевых администраторов через 5-10 лет? Все зависит от развития ключевых технологий и моделей управления корпоративными сетями, таких как CMN.
Облачное управление сетями (Cloud-Managed Networking, CMN) — подход, который привлекает внимание специалистов благодаря все более зрелому набору функций управления и растущему признанию облачных технологий в целом. Так, в сегменте беспроводных сетей «облачный Wi-Fi» — одно из самых быстрорастущих направлений. По прогнозу IDC, в ближайшие годы оно будет расти на 35-40% ежегодно. И это не удивительно – на фоне повсеместного проникновения облаков:
Облака как общий тренд: по прогнозам, к 2025 году 80% корпоративных приложений «уйдут в облака», 80% ИТ-бюджетов пойдут на облачные сервисы, только 20% ИТ-бюджетов будет расходоваться на поддержку и сопровождение систем. Все корпоративные данные будут храниться в облаке, разработка приложений также целиком перейдет в облака. И облака станут самым безопасным местом для ИТ-операций. Источник: Oracle.
Облачное управление теперь предлагает более надежные функции, включает управление проводными и беспроводными сетями. Функционально эти инструменты приближаются к традиционным локальным платформам управления сетью, знакомым каждому админу.
Что такое облачное управление сетями?
Это способ удаленного управления сетью компании с помощью облачных ресурсов, а не локально развернутых контроллеров или программного обеспечения управления. Как и большинство облачных технологий, облачное управление сетью обычно предоставляются «как услуга». CMN использует модель SaaS и упрощает управление локальными сетевыми устройствами, такими как точки беспроводного доступа и коммутаторы.
Сетевые устройства могут конфигурироваться и обслуживаться с помощью облачной платформы управления. Основное ее назначение – централизованное управления и делегирование части задач управления корпоративной сетью сервисным партнерам — провайдерам, снижение затрат на эксплуатацию и обслуживание, быстрое развертывание и внедрение сервисов в распределенной инфраструктуре.
Пионерами в области облачного управления WLAN были Aerohive и Meraki. Затем в игру вступили Cisco, Aruba, Xirrus, HP, Motorola Solutions, Ruckus Wireless и ряд других вендоров. Первоначально «облачный Wi-Fi» применялся в основном небольшими компаниями и организациями — с одним офисом с немногочисленным ИТ-персоналом, однако потом данная модель стала популярной и среди более крупных организаций, таких как сети розничной торговли, гостиничные сети, учебные заведения. Им нужна была эффективная альтернатива обслуживанию и администрированию оборудования в десятках мест, где нередко отсутствует штатный ИТ-персонал.
Данный метод позволяет управлять всеми пользователями и устройствами сети централизованно, из одного места, что делает сети с облачным управлением (Cloud-based WLAN/LAN) особенно ценными для предприятий с географически распределенной и филиальной структурой.
Конечно, сеть с облачным управлением – не панацея, но в подобных организациях такая модель подчас незаменима. Там, где нет ИТ-специалистов или их не хватает, управление из облака имеет смысл.
В чем выгоды?
Управление сетью из облака позволяет снизить капитальные и эксплуатационные расходы на развертывание, сопровождение сети. Администраторы получают доступ к панели инструментов управления через веб-интерфейс из любого места с подключением к интернету.
Такой облачный сервис может охватывать коммутаторы, точки беспроводного доступа и шлюзы безопасности, он дает полную информацию для развертывания устройств, управления, мониторинга и диагностики проблем в сети.
При работе с филиальными сетями или в других ситуациях, когда невозможно присутствие на месте, традиционная форма управления и устранения неполадок может оказаться несостоятельной.
В CNM решение проблем и устранение неполадок из любого места становится реальностью. Администратор может получить предупреждение о проблеме с сетью, диагностировать и устранить ее с любого компьютера с доступом в интернет. Таким образом, облачное управление не просто помогает экономить время и ресурсы, он открывает совершенно новые возможности, которые нельзя реализовать с унаследованными решениями.
Облачное управление упрощает развертывание и наращивание сети. Устройства настраиваются облачными провайдерами, и при их подключении к сети конфигурация загружается и запускается автоматически. Оборудование практически сразу готово к использованию.
Шлюзы Zyxel Nebula легко развертываются на удаленных площадках в автоматическом режиме с помощью облака. Они автоматически настраивают политики доступа и параметры конфигурации, скачивают из облака и устанавливают обновление микрокода и сигнатур, избавляют от необходимости присутствия на площадке специалиста по сетевым технологиям.
Простая масштабируемость делает управляемую из облака сетевую инфраструктуру идеальной для растущих организаций с постоянно увеличивающимся числом пользователей, устройств или филиалов.
В CMN не только отпадает необходимость в подготовленном ИТ-персонале на удаленных площадках, можно гораздо проще и быстрее выявлять проблемы в сети, например, проблемы с производительностью.
Поскольку большинство сервисов облачного управления сетью предполагает регулярные, прогнозируемые платежи, от компаний не требуются большие первоначальные затраты, такая модель может дать долгосрочную экономию по сравнению с традиционными сетями.
Что ждет админов?
Среди админов существует мнение, что подобные системы могут лишить их работы, да и выгодны в большей степени владельцам бизнеса, так как экономят средства на оплате сетевых/системных администраторов.
Так лишат ли подобные системы работы сисадминов или наоборот? В чем еще очевидные преимущества подобных облачных сервисов? Помогают ли облака увеличить производительность труда, быстрее достигать целей, экономить средства? Нужно ли админам бояться внедрения сетевых облаков или адаптироваться к ним как к самым современным трендам и использовать внедрение облаков в своих интересах? Попробуем разобраться.
Что, например, привлекает админов в облачном управлении беспроводными сетями? Вот, что показывают результаты опросов:
Отвечая на вопрос, что более всего привлекает их в облачном управлении беспроводными сетями, ИТ-профессионалы называют возможности удаленного управления (62%), быструю активацию новых функций управления (46%), помощь в управлении мобильными устройствами (44%). 27% нравится то, что можно обойтись без контроллеров WLAN, и столько же респондентов выделяют свойственную облачным сервисам возможность перевода капитальных затрат в операционные. Источник: TechTarget.
То есть управление сетью из облака рассматривается, прежде всего, как удобный инструмент, помогающий админу выполнять свою работу. И результаты он получает вполне конкретные, например:
Так оценивают производительность своих сетей администраторы, применяющие инструменты облачного управления (слева) и те, кто такие средства не использует (справа). В первом случае 15% считают ее оптимальной, 79% — адекватной и лишь 6% — не адекватной. Источник: Aberdeen Group.
Конечно, не все администраторы склонны к тому, чтобы пользоваться облачным или любым другим сторонним сервисом управления, предпочитая управлять своей сетью самостоятельно, «держать все под контролем».
Между тем облачное управление снижает нагрузку на администраторов сети, освобождает их от рутинных задач обслуживания. «Мне больше не нужно беспокоиться о патчах, об обновлении прошивки. Теперь это делается через облако, поэтому я всегда получаю последние обновления», — так могли бы сказать многие админы.
Сетевые администраторы – не единственные, кто сегодня сталкивается с подобной дилеммой. Появление облачных «автономных» СУБД, управляемых с помощью искусственного интеллекта, породило опасения, что в будущем администраторы баз данных останутся без работы. Однако практика показала, что все не столь однозначно. По мнению экспертов, минимизация человеческого труда позволяет уменьшать количество ошибок, что дает возможность улучшать надежность систем и сокращать затраты на их обслуживание.
«Снимая с ИТ-специалистов часть рутинной работы с СУБД, мы даем людям шанс использовать потенциал для создания новых систем и анализа данных», — считает CTO Oracle Ларри Элиссон.
Таким образом, появление подобных технологий позволяет высвободить людей для работы над задачами более высокого уровня. Это не означает сокращения потребности в ИТ-специалистах, а говорит о том, что круг их задач будет постоянно расширяться. В целом вывод таков, что в ИТ станет больше специалистов, которые будут работать над новым кругом задач. Встроенные в облачные решения возможности автоматизации избавят специалистов от рутины.
А что с безопасностью?
В числе ключевых преимуществ облачного управления корпоративной сетью (в частности, Wi-Fi) обычно называют простоту развертывания и эксплуатации, а также экономические выгоды. За последние годы в них на практике убедились многие организации, но сегодня на первый план выходит еще одно соображение: безопасность. Очевидно, такие возможности как оперативное применение патчей и обновление прошивок сетевых устройств положительно сказываются на обеспечении безопасности сети, но насколько можно доверять безопасности самого облака?
По данным опросов, среди проблем облаков безопасность продолжает занимать первое место. Серьезной ее считают 29% респондентов. Источник: RighrScale.
Есть несколько аспектов безопасности облаков. Программная архитектура и инженерные процессы вендора (жизненный цикл разработки программного обеспечения), ориентированные на повышение безопасности, являются ключевыми факторами, определяющими внутреннюю безопасность облачного управления сетью.
Физическая безопасность, как правило, на высоте. Приложения для управления сетью обычно развертываются в центрах обработки данных известных облачных провайдеров. Операторы ЦОД обеспечивают и физическую защиту ресурсов, и их информационную безопасность.
Облачное управление позволяет администраторам получать в режиме реального времени представление о том, что происходит в масштабах всей сети, и эффективнее обеспечивать защиту от угроз безопасности.
Оно упрощает конфигурирование межсетевого экрана и любой функции безопасности для скоординированной настройки политик благодаря унифицированному подходу к конфигурированию политик, позволяющему применять их ко всем функциям безопасности и автоматически распространять на все подключенные к сети шлюзы безопасности.
Технология DPI и использование базы данных сигнатур вредоносного кода способны устранить ложные срабатывания системы защиты и помочь админу обеспечить эффективную защиту от угроз, связанных со скрытыми уязвимостями.
Шлюзы безопасности могут идентифицировать, классифицировать и контролировать Web-приложения. на основе этой информации администраторы могут блокировать посторонние приложения и предотвращать использование ими полосы пропускания. Последние обновления безопасности применяются автоматически. Это значительно снижает нагрузку на админа, обеспечивая высокую безопасность сети.
Поскольку процедуры автоматизированы, устраняются многие факторы, которые могут привести к нарушению безопасности, в то время как из-за ошибок при «ручной» настройке оборудования и текущем обслуживании могут создаваться уязвимости, потенциально используемые злоумышленниками.
К тому же традиционное управление обычно фрагментировано. Оно включает управление коммутаторами, безопасностью, управление мобильными устройствами и пр. Администраторы должны переключаться между разными интерфейсам и иметь дело с несколькими линиями поддержки, если сталкиваются с проблемами.
В случае CMN все можно контролировать с помощью одного интерфейса управления. Это позволяет по-новому работать с элементами инфраструктуры. Например, администраторы могут просматривать полную топологию сети, обновляемую в реальном времени, и оперативно устранять проблемы с любым сетевым устройством. Для защищенной связи с филиалами можно быстро сконфигурировать VPN-соединение.
Облачное управление предоставляет админам обширную информацию о производительности сети, предупреждения о проблемах. Их можно диагностировать до того, как они повлияют на работу сети.
У облаков нет альтернативы?
Гибкость и простота использования, присущие модели управления из облака, означают гораздо более низкие издержки, а потому ТСО оказывается намного ниже, чем у традиционной сетевой инфраструктуры, часто — на весьма значительную сумму.
Когда-то интерфейсы командной строки и ручная настройка конфигурации были достаточными для поддержания работоспособности сети, но старая инфраструктура уже не может идти в ногу с потребностями современных организаций. CMN позволяет внедрить перспективную, гибкую сетевую инфраструктуру, соответствующую текущим и будущим требованиям, повышает эффективность и упрощает управление сетью. Админ получает полную картину своей сети в единой веб-платформе, независимо от того, где расположены устройства. Не нужно ехать в удаленный офис для устранения проблемы с сетью – можно сделать это со своего рабочего места или даже из дома.
С CMN организации получают новую модель построения сети и предоставления услуг. Развертывание сетевой инфраструктуры происходит быстрее и с меньшими трудозатратами, упрощается контроль, повышается гибкость, консолидируется управление. Так что на самом деле админу проще контролировать свое хозяйство.
Администраторы — специалисты высокой квалификации, однако они часто заняты рутинной работой, остаются придатками информационных систем. Определенно, автоматизация и облачные сервисы не приведут к исчезновению администрирования. Скорее всего, исчезнет необходимость в рутинных операциях, не требующих глубоких знаний, и на этом фоне повысятся квалификационные требования.
[конспект админа] Меньше администраторов всем / Сервер Молл corporate blog / Habr
Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.
Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.
В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).
Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.
Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.
Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.
Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.
Расположение политик Restricted groups.
Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:
Добавляем группу «Администраторы», в которую добавляем группу helpdesk.
И получаем локальную группу «Администраторы» без Domain admins.
Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:
При такой настройке локальная группа «Администраторы» не будет зачищена.
Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.
Настройка группы безопасности через GPP.
Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.
Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.
Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.
Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.
Под спойлером предлагаю ознакомится с набором основных групп безопасности.
| Группа | Описание |
| Администраторы | Полные права на систему. |
| Пользователи | Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля. |
| Операторы архива | Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования. |
| Опытные пользователи | Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки). |
| Пользователи удаленного рабочего стола | Членство дает возможность подключаться к компьютеру по RDP |
| Операторы печати | Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати. |
| Операторы настройки сети | Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу. |
| Операторы учета | Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу. |
Познакомиться со всеми группами и более полным описанием можно в официальной документации.
Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.
Настройка прав доступа через групповые политики.
Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.
Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!
Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.
Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 10\2016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.
Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.
Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.
Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.
Проверка версии и разрешение удаленных подключений при помощи PS.
Создадим группу безопасности и специального пользователя:
$VMOperatorGroup = New-ADGroup -Name "VM-operators" -GroupScope DomainLocal -PassThru
$OperatorUser = New-ADUser -Name "VMOperator" -AccountPassword (ConvertTo-SecureString 'P@ssword1' -AsPlainText -Force) -PassThru
Enable-ADAccount -Identity $OperatorUser
Add-ADGroupMember -Identity $VMOperatorGroup -Members $OperatorUserТеперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:
New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module" -ItemType Directory
New-ModuleManifest -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module\Demo_Module.psd1"
New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities" -ItemType DirectoryА затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:
$VMRoleCapabilityParams = @{
Author = 'Сервер Молл'
Description = 'VM Role Capability File'
CompanyName = 'ServerMall'
VisibleCmdlets= 'Get-VM',
@{ Name='Start-VM'; Parameters=@{ Name='Name'; ValidateSet='win' } },
@{ Name = 'Stop-VM'; Parameters = @{ Name = 'Name'; ValidateSet = 'win'}}
New-PSRoleCapabilityFile -Path "$ENV:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities\VMRoleCapability.psrc" @VMRoleCapabilityParamsТеперь необходимо подготовить файл сессии PowerShell:
$NonAdministrator = "DOMAIN\VM-win-Operators"
$ConfParams = @{
SessionType = 'RestrictedRemoteServer'
RunAsVirtualAccount = $true
RoleDefinitions = @{
$NonAdministrator = @{ RoleCapabilities = 'VMRoleCapability'}
}
TranscriptDirectory = "$env:ProgramData\JEAConfiguration\Transcripts"
}
New-Item -Path "$env:ProgramData\JEAConfiguration" -ItemType Directory
$SessionName = 'VM_OperatorSession'
New-PSSessionConfigurationFile -Path "$env:ProgramData\JEAConfiguration\VM.pssc" @ConfParamsЗарегистрируем файл сессии:
Register-PSSessionConfiguration -Name 'VM_OperatorSession' -Path "$env:ProgramData\JEAConfiguration\VM.pssc"Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:
Enter-PSSession -ComputerName SERVERNAME -ConfigurationName VM_OperatorSession -Credential (Get-Credential)Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.
Доступ к серверу ограничен управлением одной виртуальной машиной.
Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.
Интерфейс JEA Toolkit Helper.
При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.
Журнал выполнения PowerShell.
Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.
Файловый журнал JEA.
С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».