Комментарии 17
А зачем включать и чинить десктопы сотрудников, если все работают на терминальных серверах? И если нет, то почему?
Осмелюсь ответить, поскольку структурная организация процесса у нас примерно такая же с некоторыми оговорками. Терминал используют в подавляющем большинстве случаев те, кто забрал свой ноут/комп домой или работает с учетными системами.
К своим компам цепляются те, кому удобнее и комфортнее работать с личного устройства, либо когда у тебя на рабочем устройстве уже годами настроенное окружение и программы.

У меня, например, ноутбук — рабочее устройство, но он остался в офисе. Забрал монитор и ip телефон. С домашнего ПК работать удобнее через RDP чем тащить ноут который дома ставить так же комфортно некуда. Да и через VPN всеравно будет не такой вольготный доступ, как будучи в офисе.
ок, с домашнего компа удобнее, чем забирать лапоть. Понимаю. Но подключаться по рдп к лаптю, когда есть нормальный терминальный сервер? нет, не понимаю.
Каждый пользуется тем чем удобнее. У меня документооборот и учетные системы на общем терминальном сервере. Разработка/администрирование/консоли управления на рабочем ноуте. Разработки по автоматизации на отдельном, выделенном под себя datalake-сервере. Есть терминальный сервер для админов и техсуппортов, там дублируются все оснастки по администрированию и разработке коим я пользуюсь, если ноут не в офисе.

Я не вижу смысла вгружать в обычный терминальник для пользователей кучу специфичного софта, который к тому же требует лицензий, и за нахождение на терминальнике может требовать вообще не гуманные деньги.

Неточность в тексте. Не терминальные сервера, а терминальные gateway. Всё-таки два-четыре терминальных сервера на компанию 1000+ человек будет маловато.

Спасибо, что заметили. Речь в посте идет именно о шлюзах удаленных рабочих столов (RD Gateway). Поправили в тексте.

Вам бы ещё немного подумать не помешало бы перед публикацией подобной статьи: вот просто взяли и сдали с потрохами устройство инфраструктуры ИТ в ABBYY

Компьютеры с доступом по RDP (неужто в офисе стоят исключительно компьютеры с Windows?) и «облака» на технологиях Microsoft — и всё это обслуживается двумя сисадминами, которые 90% заняты чем угодно («эникейщики» одним словом), но только не своими прямыми обязанностями. И про Zoom — это просто эпично…

А появление подобного опуса также показывает, что в ABBYY подразделения ИТ и ИБ существует отдельно друг от друга от слова «совсем». Не удивлюсь, если они враждуют друг с другом. Ибо если бы хотя бы общались друг с другом, то появление подобной статьи просто не состоялось

P.S. Ребята, не вы одни опростоволосились подобным образом. Вот пример компании, деятельность которой — информационная безопасность (https://habr.com/ru/company/jetinfosystems/blog/501076)
Компьютеры с доступом по RDP (неужто в офисе стоят исключительно компьютеры с Windows?)

Ну раз уж начали высказывать свое «экспертное» мнение то расскажите — какие альтернативы можете предложить? Только с учетом того что удаленку нужно обеспечить разрабам у которых тонны софта (и у каждого свой), нужны админские права на машине и ну как минимум гигов 16-32 памяти + 4-8 ядер на каждого, а так же то что у компании нет заранее подготовленной VDI инфраструктуры и прочего.
Надеюсь, после окончания «коронабесия» ваша компания задумается о переводе всех сотрудников на VDI. Это же логично, если ранее перевели свои приложения и сервичы в «облака»

А Главный совет: «Не болтай»

Вы уже спалили свою компанию окончательно

А вот за то, что разработчикам предоставлено право администратора на их компьютерах, безопасников надо гнать в шею

Давайте прекратим эту дискуссию, пока вы окончательно не рассказали всему миру как устроена и построена инфраструктура ABBYY
Не знаю с чего вы взяли что я работаю в ABBYY и что я вообще беру какую-то реально существующую компанию для своего примера.

На досуге попробуйте поиграться с продуктами Oracle (которые базы данных и средства разработки под них) и тем как они великолепно (не)работают если их ставить не из под той учетки на которой человек работает.
А знатные дятлы работают в Oracle

Для решения задачи запуска приложений с правами администратора можно пойти путями:

1) Использования делегирования прав через группу — habr.com/ru/post/174437
2) Использовать вот эту технику — habr.com/ru/company/pc-administrator/blog/485958
3) Узнать, а какие права требуют приложения Oracle и дать их напрямую учётным записям разработчиков
4) И команду RUNAS никто не отменял

Только вдумайтесь, системный администратор Аникеев! совпадение или посланник судьбы?

А чего всех на RDS не посадить, все в терминале и дежурного не нужно, понятно что с годами наработки на локале, но пересаживать можно. За мобильновость можно говорить когда директаксес или Цитрикс стот, Remoteapp и та же единая точка работы.

В нашем случае у каждого сотрудника уникальный набор ПО, который нельзя свести к нескольким типовым конфигурациям. Пробовали, получилось, кажется, более 50.

Более реалистичная задача — Horizon и VM, но кто бы его купил с серверами заодно. Однако как только мы начинаем говорить про 3D акселерацию CAD, тут появляется NVIDIA с ее грабительской системой лицензирования виртуальных карт.

Поэтому mobility сотрудников не появляется силой мысли по мановению волшебной палочки президентского указа о самоизоляции. Это культура ИТ организации, которую нужно формировать годами, и инвестировать в нее годами.

Так что десктоп + RDP over UDP, а лучше Windows 10 RDP+UDP+h.264, и можно работать прямо из коробки без затрат.
Так даже без ИБПэшников. Просто настройку в БИОСе поставить. И все будет включаться автоматом при появлении питания.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.