Storie dalla Sala Macchine

utente amministratore di bffffffff...... amministraaaahahahahhaha amministratore di laahahhahahahahahaha 

Lo so che non e' colpa tua, ma non riesco a dirlo senza ridere

Bisognerebbe prrendere che ha deciso sta cosa, cioe' DB, e fargli strappale le palle a morsi da un cane appestato!

-- Anonymous coward

IMHO il problema è proprio quello evidenziato nell'ultima frase. Un CL non dovrebbe mai essere admin. Cambiare nome del lapdog e un-joinarlo dal dominio? Un CL?

Sarà che sono sempre stato un fan di Active Directory.

-- I'll have to script my way outta here!

IMHO l'hai detta giusta con l'ultima frase, BigD. La più grossa scioccehzza che Minuscola & Soffice abbia mai fatto è di far credere a chiunque di poter essere amministratore senza dolore, altro che domini (che nella mia esperienza, non vanno poi così disastrosamente male).

--

Ciao!

Luca

-- Luca Menegotto

Oh beh, c'è un buon motivo per cui i PC a dominio dati ai CL non dovrebbero avere una password di amministratore conosciuta dal CL

 

/Palin

-- Anonymous coward

concordo

WM

-- WM

Benvenuto nel club degli smadonnatori dei Protatili in dominio Windows collegati solo in  VPN.

Fortunatamente, alla fine, non è un problema che qualche tweak nel file lmhosts e OpenVpn configurato a modino non risolvano.

Peccato che non possa dire la stessa cosa degli utonti finali...

-- BioMassa

Oddio, quanto hai ragione sui domini... Mi sono ritrovato a fare il SysAdmin (sebbene ai tempi io di Winsozz Swerver non sapevo una mazza) di una rete.. ehm... diciamo "Complicata".

Ora, è sicuramente colpa mia che Non Sapevo le Cose, un po' loro che quando chiedevo info sul lavoro da fare pareva che gli chiedessi di spiegare il senso della vita (il massimo è stata la SL del posto "Ma io non lo so, che programmi uso per lavorare!"), fatto sta che ho messo assieme una configurazione sballata al DC della rete, e ciò non è buono!

Dopo un po' di peregrinazioni, il mio capo ha capito che quando gli dicevo "Io non so nulla di Windows Server, domini e simili", intendevo che "io non so nulla di Windows Server, domini e simini". Sai, D, non avevo mai pensato che fosse così difficile far capire a qualcuno che se dico "Qui" non intedo "La". In ogni caso, ho ottenuto che avere consulenza da qualcuno che Le Cose le Sa!

Una delle prime cose che gli ho chiesto è stata se c'era modo di correggere i casini, la sua risposta, piuttosto desolante, è stata che se sbagli la configurazione iniziale, l'unico modo di correggerla è di ricominciare tutto da capo...

-- "I was watching the London Marathon and saw one runner dressed as a chicken and another runner dressed as an egg. I thought: 'This could be interesting.'" -Paddy Lennox
---
D.

Il dominio e' una bella invenzione ; basta impostare i diritti dell'utente CL a "nessuno". Cosi' non fa danni.

Voi direte : ma cosi' non puo' lavorare!

E io ribadisco : appunto , "non puo' fare danni"!

-- Messer Franz

Appunto mentale: vedere come si fa a preparare un (disco di?) ripristino globaletotale per i portatili che potrebbero andare lontanolontano...

Imparare dagli altri. Giusto uno dei motivi per cui frequento certi siti (un altro è lo spasso )

CYA

-- z f k

la domanda è: perchè l'utente deve poter avere i privilegi di cambiare nome pc e indirizzo ip? Più è alta l'idiozia più basso dovrebbe essere il livello di privilegi...  Poi conosco gente che è in grado di sputt@re un pc anche da power user o user...

per certa gente "guest" è pure troppo... forse un pc solo con il monitor senza tastiera nè mouse...

forse...

-- quello che non puoi dire con poche parole non puoi dirlo neanche con molte

ups letto ora;

<i>

C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.

</i>

Si decisamente son d'accor do...

Ho notato spessissimo, quando lavoravo per una nota azienda sanitaria locale (no non ero loro dipendente, lavoravo per una ditta esterna) che moltissimi applicativi non funzionano con utente declassato...

 Sarà che chi scrive applicazioni windows dà per scontato che le applicazioni debbano essere per forza eseguite con il livello massimo di privilegi...

-- quello che non puoi dire con poche parole non puoi dirlo neanche con molte

In questo caso la mia risposta è: "mandami il PC che te lo sistemo".

-- Lanfranco

92 minuti di applausi ininterrotti per la prima frase!!!!

Sarà perchè io di domini (e di Windows in generale) non ne so quasi niente, però a me 'sta cosa dei domini più che problemi non ha mai creato.

-- Manuel Ravasio

In merito all'essere o meno amministratore del proprio PC, personalmente sarei per una policy molto più semplice: il pc è assegnato al CL che ne è completamente responsabile.

Ha bisogno di assistenza per risolvere problemi o installare software?

Viene da te.

Vuole fare da solo e sminchia qualcosa?

Ogni minuto lavorativo perso a causa dello sminchiamento viene decurtato dalla busta paga.

Per riaggiustare il tutto deve ricorrere alla tua assistenza?

Decurtazione doppia.

 

Così chi è capace si arrangia e non ti spacca i maroni, chi non è capace e sa di non esserlo si rivolge a te in modo formale, infine chi pensa di essere figo viene toccato là dove fa più male, nel portafogli. Chissà che a forza di sbatterci il naso poi la capisca.

-- Manuel Ravasio

Eh, vedi, non e` mica colpa del dominio. Concordo con te sul fatto che il dominio puo` aiutare a incasinare le cose quando ci sono problemi, ma li` alla base di tutti i problemi c'e` come al solito il piu` grande nemico dell'informatica: un utente che non sa fare una cippa ma che crede di essere un grande esperto, dotato per di piu` dei diritti di amministrazione.

-- Il massimo danno con il minimo sforzo

Secondo me se gli spedivate un portatile e vi facevate rispedire quello, ci mettevate di meno.

-- Riccardo Cagnasso

Beh la risposta sta nel tuo commento finale, non voglio difendere ms, ma i domini di windows di per se non sono il male, il problema è che l'utente non dovrebbe neanche potersi avvicinare per sbaglio ad una della sue finestre di configurazione (del dominio) il problema immagino è quella caterva di programmi  porcherie che hanno assoluto bisogno dei permessi di amministratore, l'utente è tendezialmente portato per natura a fare danni, e i programmi di produttività dovrebbero poter girare con il minor numero di permessi possibili!

-- Anonymous coward

Faceva conflitto ? CONFLITTO ? o_O ma qualcuno gli ha detto che non si usa più ( spero) windows95

-- Il codardo senza nome

L'errore NON è nella struttura MS di "dominio", ma nel fatto che un uTONTO simile non può, non deve ecc ecc avere in alcun modo i diritti amministrativi sulla sua macchina.

Quanto successo è pariteticamente colpa del tipo e del sysadmin che gli ha dato i permessi... Praticamente è stato come mettere in mano un bazooka ad un bambino di 5 anni...

-- GenTLe

Una generazione fa 9 persone su 10 usavano la zappa e 1 usava carta e penna, ora 9 su dieci dovrebbero usare un computer.

Il grosso problema è che le teste sono sempre quelle e il nostro sistema educativo (specchio fedele della cariatidecrazia della nostra società) ha fatto ben poco per cambiarle.

Il problema non è che l'utonto in questione aveva Windows (i see dumb people che si incartano con icosi e simil-icosi, o ai termiali delle banche e dei supermercati, e che hanno ancora il viodeoregistratore su 00:00 da prima che Linus accendesse il suo primo PC), ma il fatto che la società si aspetta da lui che usi un computer anzichè condurre una placida coppia di buoi ad abbeverarsi.

-- Creosoto

"allora ho cambiato il nome del pc a UnAltroNome ed il dominio l'ho impostato a "Niente"..."

Per fare questo ha bisogno dei diritti di amministratore locale... se li aveva... il problema non è l'utente ma chi glieli ha dati

-- Zanna

Mah, mi pare che qui il problema sia il CL di turno e non il dominio. Tra l'altro una rete Windows senza dominio è parecchio più insicura (Windows usa Kerberos solo se è in dominio, se no funziona tutto via NTLM....) ed è molto più facile amministrare (e fare hardening...) via policy. Si può ridurre di parecchio la "superficie di attacco dell'utonto" senza andar macchina per macchina. Poi è vero, Active Directory è dannatamento complesso e se non RTFM e fai l'apprendista stregone cliccando qua e là i mal di testa (e di pancia) sono assicurati. Però gli utenti costretti a passare per il quarantine network quando ricollegano il lapdog in ufficio sono uno spasso....!

Tra l'altro se il tuo server VPN supporta RADIUS (e perché non dovrebbe?) puoi fargli usare l'autenticazione Windows per la VPN, usando IAS (il server RADIUS di Windows che però ha il solito nome markettaro).

-- Kent Morwath

Lunedi', primo giorno della settimana e primo giorno che CL e' da qualche parte tra le colline Bavaresi ed io mi becco una telefonata.

.....

E siamo a Venerdi', quando finalmente il coglione riesce a collegarsi alla VPN. Adesso devo solo convincerlo a disattivare il suo merdacchioso firewall, collegarmi e reinstallargli la mezza camionata di roba che ha rimosso perche' "faceva conflitto"...

Una settimana di lavoro e sei circa a meta' strada verso la soluzione del problema. Mi sa che costava meno assoldare qualcuno per andare a fare  il lavoro di persona. E per "lavoro" intendo l'eliminazione fisica del C(og)L(ione) di turno.

-- Anonymous coward

>C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.

Per me questa è la causa principale del problema, non tanto il dominio Windows.

-- Valerio Vanni

Ecco, ti sei imbattuto nel vero problema di un dominio windows: su dispositivi mobili (ovvero i portatili) nel migliore dei casi e` un casino da gestire

Enrico

-- Anonymous coward

Successa cosa analoga.

Manco mi sono sognato di farlo rattoppare all'imbranato. Me lo sono fatto spedire con corriere espresso.

Alle 10 del giorno dopo era sul mio tavolo, imballato come una testata nucleare. Venti minuti di lavoro e alle 14 dello stesso giorno é ripartito con lo stesso corriere.

Se non altro ho la tracciatura del "giro turistico". Giusto per punirlo con l'addebito delle ore di lavoro.

-- Netlix

Da me vige la regola "NON DEVONO" essere admin locali...
Sai quante bestemmie risparmiate??? -- Gianluca

"C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc."

Ma infatti leggendo la storia sembra che il problema sia esattamente questo, come diavolo ha fatto CL a cambiare nome e a togliere la macchina dal dominio?

 

Dove lavoro (dominio con circa 3.000 client) i permessi sono blindati e devo ammettere che non ho mai visto un problema in quattro anni che sono qui. I CL abbondano e le lamentele sono numerose, ma il nostro reparto IT ha le orecchie foderate di piombo e forse il motivo dell'affidabilità è quello.

-- Uomo col banjo

Offline domain join può aiutarti la prossima volta

http://technet.microsoft.com/en-us/library/offline-domain-join-djoin-step-by-step%28WS.10%29.aspx

-- Anonymous coward

Beh, dai... questa volta non e' solo colpa di Piccolissimo Soffice.

-- Massimiliano

> C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.

Il problema è che c'é sempre qualche "collega"/capo furbo che per levarseli dai piedi quando si lagnano, li mette admin e quando l'utonto crea di disastro li scarica a qualcun'altro e si eclissa.

j.

-- Anonymous coward

questa storia mi lascia abbastanza perplesso....

con l'utente già admin ci vogoliono credo 10-15 minuti :

- gli si manda un file .pcf sulla posta privata o simili

- lo si fà connettere in vpn

-net dom  da remoto ( lo ho fatto con connessioni satellitari ad 1 MB )

-gpupdate /force

riavvione

 

-- Anonymous coward

Non è credo un caso se gli unici commenti negativi sulla tecnologia Active Directory vengano da persone che allo stesso tempo ammettono di non averci avuto molto a che fare.

-- I'll have to script my way outta here!

Non è credo un caso se gli unici commenti negativi sulla tecnologia Active Directory

Mi sembra tu faccia un po' di confusione, AD non e' una "tecnologia" ed io non ce l'ho con AD quanto ce l'abbia contro cose come LDAP (che e' la stessa cosa) o un database in generale. IO obietto contro l'uso indiscriminato di una cose come il "dominio" e la sua implementazione microsoftiana sempre e comunque. Obietterei anche contro NFS, LDAP o altre soluzioni "centralizzate" in quel caso.

--
Davide Bianchi

"in generale. IO obietto contro l'uso indiscriminato di una cose come il "dominio" e la sua implementazione microsoftiana sempre e comunque. Obietterei anche contro NFS, LDAP o altre soluzioni "centralizzate" in quel caso."

Mah, si può discutere sull'implementazione di MS, ma quando il numero di macchine supera le 20 non ci sono mole alternative a centralizzare, a meno che queste macchine non siano usate da utenti completamente differenti. Replicare gli stessi account su n macchine è di gran lunga peggio che averli in un unico posto (anche con tutti i rischi del caso, ma avere n account tutti con la stessa pwd non cambia nulla..). Anzi, IMHO i server di directory sono fin troppo poco utilizzati, e sinceramente odio le applicazioni che vogliono ognuna il proprio database di utenti, ogni volta vanno creati o importati, e quando qualcuno va via devi incominciare operazioni di search & destroy per terminare tutti gli account utilizzati. Senza contare che AD va un po' più in là dei semplica account utente. Okkio comunque al tuo CL bavarese... AD usa oltre all'account utente un account della macchina con password generata e rinnovata automaticamente. Se non si collega per un tempo più lungo di quello impostato nelle policy, potrebbe non avere più accesso al dominio di nuovo....

-- Anonymous coward

ma quando il numero di macchine supera le 20

Ecco lo hai detto. Se hai 5 macchine che sono per il 50% del tempo fuori ufficio (laptop) che te ne fai di un dominio? NO! Devi avere un dominio! Non si puo' non avere un dominio! E' contrario alla religione di SanWindows!

\ -- Davide Bianchi