Автоматизация администрирования. Скрипты на KIX - [1] :: В помощь системному администратору

Немного о логон скриптах.

Логон скрипты применяются для нескольких основных целей
1. Настройка окружения залогиневшегося пользователя. Сюда относится подключение дисков и принтеров, прописывание каких-то путей (напр. персональной папки или каталогов шаблонов MS Office) и т.д.
2. Сбор информации о залогиневшемся пользователе или компьютере, на котором был произведен логон.
3. Прочее. Напр, обновление каких-то файлов или борьба с вирусами и прочими вредоносными программами.

Сейчас я бы хотел поподробнее остановиться на втором пункте, возможности вести различные логи. Сразу оговорюсь, если у вас в домене все клиенты Windows XP, то многое из нижеописанного можно собирать с этих компов дистанционно, когда эти компьютеры включены, без всяких логонных скриптов. Тем не менее все равно надо использовать либо сторонний софт, либо писать его самому, хотя бы на тех же скриптах.
Какую же информацию можно писать в логи? Да любую, которая необходима и требуется для каких-то дальнейших анализов или действий. Приведу небольшой список того, что, на мой взгляд, стоит сделать в первую очередь.
1. Кто на какой компьютер и когда зашел.
2. Сбор информации об установленном софте и ветках автозапуска.
3. Сбор информации об железе компьтера
4. Запись информации об результате работы скриптов и об окружении пользователя на момент окончания загрузки - какие диски и принтеры подключены, какие пути прописаны, в какие группы входит пользователь и т.п. информацию, которую в первую очередь
смотрите, когда звонит пользователь и жалуется, что что-то не работает.

Куда записывать логи? Самый простой и надежный путь- в текстовые файлы. Кроме того, такие логи легко просмотреть без использования какого-либо специального софта. Если требуется дальнейшая машинная обработка и анализ логов, то их легко перевести в другие форматы, например в базы данных (Access, MS SQL и т.п.).
Можно писать непосредственно в базы, однако это тут надо быть стопроцентно уверенным, что на клиентских компьютерах стоят требуемые драйвера или программы и что лог будет вестись, даже если комп заражен или глючит.

Остановлюсь на записи логов в текстовые файлы, точнее на вопросе, как сделать так, чтобы обычный пользователь (точнее, скрипты под его учетной записью) мог писать логи, но при этом сам не имел информации к записанной им или другими информации. Описываю вариант, который использую сам.
1. На файл сервере на NTFS разделе создается папка Logs.
2. Папка зашаривается (закладка Share) с правами (Permission) полного доступа для всех доменных пользователей.
3. На уровне NTFS (закладка Secure) права назначаются следующим образом:
3.1. Даем полный доступ домен админу, службе ИТ.
3.2. Заходим в Advanced на закладке Security и добавляем права домен юсеров для "This folder and subfolders". Делаем полный доступ, после чего удаляем галки с "Delete Subfolders and Files" и "Delete".
3.3. Заходим в Advanced на закладке Security и добавляем права домен юсеров для "Files only". Делаем полный доступ, после чего удаляем галки с "Traverse Folder/Execute File", "List Folder/Read Data", "Delete Subfolders and Files" и "Delete".
Расстановка прав таким образом позволяет логонным скриптам создавать папки, файлы и записывать в них информацию, но не позволит пользователям что-то удалить или просмотреть результаты работы логов внутри файлов. На всех подпапках эти права будут наследоваться. При необходимости в подпапках можно расширять права, например, позволять скриптам удалять собственные логи. На уровне NTFS можно назначить и более сложные права, при которых скрипты будут работать, но сам пользователь не сможет увидеть даже списка файлов, но IMHO это уже излишне.

Продолжение следует...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7