Storie dalla Sala Macchine |
Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register
Qualcuno mi giudichera' magari un po' un troglodita, uno che non segue le tendenze e che (molto) non e' "al passo con i tempi", ma ho sempre considerato questa idea del "dominio" di Windows come una grandissima cagata. Capiamoci: sono sempre recettivo nei confronti di cose che riducono il carico di lavoro del sysadmin e consentono di automatizzare certe cose come l'installazione di applicazioni e l'applicazione di certi permessi e diritti sulle macchine degli utonti, ma in certi casi si va' un po' troppo "in la'" con la cosa.
Nel caso del 'dominio' quello che mi ha sempre lasciato perplesso e' che se un client e' nel 'dominio' tutto funziona come dovrebbe (molto spesso), ma se per caso c'e' un qualche problema e' una catastrofe totale e non funziona piu' un tubo. Ed un altra cosa che mi lascia perplesso e' che nella maggioranza dei casi non c'e' alcun modo per l'utonto in questione di risolvere il problema.
Perche' dico questo? Perche' mi sono appena beccato l'ennesimo problema.
La settimana scorsa CL e' venuto ad annunciare che si trasferiva in Germania. Niente di che, direte voi, solo che per qualche strano motivo, lui si trasferisce ma continua a lavorare per noi... hummm... ok... Il risultato e' che e' stato dotato di lapdog aziendale (ovviamente) e di vpn. Il che non sarebbe troppo male se CL fosse il tipo che se ne sta fermo e non rompe i marroni.
Lunedi', primo giorno della settimana e primo giorno che CL e' da qualche parte tra le colline Bavaresi ed io mi becco una telefonata.
CL - Non funziona piu' la vpn!
IO - Che errore ti da?
CL - Non lo so.
IO - Bhe', leggilo no?
CL - Non riesco...
IO - ??? come "non riesci"??
CL - Non mi accetta piu' la password di Windows!
IO - La VPN? Quella non ha una password di Windows...
CL - No il pc non mi accetta piu' la password...
IO - Hu... ok, spiega un po' che accidenti stai combinando.
CL - Sto cerando di lavorare.
IO - Ottimo... Allora come e' che non ti accetta la password?
CL - Allora, ieri stavo cercando di fare frulla bulla, ma secondo me (quanto mi spavento quando
i CL dicono 'secondo me'...) il problema era che l'indirizzo IP era sbagliato... allora ho cambiato
il nome del pc a UnAltroNome ed il dominio l'ho impostato a "Niente"...
IO - ... tu hai fatto cosa??? per fare che???
CL - E adesso non mi accetta piu' la password di Windows.
Pausa mentre io cerco di recepire la logica che dice che il modo per "correggere" un indirizzo IP (che funziona perfettamente) sia di cambiare il nome del Pc.
Manica di bestemmie dato che adesso sara' un casino riuscire a rimettere il coso nel Dominio dalla Germania.
Seguono una caterva di telefonate, mail, sms e quant'altro per riuscire a far fare login al piccione con la password di administrator locale e fargli rimettere il pc nel dominio giusto. Altre bestemmie per cercare di riparare la configurazione della vpn che questo intronato ha completamente sputtanato, molteplici madonne perche' continua a sostenere che l'indirizzo ip "e' sbagliato". E via di questo passo.
E siamo a Venerdi', quando finalmente il coglione riesce a collegarsi alla VPN. Adesso devo solo convincerlo a disattivare il suo merdacchioso firewall, collegarmi e reinstallargli la mezza camionata di roba che ha rimosso perche' "faceva conflitto"...
C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.
Davide
27/02/2012 08:00
I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.
Di Anonymous coward postato il 27/02/2012 08:32
utente amministratore di bffffffff...... amministraaaahahahahhaha amministratore di laahahhahahahahahaha
Lo so che non e' colpa tua, ma non riesco a dirlo senza ridere
Bisognerebbe prrendere che ha deciso sta cosa, cioe' DB, e fargli strappale le palle a morsi da un cane appestato!
-- Anonymous coward
Di MaxFrames postato il 27/02/2012 08:43
IMHO il problema è proprio quello evidenziato nell'ultima frase. Un CL non dovrebbe mai essere admin. Cambiare nome del lapdog e un-joinarlo dal dominio? Un CL?
Sarà che sono sempre stato un fan di Active Directory.
-- I'll have to script my way outta here!
Di Luca Menegotto postato il 27/02/2012 08:59
IMHO l'hai detta giusta con l'ultima frase, BigD. La più grossa scioccehzza che Minuscola & Soffice abbia mai fatto è di far credere a chiunque di poter essere amministratore senza dolore, altro che domini (che nella mia esperienza, non vanno poi così disastrosamente male).
--
Ciao!
Luca
Di Anonymous coward postato il 27/02/2012 09:06
Oh beh, c'è un buon motivo per cui i PC a dominio dati ai CL non dovrebbero avere una password di amministratore conosciuta dal CL
/Palin
-- Anonymous coward
Di WM postato il 27/02/2012 09:08
concordo
WM
-- WM
Di BioMassa postato il 27/02/2012 09:11
Benvenuto nel club degli smadonnatori dei Protatili in dominio Windows collegati solo in VPN.
Fortunatamente, alla fine, non è un problema che qualche tweak nel file lmhosts e OpenVpn configurato a modino non risolvano.
Peccato che non possa dire la stessa cosa degli utonti finali...
-- BioMassa
Di Daniele C. postato il 27/02/2012 09:45
Oddio, quanto hai ragione sui domini... Mi sono ritrovato a fare il SysAdmin (sebbene ai tempi io di Winsozz Swerver non sapevo una mazza) di una rete.. ehm... diciamo "Complicata".
Ora, è sicuramente colpa mia che Non Sapevo le Cose, un po' loro che quando chiedevo info sul lavoro da fare pareva che gli chiedessi di spiegare il senso della vita (il massimo è stata la SL del posto "Ma io non lo so, che programmi uso per lavorare!"), fatto sta che ho messo assieme una configurazione sballata al DC della rete, e ciò non è buono!
Dopo un po' di peregrinazioni, il mio capo ha capito che quando gli dicevo "Io non so nulla di Windows Server, domini e simili", intendevo che "io non so nulla di Windows Server, domini e simini". Sai, D, non avevo mai pensato che fosse così difficile far capire a qualcuno che se dico "Qui" non intedo "La". In ogni caso, ho ottenuto che avere consulenza da qualcuno che Le Cose le Sa!
Una delle prime cose che gli ho chiesto è stata se c'era modo di correggere i casini, la sua risposta, piuttosto desolante, è stata che se sbagli la configurazione iniziale, l'unico modo di correggerla è di ricominciare tutto da capo...
-- "I was watching the London Marathon and saw one runner dressed as a chicken and another runner dressed as an egg. I thought: 'This could be interesting.'" -Paddy Lennox
Di Messer Franz postato il 27/02/2012 10:03
Il dominio e' una bella invenzione ; basta impostare i diritti dell'utente CL a "nessuno". Cosi' non fa danni.
Voi direte : ma cosi' non puo' lavorare!
E io ribadisco : appunto , "non puo' fare danni"!
-- Messer Franz
Di z f k postato il 27/02/2012 10:11
Appunto mentale: vedere come si fa a preparare un (disco di?) ripristino globaletotale per i portatili che potrebbero andare lontanolontano...
Imparare dagli altri. Giusto uno dei motivi per cui frequento certi siti (un altro è lo spasso )
CYA
-- z f k
Di Guido postato il 27/02/2012 10:23
la domanda è: perchè l'utente deve poter avere i privilegi di cambiare nome pc e indirizzo ip? Più è alta l'idiozia più basso dovrebbe essere il livello di privilegi... Poi conosco gente che è in grado di sputt@re un pc anche da power user o user...
per certa gente "guest" è pure troppo... forse un pc solo con il monitor senza tastiera nè mouse...
forse...
-- quello che non puoi dire con poche parole non puoi dirlo neanche con molte
Di Guido postato il 27/02/2012 10:27
ups letto ora;
<i>
C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.
</i>
Si decisamente son d'accor do...
Ho notato spessissimo, quando lavoravo per una nota azienda sanitaria locale (no non ero loro dipendente, lavoravo per una ditta esterna) che moltissimi applicativi non funzionano con utente declassato...
Sarà che chi scrive applicazioni windows dà per scontato che le applicazioni debbano essere per forza eseguite con il livello massimo di privilegi...
-- quello che non puoi dire con poche parole non puoi dirlo neanche con molte
Di Lanfranco postato il 27/02/2012 10:39
In questo caso la mia risposta è: "mandami il PC che te lo sistemo".
-- Lanfranco
Di Manuel Ravasio postato il 27/02/2012 10:47
92 minuti di applausi ininterrotti per la prima frase!!!!
Sarà perchè io di domini (e di Windows in generale) non ne so quasi niente, però a me 'sta cosa dei domini più che problemi non ha mai creato.
-- Manuel Ravasio
Di Manuel Ravasio postato il 27/02/2012 11:06
In merito all'essere o meno amministratore del proprio PC, personalmente sarei per una policy molto più semplice: il pc è assegnato al CL che ne è completamente responsabile.
Ha bisogno di assistenza per risolvere problemi o installare software?
Viene da te.
Vuole fare da solo e sminchia qualcosa?
Ogni minuto lavorativo perso a causa dello sminchiamento viene decurtato dalla busta paga.
Per riaggiustare il tutto deve ricorrere alla tua assistenza?
Decurtazione doppia.
Così chi è capace si arrangia e non ti spacca i maroni, chi non è capace e sa di non esserlo si rivolge a te in modo formale, infine chi pensa di essere figo viene toccato là dove fa più male, nel portafogli. Chissà che a forza di sbatterci il naso poi la capisca.
-- Manuel Ravasio
Di Kurgan postato il 27/02/2012 11:14
Eh, vedi, non e` mica colpa del dominio. Concordo con te sul fatto che il dominio puo` aiutare a incasinare le cose quando ci sono problemi, ma li` alla base di tutti i problemi c'e` come al solito il piu` grande nemico dell'informatica: un utente che non sa fare una cippa ma che crede di essere un grande esperto, dotato per di piu` dei diritti di amministrazione.
-- Il massimo danno con il minimo sforzo
Di Riccardo Cagnasso postato il 27/02/2012 12:17
Secondo me se gli spedivate un portatile e vi facevate rispedire quello, ci mettevate di meno.
-- Riccardo Cagnasso
Di Anonymous coward postato il 27/02/2012 12:21
Beh la risposta sta nel tuo commento finale, non voglio difendere ms, ma i domini di windows di per se non sono il male, il problema è che l'utente non dovrebbe neanche potersi avvicinare per sbaglio ad una della sue finestre di configurazione (del dominio) il problema immagino è quella caterva di programmi porcherie che hanno assoluto bisogno dei permessi di amministratore, l'utente è tendezialmente portato per natura a fare danni, e i programmi di produttività dovrebbero poter girare con il minor numero di permessi possibili!
-- Anonymous coward
Di Il codardo senza nome postato il 27/02/2012 13:49
Faceva conflitto ? CONFLITTO ? o_O ma qualcuno gli ha detto che non si usa più ( spero) windows95
-- Il codardo senza nome
Di GenTLe postato il 27/02/2012 15:02
L'errore NON è nella struttura MS di "dominio", ma nel fatto che un uTONTO simile non può, non deve ecc ecc avere in alcun modo i diritti amministrativi sulla sua macchina.
Quanto successo è pariteticamente colpa del tipo e del sysadmin che gli ha dato i permessi... Praticamente è stato come mettere in mano un bazooka ad un bambino di 5 anni...
-- GenTLe
Di Creosoto postato il 27/02/2012 17:46
Una generazione fa 9 persone su 10 usavano la zappa e 1 usava carta e penna, ora 9 su dieci dovrebbero usare un computer.
Il grosso problema è che le teste sono sempre quelle e il nostro sistema educativo (specchio fedele della cariatidecrazia della nostra società) ha fatto ben poco per cambiarle.
Il problema non è che l'utonto in questione aveva Windows (i see dumb people che si incartano con icosi e simil-icosi, o ai termiali delle banche e dei supermercati, e che hanno ancora il viodeoregistratore su 00:00 da prima che Linus accendesse il suo primo PC), ma il fatto che la società si aspetta da lui che usi un computer anzichè condurre una placida coppia di buoi ad abbeverarsi.
-- Creosoto
Di Zanna postato il 27/02/2012 20:14
"allora ho cambiato il nome del pc a UnAltroNome ed il dominio l'ho impostato a "Niente"..."
Per fare questo ha bisogno dei diritti di amministratore locale... se li aveva... il problema non è l'utente ma chi glieli ha dati
-- Zanna
Di Kent Morwath postato il 27/02/2012 20:18
Mah, mi pare che qui il problema sia il CL di turno e non il dominio. Tra l'altro una rete Windows senza dominio è parecchio più insicura (Windows usa Kerberos solo se è in dominio, se no funziona tutto via NTLM....) ed è molto più facile amministrare (e fare hardening...) via policy. Si può ridurre di parecchio la "superficie di attacco dell'utonto" senza andar macchina per macchina. Poi è vero, Active Directory è dannatamento complesso e se non RTFM e fai l'apprendista stregone cliccando qua e là i mal di testa (e di pancia) sono assicurati. Però gli utenti costretti a passare per il quarantine network quando ricollegano il lapdog in ufficio sono uno spasso....!
Tra l'altro se il tuo server VPN supporta RADIUS (e perché non dovrebbe?) puoi fargli usare l'autenticazione Windows per la VPN, usando IAS (il server RADIUS di Windows che però ha il solito nome markettaro).
-- Kent Morwath
Di Anonymous coward postato il 27/02/2012 20:57
Lunedi', primo giorno della settimana e primo giorno che CL e' da qualche parte tra le colline Bavaresi ed io mi becco una telefonata.
.....
E siamo a Venerdi', quando finalmente il coglione riesce a collegarsi alla VPN. Adesso devo solo convincerlo a disattivare il suo merdacchioso firewall, collegarmi e reinstallargli la mezza camionata di roba che ha rimosso perche' "faceva conflitto"...
Una settimana di lavoro e sei circa a meta' strada verso la soluzione del problema. Mi sa che costava meno assoldare qualcuno per andare a fare il lavoro di persona. E per "lavoro" intendo l'eliminazione fisica del C(og)L(ione) di turno.
-- Anonymous coward
Di Valerio Vanni postato il 27/02/2012 22:17
>C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.
Per me questa è la causa principale del problema, non tanto il dominio Windows.
-- Valerio Vanni
Di Anonymous coward postato il 28/02/2012 00:16
Ecco, ti sei imbattuto nel vero problema di un dominio windows: su dispositivi mobili (ovvero i portatili) nel migliore dei casi e` un casino da gestire
Enrico
-- Anonymous coward
Di Netlix postato il 28/02/2012 00:55
Successa cosa analoga.
Manco mi sono sognato di farlo rattoppare all'imbranato. Me lo sono fatto spedire con corriere espresso.
Alle 10 del giorno dopo era sul mio tavolo, imballato come una testata nucleare. Venti minuti di lavoro e alle 14 dello stesso giorno é ripartito con lo stesso corriere.
Se non altro ho la tracciatura del "giro turistico". Giusto per punirlo con l'addebito delle ore di lavoro.
-- Netlix
Di Gianluca postato il 28/02/2012 03:21
Di Uomo col banjo postato il 28/02/2012 10:19
"C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc."
Ma infatti leggendo la storia sembra che il problema sia esattamente questo, come diavolo ha fatto CL a cambiare nome e a togliere la macchina dal dominio?
Dove lavoro (dominio con circa 3.000 client) i permessi sono blindati e devo ammettere che non ho mai visto un problema in quattro anni che sono qui. I CL abbondano e le lamentele sono numerose, ma il nostro reparto IT ha le orecchie foderate di piombo e forse il motivo dell'affidabilità è quello.
-- Uomo col banjo
Di Anonymous coward postato il 28/02/2012 11:56
Offline domain join può aiutarti la prossima volta
http://technet.microsoft.com/en-us/library/offline-domain-join-djoin-step-by-step%28WS.10%29.aspx
-- Anonymous coward
Di Massimiliano postato il 28/02/2012 13:22
Beh, dai... questa volta non e' solo colpa di Piccolissimo Soffice.
-- Massimiliano
Di Anonymous coward postato il 28/02/2012 14:15
> C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.
Il problema è che c'é sempre qualche "collega"/capo furbo che per levarseli dai piedi quando si lagnano, li mette admin e quando l'utonto crea di disastro li scarica a qualcun'altro e si eclissa.
j.
-- Anonymous coward
Di Anonymous coward postato il 29/02/2012 12:16
questa storia mi lascia abbastanza perplesso....
con l'utente già admin ci vogoliono credo 10-15 minuti :
- gli si manda un file .pcf sulla posta privata o simili
- lo si fà connettere in vpn
-net dom da remoto ( lo ho fatto con connessioni satellitari ad 1 MB )
-gpupdate /force
riavvione
-- Anonymous coward
Di MaxFrames postato il 03/03/2012 19:33
Non è credo un caso se gli unici commenti negativi sulla tecnologia Active Directory vengano da persone che allo stesso tempo ammettono di non averci avuto molto a che fare.
-- I'll have to script my way outta here!
@ MaxFrames Di Davide Bianchi postato il 04/03/2012 09:08
Non è credo un caso se gli unici commenti negativi sulla tecnologia Active Directory
Mi sembra tu faccia un po' di confusione, AD non e' una "tecnologia" ed io non ce l'ho con AD quanto ce l'abbia contro cose come LDAP (che e' la stessa cosa) o un database in generale. IO obietto contro l'uso indiscriminato di una cose come il "dominio" e la sua implementazione microsoftiana sempre e comunque. Obietterei anche contro NFS, LDAP o altre soluzioni "centralizzate" in quel caso.
@ Davide Bianchi Di Anonymous coward postato il 08/03/2012 14:24
"in generale. IO obietto contro l'uso indiscriminato di una cose come il "dominio" e la sua implementazione microsoftiana sempre e comunque. Obietterei anche contro NFS, LDAP o altre soluzioni "centralizzate" in quel caso."
Mah, si può discutere sull'implementazione di MS, ma quando il numero di macchine supera le 20 non ci sono mole alternative a centralizzare, a meno che queste macchine non siano usate da utenti completamente differenti. Replicare gli stessi account su n macchine è di gran lunga peggio che averli in un unico posto (anche con tutti i rischi del caso, ma avere n account tutti con la stessa pwd non cambia nulla..). Anzi, IMHO i server di directory sono fin troppo poco utilizzati, e sinceramente odio le applicazioni che vogliono ognuna il proprio database di utenti, ogni volta vanno creati o importati, e quando qualcuno va via devi incominciare operazioni di search & destroy per terminare tutti gli account utilizzati. Senza contare che AD va un po' più in là dei semplica account utente. Okkio comunque al tuo CL bavarese... AD usa oltre all'account utente un account della macchina con password generata e rinnovata automaticamente. Se non si collega per un tempo più lungo di quello impostato nelle policy, potrebbe non avere più accesso al dominio di nuovo....
-- Anonymous coward
@ Anonymous coward Di Davide Bianchi postato il 10/03/2012 11:02
ma quando il numero di macchine supera le 20
Ecco lo hai detto. Se hai 5 macchine che sono per il 50% del tempo fuori ufficio (laptop) che te ne fai di un dominio? NO! Devi avere un dominio! Non si puo' non avere un dominio! E' contrario alla religione di SanWindows!
Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.
Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.
Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".