Как я становился системным администратором
Это первая статья о моём «путешествии» к становлению системным администратором.
Закончив ВУЗ, я стал искать работу. Горел желанием работать сисадмином, хотя сам даже не помню, откуда появилась эта идея. Наконец, меня взяли младшим системным администратором в небольшую компанию на 60 человек.
У компании несколько офисов в моём городе, ещё 3-4 в других городах. 4 сервера в основном офисе, около 40 ноутбуков и ПК по точкам, роутеры, сетевые коммутаторы (далее – свитчи), камеры видеонаблюдения и прочее.
Сразу отмечу, в моих статьях будут вещи, о которых я узнавал в процессе работы. Да, я понимаю, что некоторые из них элементарны, но как бы то ни было, узнавал я о них впервые. И пишу я для таких же начинающих эникейщиков как я сам, поэтому всех профи и матёрых сисадминов попрошу воздержаться от бомбления.
Огромное спасибо авторам статей https://habrahabr.ru/post/118475/ и https://habrahabr.ru/post/50008/ - очень помогли понять, кем я сейчас работаю и что нужно делать для развития.
Если коротко: эникейщики, помощники сисадминов и младшие системные администраторы – люди без опыта, но с базовыми знаниями о компьютерной технике, семействе Windows и его приложений вроде MicrosoftOffice. Это минимум. Чем больше знаний, тем больше шансов попасть в более крупное предприятие. Повезло и тебя приняли? Теперь учись, пробуй, а главное – читай. Читать надо вообще всё, начиная от всё той же операционной системы Windows (Администрирование Windows), компьютерных сетях (OSI, IP/TCP, DCHP, как происходят первые и последующие соединения в сетях и т.д.), заканчивая семейством Linux и поднятием ActiveDirectory на работающем сервере.
Итак, мои первые две недели.
От гендиректора поступило задание провести инвентаризацию всей компьютерной техники. От меня требовалось:
1. Собрать информацию с работников: кто (основная информация о работнике), где работает, чем пользуется (из оборудования), какие программы использует;
2. Нарисовать схему подсетей в организации;
3. Раздать инвентаризационные номера каждому устройству.
Для начала я создал табличку, где указал, что именно мне нужно от сотрудника и отправил по почте каждому сотруднику (список взял в бухгалтерии). В последующем выяснилось, что почтой владеют не все сотрудники, а некоторые из них слишком важные персоны, чтобы перевернуть мышку и посмотреть название. Поэтому мне всё равно пришлось пройти по этажам, затем проехаться по другим офисам и записать устройства самостоятельно. Собранную информацию я заносил в табличку в Word, систематизировал, запоминал.
Далее – схема.
Я долго перебирал варианты, как бы эту схему лучше составить. В итоге, остановился на программе LanStatePro. Она показалась мне довольно красивой и простой, тем более что от меня и не требовалось ничего особенного.
Для примера картинка из интернета.
Теперь остались инвентаризационные номера.
Открыл Хабр, почитал статьи об этом. Взяв за основу статью https://habrahabr.ru/post/205802/, открыл мою схему сети, пронумеровал произвольным способом офисы в разных городах, затем в моём городе. Следующая цифра – этаж. Получилось примерно MSK1-1. Москва, 1 офис, 1 этаж. Далее составил таблицу всех устройств и дал им номера. Например, системный блок 01, мышь 02, клавиатура 03, монитор 04 и т.д. Захожу в комнату N и слева направо раздаю номера. Ноутбук MSK1-1-05-1, второй ноутбук MSK1-1-05-2, мышь MSK1-1-02-1 и далее по списку. Цифр в инвентарном номере мало – но ведь это информация для меня и сисадмина, верно?
По номеру я пойму, в каком здании, комнате, на каком рабочем столе лежит эта мышь и кому она принадлежит. Распечатав материал, я потратил день на нанесение номеров на каждое устройство в своём городе. Остальным офисам отправил по электронной почте просьбу наклеить и сфотографировать.
Осталось всё оформить и отнести гендиректору.
Время от времени поступали задания от системного администратора. У кого-то не работает принтер – переустановил драйвера. Появился новый сотрудник – готовил для него ноутбук. И вот тут, пожалуй, остановлюсь.
В подготовку входило: переустановка Windows, настройка MicrosoftOffice, Skype. Всё это происходило с двух флешек сисадмина. Передавая их мне, он тут же добавил – тебе нужно завести свои флешки по 8-16 Гб, на одной будет ОС Windows, на другой - полезные программы. Всё поставил. Далее создание почты, скайпа, доступа к RDP(удалённый рабочий стол). Под логином сисадмина мы заходим в RDP, ПКМ по Компьютеру, Управление – Конфигурация – Локальные пользователи и группы – Пользователи. Снова ПКМ, Новый пользователь и заполняем данные пользователя. Галочки ставим на «Запретить смену пароля пользователю» и «Срок действия пароля неограничен», а снимаем с «Запросить сменить пароль при следующем входе».
Снова ПКМ, Новый пользователь и заполнение данных пользователя. Галочки ставим на «Запретить смену пароля пользователю» и «Срок действия пароля неограничен», а снимаем с «Запросить сменить пароль при следующем входе».
Пользователя мы создали. Теперь необходимо дать ему нужные права и запретить ему заходить туда, куда не нужно.
Ищем пользователя в списке, ПКМ, Свойства.
- Членство в группах: там могут быть созданы группы вроде «Бухгалтерия», «Программисты 1С», «Водители» и другие, с уже заданными правами. Например, Бухгалтерия имеет доступ к базам, связанным с расходками, распределением средств, зарплатами. А водители могут лишь отметиться в базе управления персоналом.
- Среда: убираем галочку с «Подключение дисков пользователя», а вот «Подключения принтеров пользователя» и «По умолчанию выбрать основной принтер клиента» оставим, многим нужно печатать прямо с 1С, а тот принтер, что установлен у них по умолчанию, с помощью галочки подключится и в RDP.
- Сеансы:
• завершение отключенного сеанса – 5 минут;
• ограничение активного сеанса – никогда;
• ограничение бездействующего сеанса – 30 минут.
• При превышении ограничений или разрыве связи – Отключить сеанс;
• Разрешить переподключение – только от прежнего клиента.
Пользователь закрыл RDP – через 5 минут сервер его завершит. Пользователь работает в RDP– пусть работает, никто его не отключит. Пользователь не двигает мышкой 30 минут или отошёл – сеанс выключится, нечего тратить ресурсы сервера. Пропал интернет – сеанс отключится, есть 5 минут на переподключение. Если кто-то входит в тот же RDPна другом ПК – сеанс первого завершится.
Остальные настройки по вкусу, но по совету сисадмина я трогать ничего не стал.
Далее создание почты. Так как почтовый сервер у нас свой, почта создается через него. Создание ящика дело нехитрое, поэтому останавливаться тут я не буду. Так же пропустим то, как я создавал учётную запись в скайпе.
Итак, логины/пароли готовы, ноутбук тоже. Устанавливаем его на рабочем месте, настраиваем Wi-Fi. Принтер настраивается через «Устройства и принтеры», создание нового, после поиска выбираем нужный и в большинстве случаев это всё. Теперь – общая папка.
Заходим: Панель управления – Учётные данные пользователей – Администрирование учётных записей Windows - Добавить учётные данные. Вбиваем данные пользователя, адрес сервера. Обычно в компаниях используют VPN- виртуальную частную сеть. Совсем просто – это создание «локальной» сети. Даже если офис Nв другом городе, через интернет создаётся туннель к серверу, и теперь офис N почётный член локальной сети, а значит, он имеет доступ к общей папке в локальной сети. Теперь заходим через сисадмина в RDP, выбираем папку для общего доступа, если она не настроена, или создаём ещё одну. В свойствах папки, в разделе Доступ добавляем новых пользователей и раздаём им права: «Чтение и запись», либо только «Чтение».
The End.
Компьютер готов к использованию.
В следующей статье: новое задание от сисадмина – написать bat-файл для бекапа с условиями, а так же, как я лишил доступа к RDPвсех, включая сисадмина.