Tales from the Machine Room


Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Login/Register

Domain of my desires...

Qualcuno mi giudichera' magari un po' un troglodita, uno che non segue le tendenze e che (molto) non e' "al passo con i tempi", ma ho sempre considerato questa idea del "dominio" di Windows come una grandissima cagata. Capiamoci: sono sempre recettivo nei confronti di cose che riducono il carico di lavoro del sysadmin e consentono di automatizzare certe cose come l'installazione di applicazioni e l'applicazione di certi permessi e diritti sulle macchine degli utonti, ma in certi casi si va' un po' troppo "in la'" con la cosa.

Nel caso del 'dominio' quello che mi ha sempre lasciato perplesso e' che se un client e' nel 'dominio' tutto funziona come dovrebbe (molto spesso), ma se per caso c'e' un qualche problema e' una catastrofe totale e non funziona piu' un tubo. Ed un altra cosa che mi lascia perplesso e' che nella maggioranza dei casi non c'e' alcun modo per l'utonto in questione di risolvere il problema.

Perche' dico questo? Perche' mi sono appena beccato l'ennesimo problema.

La settimana scorsa CL e' venuto ad annunciare che si trasferiva in Germania. Niente di che, direte voi, solo che per qualche strano motivo, lui si trasferisce ma continua a lavorare per noi... hummm... ok... Il risultato e' che e' stato dotato di lapdog aziendale (ovviamente) e di vpn. Il che non sarebbe troppo male se CL fosse il tipo che se ne sta fermo e non rompe i marroni.

Lunedi', primo giorno della settimana e primo giorno che CL e' da qualche parte tra le colline Bavaresi ed io mi becco una telefonata.

CL - Non funziona piu' la vpn!
IO - Che errore ti da?
CL - Non lo so.
IO - Bhe', leggilo no?
CL - Non riesco...
IO - ??? come "non riesci"??
CL - Non mi accetta piu' la password di Windows!
IO - La VPN? Quella non ha una password di Windows...
CL - No il pc non mi accetta piu' la password...
IO - Hu... ok, spiega un po' che accidenti stai combinando.
CL - Sto cerando di lavorare.
IO - Ottimo... Allora come e' che non ti accetta la password?
CL - Allora, ieri stavo cercando di fare frulla bulla, ma secondo me (quanto mi spavento quando i CL dicono 'secondo me'...) il problema era che l'indirizzo IP era sbagliato... allora ho cambiato il nome del pc a UnAltroNome ed il dominio l'ho impostato a "Niente"...
IO - ... tu hai fatto cosa??? per fare che???
CL - E adesso non mi accetta piu' la password di Windows.

Pausa mentre io cerco di recepire la logica che dice che il modo per "correggere" un indirizzo IP (che funziona perfettamente) sia di cambiare il nome del Pc.

Manica di bestemmie dato che adesso sara' un casino riuscire a rimettere il coso nel Dominio dalla Germania.

Seguono una caterva di telefonate, mail, sms e quant'altro per riuscire a far fare login al piccione con la password di administrator locale e fargli rimettere il pc nel dominio giusto. Altre bestemmie per cercare di riparare la configurazione della vpn che questo intronato ha completamente sputtanato, molteplici madonne perche' continua a sostenere che l'indirizzo ip "e' sbagliato". E via di questo passo.

E siamo a Venerdi', quando finalmente il coglione riesce a collegarsi alla VPN. Adesso devo solo convincerlo a disattivare il suo merdacchioso firewall, collegarmi e reinstallargli la mezza camionata di roba che ha rimosso perche' "faceva conflitto"...

C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.

Davide
27/02/2012 08:00

Previous Next

Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.

36 messages this document does not accept new posts
Anonymous coward By Anonymous coward - posted 27/02/2012 08:32

utente amministratore di bffffffff...... amministraaaahahahahhaha amministratore di laahahhahahahahahaha 

Lo so che non e' colpa tua, ma non riesco a dirlo senza ridere :D :D :D

Bisognerebbe prrendere che ha deciso sta cosa, cioe' DB, e fargli strappale le palle a morsi da un cane appestato!

--
Anonymous coward


MaxFrames By MaxFrames - posted 27/02/2012 08:43

IMHO il problema è proprio quello evidenziato nell'ultima frase. Un CL non dovrebbe mai essere admin. Cambiare nome del lapdog e un-joinarlo dal dominio? Un CL?

Sarà che sono sempre stato un fan di Active Directory.

--
I'll have to script my way outta here!


Luca Menegotto By Luca Menegotto - posted 27/02/2012 08:59

IMHO l'hai detta giusta con l'ultima frase, BigD. La più grossa scioccehzza che Minuscola & Soffice abbia mai fatto è di far credere a chiunque di poter essere amministratore senza dolore, altro che domini (che nella mia esperienza, non vanno poi così disastrosamente male).

--

Ciao!

Luca

--
Luca Menegotto


Anonymous coward By Anonymous coward - posted 27/02/2012 09:06

Oh beh, c'è un buon motivo per cui i PC a dominio dati ai CL non dovrebbero avere una password di amministratore conosciuta dal CL :P :D

 

/Palin

--
Anonymous coward


WM By WM - posted 27/02/2012 09:08

concordo laugh

WM

--
WM


BioMassa By BioMassa - posted 27/02/2012 09:11

Benvenuto nel club degli smadonnatori dei Protatili in dominio Windows collegati solo in  VPN.

Fortunatamentealla fine, non è un problema che qualche tweak nel file lmhosts e OpenVpn configurato a modino non risolvano.

Peccato che non possa dire la stessa cosa degli utonti finali...

--
BioMassa


Daniele C. By Daniele C. - posted 27/02/2012 09:45

Oddio, quanto hai ragione sui domini... Mi sono ritrovato a fare il SysAdmin (sebbene ai tempi io di Winsozz Swerver non sapevo una mazza) di una rete.. ehm... diciamo "Complicata".

Ora, è sicuramente colpa mia che Non Sapevo le Cose, un po' loro che quando chiedevo info sul lavoro da fare pareva che gli chiedessi di spiegare il senso della vita (il massimo è stata la SL del posto "Ma io non lo so, che programmi uso per lavorare!"), fatto sta che ho messo assieme una configurazione sballata al DC della rete, e ciò non è buono!

Dopo un po' di peregrinazioni, il mio capo ha capito che quando gli dicevo "Io non so nulla di Windows Server, domini e simili", intendevo che "io non so nulla di Windows Server, domini e simini". Sai, D, non avevo mai pensato che fosse così difficile far capire a qualcuno che se dico "Qui" non intedo "La". In ogni caso, ho ottenuto che avere consulenza da qualcuno che Le Cose le Sa!

Una delle prime cose che gli ho chiesto è stata se c'era modo di correggere i casini, la sua risposta, piuttosto desolante, è stata che se sbagli la configurazione iniziale, l'unico modo di correggerla è di ricominciare tutto da capo...

--
"I was watching the London Marathon and saw one runner dressed as a chicken and another runner dressed as an egg. I thought: 'This could be interesting.'" -Paddy Lennox
---
D.


Messer Franz By Messer Franz - posted 27/02/2012 10:03

Il dominio e' una bella invenzione ; basta impostare i diritti dell'utente CL a "nessuno". Cosi' non fa danni.

Voi direte : ma cosi' non puo' lavorare!

E io ribadisco : appunto , "non puo' fare danni"!

--
Messer Franz


z f k By z f k - posted 27/02/2012 10:11

Appunto mentale: vedere come si fa a preparare un (disco di?) ripristino globaletotale per i portatili che potrebbero andare lontanolontano...

Imparare dagli altri. Giusto uno dei motivi per cui frequento certi siti (un altro è lo spasso :D )

CYA

--
z f k


Guido By Guido - posted 27/02/2012 10:23

la domanda è: perchè l'utente deve poter avere i privilegi di cambiare nome pc e indirizzo ip? Più è alta l'idiozia più basso dovrebbe essere il livello di privilegi...  Poi conosco gente che è in grado di sputt@re un pc anche da power user o user...

per certa gente "guest" è pure troppo... forse un pc solo con il monitor senza tastiera mouse...

forse...

--
quello che non puoi dire con poche parole non puoi dirlo neanche con molte


Guido By Guido - posted 27/02/2012 10:27

ups letto ora;

<i>

C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.

</i>

Si decisamente son d'accor do...

Ho notato spessissimo, quando lavoravo per una nota azienda sanitaria locale (no non ero loro dipendente, lavoravo per una ditta esterna) che moltissimi applicativi non funzionano con utente declassato...

 Sarà che chi scrive applicazioni windows per scontato che le applicazioni debbano essere per forza eseguite con il livello massimo di privilegi...

--
quello che non puoi dire con poche parole non puoi dirlo neanche con molte


Lanfranco By Lanfranco - posted 27/02/2012 10:39

In questo caso la mia risposta è: "mandami il PC che te lo sistemo".

--
Lanfranco


Manuel Ravasio By Manuel Ravasio - posted 27/02/2012 10:47

92 minuti di applausi ininterrotti per la prima frase!!!!

Sarà perchè io di domini (e di Windows in generale) non ne so quasi niente, però a me 'sta cosa dei domini più che problemi non ha mai creato.

--
Manuel Ravasio


Manuel Ravasio By Manuel Ravasio - posted 27/02/2012 11:06

In merito all'essere o meno amministratore del proprio PC, personalmente sarei per una policy molto più semplice: il pc è assegnato al CL che ne è completamente responsabile.

Ha bisogno di assistenza per risolvere problemi o installare software?

Viene da te.

Vuole fare da solo e sminchia qualcosa?

Ogni minuto lavorativo perso a causa dello sminchiamento viene decurtato dalla busta paga.

Per riaggiustare il tutto deve ricorrere alla tua assistenza?

Decurtazione doppia.

 

Così chi è capace si arrangia e non ti spacca i maroni, chi non è capace e sa di non esserlo si rivolge a te in modo formale, infine chi pensa di essere figo viene toccato dove fa più male, nel portafogli. Chissà che a forza di sbatterci il naso poi la capisca.

--
Manuel Ravasio


Kurgan By Kurgan - posted 27/02/2012 11:14

Eh, vedi, non e` mica colpa del dominio. Concordo con te sul fatto che il dominio puo` aiutare a incasinare le cose quando ci sono problemi, ma li` alla base di tutti i problemi c'e` come al solito il piu` grande nemico dell'informatica: un utente che non sa fare una cippa ma che crede di essere un grande esperto, dotato per di piu` dei diritti di amministrazione.

--
Il massimo danno con il minimo sforzo


Riccardo Cagnasso By Riccardo Cagnasso - posted 27/02/2012 12:17

Secondo me se gli spedivate un portatile e vi facevate rispedire quello, ci mettevate di meno.

--
Riccardo Cagnasso


Anonymous coward By Anonymous coward - posted 27/02/2012 12:21

Beh la risposta sta nel tuo commento finale, non voglio difendere ms, ma i domini di windows di per se non sono il male, il problema è che l'utente non dovrebbe neanche potersi avvicinare per sbaglio ad una della sue finestre di configurazione (del dominio) il problema immagino è quella caterva di programmi  porcherie che hanno assoluto bisogno dei permessi di amministratore, l'utente è tendezialmente portato per natura a fare danni, e i programmi di produttività dovrebbero poter girare con il minor numero di permessi possibili!

--
Anonymous coward


Il codardo senza nome By Il codardo senza nome - posted 27/02/2012 13:49

Faceva conflitto ? CONFLITTO ? o_O ma qualcuno gli ha detto che non si usa più ( spero) windows95

--
Il codardo senza nome


GenTLe By GenTLe - posted 27/02/2012 15:02

L'errore NON è nella struttura MS di "dominio", ma nel fatto che un uTONTO simile non può, non deve ecc ecc avere in alcun modo i diritti amministrativi sulla sua macchina.

Quanto successo è pariteticamente colpa del tipo e del sysadmin che gli ha dato i permessi... Praticamente è stato come mettere in mano un bazooka ad un bambino di 5 anni...

--
GenTLe


Creosoto By Creosoto - posted 27/02/2012 17:46

Una generazione fa 9 persone su 10 usavano la zappa e 1 usava carta e penna, ora 9 su dieci dovrebbero usare un computer.

Il grosso problema è che le teste sono sempre quelle e il nostro sistema educativo (specchio fedele della cariatidecrazia della nostra società) ha fatto ben poco per cambiarle.

Il problema non è che l'utonto in questione aveva Windows (i see dumb people che si incartano con icosi e simil-icosi, o ai termiali delle banche e dei supermercati, e che hanno ancora il viodeoregistratore su 00:00 da prima che Linus accendesse il suo primo PC), ma il fatto che la società si aspetta da lui che usi un computer anzichè condurre una placida coppia di buoi ad abbeverarsi.

--
Creosoto


Zanna By Zanna - posted 27/02/2012 20:14

"allora ho cambiato il nome del pc a UnAltroNome ed il dominio l'ho impostato a "Niente"..."

Per fare questo ha bisogno dei diritti di amministratore locale... se li aveva... il problema non è l'utente ma chi glieli ha dati cheeky

--
Zanna


Kent Morwath By Kent Morwath - posted 27/02/2012 20:18

Mah, mi pare che qui il problema sia il CL di turno e non il dominio. Tra l'altro una rete Windows senza dominio è parecchio più insicura (Windows usa Kerberos solo se è in dominio, se no funziona tutto via NTLM....) ed è molto più facile amministrare (e fare hardening...) via policy. Si può ridurre di parecchio la "superficie di attacco dell'utonto" senza andar macchina per macchina. Poi è vero, Active Directory è dannatamento complesso e se non RTFM e fai l'apprendista stregone cliccando qua e là i mal di testa (e di pancia) sono assicurati. Però gli utenti costretti a passare per il quarantine network quando ricollegano il lapdog in ufficio sono uno spasso....!

Tra l'altro se il tuo server VPN supporta RADIUS (e perché non dovrebbe?) puoi fargli usare l'autenticazione Windows per la VPN, usando IAS (il server RADIUS di Windows che però ha il solito nome markettaro).

--
Kent Morwath


Anonymous coward By Anonymous coward - posted 27/02/2012 20:57

Lunedi', primo giorno della settimana e primo giorno che CL e' da qualche parte tra le colline Bavaresi ed io mi becco una telefonata.

.....

E siamo a Venerdi', quando finalmente il coglione riesce a collegarsi alla VPN. Adesso devo solo convincerlo a disattivare il suo merdacchioso firewall, collegarmi e reinstallargli la mezza camionata di roba che ha rimosso perche' "faceva conflitto"...

Una settimana di lavoro e sei circa a meta' strada verso la soluzione del problema. Mi sa che costava meno assoldare qualcuno per andare a fare  il lavoro di persona. E per "lavoro" intendo l'eliminazione fisica del C(og)L(ione) di turno.

--
Anonymous coward


Valerio Vanni By Valerio Vanni - posted 27/02/2012 22:17

>C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.

Per me questa è la causa principale del problema, non tanto il dominio Windows.

--
Valerio Vanni


Anonymous coward By Anonymous coward - posted 28/02/2012 00:16

Ecco, ti sei imbattuto nel vero problema di un dominio windows: su dispositivi mobili (ovvero i portatili) nel migliore dei casi e` un casino da gestire :\)

Enrico

--
Anonymous coward


Netlix By Netlix - posted 28/02/2012 00:55

Successa cosa analoga.

Manco mi sono sognato di farlo rattoppare all'imbranato. Me lo sono fatto spedire con corriere espresso.

Alle 10 del giorno dopo era sul mio tavolo, imballato come una testata nucleare. Venti minuti di lavoro e alle 14 dello stesso giorno é ripartito con lo stesso corriere.

Se non altro ho la tracciatura del "giro turistico". Giusto per punirlo con l'addebito delle ore di lavoro.

--
Netlix


Gianluca By Gianluca - posted 28/02/2012 03:21

Da me vige la regola "NON DEVONO" essere admin locali...
Sai quante bestemmie risparmiate???

--
Gianluca


Uomo col banjo By Uomo col banjo - posted 28/02/2012 10:19

"C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc."

Ma infatti leggendo la storia sembra che il problema sia esattamente questo, come diavolo ha fatto CL a cambiare nome e a togliere la macchina dal dominio?

 

Dove lavoro (dominio con circa 3.000 client) i permessi sono blindati e devo ammettere che non ho mai visto un problema in quattro anni che sono qui. I CL abbondano e le lamentele sono numerose, ma il nostro reparto IT ha le orecchie foderate di piombo e forse il motivo dell'affidabilità è quello.

--
Uomo col banjo


Anonymous coward By Anonymous coward - posted 28/02/2012 11:56

Offline domain join può aiutarti la prossima volta ;\)

http://technet.microsoft.com/en-us/library/offline-domain-join-djoin-step-by-step%28WS.10%29.aspx

--
Anonymous coward


Massimiliano By Massimiliano - posted 28/02/2012 13:22

Beh, dai... questa volta non e' solo colpa di Piccolissimo Soffice.

--
Massimiliano


Anonymous coward By Anonymous coward - posted 28/02/2012 14:15

> C'e' un motivo per cui i CL non dovrebbero essere amministratori dei loro pc.

Il problema è che c'é sempre qualche "collega"/capo furbo che per levarseli dai piedi quando si lagnano, li mette admin e quando l'utonto crea di disastro li scarica a qualcun'altro e si eclissa.

j.

--
Anonymous coward


Anonymous coward By Anonymous coward - posted 29/02/2012 12:16

questa storia mi lascia abbastanza perplesso....

con l'utente già admin ci vogoliono credo 10-15 minuti :

- gli si manda un file .pcf sulla posta privata o simili

- lo si connettere in vpn

-net dom  da remoto ( lo ho fatto con connessioni satellitari ad 1 MB )

-gpupdate /force

riavvione :\)

 

--
Anonymous coward


MaxFrames By MaxFrames - posted 03/03/2012 19:33

Non è credo un caso se gli unici commenti negativi sulla tecnologia Active Directory vengano da persone che allo stesso tempo ammettono di non averci avuto molto a che fare.

--
I'll have to script my way outta here!


Davide Bianchi@ MaxFrames By Davide Bianchi - posted 04/03/2012 09:08

Non credo un caso se gli unici commenti negativi sulla tecnologia Active Directory

Mi sembra tu faccia un po' di confusione, AD non e' una "tecnologia" ed io non ce l'ho con AD quanto ce l'abbia contro cose come LDAP (che e' la stessa cosa) o un database in generale. IO obietto contro l'uso indiscriminato di una cose come il "dominio" e la sua implementazione microsoftiana sempre e comunque. Obietterei anche contro NFS, LDAP o altre soluzioni "centralizzate" in quel caso.



--
Davide Bianchi

Anonymous coward@ Davide Bianchi By Anonymous coward - posted 08/03/2012 14:24

"in generale. IO obietto contro l'uso indiscriminato di una cose come il "dominio" e la sua implementazione microsoftiana sempre e comunque. Obietterei anche contro NFS, LDAP o altre soluzioni "centralizzate" in quel caso."

Mah, si può discutere sull'implementazione di MS, ma quando il numero di macchine supera le 20 non ci sono mole alternative a centralizzare, a meno che queste macchine non siano usate da utenti completamente differenti. Replicare gli stessi account su n macchine è di gran lunga peggio che averli in un unico posto (anche con tutti i rischi del caso, ma avere n account tutti con la stessa pwd non cambia nulla..). Anzi, IMHO i server di directory sono fin troppo poco utilizzati, e sinceramente odio le applicazioni che vogliono ognuna il proprio database di utenti, ogni volta vanno creati o importati, e quando qualcuno va via devi incominciare operazioni di search & destroy per terminare tutti gli account utilizzati. Senza contare che AD va un po' più in là dei semplica account utente. Okkio comunque al tuo CL bavarese... AD usa oltre all'account utente un account della macchina con password generata e rinnovata automaticamente. Se non si collega per un tempo più lungo di quello impostato nelle policy, potrebbe non avere più accesso al dominio di nuovo.... :D

--
Anonymous coward


Davide Bianchi@ Anonymous coward By Davide Bianchi - posted 10/03/2012 11:02

ma quando il numero di macchine supera le 20


Ecco lo hai detto. Se hai 5 macchine che sono per il 50% del tempo fuori ufficio (laptop) che te ne fai di un dominio? NO! Devi avere un dominio! Non si puo' non avere un dominio! E' contrario alla religione di SanWindows!


\

--
Davide Bianchi


36 messages this document does not accept new posts

Previous Next


This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.


This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.

This site isn't optimized for vision with any specific browser, nor it requires special fonts or resolution.
You're free to see it as you wish.

Web Interoperability Pleadge Support This Project
Powered By Gojira