вторник, 21 июля 2015 г.

Установка под юзером vs установка под локальным администратором

Честно говоря, постоянное объяснение чем отличается одно от другого меня уже достало.
Это системное администрирование. Сисадмины часто отмораживаются от пользователя фразой: это специальное ПО, это не имеет ничего общего с системным администрированием.

И тут "чип-чип-чип и дейл к вам спешат". Вроде бы CAD-менеджер должен произвести настройку специального ПО (в нашем случае САПР). В идеальном мире CAD-менеджер подключается, жмакает на кнопочку установки подготовленного образа, проводит все, что нужно этому миру...иногда рисует за пользователя (да-да, усталость сказывается, да и мы ж все с инженерным образованием - высокоинтеллектуальные люди).
Так вот, что получается на деле. Сисадмины свою работу выполнили, но CAD-менеджеру никто ничего не сообщает (по статусу не положено). CAD-менеджер начинает работать на клиентской машине и упирается в какую-то непонятную вещь. При условии, что CAD-менеджер - блондинка, нужно сложить ручки на столе и ныть:ой, ничего не работает, оно само. 
При условии, что у вас есть опыт линуксоида, вы начинаете ковырять учетки, проверять UAC и делать махинации, которые вас не касаются и получите по шапке. Хотя по шапке вы получите в любом случае - независимо действовали ли вы или бездействовали. 
Налицо проблема структурной дезорганизации подразделений. Мой вам совет: не боритесь за справедливость. Я на свою голову с обостренным чувством гармонии мира - постоянно требую сделать как надо..но так не бывает, что вызывает периодические конфликты и скандалы в коллективе (ох уж эти "женщина должна!"). 
Позиция CAD-менеджера на данном этапе развития четко не определена, поэтому мы - эпицентр конфликта юзер-сервисдеск (или что-то там еще: админ, глава корпорации, большой брат...)

Наша задача - обезопасить себя во время изменения доменных политик.
НИКОГДА!!! нельзя ставить программное обеспечение под доменным юзером. Это аксиома. 

Доменный юзер мобилен, он может свободно перемещаться от одной локальной машины к другой...он существует для того, чтобы быть мобильным. 
Программное обеспечение принадлежит компьютеру. При смене доменного юзера на компьютере, далеко не факт, что у user2 будут права на установку (а значит, инициализацию ПО). Таким образом вы получите ситуацию, что при передаче компьютеров между юзерами, вам придется ПОЛНОСТЬЮ переустанавливать (в нашем случае) AutoCAD. Если текучка кадров более менее средняя, все, что вы будете делать - переустанавливать AutoCAD. Забудьте про новые линии и красивые звездочки для пользователей - вы погрязнете в постоянных переустановках.


Что дает нам локальный пользователь: полный доступ к системе. Вы пропишете что нужно куда нужно, запустите и почистите реестр, при этом пользователь не будет вас отвлекать на "я только почту отправить". Буквально вчера один пользователь у меня подолбился в учетку локального администратора со своим паролем и заблокировал ее (алилуйя, я тебе статую поставлю!).
ЛЮБОЙ пользователь после установки под локальным администратором при нажатии на ярлык рабочего стола с легкостью проведет инициализацию продукта. Вам останется только применить профиль AutoCAD (хотя, при нормальном уровне грамотности пользователя, вам даже этого делать не нужно).

В бородатом 2013 Леша Кулик писал, что установку под локальным админом нужно делать только под логином. Не соглашусь по той причине, что пришлось с этим поэкспериментировать. Может сделать инсталляцию "от имени", главное - потом запустить "от имени". Это то, что касается AutoCAD. С СПДС от CSoft'а все немного сложнее, там все таки лучше делать под логином и обязательно один раз запустить с ярлыка. Сисофт латает некоторые дыры в этом отношении, но еще пилить-пилить...успехов вам, дорогие девелоперы.

Итак, при поступлении запроса на установку САПР план войны следующий:
1. Узнаем данные локального администратора машины (ну хоть это более-менее в корпоративной этике одинаковое, локальный админ на всех машинах един).
2. Логинимся под локальным админом на клиентской машине
3. Делаем все, что необходимо, ставим все, что необходимо
4. Запускаем ПО (конфигурировать совершенно необзязательно, но если на раб.столе 2 ярлыка и один не к месту, удаляйте его под локаладмином, у юзера он уже не появится).
5. Перезагружаемся (на всякий случай, винда ж е-мое).
6. Логинимся под доменным юзером (напоминаю, что нам уже неважно какие у него права на машину).
7. Запускаем ПО. Конфигурируем (применяем профиль ит.д.).
8. Закрываем ПО и снова запускаем, чтобы убедиться, что конфигурирование прошло нормально.
9. Отключаемся от клиентской машины. Отчитываемся о выполненной работе.

Всем хорошей недели. Не стройте себе заборы, делайте все правильно :)