SysAdmin

Ты не один, ты просто дошёл до стадии “прозрения”.

Это не инфраструктура, это классический результат многолетнего подхода “сделай быстро, потом разберёмся”. Спойлер: потом никто не разбирается.

У тебя там не набор косяков, у тебя там экосистема костылей, где каждый новый костыль аккуратно опирается на предыдущий, и если один убрать — развалится вся конструкция.

Самое интересное — почти всё, что ты перечислил, делается не потому что люди тупые, а потому что:

надо было срочно

никто не думал наперёд

никто не хотел брать ответственность

и “и так работает” стало стандартом

Отсюда и появляются такие шедевры:

Плоский домен — потому что “а зачем усложнять”
Три сетевые карты — потому что “так быстрее, чем маршрутизацию делать”
RDP и winbox наружу — потому что “надо же как-то подключаться”
Одна учётка на всех — потому что “удобно же”
Пароли в Excel — потому что “чтобы не забыть”

И вот это всё вместе превращается в систему, которую никто не понимает целиком, но все боятся трогать.

Самая подстава в том, что это нельзя аккуратно “починить по вечерам”.
Начнёшь приводить в порядок — вылезут зависимости, о которых никто не знал.
Выключишь “лишнее” — сломается что-то “критичное”, о чём вспомнят через три дня.

А бизнес в этот момент смотрит и думает:
“А раньше же работало, что ты опять сломал?”

Поэтому единственный адекватный путь — это не героически чинить всё подряд, а:

сначала понять, что вообще есть

потом объяснить руководству риски нормальным языком

и только потом аккуратно переползать к нормальной архитектуре

И главное — не брать на себя роль спасателя всего этого хозяйства.
Потому что как только ты начнёшь это разгребать, ты автоматически становишься “ответственным за всё”.

А про “айтишник в мыле” — там всё честно.
У вас просто не инфраструктура, у вас постоянно действующая авария, которая иногда работает.

Вот сейчас все экономят, нанимают айтишников по скринингам..
Короче, я заебался. Есть контора, в которой кто-то забубенил инфраструктуру как художник, который он так видел. К чему не прикоснись- кривизна и костыли. Например:

1. Есть домен, но он, цуко, плоский - нет никаких OU и политик с ними. Тупо на весь домен какие то накладываются и ладно.

2. Несколько сетевых карт в компе для доступа к подсетям. Это как здрасте. Для доступа в подсеть 4.0/24 из сети 1.0/24 через lightmanager или вообще anydesk подключаемся к компу и что-то делаем как на jumphost, хотя компы все в L2 сети. Видел 3 сетевых на разных подсетях.

3. Видеонаблюдение. п.2 во всей красе, но еще доступ через RDP на внешнем белом IP. Местами с пробросом портов регистратора.

4. Учетки каждому, кому надо в регистратор на смотреть? Нах, есть универсальная учетка с максимальными правами, давайте ее использовать!

5. Микротики с открытыми портами API и winbox, не считая 80 на белых IP.

6. RDP на белых через микроты без ограничений connrate.

7. На некоторых workstation в группе локальных Администраторов доменные учетки пользователей.

8. Гроздья PoE инжекторов, а то и активных, на проводах к камерам. Вот как в этом случае камеру сбросить по питанию?

9. В каждом кабинете есть засунутый в темное место коммутатор, т.к. портов не хватает для компов.

10. На шару, в которую сканируют с МФУ, доменную учетку обычного пользователя - изи, а что такого?

11. Политика смены паролей - не, это все лишнее. Еще пароль от почты, кстати, такой же, как от доменной учетки. На внешнем сервисе. Чтобы пользователям удобно было.

12. Хранить пароли ко всему в экселе на шаре- нехуй делать, без разграничений доступа, ага.

13. Мониторинг? Ну упадет что-то - сообщим. У нас тут сегментация сетей есть, мониторить сложно.

14. Порты пач-панелей .. не подписаны. Зачем это? Коммутаторы туда же, они же просто есть.

15. А в какой порт и какого коммутатора вставлена вот эта камера? Да хз, это что, так важно?

16. Сторонние организации могут подключаться по Anydesk к консоли с localadmin к компу в домене. Дайте две!

17. Обновления мешают? Ну есть WUB или такое же, вот жеж решение проблем.

18. Активация винды чем делается сами догадаетесь?

19. Есть у нас 10 принтеров hp LJ100 в сети, расставлены по комнатам. Они называются очень понятно при поиске для подключения- HPNP03F2EA, из чего очевидно-ясно какой стоит возле пользователя.

20. Клонирование винды с одного диска для доменных компов. Это bestpractise.

21. Про dsnat в микроте на самого себя из локальной сети и одновременно srcnat на внутренний IP расписывать не буду. Это выше моего принятия действительности.

22. ....

    Я понимаю, мало кто проходил MSSA, но йобанаврот! Что за инфраструктуру строят те, кто называют себя IT специалистами с таким подходом? Это же игра в Волк и Яйца с постоянно повышающимся уровнем сложности. А потом руководство недоумевает- А чо это у нас айтишник в мыле? Может в консерватории поправить?