Чем кроме стандартной админ работы вы можете помочь серверу
Чем кроме стандартной админ работы вы можете помочь серверу
Порядок действий для становления на пост хэлпера:
1. Оформите заявку согласно форме (важно понимать, что главное не только красота оформления заявки, а её смысловое наполнение).
2. Главный администратор, а также, другие администраторы сервера, проводят отбор заявок, которые будут допущены к обзвону. Решение по отбору заявок принимается не единолично, а совместным коллективом, для максимальной объективности и непредвзятости при отборе кандидатов.
3. Вместе с публикацией списка допущенных к обзвона, будут указаны дата и время начала проведения обзвона, а это значит, что с этого момента, вы должны присутствовать в статусе «В сети» в Discord и ожидать, когда вас добавят на собеседование.
4. После завершения собеседования, через некоторое время, взвесив все За и Против вашей кандидатуры, главный администратор свяжется с вами в Discord, и выдаст первые инструкции для вашей дальнейшей работы. Если вас исключили из админ канала в Discord, значит вы не прошли на пост хэлпера.
Опыт вашей игры в КРМП
На каких серверах КРМП вы играете?
История ваших прошлых ников на всех серверах проекта
Имеются ли твинк-аккаунты (кроме основного) на нашем сервере?
Опыт вашей игры, администрирования или других должностей, на других RolePlay проектах
Опыт вашей деятельности во фракциях нашего проекта или на других проектах (тип фракции, должность, пост/ранг, срок службы/работы)
Никнеймы игроков, с которыми вы поддерживаете контакт на нашем сервере
Сколько вы времени в сутки уделяете на игру на проекте NonMel RP?
Были ли у вас баны на любом из серверов проекта? Если да, то за что?
Имеются ли на данный момент баны на любом из серверов проекта?
Что по вашему «блат»? (3 примера)
Что вас мотивирует и привлекает в работе администратора?
Почему именно вы должны стать администратором?
Чем бы вы могли дополнить свою админ работу? Например: работа с видео монтажом, обработкой фотографий, организация необычных мероприятий, идеи по улучшению сервера и т.д.
Какие должности в работе администрации вы хотели бы получить, кроме основной работы на сервере? Например следящий за определённой фракцией и т.д.
Перечислите минимум 5 (можно и больше) положительных рабочих качеств, на ваш взгляд, для хорошего квалифицированного администратора.
Внимательно проверяйте правильность и достоверность вашей информации в заявке. Вся информация должна быть правдивой и максимально развернутой. Факты скрытия крупных банов за серьёзные нарушения, как в заявке, так во время собеседования, могут быть выявлены после становления администратора на свою должность, за что он может быть снят и заблокирован сроком от 90 дней!
[конспект админа] Меньше администраторов всем
Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.
Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.
Ограниченные группы
В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).
Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.
Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.
Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.
Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.
Расположение политик Restricted groups.
Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:
Добавляем группу «Администраторы», в которую добавляем группу helpdesk.
И получаем локальную группу «Администраторы» без Domain admins.
Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:
При такой настройке локальная группа «Администраторы» не будет зачищена.
Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.
Настройка группы безопасности через GPP.
Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.
Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.
Использование встроенных групп безопасности
Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.
Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.
| Группа | Описание |
| Администраторы | Полные права на систему. |
| Пользователи | Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля. |
| Операторы архива | Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования. |
| Опытные пользователи | Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки). |
| Пользователи удаленного рабочего стола | Членство дает возможность подключаться к компьютеру по RDP |
| Операторы печати | Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати. |
| Операторы настройки сети | Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу. |
| Операторы учета | Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу. |
Познакомиться со всеми группами и более полным описанием можно в официальной документации.
Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.
Настройка прав доступа через групповые политики.
Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.
Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!
Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.
Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 10\2016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.
Достаточно администрирования
Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.
Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.
Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.
Проверка версии и разрешение удаленных подключений при помощи PS.
Создадим группу безопасности и специального пользователя:
Теперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:
А затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:
Теперь необходимо подготовить файл сессии PowerShell:
Зарегистрируем файл сессии:
Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:
Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.
Доступ к серверу ограничен управлением одной виртуальной машиной.
Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.
Интерфейс JEA Toolkit Helper.
При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.
Журнал выполнения PowerShell.
Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.
Файловый журнал JEA.
С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».
Профессия: системный администратор
Нередко от старшего поколения мы слышим магические слова о «единственной записи в трудовой книжке». И правда, приходилось встречать совершенно потрясающие истории: слесарь — слесарь высшего разряда — мастер цеха — начальник смены — главный инженер — директор завода. Это не может не впечатлять наше поколение, которое меняет работу раз, два, да что там — порой и пять, и больше. У нас есть возможность не просто менять компанию, можно менять профессию и довольно быстро в ней осваиваться. Особенно заметно это в ИТ-сфере, где встречаются весьма причудливые карьерные трансферы и кардинальные сдвиги по карьерной лестнице, как вверх, так и вниз.
Наблюдая за этим процессом, мы поняли, что справочник профессий востребован не только школьниками, выбирающими вуз, но и взрослыми, выбирающими путь. Поэтому решили рассказать об основных специальностях, которые востребованы в ИТ-сфере. Начинаем с самой близкой нам — системный администратор.
Кто это?
Системный администратор — это специалист, который занимается настройкой, совершенствованием и поддержкой ИТ-инфраструктуры компании, включая оборудование, периферию, программное обеспечение и сетевые подключения. Правда, очень формальное определение?
То, чем занимается системный администратор, зависит от размера компании, сферы деятельности, опыта и навыков самого админа. Вместо того чтобы давать определение, лучше выделим конкретные типы сисадминов.
Где нужен?
Я бы сказал, что везде, но это будет ложь. Почему-то руководители малого и среднего нейатишного бизнеса полагают, что всё можно «запихнуть» в облако, а сисадмин может быть исключительно приходящим эникеем. Поэтому нередко компании сильно страдают от хромой на все ноги ИТ-инфраструктуры (точнее, ИТ-бардака), но сисадмина не нанимают. Если вам удастся попасть в такую компанию, то в 99% случаев нужно рассматривать работу в компании как опыт и двигаться дальше, и лишь в 1% случаев удаётся переубедить босса, стать незаменимым и выстроить идеальную ИТ-среду с выверенной архитектурой и грамотным управлением (вот прямо с реального примера описываю!).
А вот в компаниях, где ИТ является ключевой сферой деятельности (хостинги, разработчики и проч.) или же замыкает на себе операционную работу (доставки, интернет-магазины, банки, ритейл и проч.), сисадмин сразу становится востребованным специалистом, который может развиваться в одном или нескольких направлениях. Поскольку автоматизация продолжает захватывать компании, найти работу сисадмином начального и среднего уровня не составит особого труда. А когда вы станете прокачанным специалистом, компании будут за вас сражаться, потому что эникеев много, а профессионалов, как и везде, крайне мало.
На момент написания статьи на сервисе «Хабр Карьера» 67 вакансий, связанных с системным администрированием. И вы как раз можете увидеть, что разброс «специализации» велик: от сотрудника технической поддержки до специалиста по инфобезу и DevOps. Кстати, работа в технической поддержке на старте очень быстро, качественно и глубоко прокачивает ряд навыков, ценных для системного администратора.
Средняя заработная плата
Заработную плату будем смотреть опять же на «Хабр Карьере».
Возьмём среднюю заработную плату без выделения навыков для «Системного администратора» и для «DevOps» по данным за 2 полугодие 2019 года. Это самые популярные специальности в разделе «Администрирование», и наиболее показательные. Сравним.
| Уровень специалиста | Системный администратор | DevOps |
|---|---|---|
| стажёр (intern) | 25 900 руб. | нет стажёров |
| младший (junior) | 32 560 руб. | 69 130 руб. |
| средний (middle) | 58 822 руб. | 112 756 руб. |
| старший (senior) | 82 710 руб. | 146 445 руб. |
| ведущий (lead) | 86 507 руб. | 197 561 руб. |
Цифры, конечно, даны с учётом Москвы, в регионах ситуация поскромнее, но, что характерно, пропорции примерно такие же. И мне кажется справедливым такая разница, потому что DevOps реально более продвинутые по скиллам (если мы говорим о канонических девопсах, а не о тех, у которых одно название).
Единственное, что не хотелось бы рекомендовать, это брать джунов-девопсов после вуза. Ребята-теоретики, не познавшие ни dev, ни ops, весьма посредственно смотрятся на старте, слабо развиваются из-за непонимания того, куда двигаться и точно не стоят обозначенных денег. Всё же на узких специализациях должны быть более опытные админы, которые прошли огонь, воду, медные трубы, bash и скрипты PowerShell.
Базовые требования к профессионалу
Требования к системному администратору отличаются от компании к компании (кому-то нужно владение 1С, 1С-Битрикс, Kubernetes, определённой СУБД и т.д.), но есть несколько базовых требований, которые, скорее всего, понадобятся в любой компании.
Вот выучитесь и будете понимать эту шутку.
Важные личные качества
Системный администратор — специалист, который не может быть изолированным в компании и профессионально среде. Ему постоянно приходится общаться с людьми по телефону и лично, поэтому интровертные черты придётся побороть. Сисадмин должен быть:
Необходимость знания иностранных языков
Если компания предъявляет требования к знанию языков и они распространяются на специалистов, то системный администратор должен соответствовать этим правилам (например, компания предоставляет аутсорсинговые услуги для зарубежных компаний). Но вообще системный администратор должен понимать базовые команды и системные сообщения на английском языке — для большинства этого достаточно.
Однако если вы хотите расти в карьере, получать международные сертификаты, в том числе Cisco, разбираться в передовых технологиях первым, вам понадобится английский язык не ниже Upper Intermediate. Очень рекомендую сделать эту инвестицию в профессиональное развитие, это не какой-то фантастический уровень, освоить вполне реально даже без способностей к языку.
Где учиться
Профессия системного администратора интересна тем, что для входа в специальность нет специфических требований к обучению, поскольку на сисадмина как такового на особом факультете не учат. Изначально всё зависит от вас — от того, насколько вы готовы самостоятельно осваивать теорию и заниматься практикой, работать с операционными системами (Windows и Unix), периферией, безопасностью. Фактически ваш компьютер должен стать вашей учебной лабораторией (а ещё лучше, если у вас будет отдельная машина под такие задачи, чтобы процесс не мешал основной работе и учёбе).
Сказать, что системный администратор — это профессия без обучения и удел самоучек — в наше время просто преступно, потому что мы видим уровень хорошо оплачиваемых системных администраторов. А значит есть базовый «классический» набор, который вам понадобится.
Вам не удастся обойти азы и стать крутым профессионалом — без знания архитектуры ПК, сервера, понимания принципов работы прикладного и служебного ПО, операционных систем ничего не получится. Поэтому для системных администраторов как никогда актуален тезис «начинайте с начала».
Лучшие книги и средства обучения
Ну и, конечно, Хабр и профильные форумы — отличное подспорье для системных администраторов любого уровня. Когда мне пришлось обучаться науке Windows Server 2012, Хабр оказался сильным подспорьем — тогда мы познакомились ещё ближе.
Будущее сисадмина
Мне приходилось слышать о деградации профессии системного администратора и аргументы в пользу этого тезиса более чем слабые: справятся роботы, облака гарантируют работу без сисадмина и т.д. Вопрос о том, кто администрирует облака, например, на стороне провайдера, остаётся открытым. На самом деле, профессия системного администратора не деградирует, а трансформируется в сторону усложнения и универсальности. Поэтому если вы выбрали именно её, перед вами открываются несколько путей.
Мифы профессии
Как и любая профессия, системное администрирование окружено мифами. С радостью развею самые распространённые.
Главный совет
Чудес не бывает и вы не станете супер сисадмином, если будете сидеть в небольшой конторе и выполнять базовую работу. Вы непременно выгорите, разочаруетесь в профессии и будете утверждать, что это худшая работа в мире. Поэтому — развивайтесь, меняйте работу, не избегайте интересных и сложных задач — и вы сами не заметите, как станете настоящим востребованным и высокооплачиваемым профессионалом.
Сисадмин в неайтишной компании. Невыносимая тяжесть бытия?
Быть системным администратором в небольшой компании не из IT-сферы — то ещё приключение. Руководитель тебя считает дармоедом, сотрудники в плохое время — божеством сети и хардвера, в хорошее — любителем пива и танчиков, бухгалтерия — приложением к 1С, и вся компания целиком — драйвером для успешной работы принтеров. Пока ты грезишь о хорошей Циске, а не о свистке-коробочке Йоты для организации корпоративной точки доступа, они уже методично готовят новую пакость: вирус из домашней коллекции, кривые руки, намотанные на провод (или наоборот), игру на рабочем сервере, нелицензионный Photoshop и закачку всего нового сериала, чтобы по дороге в пробке посмотреть. Ах да, ещё просили починить электрочайник. Тут не до Kubernetes и DevOps — выжить бы, сохраниться и выйти из этого рейда боссом. Ой, тьфу ты, выполнить KPI и не сдохнуть. Аллегорично? Да нет, так оно и есть.
Компании из не-ИТ: ребята в опасности
Компании малого и среднего бизнеса не из IT-сферы иногда пользуются достижениями этой самой IT-сферы осторожно, вскользь и с большой долей скепсиса — мало ли что этот софт на том вон сервере натворит, а нам за ним потом убирай, проводку чини… И, как ни странно отношения с системными администраторами складываются очень по-разному, и именно они определяют, насколько эффективна компания, как она подходит к управлению клиентами и выживаема ли она на рынке в принципе. Перечислим возможные комбинации.
При этом в таких компаниях существует ряд проблем, которые следует решать, иначе можно попасть на незапланированные затраты, штрафы или неэффективную работу.
А мы рады сообщить о том, что у нас вышел простой, быстрый, легкий для освоения хелпдеск ZEDLine Support — облачный сервис, предназначенный для обработки обращений ваших клиентов. Чтобы ваш клиент мог задать вопрос в клиентскую службу, ему требуется лишь зарегистрироваться в сервисе. Сразу после регистрации клиент сможет создавать обращения (тикеты), которые будут поступать в вашу компанию.
Сисадмин или аутсорсинг — что лучше?
Вопрос, который волнует многие компании. Мы попробовали проанализировать цены и сделать выводы.
Мы прошлись по сайтам московских ИТ-аутсорсеров стандартной категории (не крупные системные интеграторы и не именитые конторы), посчитали на их калькуляторах на сайте средний ценник по обязанностям админа исходя из конфигурации 15 человек и 1 сервер. Разброс получился колоссальным, от 6300 до «ого-го, не тем мы занимаемся», но средняя стоимость в месяц вышла 19 700 р. с 2 плановыми выездами, минималкой по 1С. Медианное значение заработной платы сисадмина согласно сервису «Мой Круг» 70 тыс. руб., по данным Trud.com — 35 — 50 тыс. руб., по нашим данным для обозначенной сферы — 40 — 50 тыс. руб. Остановимся на умеренно оптимистичных 60 тыс. руб. В нормальном месяце 176 раб. часов, итого 340 р./час. «Зачем вы считаете часы, раз ясен пень, что 60 000 больше, чем 19 700?!» — возможно, подумает кто-то из читателей. А вот зачем. Если базовый пакет услуг резко перестаёт решать проблемы компании, у аутсорсеров средняя цена — 1 200 р./час за базовые услуги и 1 800 р./час за серверные (почти у всех с оговоркой минимум 2 часа). То есть аутсорсер дешевле ровно до первого неординарного случая (который происходит довольно скоро).
Кроме этого, аутсорсер с высокой долей вероятности не будет совсем или будет за дополнительную плату:
Свой системный администратор в штате — это профессионал, который будет знать всю инфраструктуру, обеспечивать безопасность, работать с пользователями и вы с него сможете спросить, потому что он несёт профессиональную ответственность. Но это не значит, что его нужно превратить в раба лампы сервера и сети.
А ещё у него образное понимание кольца всевластия
Давайте разберём, что входит в задачи системного администратора в неайтишной компании малого и среднего бизнеса.
Обязанность сисадмина в компании
Он реально обязан
Он нифига не обязан (хотя и может)
Что получает системный администратор в не-айтишной компании?
По нервам. По мозгам. Люлей. Самую высокую зарплату по рынку. Сегодняшний рынок труда системных администраторов претерпел большие изменения: можно изучить микросервисы, Docker, Kubernetes, DevOps, DevSecOps, наработать практику и выйти на высокий уровень дохода. Так стоит ли начинать в малом, да ещё и неайтишном бизнесе? Не карьерное ли это самоубийство?
Плюсы
Минусы
Нельзя не сказать о важном аспекте — о моральном. Когда руководитель не вникает в вопросы ИТ и рассматривает их не как инвестицию, а как трату, работать трудно — иногда кажется, что ты бьёшься о бронированное стекло. Нужно говорить на его языке — языке выгод. А вот сотрудники в таких компаниях сисадминов любят 🙂
И ещё один совет из реальной и печальной истории. Возможно, не очень справедливый совет. Если какой-то сотрудник активно исполняет ваши обязанности, старайтесь пресечь этот процесс. Руководство всегда стремится к оптимизации и может отказаться от работы сисадмина. Кстати, вы можете согласиться и предложить свои услуги на аутсорсе, дать тем самым старт своему бизнесу.
История. В одной ИТ-компании был сисадмин, который решал строго админские задачи, ответственно работал и вообще был молодцом. В какой-то момент его решил выжить админ коммерческой службы (биллинг, платежи, генерация лицензий, настройка тестовых и демо-стендов) — он смог убедить директора, что готов взять обязанности коллеги за 50% от его зарплаты, начал подлавливать на мелочах, следить за тем, у себя он или в столовой, например. Сотрудники встали за админа стеной, но волевым решением он был уволен. Впрочем, победитель тоже не долго продержался — он стал заметно хуже делать всю работу, и в конченом итоге был уволен. Хотя и руководителя жизнь ничему не научила: обязанности парней размазаны по разработчикам и тестировщикам, в итоге на крупной встрече партнёров ждал сгоревший проектор, упавшая сеть и неоплаченный сервис для вебинаров.
Что использовать в работе и обязательно сделать?
Каждый системный администратор выбирает свой набор инструментов, с которыми ему нравится работать, поэтому нельзя составить какой-то универсальный список. Назовём несколько инструментов, которые часто встречаются или среди которых нужно выбрать что-то своё.
Системный администратор — это больше не чувак с бородой в свитере и с Балтикой под столом. Сегодня это проводник компании в мир эффективности, быстрой работы и сокращения затрат в длинной перспективе. Это сотрудник, на котором не стоит экономить, и профессионал, который всегда в развитии (иначе через год не поймёт, где он). А значит, пора забыть шутки с башорга и развивать ИТ-инфраструктуру, чтобы быть впереди на два корпуса и завоёвывать рынок, клиентов, прибыль с помощью диджитал-инструментов, а не размахивая каменным топором. Его уже никто не боится.
Сисадмин в неайтишной компании. Невыносимая тяжесть бытия?
Быть системным администратором в небольшой компании не из IT-сферы — то ещё приключение. Руководитель тебя считает дармоедом, сотрудники в плохое время — божеством сети и хардвера, в хорошее — любителем пива и танчиков, бухгалтерия — приложением к 1С, и вся компания целиком — драйвером для успешной работы принтеров. Пока ты грезишь о хорошей Циске, а не о свистке-коробочке Йоты для организации корпоративной точки доступа, они уже методично готовят новую пакость: вирус из домашней коллекции, кривые руки, намотанные на провод (или наоборот), игру на рабочем сервере, нелицензионный Photoshop и закачку всего нового сериала, чтобы по дороге в пробке посмотреть. Ах да, ещё просили починить электрочайник. Тут не до Kubernetes и DevOps — выжить бы, сохраниться и выйти из этого рейда боссом. Ой, тьфу ты, выполнить KPI и не сдохнуть. Аллегорично? Да нет, так оно и есть.
Компании из не-ИТ: ребята в опасности
Компании малого и среднего бизнеса не из IT-сферы иногда пользуются достижениями этой самой IT-сферы осторожно, вскользь и с большой долей скепсиса — мало ли что этот софт на том вон сервере натворит, а нам за ним потом убирай, проводку чини… И, как ни странно отношения с системными администраторами складываются очень по-разному, и именно они определяют, насколько эффективна компания, как она подходит к управлению клиентами и выживаема ли она на рынке в принципе. Перечислим возможные комбинации.
При этом в таких компаниях существует ряд проблем, которые следует решать, иначе можно попасть на незапланированные затраты, штрафы или неэффективную работу.
А мы рады сообщить о том, что у нас вышел простой, быстрый, легкий для освоения хелпдеск ZEDLine Support — облачный сервис, предназначенный для обработки обращений ваших клиентов. Чтобы ваш клиент мог задать вопрос в клиентскую службу, ему требуется лишь зарегистрироваться в сервисе. Сразу после регистрации клиент сможет создавать обращения (тикеты), которые будут поступать в вашу компанию.
Сисадмин или аутсорсинг — что лучше?
Вопрос, который волнует многие компании. Мы попробовали проанализировать цены и сделать выводы.
Мы прошлись по сайтам московских ИТ-аутсорсеров стандартной категории (не крупные системные интеграторы и не именитые конторы), посчитали на их калькуляторах на сайте средний ценник по обязанностям админа исходя из конфигурации 15 человек и 1 сервер. Разброс получился колоссальным, от 6300 до «ого-го, не тем мы занимаемся», но средняя стоимость в месяц вышла 19 700 р. с 2 плановыми выездами, минималкой по 1С. Медианное значение заработной платы сисадмина согласно сервису «Мой Круг» 70 тыс. руб., по данным Trud.com — 35 — 50 тыс. руб., по нашим данным для обозначенной сферы — 40 — 50 тыс. руб. Остановимся на умеренно оптимистичных 60 тыс. руб. В нормальном месяце 176 раб. часов, итого 340 р./час. «Зачем вы считаете часы, раз ясен пень, что 60 000 больше, чем 19 700?!» — возможно, подумает кто-то из читателей. А вот зачем. Если базовый пакет услуг резко перестаёт решать проблемы компании, у аутсорсеров средняя цена — 1 200 р./час за базовые услуги и 1 800 р./час за серверные (почти у всех с оговоркой минимум 2 часа). То есть аутсорсер дешевле ровно до первого неординарного случая (который происходит довольно скоро).
Кроме этого, аутсорсер с высокой долей вероятности не будет совсем или будет за дополнительную плату:
Свой системный администратор в штате — это профессионал, который будет знать всю инфраструктуру, обеспечивать безопасность, работать с пользователями и вы с него сможете спросить, потому что он несёт профессиональную ответственность. Но это не значит, что его нужно превратить в раба лампы сервера и сети.
А ещё у него образное понимание кольца всевластия
Давайте разберём, что входит в задачи системного администратора в неайтишной компании малого и среднего бизнеса.
Обязанность сисадмина в компании
Он реально обязан
Он нифига не обязан (хотя и может)
Что получает системный администратор в не-айтишной компании?
По нервам. По мозгам. Люлей. Самую высокую зарплату по рынку. Сегодняшний рынок труда системных администраторов претерпел большие изменения: можно изучить микросервисы, Docker, Kubernetes, DevOps, DevSecOps, наработать практику и выйти на высокий уровень дохода. Так стоит ли начинать в малом, да ещё и неайтишном бизнесе? Не карьерное ли это самоубийство?
Плюсы
Минусы
Нельзя не сказать о важном аспекте — о моральном. Когда руководитель не вникает в вопросы ИТ и рассматривает их не как инвестицию, а как трату, работать трудно — иногда кажется, что ты бьёшься о бронированное стекло. Нужно говорить на его языке — языке выгод. А вот сотрудники в таких компаниях сисадминов любят 🙂
И ещё один совет из реальной и печальной истории. Возможно, не очень справедливый совет. Если какой-то сотрудник активно исполняет ваши обязанности, старайтесь пресечь этот процесс. Руководство всегда стремится к оптимизации и может отказаться от работы сисадмина. Кстати, вы можете согласиться и предложить свои услуги на аутсорсе, дать тем самым старт своему бизнесу.
История. В одной ИТ-компании был сисадмин, который решал строго админские задачи, ответственно работал и вообще был молодцом. В какой-то момент его решил выжить админ коммерческой службы (биллинг, платежи, генерация лицензий, настройка тестовых и демо-стендов) — он смог убедить директора, что готов взять обязанности коллеги за 50% от его зарплаты, начал подлавливать на мелочах, следить за тем, у себя он или в столовой, например. Сотрудники встали за админа стеной, но волевым решением он был уволен. Впрочем, победитель тоже не долго продержался — он стал заметно хуже делать всю работу, и в конченом итоге был уволен. Хотя и руководителя жизнь ничему не научила: обязанности парней размазаны по разработчикам и тестировщикам, в итоге на крупной встрече партнёров ждал сгоревший проектор, упавшая сеть и неоплаченный сервис для вебинаров.
Что использовать в работе и обязательно сделать?
Каждый системный администратор выбирает свой набор инструментов, с которыми ему нравится работать, поэтому нельзя составить какой-то универсальный список. Назовём несколько инструментов, которые часто встречаются или среди которых нужно выбрать что-то своё.
Системный администратор — это больше не чувак с бородой в свитере и с Балтикой под столом. Сегодня это проводник компании в мир эффективности, быстрой работы и сокращения затрат в длинной перспективе. Это сотрудник, на котором не стоит экономить, и профессионал, который всегда в развитии (иначе через год не поймёт, где он). А значит, пора забыть шутки с башорга и развивать ИТ-инфраструктуру, чтобы быть впереди на два корпуса и завоёвывать рынок, клиентов, прибыль с помощью диджитал-инструментов, а не размахивая каменным топором. Его уже никто не боится.
[конспект админа] Меньше администраторов всем
Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.
Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.
Ограниченные группы
В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).
Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.
Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.
Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.
Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.
Расположение политик Restricted groups.
Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:
Добавляем группу «Администраторы», в которую добавляем группу helpdesk.
И получаем локальную группу «Администраторы» без Domain admins.
Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:
При такой настройке локальная группа «Администраторы» не будет зачищена.
Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.
Настройка группы безопасности через GPP.
Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.
Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.
Использование встроенных групп безопасности
Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.
Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.
| Группа | Описание |
| Администраторы | Полные права на систему. |
| Пользователи | Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля. |
| Операторы архива | Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования. |
| Опытные пользователи | Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки). |
| Пользователи удаленного рабочего стола | Членство дает возможность подключаться к компьютеру по RDP |
| Операторы печати | Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати. |
| Операторы настройки сети | Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу. |
| Операторы учета | Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу. |
Познакомиться со всеми группами и более полным описанием можно в официальной документации.
Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.
Настройка прав доступа через групповые политики.
Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.
Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!
Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.
Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 10\2016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.
Достаточно администрирования
Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.
Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.
Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.
Проверка версии и разрешение удаленных подключений при помощи PS.
Создадим группу безопасности и специального пользователя:
Теперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:
А затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:
Теперь необходимо подготовить файл сессии PowerShell:
Зарегистрируем файл сессии:
Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:
Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.
Доступ к серверу ограничен управлением одной виртуальной машиной.
Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.
Интерфейс JEA Toolkit Helper.
При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.
Журнал выполнения PowerShell.
Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.
Файловый журнал JEA.
С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».
Чем кроме стандартной админ работы вы можете помочь серверу
Порядок действий для становления на пост хэлпера:
1. Оформите заявку согласно форме (важно понимать, что главное не только красота оформления заявки, а её смысловое наполнение).
2. Главный администратор, а также, другие администраторы сервера, проводят отбор заявок, которые будут допущены к обзвону. Решение по отбору заявок принимается не единолично, а совместным коллективом, для максимальной объективности и непредвзятости при отборе кандидатов.
3. Вместе с публикацией списка допущенных к обзвона, будут указаны дата и время начала проведения обзвона, а это значит, что с этого момента, вы должны присутствовать в статусе «В сети» в Discord и ожидать, когда вас добавят на собеседование.
4. После завершения собеседования, через некоторое время, взвесив все За и Против вашей кандидатуры, главный администратор свяжется с вами в Discord, и выдаст первые инструкции для вашей дальнейшей работы. Если вас исключили из админ канала в Discord, значит вы не прошли на пост хэлпера.
Опыт вашей игры в КРМП
На каких серверах КРМП вы играете?
История ваших прошлых ников на всех серверах проекта
Имеются ли твинк-аккаунты (кроме основного) на нашем сервере?
Опыт вашей игры, администрирования или других должностей, на других RolePlay проектах
Опыт вашей деятельности во фракциях нашего проекта или на других проектах (тип фракции, должность, пост/ранг, срок службы/работы)
Никнеймы игроков, с которыми вы поддерживаете контакт на нашем сервере
Сколько вы времени в сутки уделяете на игру на проекте NonMel RP?
Были ли у вас баны на любом из серверов проекта? Если да, то за что?
Имеются ли на данный момент баны на любом из серверов проекта?
Что по вашему «блат»? (3 примера)
Что вас мотивирует и привлекает в работе администратора?
Почему именно вы должны стать администратором?
Чем бы вы могли дополнить свою админ работу? Например: работа с видео монтажом, обработкой фотографий, организация необычных мероприятий, идеи по улучшению сервера и т.д.
Какие должности в работе администрации вы хотели бы получить, кроме основной работы на сервере? Например следящий за определённой фракцией и т.д.
Перечислите минимум 5 (можно и больше) положительных рабочих качеств, на ваш взгляд, для хорошего квалифицированного администратора.
Внимательно проверяйте правильность и достоверность вашей информации в заявке. Вся информация должна быть правдивой и максимально развернутой. Факты скрытия крупных банов за серьёзные нарушения, как в заявке, так во время собеседования, могут быть выявлены после становления администратора на свою должность, за что он может быть снят и заблокирован сроком от 90 дней!
Как сисадмину не остаться без работы
И при этом не попасться
Если ты админ, тебе нечем заняться, и твоя компания не нуждается в тебе ежедневно, то тебя, возможно, сократят в ближайшее время за ненадобностью. В данной статье я собрал лучшие практики от системных администраторов, которые умеют обеспечить себя работой настолько, что компания не может прожить без них и дня. Эти практики позволяют даже строить целые ИТ-отделы, там, где тебе было нечем заняться. Применять их или нет – остается на твое усмотрение:
1. Решай любые проблемы пользователей
Поставить любимую заставку на компьютер? Наклеить пленочку на мобильный телефон? Сверить два договора в ворде за юриста? Подрисовать бланк организации? «Посмотреть» домашний ноутбук? Делать работу за сотрудников компании и делать для них то, что не нужно компании – надежный способ заслужить любовь пользователей и получить больше работы. Можно даже дополнительных специалистов нанять в ИТ-отдел для этого – любая прихоть компании за ее деньги.
2. Ручная работа – всегда в цене
Если устанавливать операционную систему и приложения на рабочее место пользователя за одно нажатие клавиши и 15 минут, то у сотрудников компании может сложиться впечатление, что работенка у админа непыльная. По этой причине исключай автоматизацию в работе с пользователями: операционные системы ставь с диска вводом ключа лицензии вручную, байтик за байтиком ставь приложения, каждый раз ищи драйверы для принтеров в интернете и выполняй ювелирную настройку систем. Обновить платформу 1С на компьютерах – это вообще задача на неделю, а не на два клика мышью.
3. Не трать деньги компании на ненужные причиндалы
Дополнительный блок питания в сервер, диск горячей замены, стекируемый коммутатор, розетки и патч-панели для организации сети – именно на них ты можешь сэкономить денег компании, и именно благодаря их отсутствию руководство узнает, что сбои в ИТ не такая уж и редкость и системный администратор должен быть всегда рядом «на всякий случай».
4. Больше свободы для пользователей
Отсутствие ограничений на запуск неизвестных приложений, права локальных администраторов на компьютерах, антивирус, подконтрольный пользователю – это то, что позволяет чувствовать пользователям себя как дома и это то, что создает работу сисадмину. То пользователи вирус занесут на компьютер, то с корня диска C удалят «лишние» файлы, то компьютер тормозит из-за количества наставленных «ускорителей интернета». Ничего не поделаешь – за свободу можно и заплатить, наняв дополнительно парочку технических специалистов.
5. Приобретай только брендовые сервера
Именно на сервере хранятся данные компании, и от его качества зависит их сохранность. Если же у компании не хватает денег на покупку брендового сервера, то можно сэкономить на коммутаторах, кабельной сети и пользовательских компьютерах – их работу ты обеспечишь своими усилиями. И неважно, что за эти деньги можно было взять два сервера попроще и обновить все остальное – сохранность данных не терпит сослагательного наклонения, а для всего остального есть системный администратор.
6. Внедряй системы, которые нужны компании сейчас
Если компании нужна просто почта, то ее можно развернуть на бесплатном или платном почтовом хостинге. Когда компании потребуется, чтобы письма клиентов всегда доставлялись, а увольняемый сотрудник не мог уничтожить свою переписку бесследно, можно будет развернуть в компании свой простенький почтовый сервер. Когда же компании потребуется чуть больше, чем просто почта, можно будет перейти на «тот самый» почтовый сервер. В итоге почта в компании одна, а у сисадмина три внедрения и две миграции. Поступая также и с другими системами, сисадмин точно не оставит себя без работы.
7. Делай работу быстро
Тратить рабочее время на планирование – это слишком затратно для компании и затягивает сроки проведения работ. Любую систему можно внедрить/модернизировать на раз-два, а все мелкие недочеты быстренько устранить за пару-тройку дней или даже еще быстрее, если будут помощники.
8. Полагайся на рекламу и маркетинг
Если решение уже «выбрали тысячи организаций во всем мире», то этого достаточно, чтобы внедрить его в компании без изучения технических деталей, спецификаций и тестового развертывания. Если же решение окажется в итоге не столь хорошим, как это анонсировали, то для поддержания его в рабочем состоянии можно будет нанять и отдельного специалиста – ведь тысячи организаций во всем мире предпочли сделать именно так.
9. Меняй оборудование только когда его уже нельзя починить
Чем дольше работают старые компьютеры в компании, тем больше денег компания экономит на покупке новых и тем больше у админов работы. Можно даже нанять отдельного специалиста для ремонта старой техники, чтобы еще сильнее экономить деньги компании. Ну а о том, чтобы офис хотя бы день прожил без сисадмина даже и речи не идет – проблемы на каждый день гарантированы.
10. Создавай собственные разработки
Если компания не может позволить себе покупку какого-то решения, то для этого есть сисадмин, который может собрать почти такую же систему, но дешевле. Да, возможно у собранного админом решения будет парочка небольших недочетов, которые будут требовать регулярного обслуживания, но это же лучше, чем если бы компания потратила кучу денег на «то самое» решение. Конечно, никто кроме тебя в данной системе не разберётся, но это уже мелочи – ведь и без этого уволить тебя уже будет непросто.
Если следовать перечисленным выше советам, то можно полностью занять одного ИТ-специалиста поддержкой 20-30 пользователей, а при размерах инфраструктуры в 100-150 пользователей уже создать свой ИТ-отдел на 5-6 человек. Если же вы в одиночку обслуживаете 50-60 пользователей и вас хотят сократить в связи с тем, что «в компании задач по обслуживанию на один день в неделю» – покажите эту статью руководству, и пусть они решат, хотят ли они, чтобы новый админ был всегда занят работой или нет.