Драмма в 2-х частях.
ЧАСТЬ 1
Я руководитель IT отдела, в компании примерно 300ПК. Живу и работаю в России. Сам уже достаточно давно администрированием занимаюсь редко, не сомневаюсь что многие Хабрачеловеки заткнут меня за пояс, но с другой стороны есть ли срок годности у статусов MCSE, MCDBA? (Кажется есть :-(( )
Прочитав пару дней назад очередную статью человека, пересевшего с Windows на Linux , вызвавшую обширную дискуссию, и решил написать почему я выбираю Windows, а если точнее — почему я люблю решения от Microsoft. Хочу сразу сказать, что мне очень хотелось услышать мнение сообщества именно потому что я вижу, что тут масса очень квалифицированных людей в самых разных областях. Очень хочется конструктивного диалога и очень не хочется никого обижать. В статье я напишу почему я выбираю решения от Microsoft. Причем, как видно из моей деятельности, область моего беспокойства не ограничивается настольными системами, безусловно меня волнует вся IT инфраструктура.
Сразу скажу: «Нет, нет, я не получаю грязных денег от Микрософт, хотя очень хотелось бы!». Всё это мои истинные чуства, сразу признаюсь, что я зомбирован. Итак, по порядку.
1. Передовые решения
В очень многих областях в том, что касается IT инфраструктуры решения Микрософт на переднем крае. Можно приводить много примеров. Я обожаю Exchange с его календарями, общими папками, работой c outlook по RPC.
Я просто плАчу от счастья, когда вижу Office Communications Server! Люди! Вы внедрили его? Это же просто сказка.
Я радуюсь, используя Sharepoint Server, хранить на нём файлы намного удобнее, чем в шаренных ресурсах. Тут тебе и версионность и оповещалки об изменениях и веб доступ и много других радостей жизни.
Наконец, я радуюсь жизни с офисом. Да, я зомби, я не пробовал ничего другого, но как удобно и легко анализировать данные в экселе и потом тремя кликами делать их привлекательно выглядящеми, рисовать графики и диаграммы. Нужно написать план руководсту — открываем Project и вуаля. Через 30 минут и план и диаграмма Гантта со всеми зависимостями, отвественными и прогрессом. Нужно быстро схему сети — берём Визио и через 20 минут у нас красивый документ, где всё понятно разрисовано.
2. Интеграция
Это даже важнее чем пункт 1, и объясняет, почему я не просто люблю Микрософт, а почему я люблю только Микрософт. Суть в том, что продукты Микрософт созданы для совместного существования. Например Exchange все данные о людях берёт и хранит в Active Directory, клиент, который с ним отлично работает — Outlook из офиса. Этот же Outlook показывает мне благодаря OCS, доступен ли приславший мне письмо человек в данный момент. Если я работаю над документом, лежащим на Sharepoint Server, Ворд в специальной панельке покажет мне кто автор документа и опять таки я буду видеть доступен ли он, и при необходимости позвоню ему одним кликом. Поверьте мне, примеров несчётное множество, перечислять смысла нет никакого, лучше дальше я напишу несколько сценариев использования. Но основная мысль — better together. Практически постоянно продукты Микрософт, при развёрнутой инфраструктуре, дружатся между собой и получают дополнительный функционал. Я могу поверить что какой-нибудь Documentum (никогда его не видел) существенно лучше чем Sharepoint по массе показателей, но я уверен, что внедрив его я существенно проиграю в дополнительной функциональности, простоте администрирования, усложню себе жизнь в будущем, когда будут выходить новые версии ПО с новыми возможностями. Поэтому в первую очередь я буду смотреть на Sharepoint и начну думать о другом только если его текущих возможностей будет явно недостаточно.
А посмотрев, в большинстве случаев, выясняется что возможностей достаточно вполне и даже более того.
3. Кадры
Разворачивая всю инфраструктуру на продуктах MS вы получаете единообразие. Одинаковые подходы, одинаковые оснастки, и да! Микрософт всё знает лучше вас. Порой это растраивает конечно, я не беспросветный зомби, но как правило это значит что есть один путь решения проблемы и он же правильный. А если так, то количество уникальных и специфичных для организации знаний сильно сокращается. Мне не нужно ничего придумывать, чтобы опубликовать Exchange через ISA и если завтра у меня внезапно уйдет один из инженеров, обслуживающих инфраструктуру, это не будет тонким местом. Утрируя, мне кажется, что специалисты по MS монолитны, различаются уровнем квалификации. Те же специалисты по *.nix — каждый дудит в свою дуду. Имея 1209 разных дистрибутивов, путей решения задачи и так далее они не имеют общей точки зрения. Для меня, как для начальника, это значит что высока вероятность, что если мой инженер уйдет и я возьму нового — организацию будут ждать перестройки и прочие пертурбации.
Возможно это моё заблуждение, но я считаю, что в целом найти администратора со специализацией MS намного проще, чем любого другого. Кроме того, так как я сам разбираюсь именно в этих технологиях мне намного проще проводить отбор сотрудников.
Подводя черту под этим разделом я хочу сказать, что в случае MS мне, как руководителю просто и понятно как «делать правильные вещи». Это звучит цинично и банально, но я просто должен в первую очередь поставить и примериться к решению от Microsoft и начинать смотреть на что-то другое только если оно мне радикально не подходит.
Жизнь моя сложилась так, что во время кризиса пришлось организовать компанию по аутсорсинговому IT обслуживанию некрупных клиентов. Поэтому постоянно приходится видеть как IT организованы у разных компаний и, должен сказать, что даже там где бюджеты большие всё равно очень редко глаз радуется. Очень много неграмотных администраторов, специализирующихся на MS, ненавидящих пользователей и мечтающих только чтобы от них все отстали и дали спокойно поиграть. Почему так — отдельный разговор, могу написать ещё статью.
Примеры из моей жизни
Теперь пара примеров возможностей интегрированной инфраструктуры. Я буду писать только о том, чем реально пользуемся.
Я прихожу на работу. Да, порой я опаздываю. Не беда, я зомби, и у меня телефон с Windows Mobile. Вся почта приходит на него, все встречи в нём. Конечно синхронизироваться теперь умеют все телефоны, но меня Win Mobile на моём HD2 очень устраивает потому я не смотрю по сторонам 🙂 мне не нужно ставить никаких утилит на моей Win 7, находясь вне офиса я в два тычка на телефоне получаю список контактов из AD, не засоряя ими личную адресную книгу, мне не нужно бэкапить телефон — всё происходит само при синхронизации, все фотографии для списка контактов едины для телефона и контактов офиса. Я предвижу, что мне скажут: «Ламер, весь описанный функционал есть на моём Iphone/Nokia/…» но причины своих решений уже описывал. Выпустит Microsoft очередной Office Communicator, будет ли он иметь весь функционал на Вашем телефоне? Я не уверен.
Итак, почта прочитана ещё в пути. Да, я забыл сказать мой Outlook и дома и на ноуте отлично дружит с Exchange сервером. Я всюду работаю с одной и той же копией моей почты, которая лежит на сервере, причём дома и на ноуте я работаю с ней именно через Outlook — это удобнее чем через Web интерфейс. Мы в компании активно пользуемся назначением встреч, я вижу календари своих сотрудников. Забронировать переговорную? В общих папках Exchange лежат календари для каждой из них, я могу это сделать откуда угодно. Страшно подумать, что где-то ещё бегают и ставит крестики на листочке, висящем около переговорной. Текущие задачи по поддержке людей? После выделения отдельного адреса для техподдержки и 15 минут настройки я вижу их все, со статусами готовности, с привязкой к человеку, которому она поручена и историей переписки по задаче. Прибежал начальник и плачет — сотрудник заболел а на его адрес должно прийти сверхважное письмо — 2 минуты и у начальника сотрудника уже подцеплен весь его ящик. Удалил кто-то по неосторожности почту — централизованные бэкапы сервера. Ведь вся почта на нём и только на нём. Нужно организовать один внешний адрес, чтобы 5 секретарей его читали и с него отвечали клиентам? — делов на 15 минут и это не будет страшенная группа рассылки, а именно один единый почтовый ящик. Сотрудник сел на другой компьютер? Да хоть в америку улетел. Вся его почта и прочие почтовые сервиы доступны, едины и монолитны. Никаких проблем с адресными книгами организации. Как только я вижу в какой-то организации телефонную книгу в экселе — меня немедленно начинает колбасить.
Если я столько написал про Exchange — сколько же я напишу про Office Communication Server?
Ведь к нему я отношусь с особенным трепетом. Итак OCS. Если вы никогда не сталкивались с ним — то грубо я бы описал его как Skype для организации. Естественно он централизованно администрируется, дружится с AD и прочие плюшки. Я сразу вижу все статусы сотрудников, кто сидит, а кто afk. Могу отправлять им сообщения. Но также он дружится и с телефонией. Не буду писать про АТС с которыми он интегируется в полном объёме — мне досталась AТС Panasonic. После налаживания отношений, я в 2 клика мышкой в своём офис коммуникаторе настраиваю чтобы звонки приходили одновременно и в коммуникатор и на телефон. Если я взял трубку на телефоне — мой статус в коммуникаторе не меняется. Это минусы неполной интеграции. Зато я сам рулю своими звонками — нужно куда-то отбежать на пару часов, не ставя начальство в известность — настроил перенаправление звонков на мобильный, вернулся — отключил. Нужно чтобы телефон звонил сразу вместе с коммуникатором — пожалуйста. Нужно чтобы через 2 гудка — 2 клика. Сегодня сижу за другим компом в другой комнате — надо только не забыть отключить приход одновременно звонока на телефон на столе, чтобы не нервировать коллег и воткнуть в комп на который пересел гарнитуру. Кстати это очень актуально для компаний, где у части сотрудников нет постоянных компов и они «мигрируют». Я забыл что такое телефонные номера сотрудников — три буквы из имени или фамилии или логина и вуаля, дальше клик мышкой. Я сразу имею опции звонить на рабочий или мобильный телефон. Любые звонки после лазанья по интернету в поисках фирмы — просто копи-пэйст телефонного номера. Если я работаю из дома — часто люди это даже не замечают, я по-прежнему доступен по телефону. Проблемы с телефонизацией удалённых офисов и домашних сотрудников отпадают автоматически. Для любителей — видеоконференции. Любая сложная маршрутизация? Например с вечера пятницы звонки должны приходит на охрану, а в субботу с 10.00 заступает на вахту дежурный инженер техподдержки — нужно перевести звонки на его рабочий, причём он может уехать к клиенту, тогда нужно чтобы звонки приходили на его мобильный, а после 20.00 звонки снова должны приходить на охрану, а в воскресенье схема та же но будет другой инженер с другим мобильным. Причем в субботу утром может быть неизвестно какой из инжеренеров будет работать в воскресенье. Причем он в воскресенье может уже к 10 ехать к клиентам, но должен получать все звонки на мобильный… Кстати, описана абсолютно реальная схема работы… Всё настраивается за 10 минут и люди рулят переадресацией и правилами сами, мышкой, на компьютере в великолепном интерфейсе. А ведь до того прходилось писать большие блоксхемы, мэнуалы с магическими последовательностями цифр, которые нужно нажать на телефоне и вешать это перед рабочими местами сотрудников и охраны.
Кстати, не помню писал или нет, но статусы присутствия доступны во всех приложениях MS. И в офисе и на SP портале…
После такой массированной рекламы обязан написать, хоть это не относится к этой статье… OCS полнофункционально работает только со своими родными телефонными аппаратами, которых 3 штуки буквально и стоят они как мост из чивстого хрувсталя. В общем если вдруг захотите полностью отказаться от своей АТС — изучите этот вопрос. У меня большинство сидят с гарнитурами обычными и коммуникатором на компе.
Примеры есть и ещё, их много, они разные. Просто всё очень долго писать, пора переходить дальше.
Почему администраторам нужно любить решения от MS
Уважаемые товарищи администраторы. Примите то, что Вы должны в большинстве своём именно обеспечить удобную среду для работы Ваших пользователей. Вы должны быть им другом, а не врагом. Давайте возьмём двух гипотетических администраторов, которые любят своих пользователей, трудятся и растут на работе, а не играются дни напролёт. Моё сугубо личное, и наверняка ошибочное, мнение — Гипотетический толковый администратор *.nix в вакууме — переведёт всех пользователей на Linux, заставит работать в Open Office, понаставит Unix на серверы, будет рулить всем этим хоть из дома, хоть с телефона, полностью исключит все простои и косяки, реализует свою «инфраструктуру мечты», выполняющую все базовые функции и сервисы для пользователей, будет сидеть и пить чай или писать на хабре умные статьи — то есть великолепно выполнит «поддерживающую функцию». Начальство будет его любить как подчиненного, отлично делающего своё дело, которого просто не нужно трогать и всё.
В это время толковый администратор MS наладит централизованное обновление ОС и антивирусов, поотнимает у кого можно, права админов, сделав так, чтобы приложения продолжали работать, таким образом добъётся почти идеального функционирования системы, порой у него будут случаться авралы так как новые вирусы пролезли или потому что невзирая ни на что ком пользователя начал тормозить и снести всё легче, чем разобраться почему он тормозит. Но при этом он даст своим пользователям кучу дополнительных способов решать их задачи, его будут манить новые возможности. Его «инфраструктура мечты» всегда в будущем. Пользователи будут любить его, потому что им день ото дня будет всё легче и легче жить. Начальство будет его любить как партнёра, которому нужно объяснять цели и задачи фирмы, потому что он предлагает хорошие и умные пути решения многих задач. То есть способствует созданию дополнительных конкурентных преимуществ для фирмы.
И через какое-то время выяснится, что банально масштаб задач у администратора MS крупнее намного и задачи важнее и интереснее. Чтобы собрать все камни — утрируя, это как ассемблер и 1С. На ассемблере Вы напишите идеальную программу для ваших нужнд, а 1С может и полна глюков, только проблемы решает другого уровня.
Про то, о чем умолчать нечестно
Закончив с приятностями поговорим о непрятностях и шаблонах.
1. MS нестабильная, глючаная, полна вирусов и так далее.
Не сказал бы. Поставьте WSUS, обновляйте централизованно антивирус, по возможности отберите админские права у пользователей. Не скажу что в моей практике проблем вообще нет, правда специфика такова, что есть много пользователей с правами администратора — но проблемы достаточно редки, с этим всем прекрасно можно жить.
2. Если сломается что-то на сервере тут мне доступно всё до исходников, а там…
Инфраструктура MS хорошо работает если ею рулят достаточно грамотные люди. Безусловно порой труднее разобраться с тем что нужно бэкапить и как восстанавливать, конечно психологически легче и понятнее, когда вся почта у тебя в виде отдельных текстовых файликов в каталоге с именем пользователя на сервере. Но если вы станете грамотным специалистом, если перед вводом системы в эксплуатацию и во время эксплуатации вы хотя бы пару раз пробовали восстановить систему из бэкапа на новом железе — эта проблема — не проблема.
3. Ты тут агитируешь, а считал ли ты, сколько это стоит?
Считал. Знаю сколько стоит. Но отвечать на вопрос покупал ли и так далее отвечать не хочу и не потому что не покупал. Просто реалии таковы что сейчас 90% ПО в России ворованное. Я считаю что очень важно двигаться вперед и использовать лучшее, особенно пока есть возможность. Если купить нет никакой возможности — пока можно жить и на пиратском, важно только честно показывать бизнесу возможности, которые это ПО несёт. Если у вас компьютеры — печатные машинки — сам бог велел подумать о бесплатном ПО, но если вы уже показали бизнесу, как он может работать эффективнее с помощью новых технологий — бизнес (читай директор) уже часто может принимать решение, что отказаться от них ради бесплатности он не готов. Выгоду часто непросто посчитать, но порой она становится очевидна. Наконец, если директор упёртый или бизнес не приносит достаточно прибыли, чтобы нести эти «необязательные» траты, а Вы банально боитесь оказаться под ударом — не лучше ли поискать новое хорошее место, а не отказываться от хороших продуктов?
Заключение
Долгое время я только читал Хабр. Но вот в очередной раз очень захотелось сюда написать. И первая причина почему так сильно этого захотелось — потому что лично я не знаю альтернативного пути для предприятия, использующего достаточно много сложных IT сервисов, кроме как проприетарный софт. В то же время я вижу, что здесь очень квалифицированное сообщество, которое сможет подсказать, направить, разъяснить. Я признаю, что как профессионал, альтернативы не вижу, а хотелось бы её узнать и, возможно, ещё профессионально подрасти. Написал эту статью в песочницу, но НЛО её забраковало и я в целом понимаю почему — видимо многовато рекламы и толчков к холивару, хотя я как раз стремился к обратному. Но всётаки желание получить обратную связь от вас оказалось сильнее досады начинающего графомана и лени и я пошёл в люди. Большое спасибо хабрачеловеку Степану Овчинникову, признавшему статью в целом годной и выдавшему мне пожелания и комментарии по её улучшению, а также инвайт, чтобы она всё таки увидела свет. Буду очень признателен грамотным оппонентам аргументирующим своё мнение.
ЧАСТЬ 2
До того как я начну — справка и воззвание 🙂
После первой статьи мне много раз написали, что я не прав, не указывая сколько стоит удовольствие. Пинки законные, стоит дорого. Спрашивали — отвечаем. Грубо вы можете оценить это так — лицензия Enterprise Agreement (покупать её можно имея от 250 ПК) будет вам стоить 1000 уёв на рабочее место. Сервера в это всё войдут. То есть, очень грубо, лицензирование развесистой инфраструктуры для 300 ПК будет стоить 300 тысяч $. Выплачивать нужно будет по 100 тысяч в год в течение 3 лет, в течение этого времени вы можете ставить все последние версии купленного ПО.
Это самый дорогой и безгеморойный способ лицензирования, другие дешевле. Кстати, если будете покупать ПО Микрософт в таких масштабах — мой совет торгуйтесь.
Насколько это дорого решайте сами. Конкретно для моей организации одно только внедрение Project Server позволило, за счёт эффективного планирования сотрудников работающих на проектах, не нанимать ещё 7 сотрудников к имеющимся 40 и таким образом сэкономить примерно 7*1300$*12 то есть те самые 100 тысяч в год, это стало очевидным аргументом эффективности решения.
Сразу хочу оговориться. Я не призываю воровать или напротив покупать ПО Microsoft. Я призываю к другому: Неважно, приверженец ли вы бесплатного ПО или проприетарного — подумайте как построить что-то большее чем инфраструктуру, обеспечивающую только базовые сервисы. Постройте хорошую инфраструктуру, дружественную к людям, постарайтесь минимизировать количество бумаг в офисе, берегите леса и пусть ваша карма вознесётся к светлым вершинам.
Ниже приведён очень сжатый порядок действий. Даже так топик получился слишком большим, но дробить его не хочется.
То, как должны обстоять дела на определённых этапах будет выделено курсивом. Вряд ли Вам удастся внедрить всё в приведённом ниже порядке, он скорее для связности изложения. Описанная ниже инфраструктура актуальна для фирмы с примерно 50-500 пользователями.
Итак, собственно руководство. Начинаем.
Я очень люблю Hyper-V. Ставим Server 2008 в core mode и при прочих равных разворачиваем инфраструктуру на виртуальных машинах.
Бэкапы бэкапы бэкапы. Не вводим в строй ни одну систему не разобравшись как мы будем проводить резервное копирование.
1. Ставим сервер, поднимаем Active Directory. Поднимаем основные службы DNS, DHCP. При первой возможности ставим второй серер, на котором также поднимаем AD. Хотя многие мелкие организации этим пренебрегают, это очень важно, ибо если помрёт единственный контроллер домена будет очень очень грустно. <update 12.04.10 10:15> Назначаем второй контроллер домена также сервером Глобального Каталога. /update Настраиваем синхронизацию времени на контроллере домена с внешими источниками эталонного времени. NTP.
1.1 DNS. Подумайте заранее про то, как будет называться ваш домен, будет ли название совпадать со врешним именем или отличаться от него. Почитайте про Split DNS. Людям удобно запоминать единые адреса для сервисов. Например mail.yourdomain.ru — всегда должно быть почтой вне зависимости снаружи или изнутри сети компании работает сотрудник. Если DNS имена наружней и внутренней сети различаются — поднимите внутри сети зону yourdomain.ru
1.2 DHCP. Фиксированных адресов быть не должно. Используйте Reservation для MAC адресов устройств. Это нужно чтобы вы могли в любой момент владеть полной информацией по распределению адресов в сети.
1.3 Заводим в AD всех пользователей. Каждому подразделению выделяем Organizational Unit в соответствии с иерархией организации. Распихиваем пользователей по OU. Для каждого OU создаём группу, в которую включаем всех пользователей. Каждому пользователю — по учётной записи. Никаких записей «Кладовщик» для 12 кладовщиков разом. Для учетных записей компьютеров также желательно иметь отдельную иерархию OU в соответствии с иерархией организации — так легче привязывать групповые политики для всех ПК отдела.
1.4 Даём секретарям права на изменения полей номера телефонов в AD. Обучаем. Заполнять и поддерживать эти данные в актуальном состоянии теперь их обязанность. Они-же или HR должны поддерживать в актуальном состоянии название должности и отдела в AD у всех сотрудников. Также, при переводах сотрудников, администратор перетаскивает учетки в нужный OU, меняет членство в группах. Делаем регламент — как пользователь попадает в нашу сеть при приёме на работу, что мы делаем при его увольнении, при переводе в другой отдел. Вводим стандарты на формирование Login name и почтовых адресов сотрудников.
2. Загоняем компьютеры пользователей в домен.
3. По возможности лишаем пользователей прав администратора. Часть ПО при своей рядовой работе хочет писать данные в запрещённые по умолчанию места — отлавливаем это с помощью специального ПО, например Process Monitor, тонко настраиваем права. Единожды разобравшись с программой — выписываем к каким ветвям реестра и каталогам у неё дополнительно должен быть доступ, делаем настройки, распространяем их с помощью Group Policy на подходящий OU. С помощью GP цепляем людям ближайшие принтеры. Добавляем в логин скрипт ПО, собирающее данные по нашим ПК — название, кто логинился, какое стоит железо, IP адрес, МАС адрес и так далее и складывающее всё это добро на сервер.
4. При необходимости ограничиваем доступ ко внешним накопителям, например с помощью Device Lock.
Также можно настроить это с помощью групповых политик.
5. Настраиваем корпоративный антивирус, следим за его обновлениями
6. Поднимаем и настраиваем WSUS. Не бойтесь, расставляться будут только обновления, утверждённые Вами.
7. Расшариваем на сервере файловые ресурсы. Бъёмся смертным боем, чтобы ресурсы расшаривались на группы, а не на персональных сотрудников. Иначе очень скоро система прав превращаются в кашу, невозможно дать новому сотруднику права аналогичные другому сотруднику, уже работающему и так далее. Очень важно донести до руководства почему нужно делать именно так и получать от них заявки на изменения прав в таком разрезе.
8. Поднимаем SQL сервер. Он нам понадобится, чтобы хранить там базы 1С и вообще вещь хорошая.
Все наши пользователи работают с расшаренными ресурсами на сервере. Мы неплохо защищены от вторжений вирусов. Таким образом мы более менее обустроили рабочие места сотрудников.
9. Поднимаем и настраиваем ISA сервер для доступа в Инет. Сейчас его преемник ForeFront TMG, мы пока не внедряли. Настраиваем Proxy autodiscovery и/или прописываем всем наш прокси в IE групповыми политиками, прописываем внутреннюю сеть в адресе исключений — доступ к ней мимо прокси. Не забываем подумать и проверить, как будут работать ноутбуки вне нашей сети. Не будут ли они пытаться лезть в инет через проки?
9.1 Нстраиваем правила для доступа пользователей наружу. Правил, разрешающих доступ куда угодно исходя из IP адреса сотрудника — такого по минимуму, только для коммуникатора директора. Создаём группы в AD по типу доступа, например: «только по белому списку», «куда угодно». Засовываем в эти группы группы подразделений. Например группу «Склад» запихиваем в группу «Только белый список». Создаем на ISA белый список сайтов, чёрный список сайтов, настраиваем правила с правами доступа в соответствии с группами AD и списками сайтов. Для клиент-банков и прочего ПО, которое не умеет авторизоваться на нашем сервере — в ISA включаем монитор, смотрим куда ОНО ломится и разрешаем весь трафик на IP сервера клиент-банка не на базе учетной записи пользователя, а на базе IP компьютера, в идеале прописываем ещё и протоколы.
Общая логика правил на ISA — весь трафик за очень редкими исключениями должен ходить через наш шлюз по правилам, которые привязаны к доменной учетке пользователя.
Лично я не люблю ISA Firewall Client, мы всегда обходимся без него и вам советую. Все настройки на сервере это централизация.
9.2 Если у нас есть филиалы — тоннель между ISA серверами, если у нас есть удаленные пользователи — VPN доступ в нашу сеть.
9.3 Если нужны хорошие ограничения для пользователей — например Иванов может качать не больше 200Мб в день — Bandwith Splitter
9.4 Все логи, конечно, храним на SQL сервере и не за семь дней, а минимум за 45 — когда-нибудь точно понадобится сформировать отчет кто сколько скачал за месяц.
Наши пользователи работают в Инете. Доступ в Интернет чётко разграничен правилами. Все ходы у нас записаны для последующих разборов. Удалённые пользователи имеют возможность подключаться и работать внутри нашей сети.
10. Поднимаем сервер терминалов. Загоняем на него пользователей, работающих из дома, тех кто активно работает с нашими ресурсами из удалённого филиала, возможно часть офисных пользователей.
11. Поднимаем Certification Authority, оно будет нужно.
12. Поднимаем Exchange Server. Почта пользователей должна лежать на нём, никаких Личных Папок — только для давних архивов. Работа пользователей — через Outlook. Если организация помешана на безопасности — Message Mirror почты на отделный адрес, задумываемся о том, как часто мы будем очищать его и куда будем архивировать его содержимое. Проверяем работу Global Address List, создаём его offline версию. Настраиваем ограничения на размер письма, ящика и так далее. Настраиваем на сервере антивирус и антиспам. Настраиваем коллективные почтовые ящики типа support@yourdomain.ru, даём ответственным права писать от имени саппорта, обучаем их. Настраиваем Public Folders запихиваем туда общие календари переговорных, демостендов и так далее, думаем что ещё у нас есть коллективного. Если сочтёте удобным — ведём личные календари в Оutlook и шарим их начальству. Общую систему задач на базе задач Outlook делать не нужно — задачи Outlook неудобны для коллективной работы.
13. Публикуем наш Exchange через ISA, проверяем прохождение внешней почты в обе стороны, не забываем про open relay, подписываем всё что нужно сертификатами, проверяем работу Outlook Web Access, включаем OMA, публикуем RPC over HTTP. У пользователей ноутбуков настраиваем Outlook на RPC over HTTPS, кэширование и offline address book. Если нужно кэшировать содрежимое общих папок — их нужно в Outlook добавить в Избранные папки, а затем в Избранное.
У нас работает почта, люди могут подключаться с помощью Outlook как изнутри сети, так и извне — достаточно только доступа в Интернет. Мы можем работать с помощью Web интерфейса, а также с наших мобильных устройств. Отовсюду мы видим одно и то же содержимое ящика.
Мы научились коллективно работать с адресами типа Support@yourdomain.ru
14. Читаем про Unified Communications. Настраиваем Office Communications Server, дружим его с нашей офисной АТС. Настраиваем маршрутизации и номерные планы. Настраиваем его дружбу со списком пользователей из AD.
Расставляем заинтересованным пользователям Office Communicator, выдаём гарнитуры.
Звонки через office communicator на другие офис коммуникаторы, внутренние телефоны, город. Всё без дополнительных префиксов. Коммуникатор знает всех пользователей из AD, вместе с их внутренними и мобильными телефонами.
15. Поднимаем Sharepoint Server. Засовываем туда красивый список сотрудников, данные о днях рождения сотрудников, но без года рождения (девушки волнуются), новости компании. Потом начинаем создавать там структурированное хранилище информации, пытаемся, чтобы основная часть файловой помойки плавно переехала туда. Позже подтягиваем туда рабочие процессы, заявки и так далее. Перекидываем туда резервирование переговорных и прочее, что держали в общих папках.
16. Если мы активно работаем с проектами — разворачиваем Project Server
У нас появился корпоративный портал — единое место для справочной информации, основных рабочих процессов, структурированное файловое хранилище.
Когда организация подросла реализуем на нашем портале систему обработки заявок. Делаем это с помощью Workflow на Sharepoint. Почитайте про InfoPath и Sharepoint Designer. Заявки должны приходить в единое место, закрепляться за сотрудниками, автор заявки должен видеть её текущий статус, получать по ней уведомления.
Описываем основные приёмы работы с нашей инфраструктурой, а лучше делаем видеокурсы. Выкладываем в места общего пользования (я про сервер), тренируем людей туда заглядывать по оповещениям на портале — там будет описываться работа с новыми сервисами. Вносим ознакомление с этими документами одним из обязательных пунктов для первого дня работы нового сотрудника.
Описанных действий должно хватить, чтобы реализовать все примеры использования, приведённые в этом топике. Если что-то забыл — пишите. Неосвещённой осталась тема Microsoft System Center, обязательно почитайте про него, но это продукт нацеленный нести блага не рядовым пользователям, а системным администраторам.
Спасибо за комментарии. В целом, при таком масштабе организации уже самое время задумываться об облегчении жизни IT отдела, для этого присутствуют все необходимые технологии. Читайте про System Center.
Удачи.
От себя: продукты MS следует выбирать только по 3-м причинам:
1. Они ставятся “из коробки”. Это здорово, если у вас большая сеть и много всякой работы.
2. Ими можно управлять централизованно. Реестр – это добро и зло в одном лице. Но другого пока нет (увы). гораздо проще накатить все изменения через политики на Windows машины, чем париться с 300 linux- клиентами (поправьте меня если не так).
3. То что стоит – легко понять как настроить и заставить работать (я конечно исключаю всякие глюки и расширения функционала). Поставил, настроил, забыл. Это действительно удобно.