MVP: Всё

MVP_Horizontal_BlackOnlyУвы, всему приходит пушной зверь. В 2013 году не было TechEd Russia, я не участвовал в работе MCP Club, я даже забросил свой блог. Результат очевиден: кредит доверия исчерпан, и я более не MVP.

Впрочем, это были хорошие 7 лет. Я надеюсь, что многим помог. Я абсолютно точно узнал массу хороших людей и в процессе даже некоторых из них нанял Winking smile

Но так как я уже почти три года являюсь руководителем группы IT Pro, то крутить что-то руками мне уже противопоказано, что было доказано неоднократными опытами, а вот думать об управлении, напротив, показано.

Так что и блог на самом деле со временем переквалифицируется в соответствии с этим фактом. Технические посты, все еще будут появляться (с тегом, скажем, Техническое), но вряд ли они будут составлять большой процент публикаций. Так что те, кому интересна только техника, могут сберечь несколько байт и отписаться от фида. Но лучше не нужно: вдруг я что умное скажу.

И спасибо за то, что все это время вы меня поддерживали, читали и слушали, надеюсь, мы с вами никуда не денемся.

Продолжаем набор.

На сей раз не ко мне: у меня теперь комплект =)

Но моим коллегам нужен техническй писатель. Как коллеги видят идеального кандидата:

·         общее понимание, как работает веб-сервер, веб-сервис

·         знакомство с Unix системами – даже небольшой опыт сыграет в плюс

·         знакомство с реализациями веб-сервисов на Windows платформе

·         ясность изложения своих мыслей (по-русски и по-английски (и письменно и устно))

·         хорошие аналитические способности: способность выделять главное

·         проактивность: хотим человека, который умеет организовать свой труд и может договариваться с людьми без посторонней помощи.

Готовы взять адекватного человека без профильного опыта тех.писа (выпускника университета или после 1-2 лет опыта работы в хостинге, тех.поддержке).

Обещаем:

·         квест по неизведанным полям знаний;

·         превращение в мастера коммуникации с загадочными русскими программистами и сотрудниками IT, а также их менеджерами;

·         свободу применения навыков для придир и зануд;

·         повышение квалификации в верстке разнообразных документов для любителей стилей;

·         превращение в годного аналитика информационных систем и победителя любых форм бюрократии;

·         использование на практике результатов труда.

Так что если есть желание или знакомые с желанием – добро пожаловать.

#MCPClub: DAC

Тут просили фоточки. Получите =)

С учетом того, что запись я фатальной судорогой пальцев убил, больше ничего не будет. Но вроде бы все прошло нормально =)

#MCPClub: 4 апреля

4 апреля в офисе Microsoft на крылатском состоится мой очередной доклад. Тема: Dynamic Access Control.

Более подробный анонс тут: http://ineta.ru/moscowmcp/Meeting/2013-04-04-19-00

Регистрация там же.

Так как я тут немного болел, то презентация будет предельно короткая, зато я повторю несколько проагрейженную версию лабы с #RutechEd. А если у кого-то есть конкретные пожалания к показу, то высказывайте: постараюсь исполнить.

Продолжаем искать таланты.

Итак, после того, как я объявил набор себе в группу, в нее влилось уже два человека. Но я решил зохавать мир, потому мне нужно больше золота еще.

Повторюсь: нам нужно наличие бешенного любопытства и желания учиться и ковырять проблемы.

Предпочтительные, но вовсе не обязательные направления:

1) System Center

2) Private Cloud

3) AD

4) Hardware (SAN/Servers)

5) SQL

Ждем-с =)

Легенды и мифы ИТ #3: Как бы дать так, чтобы не дать

clip_image001Еще одна вечная загадка, встречающаяся мне очень часто: как бы так дать все, чтобы дать не все. Это именно тот вопрос, который я часто вижу на разных форумах. Этот тот самый вопрос, который мне частенько задают лично. Задаётся он в разных формах. Наиболее часто он встречается в следующих формах:

1) Как дать пользователю права локального админа так, чтобы он не мог сделать <придумайте сами, что>?

2) Как мне запретить администратору домена доступ к <очень важной информации>?

Как правило, сразу после этого у меня возникает желание плеваться во все стороны ядовитой слюной, так что во избежание жертв я решил сделать место, куда всех буду посылать ;)

Для начала: предоставляя пользователю права администратора, Вы даете ему права на управление системой: в этом весь смысл. Что этот пользователь не в состоянии сделать прямо сейчас, на то он может выдать себе права. Точка.

В первом случае, единственная вещь, которую можно сделать, это наладить строгий аудит действий администратора. Причем, собираться и обрабатываться эта информация должна на системе, которая недоступна (я молчу про “управляема”) наблюдаемому пользователю, любой другой вариант типа “я выдам одминские права, но запрещу доступ к подсистеме X” обречен на провал.

Второй случай посложнее, поскольку обсуждаемые системы, как правило, распределенные. И все же, в них можно сделать не сильно больше, чем в предыдущем случае. Снова: жесткий аудит без малейших шансов у администратора поиграться с ним. Есть, конечно, варианты, типа построения изолированной от обсуждаемого администратора системы, которая, скажем, шифрует важные данные. Но это сложно и дорого: ведь система должна быть действительно изолированна: вплоть до отдельного рабочего места для людей, который с этими данными работают. А иначе какой-нибудь pass-the-hash или другой сюрприз и все: данные ушли.

Так что, на самом деле, только аудит может вам помочь против врага в лице администратора. Следовательно, просто не давайте этих прав тем, кто их не заслуживает.

Есть еще идеи?

#RutechEd: Отвечаю на вопросы, часть II

imageНу и последние два заданные мне вопроса.

1) Один из участников лабораторной работы прочитал где-то о том, чтотеперь классификацией может заниматься пользователь без полномочий администратора, однако у этого посетителя TechEd ничего не вышло. Вот результаты моих изысканий:

i. Любой пользователь не может менять классификацию удаленно через Explorer. (ну или я не смог этого добиться)

ii. Любой пользователь, имеющий права на файлы и папки, сможет править классификацию локально или через терминальную сессию. Насколько я понял, “неадминистратор может править классификацию” относится к работе инструментария, предназначенного для автоматической классификации файлов: этим инструментам теперь права администратора и впрямь ни к чему.

2) Ну и последний для меня вопрос этого TechEd (кроме не затихающего в twitter уже два месяца “а какие рюкзаки будут?”): можно ли для классификации файлов использовать Orchestrator?

Я задал вопрос Васе Гусеву. Слегка купированный ответ:

“1. Оркестратором можно всё (что можно как то еще ;)). Это ведь можно делать с помощью PowerShell’а? Тогда просто добавляем активность Run .NET Script, и в неё запихиваем скрипт на пошике.

——-

лирика

———
3. А вообще, мне кажется это лучше делать с помощью фичи сервера, которая постоянно мониторит шары, не помню как она там называется. Оркестратор при большом объеме файлов (и даже при среднем) будет очень узким местом в плане производительности и скорости установки этих атрибутов.”

Так что ответ: “да, но нафиг нужно” =)

З.Ы. Фича, которой не помнит Вася, называется Data Classification Toolkit Winking smile

Мы ищем таланты:

clip_image001Ну вот теперь моя очередь для таких публикаций. В подразделение, где я работаю, в этом году потребуется несколько человек.

Кто нам нужен:

1) Либо зубр в технологиях MS и смежных

2) Либо человек, который только недавно начал свою карьеру, но готов в кратчайшие сроки научиться “всему”.

В любом случае, это должен быть человек, который:

  • -жаден до новых знаний
  • -не “практик” (люди, считающие, что знание ролей Exchange 2010 это глухая, никому не нужная теория, потому что “а чо, я поставил эксчангу в одной конторе – почта ходит”, нам не нужны)
  • -умеет общаться и понимает задачи, решаемые сервисами а не функции, выполняемые ими
  • -готов отвечать за свой сервис, развивать его, холить и лелеять без указующего перста руководителя, а иногда вопреки таковому ;)

В первой пачке мне нужен человек, хорошо разбирающийся в AD и имеющий знания в чем-нибудь из набора System Center, Hyper-V, UC, IIS и прилегающих областях. Потом, требования будут расширены на всяческие SQL, так как к набору подключится вторая группа из нашего отдела.

Отдел этот занимается планированием, внедрением, поддержкой и развития сервисов Лаборатории Касперского в той их части, что основывается на платформе Windows, соответственно и успешный кандидат будет заниматься тем же.

Формальное описание этой вакансии можно посмотреть, например, тут:

http://www.kaspersky.ru/job?chapter=207367776&xvacid=204893397

Вот эти тоже мои:

http://hh.ru/vacancy/7116103

http://hh.ru/vacancy/7114822

На всякие требования типа высшего образования и опыта работы можете внимания особо не обращать, если чувствуете, что можете 8) А даже если и не можете, то там рядом есть вакансии на дежурного администратора и куча других.

Чего ждать в процессе найма:

1) Интервью с HR + технический тест

3) Интервью с нашими спецами и будущим руководителем.

Последнее может быть, теоретически разбито на две части, но я очень стараюсь их объединять и до сих пор всегда умудрялся: чего человека лишний раз гонять =)

Чего ждать в случае успешного прохождения:

Ну во-первых того, что написано в позиции и у нас на сайте. Не, правда =)

Во-вторых, у нас тут болото. Точно. За пять с лишним лет из группы, в которой я работаю, ушло 2 человека. Один вернулся clip_image002 Ну то есть, по этому признаку, нам вполне себе неплохо.

В-третьих, мы третья линия: после нас только разработчики и MS. Мне было очень интересно, пока я был админом. Возможностей развиваться хватает, интересных задач тоже. Судя по количеству багов, которые мы находим в разном ПО часть из этих задач уникальны или около того.

В качестве руководителя – я. Потом, возможно, еще мой напарник.

Вот, вроде, и все.

Я готов отвечать на вопросы тут, в твиттере и по почте alexander[dot]trofimov[at]live[dot]com.

P.S. Если у вас в Лаборатории работает приятель, то он может порекомендовать вас, в этом случае после прохождения вами испытательного срока ему капнет маленький, но приятный бонус (так как напрямую я к себе в группу рекомендовать не могу, то 20% мои Winking smile Шутка, мне хватит просто хорошего человека в группе)

#RuTeched: Отвечаю на вопросы. Будет ли работать Dynamic Access Control при использовании репликации?

imageКак я уже сказал, мои лабы на TechEd вполне удались, но все же я не смог ответить на ряд вопросов и пообещал сделать это позже, когда разберусь. Что ж, время пришло. Один из посетителей сказал мне, что в его опыте был случай, когда какое-то свойство файла не было отреплицировано через DFSR и поинтересовался, не поломается ли от репликации DAC. Я, разумеется мог поставить эксперимент (и сделаю это, на самом деле), но он только ответил бы на вопрос: “да” или “нет”. Ну или “возможно”. Но вряд ли бы он дал мне ответ на вопрос “почему?”. Так как я вовсе не на короткой ноге с репликацией файлов, мне пришлось просить помощи и я знал точное место, где ее можно было найти: блог AskDS.

Ответ пришел весьма быстро. Вкратце: “все будет супер”. Длинный ответ (в моем переводе) идет дальше:

“Позвольте мне уточнить некоторые аспекты вашего вопроса и ответить на каждую часть

При включении Dynamic Access Control для папок и файлов, следует рассматривать несколько аспектов.

Resource Properties

- Resource Properties определены в AD и используются в качестве шаблонов, чтобы проставить на файлы и папки дополнительные метаданные, которые могут использоваться в принятии решений об авторизации доступа. Эта информация хранится в дополнительных потоках данных (alternate data stream) папки или файла. И эта информация будет отреплицирована так же, как и дескриптор безопасности.

Security Descriptor

Как уже было сказано, они реплицируются вместе с файлом, так что все условия будут отреплицированы вместе с ними.

Все это никак не привязано к Dynamic Access Control—это просто результат репликации, к примеру, в случае репликации DFSR DAC не имеет никакого отношения к этим результатам.

Central Access Policy

Central Access Policy это способ распространить разрешения без внедрения их нпрямую в DACL дескриптора безопасности. Так что, когда Central Access Policy развернута на сервере, администратор должен прилинковать политику к папке на файловой системе. Это линкование осуществляется вставлением специального ACE в часть дескриптора безопасности, отвечающую за аудит и говорит Windows, что этот файл или папка защищены с помощью Central Access Policy.  Вследствии этого разрешения в Central Access Policy комбинируются с разрешениями Share и NTFS, чтобы получить итоговые разрешения.

Если файл или папка реплицируются на файловый сервер, который не имеет развернутой Central Access Policy, то DAC, очевидно, не применяется и разрешения так же не будут применяться.

Спасибо ребятам из этого блога: они лучшие Winking smile

#RutechEd: Результаты лабораторных работ.

techEdHeaderLogo

Я только что получил результаты опроса по своим лабораторным работам с TechEd Russia. И результаты меня даже не удивили, они меня шокировали! Обе мои лабы в Топ5, а одна просто первая!

«Очуметь!!!» (с) =)

Так что огромное спасибо за такие высокие оценки посетителям. Вы мне задали такую высокую планку на следующий год, что я уже начинаю готовиться =)

Не меньшее спасибо организаторам и людям, которые создавали сами лабораторные работы: одна из двух оценок, формирующих мою итоговую – ваша. Мои оценки за мастерство:

DirectAccess: 9 из 9

Dynamic Access Control: 8.55 из 9