|
Техно-триллер "Администратор"4.09.2008 / public
Пролог.
Завелся как-то у сисадмина пользователь. Ниче такой пользователь сам и программку поставит, и систему (в разумных пределах) настроит.... В общем тихий такой пользун с правами локального администратора. Поставил админ клиент-серверный чат на протоколе Jabber. Типа всем жизнь облегчить. И все, понимаете, прониклись идеей и стали им активно пользоваться. А что? Удобно... сообщения дойдут, даже если пользователь сейчас в оффлайне. Все прониклись. Кроме одного пользуна с правами локального администратора.... (Читать далее) Повадился, значит, пользователь удалять клиент чата. Админ поставит, пользун удалит. Админ поставит, пользун удалит... и так раз 10. Реальное общение с пользуном ни к чему не привело. Ну чем ему этот чат помешал? 4 гига оперативки, 2.6 2х ядерный проц второго поколения.... Админ зашивался. Все никак руки не доходили до этого пользуна. Только изредка ставил удаленный чат снова. Однако после 10го раза чаша терпение у админа лопнула. Правил, регулирующих действия пользователей на предприятии, нет, вернее они есть, но дорабатываются начальством. Уже целый год. Решил он взяться вполтную за этого пользуна. Но как это сделать? Где границы его познания? Какие из принятых мер он сможет устанить? Лишить его прав локального админа? Дак он задергает и без того задерганного админа еще больше - поставь то, настрой это, сделай то.... В общем - не вариант. Админ решил начать с простого. Глава 1 "Администратор" Почесав затылок, админ принялся за работу. Чтоб не мучать остальных радивых пользователей, создал отдельный OU в домене и назвал его "Упертый". Поместил туда учетки компа и пользователя. Назначил установку программы через bat файл. (копирование на локальную машину дистрибутива и установка уже с локальной копии). Подключился Telnet'ом к компу - установил чат. Запустил.... Пользун отреагировал мгновенно! Сразу закрыл чат и удалил. Админ малость офанарел от такой прыти пользуна. "Ну да ничего! Где наша не пропадала!" - подумал админ. Сделал батник, который бы всю процедуру установки и запуска чата выполнял автоматически. Поставил его на планирощик. Запуск файла каждые 3 минуты. Если процесс чата есть в памяти - усе прекрасно! Батник завершает свою работу. Если нет, пытается его запустить. Если не получается устанавливает с сервера и запускает, если сервер не доступен, то ставит с локальной копии... Сначала пользун от таких мер малость офигел. Однако не растерялся. Несколько раз закрывал и удалял чат. Потом, от греха подальше, отключил сеть... После того как он снова появился в сети (где-то через 20 минут) в системе не было не чата, не локального дистрибутива, ни задания для планирощика... Дальше пошли боевые действия! Админ восстанавливал задачи планировщика, пользун - удалял. При том как только админ цеплялся к машине через radmin, чтоб посмотреть, чем занят пациент, пользун сразу вырубал сеть.... Админ запрещал доступ к файлам, но прав локального админа хватало, чтоб сменить права и удалить задание для планировщика. Вобщем процесс удаления задания только замедлялся, но не прекращался.... Админ не на шутку разозлился. Если, на момент запуска файла планировщиком, сеть не была активна, то бантик включал сеть, а после выполнял все остальные действия. Как он это сделал - вообще отдельная история. Сделал файл-задание для планировщика скрытым системным файлом. Пользун его, соответсвенно, не видел и удалить не мог, так как папка планировщика не умеет показывать скрытые файлы. На этот раз пользун пасанул. Планировщик пустой, никто (по его мнению) к машине не подцеплен, а чат (гад такой) с завидным упрямством устанавливается и запускается каждые 3 минуты. Однако совершенно никак не беспокоит, если его не трогать. Выключает чат (удалять он его замучался, видать ), он через 3 минут запускается снова. Выключает - 3 минуты и все по новой. К концу рабочего дня пользун сдался. Чат не выключал. Ура! Победа! Первый раунд за сисадмином! Глава 2 "Скрытая угроза" На следующий день сисадмин бегал до обеда по своим делам (вернее по делам фирмы). В добавок ко всему еще пришлось на работу возвращаться так как пропал интернет. Вернувшись на работу, голодный и уставший сисадмин обнаруживает.... Угодайте что? Правильно! Отключенный планировщик у пользуна! Рано радовался... "Ну да ничего. Найду я на него управу!" - подумал сисадмин и приступил к работе. В групповой политике пользуна он запретил доступ этого пользуна к планировщику. Отключил возможность включать/отключать сетевые подключения. И в добавок заставил машину перед входом в систему дожидаться инициализации сети. На все на это надежды было почти никакой - права локального админа оставались за пользуном.... Но последнее средство не хотелось применять. Пользун затих. Пропал из сети. На следующий день он в сети так и не показался. Админ думал, что его нет на рабочем месте. Однако он решил написать батник, который бы пинговал хост пользуна и в тот момент когда пинг пройдет присылал сообщение админу. В один прекрасный момент (в конце рабочего дня) админ увидел у себя сообщение. Ура! Пользун пришел. Однако выяснилось, что злобный юзер весь день был на работе, только сидел с выключенным сетевым подключением. А тут ему видать понадобилось на принтере что-то распечатать. За тот не большой промежуток времени, что пользун был в сети, админ выяснил: 1. Групповые политики не применились. 2. Пользун выключал сетевое подключение прежде чем выключить компьютер И, соответственно, см. пункт 1. 3. Конечно-же все локальные дистрибутивы и программа чата были удалены. 4. Планировщик был вырублен. Кровь админа закипела от ярости. Но прежде чем он успел что-то сделать пользун опять выключил сетевое подключение.... - Опттваюмать! - подумал админ. - Чтоб тебя.... На удачу в этот день проходил субботник. И злобный пользун как порядочный сотрудник пошел на него. Это был шанс! Админ, отмазавшись от субботника срочной настройкой сервера, втихаря пришел к компу пользуна. Зашел под своей учеткой - так и есть, сеть вырублена. Врубил сеть, включил планировщик, применил групповые политики и убежал на свое рабочее место. Переодически пользун появлялся в сети. То ли к серверу обратиться, то ли распечатать чего. И как водится вырубал планировщик и удалял прогу. Админ поставил удаленный запуск службы планировщика И стал заниматься своими делами... Прошло где-то полчаса. Пользователь в чате не появлялся.... При следующей проверке выяснилось - служба планировщика перестала запусаться вообще. Никак. Это было последней каплей. Все! Хватит пользуну безнаказанно юзать права локального админа! Пользун умудрился выключить запуск этой службы из профиля оборудования! - Тьфу! зараза.... - все что мог пробормотать Админ. Убрал права локального админа, запретил запуск regedit (на всякий случай), запретил запуск mmc.exe. Пущай повыпендривается! Наступили выходные... Глава 3 "Восстание пользуна" Прошло несколько дней с последних событий. Злодей не появлялся в чате. Сисадмин решил его проведать. Оказалось, что пользун ушел в отпуск! Какая великолепная новость Админ решил навести порядок на его машине. Вошел в систему. Выясняется - сети нет. Т.е. вообще нет, как будь-то выдернут кабель. -*&^%#($&;!!!!!! - эмоции сисадмина вылились в витиеват-замысловатую матерную фразу.... Кабель ВООБЩЕ отсутствовал! Пользун прихватил его с собой! Однако..... Такого хамства админ за всю свою рабочую практику не видел. Благо обрезков витухи навалом. Обжал еще один, подключил, изменил bat файл для запуска - убрал из него все лишнее, ибо прав у пользуна уже нет. - Посмотрим как он запоет! - подумал сисадмин, и выключил комп. Прошло 2 недели.... Множество дел. Опять вылазят мелкие глюки.... 70 компов на одного сисадмина, это пожалуй малость многовато. И все бы ничего, но никак не получалось довести довести до ума автоматизацию труда, так как дергают постоянно, а в таком режиме сложно без косяков настроить все что нужно. Пользователи шалят, но терпимо. В общем админ уже забыл, про пользуна. В один прекрасный день, к сисадмину пришел начальник отдела, в котором работал пользун. - Ты ничего щас Пользуну не ставил? - спросил он. - Ставил - корпоративный чат, для общения по сети. - ответил сисадмин. - А чего он у него постоянно запускается? Убери. А то он ему работать мешает. - сказал нач и ушел.... - стало ясно пользун накапал начальству на сисадмина. - Никому не мешает, а ему мешает! Вот ведь скотина! - думал сисадмин. Однако деваться некуда - нужно вырубить планировщик. Скрепя сердце, админ вырубил планировщик, но прогу чата оставил в автозагрузке, как маленькое напоминание о том, что все еще не кончено. - Ладно! Потом с тобой разберусь! - подумал сисадмин и занялся своими делами. В течении 2х месяцев пользун постоянно капал на сисадмина непосредственному начальству последнего. То это ему не нравится, то то.... Однако это не имело большого эффекта, так как непосредственный начальник сисадмина хорошо относился к своему подчиненному. Тем не менее для сисадмина настали тяжелые времена. Установка новых рабочих станций, установка винды, семейные трудности - все свалилось в один период. Переезды компьютеров, перенастройка.... а выходы по субботам вообще подливали масла в погребальный костер личной жизни... Да и пользун еще жужал постоянно. Как в том анекдоте "И так жизнь - га**о, дак еще и бегемот к жо*е прилип!". Дни проходили за днями. Атмосфера вечной суеты и дергания стала почти невыносимой. Жалобы пользуна уже успели достать количеством. Количество работы постепенно уменьшалось - не зря все ж таки хлеб едим, но моральный дух падал. Но в один прекрасный момент эта ситуация изменилась. Мольбы сисадмина были услышаны.... Глава 4 "Ответный удар" В тот счастливый солнечный день, подошел как-то к админу его начальник: - А чего этот Пользун все время жалуется? Что у него за комп? - 2.6 двухядерник, 4 гига оперативы... стоит серверная винда... - СКОЛЬКО?????? Так. Винду сменить, оперативку ополовинить! Он у нас не особенный. - БУТСДЕЛАНО!! - счастье сисадмина было не передать словами. - Когда? - Выйдешь в субботу, чтоб от работы его не отвлекать. Еще не разу админ с таким рвением не выходил в субботу и не брался за работу с таким энтузиазмом. Поставлена 2000я винда вместо 2003, убрана половина оперативки и под шумок сменена материнка, на более слабую. Установлен, набивший оскомину, чат и все программы. Прав, ессно, пользователь не получил. В качестве маленькой пакости из чата был вырезан пункт меню "выход" (клиент позволял делать такие манипуляции) Запрещен запуск taskmgr в дополнению к другим. Планирощик вырублен за ненадобностью. И в довершении ко всему начальник админа выпустил, наконец-то, положения о правилах пользования компьютерами на предприятии и даже дал админу их подкорректировать. Всем пользователям эти правила были даны под роспись. Как долго ждал сисадмин этого положения..... Эпилог. Жизнь админа, кажется, начала налаживаться. Пользователи притихли и по-несколько раз думают, прежде чем дернуть админа. Личная жизнь восстала как феникс из пепла погребального костра, даже несмотря на рабочие субботы. Особенно легко стало дышать после подписания правил. Краткая суть этих правил. Пользователь нихрена не может. Все делает сисадмин. Пользователь отвечает за те действия, которые сделаны от имени его учетной записи. С админа снимается ответственность за сохранность данных, на локальных машинах, так как все пользователи обязаны сохранять все свои данные самостоятельно на сервере, где эти данные архивируются. Ну и конечно никакой порнухи, приколов и прочего любимого многими пользователями содержимого web-сайтов. За нарушение правил меры вплоть до увольнения. По началу данное положение вызвало бурю эмоций, однако через некоторе время эта буря утихла и пользователи смерились с неизбежным. Злобный пользун притих как и все. Изредко только поглядывает на админа своими злобными глазками и с откровенной ненавистью смотрит на чат, похоже вынашивает какие-то планы... ну что ж удачи. Админ до сих пор не рассказал начальству про исчезнувший кабель. ©Tyrael, 2008. 1 комментарий
4.09.2008, 15:38 |