January 30th, 2014

HTTP/301 -> Onyszko.com

Tak jakby zapadła tutaj błoga cisza jakiś czas temu. Prawdaż (aż aż aż … odpowiedziało echo). Wiele ku temu powodów i nie ma co się rozpisywać. Było, minęło, nie wróci. Czas na zmianę :) .

W ramach reaktywacji chęci pisania i konsolidacji miejsc, w których się uzewnętrzniam działalność związaną z blogowaniem przeniosłem właśnie na HTTP://ONYSZKO.COM. Zawartość W2K.PL będzie nadal tutaj dostępna – z czasem może zrobię jakieś TOP 10 i przeniosę je do archiwum na ONYSZKO.COM.

Zainteresowanych zachęcam do uaktualnienia linków \ RSS feedów itp.

April 1st, 2012

Spot the difference, czyli ta sama a jednak nie ta sama

Dzisiaj będzie z gatunku tecznicznego problemów rozwiązywania. I nie będzie użycia Network Monitor, chociaż kilka przykładów gdzie się przydał do rozwiązania problemu w międzyczasie się nazbierało.

… problem

W ramach jednego z projektów wdrożyliśmy u Klienta swoje rozwiązanie, mające na celu wprowadzenie porządku w ramach średniej farmy Sharepoint (ok 2.5tys "sajtów”). Cel projektu prosty i zdefiniowany:

  • Zautomatyzować zarządzanie cyklem życia takiego “sajtu” od początku po jego archiwizację
  • Zapanować nad uprawnieniami użytkowników, aby użytkownicy według określonych przez biznes reguł uzyskiwali dostęp do odpowiednich witryn.

Projekt miły, przyjemny, zagraniczny – zapewne o nim więcej niedługo pojawi się na stronach firmowych.

Ale ja nie o tym … jak wspomniałem powyżej, jednym z celów projektu było zapanowanie nad uprawnieniami użytkowników i automatyczne nimi zarządzanie. Już po wdrożeniu projektu na środowisku produkcyjnym, pojawił się problem na środowisku “przed produkcyjnym”, stejdżingiem popularnie zwanym.

*** mały wtrent ***

Tak z czystej ciekawości, ilu z czytelników posiada u siebie, albo jeżeli wdraża rozwiązania u Klientów to klient posiada środowiska osobne służące developmentowi, testowaniu i wdrażaniu rowiązania przed puszczeniem go na produkcję? Komentarze otwarte.

*******

Problem objawił się tym, że użytkownicy, pomimo członkostwa w odpowiednich grupach i przypisania tych grup do odpowiednich ról w ramach Sharepoint, nie mogli uzyskać dostępu do odpowiednich witryn, a przez to również niepoprawnie działały niektóre z umieszczonych tam web parts (czy na to jest polskie określenie?). Tutaj zaznaczyć należy, że oczywiście wcześniej wszystko działało – a jakże, inaczej na produkcję by nie poszło.

Stejdżing niby nie produkcja, ale służy testowaniu poprawek przed wdrożeniem i samego ich wdrożenia przed pójściem na produkcję, a zachowanie takie to testowanie skutecznie utrudniało. Nie pozostało nic jak tylko zakasać wirutalne rękawy, VPN, RDP … i do dzieła.

… analiza

Już przy pierwszych rozmowach sugerowałem potencjalną istotę problemu, głównie sugerując się tym że całe środowisko jest zwirtualizowane. A problem jak to problem, bez przyczyny nie powstaje.

Jeżeli wcześniej działało, użytkownik jest w dobrych grupach, które są przypisane do witryn Sharepoint poprawnie, a pomimo to nie działa to gdzieś musiało się coś zmienić lub musi gdzieś tkwić przyczyna.

Jedną z potencjalnych przyczyn, mógłby być rozmiar tokenu użytkownika, ale to w prosty sposób zostało zweryfikowane i wykluczone. 

Więc co … jeżeli użytkownik jest w odpowiedniej grupie, a grupa przypisana do uprawnień w Sharepoint … to pytanie (parafrazując kabaret) czy moja grupa i grupa Sharepoint to my.

… eksperyment

Weźmy grupę SG1 w Active Directory, która została przypisana do uprawnienia w ramach witryny Sharepoint. W takim wypadku, grupa ta staje się członkiem odpowiedniej grupy istniejącej w Sharepoint (grupy w Sharepoint w zasadzie na nazwę grupy nie zasługują z perespetywy człowieka zajmującego się usługą katalogową, ale to może też temat na wpis na przyszłość). W takim wypadku, po stronie Sharepoint utworzony zostanie dla grupy SG1 odpowiedni obiekt SPUser, który zostanie przypisany do grupy. To że reprezentuje on odpowiednią grupę z AD możemy sprawdzić łatwo, wyświetlając SID z AD i z Sharepoint.

A teraz popsujmy to … na ten przykład usuńmy grupę SG1 z Active Directory i sprawdźmy co też wyświetli nam nasz SPUser przypisany do uprawnienia w ramach witryny.

Nic takiego się nie stało – w końcu tej grupy i tak już nie ma, a pozostał odpowiedni wpis na uprawnieniach – w ramach systemu plików mamy podobne zachowanie.

To teraz skomplikujmy rzecz trochę – załóżmy grupę SG1 ponownie w Active Directory, co też wygeneruje nam nowy SID. A teraz grupie SG1 przypiszmy ponownie uprawnienia w ramach tej witryny Sharepoint. Sprawdźmy …

… I mamy swojego winnego. Niby to samo, a jednak nie to samo.

… przyczyna

Jak widać SID w Sharepoint i SID w AD po takiej operacji się nie zgadzają. Dlaczego? Ano dlatego, że w chwili gdy dodajemy grupę po raz pierwszy do witryny Sharepoint w Sharepoint zostaje zapamiętany jej SID przypisany do danej grupy Sharepoint.

SID ten nie jest zmieniany, jeżeli zmieni się on w AD. I to jeszcze nie jest problem, bo w zasadzie dlaczego by się miał zmienić. Problemem jest to, że w przypadku, gdy taka grupa w AD zostanie utworzona od nowa i zmieni jej się SID, to nawet jeżeli usuniemy I dodamy ją ponownie do tej samej witryny, Sharepoint nie uaktualni SID po swojej stronie. Efektywnie więc będziemy mieli grupę, która ma taką samą nazwę, poprawnie rozwiązuje się we wszystkich wizualnych miejscach w Sharepoint, ale tak naprawdę reprezentuje inną grupę niż ta, która faktycznie istnieje w Active Directory.

Czy to samo dotyczy użytkownika – zobaczmy? Użytkownik istnieje w AD i  posiada uprawnienia w Sharepoint.

Kasujemy użytkownika, usuwamy go z grupy Sharepoint, nadajemy uprawnienia Sharepoint ponownie i  …

Dane które prezentuje Sharepoint, i którymi posługuje się przy ewalucji uprawnień pochodza z obiektu SPUser, który nie odświeża się w przypadku, gdy nadajemy uprawnienie kontu z AD o tej samej nazwie, ale z innym SID – czyli tak naprawdę innemu konto w AD.

Czyli jeżeli już mieliśmy użytkownika jkruk w organizacji, a następnie założyliśmy takiego samego, to pomimo że na uprawnieniach SP widziamy jego nazwę, to może niekoniecznie być ten sam użytkownik.

A rozwiązanie naszej zagadaki, czyli co wywołało problem? Po prostu grupy zostały usunięte z AD i ponownie założone, a informacja o tym nie została odświeżona na Sharepoint.

… rozwiązanie

A reszta to już skrypt w Powershell, który te obiekty SPUser skoryguje.

Lub odpowiednie rozwiązanie do zarządzania uprawnieniami w ramach Sharepoint … ale to już w ramach działan komercyjnych.

I kolejny problem rozwiązany.

March 26th, 2012

Wiosenna rozgrzewka … mówiłem

Puk, puk … czy blog wciąż działa? Mam nadzieję, że tak i w celu szybkiego udrożnienia kanału i przypomnienia się w RSS małe ogłoszenie parafialne. Już post factum.

… bieżące

Paweł Pławiak i ekipa WWGUiSW jak zwykle stanęła na wysokości zadania i tak jak i w przypadku Windows 2008 R2 przygotowała przed premierową premierę, czyli Windows Community Launch 2012. Tym razem poświęcony Windows 8 (a jakże by inaczej, szykuje się słowo klucz na ten rok w świecie IT powiązanym z MSFT).

Dane mi było na tej imprezie wystąpić i powiedzieć to i owo o Windows Server 8 w kontekście usługi katalogowej. A jest o czym i temat będzie na blogu powracał.
Teraz dla zainteresowanych slajdy:

Na stronie konferencji jest dostępne również nagranie z Live Meeting.

Jeżeli ktoś nie był, może nadrobić zaległości. Jeżeli ktoś był … komentarze na temat zawartości i sesji mile widziane.

… archiwum

W 2009 roku na MTS mówiłem na temat Kerberos. Temat okazuje się wiecznie interesujący i nadal przychodzą z różną czestotliwością zapytania o nagranie z tamtej sesji.

Dla zainteresowanych dobra wiadomość – nagranie jest cały czas dostępne na moim serwerze. Chętnych zachęcam do oglądania (jakość niestety nie jest możliwa do poprawienia – takim tylko dysponuję).

August 16th, 2011

Wirtualna zmiana part II … Hyper-V strikes back

Ostatnio było o eksperymentowaniu z Virtual Box. Jako, że się zaczęło to należy też kontynuować.A więc wirtualna zmiana part II czyli, co z tego wyszło.

Dla przypomnienia – aby uniknąć dual boot i utrzymywania dwóch systemów postanowiłem spróbować używać Virtual Box. Po tytule już zapewne domyślasz się czytelniku, że coś nie zagrało. Jak to mówią niektórzy “zabrakło chemii”. Ale do szczegółów, czyli dlaczego VirtualBox został zarzucony:

  • Jeden z głównych powodów – nie jest moim celem sprzedaż wirtualizacji, więc aż tak się nie zagłębiałem w to dlaczego, ale subiektywne odczucie użytkownika – VirtualBox jako aplikacja ma jakiś problem z zarządzaniem zasobami przez siebie zużytymi. W szczególności pamięcią. Efekt był taki, że uruchomienie dwóch maszyn wirtualnych naraz, przy 8 GB RAM fizycznego, gdzie obie miały przypisane 6 GB RAM było już niemożliwe. A takie fanaberie mam … kropka.
  • Dwa, okazyjnie, ale jednak za często zdarzały się “crash” maszyny przy wychodzeniu z trybu pełnego ekranu. Niestety taki crash dodatkowo skutkował utratą zapisywanego stanu maszyny. Zdarzyło się o jeden raz za dużo.
  • Zarządzanie – tutaj dwie sprawy w zasadzie. Pierwsza, kwestia zarządzania mediami. O tym już pisałem – VirtualBox identyfikuje dyski po UUID co wymaga sklonowania dysku przed jego użyciem w innej maszynie. Linia komend mi nie straszna, a i UI do tego się pojawił w nowszej wersji, jednak nadal zajmuje to czas (dłużej niż po prostu skopiowanie VHD). UI który się pojawił pomocny nie jest, a przy okazji kłamie co do czasu wykonywania operacji itp. Ogólnie koncept zarządzania mediami nie jest IMO przemyślany, albo inaczej – nie jest dostosowany do typu pracy jaki wykonuję. O !!! I tego się będę trzymał.
  • Druga sprawa związana z zarządzaniem to kwestia uaktualnień, o której już pisałem. Nikt mi nie zagwarantuje, że przy kolejnym uaktualnieniu nie będzie takiej samej niespodzanki. A włączanie wszystkich maszyn i zamykanie ich przy każdym uaktualnieniu nie jest szczególnie wygodne.

Tak więc podsumowując ogólnie – wydajność i wygoda używania. Tutaj, przynajmniej dla mnie VirtualBox nie “kliknał”. Co nie oznacza, że nie będzie pasował dla innych. Samo rozwiązanie wygląda dobrze.

Teraz na czym się skończyło. Zainspirował mnie trochę komentarz Marka, i przemyślałem to jak korzystam z komputeraz. Wynik był jeden – w zasadzie potrzebuję serwera. A jeżeli potrzebuję klienta, może czas pomyśleć o jakiejś małej 13” maszynie dodatkowej. I ten kierunek poprowadził mnie do Windows Server z Hyper-V jako podstawowego systemu. Jeden wieczór i zarówno ja jak i pacjent (laptop) czujemy się ze sobą świetnie. Kilka rzeczy, które wyszły przy instalacji:

  • Jeżeli macie Lenovo z serii T410 i chcecie uruchomić port ethernet – jedna rada … zostawcie sterowniki Lenovo i szukajcie od razu sterowników Intel. Szkoda czasu na sterowniki producenta – z niewiadomomego powodu (ostatnio robię się leniwy i nie dochodziłem, to swoją drogą materiał na osobny wpis) sterowniki lenovo nie działają.
  • Uruchomienie BT (a naszło mnie na klawiaturę małą do laptopa) na W2008R2 wymaga dłubania. Wiem, że serwer to nie stacja robocza I BT nie potrzebuje, ale można było to trochę chociaż ułatwić. Kluczem jest znalezienie dobrych sterowników dla swojego urządzenia BT (u mnie Broadcom) i  … resztę znajdziecie już w wyszukiwarce.

To tyle w zasadzie. Ale żeby było chociaż trochę technicznie i konkretnie to mały hint w kwestii zmniejszania plików VHD. Zawsze mi to przeszkadzało, a opcja Compact w Hyper-V niezbyt się sprawdzała. Ostatecznie proste i sprawdzone podejście:

  • W maszynie odpalić SDelete z opcją –C, a następnie ją wyłączyć.
  • Po wyłączeniu diskpart (cmd.exe –> diskpart), wybieramy VHD (select vdisk) a następnie go kompaktujemy (compact vdisk).

W zasadzie pewnie usiąde w wolnej chwili i napiszę jakiś “mejtejnens” skrypt, który to zadanie zautomatyzuje. Jeżeli znajdę tą wolną chwilę, to rozwiązaniem się podzielę.

July 23rd, 2011

Wirtualna zmiana

W ramach rozgrzewki, przed wpisami trochę mniej technicznymi kilka szybkich spostrzeżeń i doświadczeń w temacie narzędzi – tym razem wirtualizacja na desktopie.

W ramach prób poprawienia tego co jest dobre i lepsze przesiadłem się ostatnio w ramach wirtualizacji na laptopie z Hyper-V na VirtualBox. Powodów było kilka:

  • Dlaczego zmiana? Lubię pracować na Win7 jako kliencie a nie na Windows 2008R2, a na Win7 jak wiadomo wirtualizacji w postaci Hyper-V nie ma (tak MSFT, czekam na Win8 o ile sprawdzą się plotki). Dodatkowo utrzymywanie Win7 i Win2008R2 na laptopie zużywało przestrzeń na dysku i wymagało więcej czasu na utrzymanie OS. Tak że to jeżeli chodzi o powody.
  • Dlaczego Virtual Box? Dlatego, że wspiera VHD i mogłem swobodnie przenieść istniejące środowisko swoich maszyn. Dodatkowo, jako że nie byłem pewien czy się docelowo przesiądę nie chciałem inwestować w VMWare Workstation. Chwilowo tak pozostanie.

Teraz kilka uwag praktycznych, czyli plusy:

  • Mam wirtualizację na kliencie Win7.
  • Wspiera VHD.
  • Działa bez większych problemów i wspiera urządzenia USB itp.
  • Dobre działanie standardowego klienta dostępu (czyli okienka VM), zarówno w oknie jak i w trybie full screen. Wsparcie dla wielu ekranów.

Aby pokazać, że dla różnych użytkowników różne rzeczy są ważne  przytoczę przykład jednego z kolegów konsultantów. Dla niego w VirtualBox jest ważne to, że przy pracy w full screen widzi wskazanie stopnia naładowania baterii hosta (konsultanci jednak najczęściej pracują na swoich laptopach), czego w Hyper-V nie było, i co czasami prowadziło do rozładowania baterii w najmniej spodziewanym momencie.

Hint: nie wszystkie laptopy mają fizyczny wskaźnik baterii z przodu widoczny dla użytkownika.

To teraz żeby nie było za słodko garść problemów:

  • W wersjach 4.0.x podłączenie się do gościa przez RDP powodowało u mnie zużycie CPU na 100% i cały system stawał się lekko nie do użycia. Praca w trybie full screen z maszyną nie różni się niczym od RDP i połączenie przez RDP było wynikiem przyzwyczajeń z Hyper-V, ale problem pozostaje. Tak że połączeń RDP unikać.
  • W wersji 4.1.x połączenie loklane przez RDP co prawda nie powoduje zużycia CPU na 100% ale Explorer przestaje odpowiadać na żądania i nie można używać UI WIndows. W zasadzie działają tylko skróty klawiszowe (albo inaczej – dają się używać). Tak że RDP jest ałt … ale jak mówie, praca w trybie full screen eliminuję potrzebę połączenia RDP do gościa.
  • Virtual Box identyfikuje dyski po ich UUID, w związku z tym nie można po prostu skopiować tego samego dysku i go podłaczyć do innej maszyny. Należy go sklonować – w wersjach 4.0.x z linii poleceń, w 4.1.x jest do tego już UI (nie należy sugerować się tylko jego paskiem postępu).
  • Przy uaktualnieniu z wersji 4.0.x na 4.1.x należy pamiętać o wyłączeniu wszystkich maszyn i usunięciu ich save state w ten sposób. Niestety zmienił się sposób dostępu do USB i maszyny z włączonym wsparciem dla USB nie dają się przywrócić po uaktualnieniu wersji.

To tyle z zauważonych problemów – może komuś się przydzadzą przy podjęciu decyzji. Ja chwilowo zostaję na VirtualBox, ponieważ korzyści z jego zastosowania jako wirtualizacji na kliencie (głównie pod kątem pracy konsultanta, czyli pracy w środowisku developerskim), w połączeniu z utrzymaniem VM w formacie VHD (czyli możliwość ich łatwego przeniesienia na Hyper-V u klienta) przeważają nad konfiguracją, w której utrzymywałem dwa systemy na jednym laptopie. I czekam na spełnienie się plotek odnośnie wirtualizacji na kliencie w Win8 … naprawdę czekam !!!

June 4th, 2011

Po co nam ten system?

Wpis ten przeleżał bardzo długo w lokalnym przechowalniku, i sam mam nadzieję czy nie stracił na aktualności, a tym bardziej czy przetrwa próbę drugiego czytania. Spróbujmy więc.

Jak to często u mnie bywa i tym razem miałem odpisać na forum, pomyślałem że dlaczego by nie tutaj. W końcu na forum wss.pl nie wszyscy zaglądają (chociaż z niewiadomego mi powodu mam przeczucie, że zbiór czytelników w2k.pl i zbiór czytelników forum wss.pl jest mocno wspólny).

Temat wywołał Raistlin na forum czytelników wss.pl rozpoczynając wątek, a w nim zadając pytanie:

(…) Chciałem się was poradzić, jakich argumentów biznesowych użyć, aby przekonać (czytaj wyliczyć korzyści > koszty) biznes do wyłożenia niemałych pieniędzy na taki system. (…)

W zasadzie takie samo pytanie można postawić dla dowolnego wdrażanego systemu czy rozwiązania informatycznego, nie związanego bezpośrednio z podstawową działalnością firmy. W tym wypadku padło na system zarządzania tożsamością (w zasadzie to możnaby zacząć od próby zdefiniowania co to jest albo co rozumiemy pod tym hasłem ale to może następnym razem).

Gdy zacząłem myśleć chwilę nad tematem przypomniało mi się, że kiedyś podobną dyskusję prowadziłem z Pawłem Goleniem. Odświeżyłem więc przy pomocy googli pamięć bezpośrednią i zachęcam do tego, aby przeczytać co Paweł miał w temacie do powiedzenia ogólnie o rozwiązanich tej klasy jak i trochę później, już bogatszy o pewne doświadczenia z tego typu rozwiązań wdrożenia w organizacji gdzie pracował.

(cc) Ntr23

Po wsparciu się linkami teraz kilka przemyśleń od siebie…

… czy to dobre pytanie?

To w zasadzie pierwsze pytanie, które przyszło mi do głowy po chwili zastanowania się nad tematem. Jeżeli zaczynamy się zastanawiać jak uzasadnić rolę i potrzebę wdrożenia systemu zarządzania tożsamością przed biznesem, to znaczy, że jest prawdopodobne że cały proces inicjowany jest przez IT i może wynikać z potrzeb innych niż te widziane przez część bardziej “biznsową” firmy. IT w takim wypadku widzi pewne możliwości zmiany czy poprawy istniejących i zaimplementowanych w organizacji procesów, nadal jednak patrząc na to ze swojej perespektywy. A więc tego jak długo zajmuje obsługa zgłoszenia? Jakie środki są w tą obsługę zaangażowane? Ile akcji to wymaga? Czy wiemy kto i gdzie ma dostęp itp.

Tutaj powstaje pytanie – czy jeżeli IT widzi potrzebę takich zmian, czy też możliwość usprawnienia tego typu procesów to czy biznes widzi je tak samo? Czy od strony biznesowej organizacji fakt, że dane zlecenie zostanie zrealizowane taniej lub mniejszym nakładem pracy (w zasadzie wychodzi na to samo) ma takie znaczenie? Jeżeli tylko zlecenie będzie zrealizowane w czasie, który nie będzie wpływał na jakość wyników generowanych przez biznes (czy to przez czas oczekiwania czy też przez brak możliwości wykonania jakiś operacji) to z punktu widzenia użytkownika biznesowego nie ma to znaczenia kto i jak je wykonał.

Czy wykonał to pracownik help desk, czy też super zaawansowany i skomplikowany system zarządzania tożsamością – liczy się efekt. Nie tędy więc droga, a przynajmniej nie zawsze. Rozwiązanie tych problemów jest również istotne i może być jednym z elementów układanki.

Informacje o tym jakie oszczędności związane z kosztami pracy związanych z przeniesieniem na poziom rzeczonego systemu , czy też oddania możliwości wykonania pewnych czynności samodzielnie przez użytkowników związanych bezpośrednio z funkcjami biznesowymi organizacji mogą się bronić. Może też być tak, że IT widzi potrzebę wrożenia tego typu rozwiązań, ponieważ wynika to z problemów czy też wymagań stawianych przez biznes.

Mała dygresja związana z realizcją projektu, który zapewnił mi (naprawdę poranną) przerwę na lotnisku pozwalającą popracować nad tym wpisem – czasami problemy zgłaszane przez biznes wynikają tylko i wyłącznie z rozwiązań przyjętych przez IT. Co nie oznacza, że nie było innych rozwiązań, które by takich problemów nie generowało ;) . Ale to tak na boku. Jajko czy kura – odwieczny problem.

Przejdźmy więc do innych powodów

… zgodność

Jednym z głównych powodów, dla których firmy rozpoczynają często proces wyboru i wdrożenia rozwiązań Id&AM jest wymaganie zgodności z regulacjami. Regulacjami różnego typu – czy to dla uczelni, czy dla instytucji finansowych lub na przykład medycznych.

Nie oznacza to, że tego typu regulacje mówią wprost o konieczności wdrożenia tego rodzaju systemu. Wymagają jednak często, aby instytucja była w stanie przedstawić proces zarządzania dostępem w swoich systemach jak i wykazać się możliwością rozliczalności tego procesu. Rozliczalność często sprowadza się do możliwości wykazania kto i jakie uprawnienia do danych systemów posiadał w określonym przedziale czasowym. W takim wypadku instytucja często rozpoczyna opracowanie procesu jako takiego, i/lub szuka narzędzi wspierających istniejący lub tworzony proces.

Dygresja #2 – nikogo chyba nie należy przykonywać, że samo narzędzie czy też szumnie nazwany system nie rozwiąże żadnego problemu (no może administracyjne) bez opracowanego i rzeczywiście wdrożonego w organizacji *procesu*.

W przypadku tego typu powodów, do wdrożenia rozwiązania Id&AM wyzwalaczem jest często zmiana w organizacji (wejście na giełdę lub połaczenie z inną firmą na tej obecną), zalecenie audytora lub też zorientowanie się przez zarządzających lub prawników, że takie wymaganie firmę obejmuje. Różnie bywa.  W tym wypadku również biznes jest przeważnie do samego pomysłu przekonany z powodów wymienionych powyżej, pozostaje jeszcze pytanie jak przekonanie to zrealizuje. Czyli czy zostanie zrobione minimum, które pozwoli przejść kolejny audyt czy też zostanie stworzone coś pożytecznego dla organizacji. Z tym też różnie bywa.

… jak więc do tego podejść?

Jak więc ugryźć temat i jak przekonać organizację do podjęcia tego wysiłku (im większa organizacja, tym wdrożenie tego typu rozwiązań jest większym wysiłkiem dla organizacji – uwierzcie mi)?

Uniwersalnej recepty nie ma ponieważ każda organizacja jest inna, chociaż w tej konkretnej dziedzinie często mają dużo wspólnego – głównie w zakresie problemów,
z którymi sie borykają.

Zidentyfikuj głównych właścicieli procesów i informacji w organizacji i poznaj ich problemy.

Z punktu widzenia działów zajmujących sie informatyką, przeważnie wiemy jak działają systemy i procedury do okoła nich. W ten czy inny sposób znamy też problemy użytkowników, ale pytanie – czy naprawdę wiemy jak nasze działania wpływają na pracowników merytorycznych (nazywajmy ich dalej biznesowymi) organizacji? Czy wiemy co ich boli, jakie sa ich potrzeby i co możnaby usprawnić.

Czy wiemy przez jakie procesy weryfikacji i jakim regulacjom podlega nasza firma?  Co musi być spełnione i jak rozliczane jeżeli chodzi o wykonywanie zadań przez pracowników biznesowych w ramach systemów informatycznych?

Patrząc z innego punktu widzenia – czy wiemy jak nasze rozwiązania, w tym i planowane wdrożenie systemu zarządzania tożsamością i dostępem mogą wpłynąć na możliwość naszej organizacji do prowadzenia biznesu. Może się okazać, że poprzez nasze planowane działania usprawnimy jakiś proces lub otworzymy drogę do całkiem nowych obszarów działania (brzmi jak banał ale z życia wzięte ;) ).

Rozejrzenie się po firmie, rozmowa z odpowiednimi ludźmi i zebranie odpowiedzi na powyższe pytania może pozwolić nam zebrać dodatkowe powody pozwalające razem z innymi już nam znanymi przekonać całość organizacji do wdrożenia nowego rozwiązania.

Przeanalizuj dane które już masz

Czy posiadacie system help desk? Czy zajmuje się nim Twój dział czy inny? Czy wiesz jakiego typu zgłoszenia i jak często są przez help desk obsługiwane, ile z nich trafia do 2 i 3 linii wsparcia? Czy ktoś te dane zbiera i analizuje? Jeżeli tak, czy możesz uzyskać do nich dostęp?Jeżeli nie, czy możesz je uzyskać?

Spojrzenie na tego typu dane jakościowo i ilościowo pozwoli na przygotowanie solidnej informacji o dziedzinach działalności firmy i procesach, które mogą wymagać poprawy i są dobrymi kandydatami do automatyzacji. To znowu, pozwala na wykazanie potencjalnego czasu zwrotu inwestycji albo przynajmniej jej części z jednej strony, jak i obszarów które ulegną poprawie (idealnie aby przecinały się z tym co ustaliliśmy wcześniej w kwestii potrzeb).

Oprócz spojrzenia jakościowego dobrze by było popatrzeć też na to, z jakimi procesami biznesowymi łączą się zgłoszenia przetwarzane przez help desk, ponieważ pozwoli to przenieść rozmowę na inną płaszczyznę, zrozumiałą dla ludzi spoza działów IT.

I pamiętajmy, że help desk to nie zawsze jedyne miejsce, gdzie tego typu procesy zachodzą i gdzie warto tego typu danych poszukać.

Pomyśl o wartości dodanej

W genialnym odcinku Simpsonów poświęconym wizycie rodziny w Mapple Store odbywa się pomiędzy Homerem a sprzedawcą następująca konwersacja:

Homer Simpson: What does it do?
Salesman: You should ask yourself "What can I do for it?"

Pomijając aspekt wojny religijnej na linii Mac <-> PC jest to bardzo dobre pytanie, które warto sobie zadać w kontekście wdrożenia tego typu rozwiązania, o którym dywagujemy (OK, ja dywaguję). Co tego typu wdrożenie może dać organizacji i w jaki sposób jej pomóc?

Składają się na to elementy oczywiste, o których już pisałem powyżej, czyli oszczędności wymierne związane z automatyzacją procesów, ich skróceniem czy przyspieszeniem i związane z tym odpowiednie korzyści w procesach biznesowych.

Pytanie jednak czy nie warto wyjść poza ten schemat, który powtarza się przy każdym wdrożeniu systemu IT, który ma spowodować że będzie lepiej, szybciej i taniej? Może to co organizacja otrzyma w zamian, nie będzie tak oczywiste ale nadal wartościowe – chociażby na przykład fakt zgromadzenia danych o użytkowniach w jednym miejscu I możliwość analizowania zmian w ich stanowiskach, fluktuacji itp? Może proste narzędzie pozwalające każdemu managerowi na dostęp do podstawowych danych i analiz dotyczących jego podwładnych? Korzyści mogą być różne, a obecne trendy w dziedzinie IdAM pokazują, że właśnie w tym kierunku idzie teraz myślenie tych organizacji, które przez samo wdrożenie tego typu systemów od strony techniczno – organizacyjnej przeszły już jakiś czas temu.

… recepty nie będzie

(cc) litlnemo

Jeżeli ktoś rozpoczynał lekturę tego wpisu z nadzieją na jednoznaczną odpowiedź, podsumowaną w formie porad zrób A, B oraz C to rozumiem że może teraz czuć się rozczarowany (w szczególności biorąc pod uwagę długość tego wpisu). Po kilku latach pracy przy tego typu projektach wiem napewno czego jeszcze nie wiem, jednak jednoznacznej i w pełni powtarzalnej recepty na przejście przez etap “po co to nam” jeszcze się nie dopracowałem. Powyższe dywagacje są wynikiem tego jak ja, w danej chwili o tym myślę, czym postanowiłem sie z Wami podzielić.

Gdybym w tej chwili poszukiwał w swojej organizacji sposobu uzasadnienia wdrożenia systemu zarządzania tożsamością lub jakiegokolwiek innego systemu informatycznego, to jest właśnie ścieżka myślenia i działania, którą bym podążał,
w celu przygotowania uzasadnienia dla wdrożenia rozwiązania w organizacji.

Czy tego typu podejście zadziała w Waszej organizacji? Z chęcią bym o tym usłyszał, zapewne przekonacie się o tym dopiero gdy go spróbujecie po raz pierwszy. Jeżeli jednak ktoś posiada tego typu doświadczenia, z procesu przygotowania wdrożenia rozwiązania i ewentualnego przygotowania ”gruntu” pod to wdrożenie – komentarze mile widziane.

March 29th, 2011

Kopie zapasowe DC warto robić

Kto raz jej nie miał ten o tym wie, a kto ich nie robi może teraz o tym pomyśli. A jeżeli ktoś jeszcze nie pomyślał i rzeczonych kopii  nie zaczął wykonywać to może skrypt do wykonywania tychże w dosyć przemyślany sposób udostępniony przez Briana Desmonda (DS MVP) mu w tym pomoże. Jak pisze sam Brian:

The script below implements this strategy of backing up DCs to neighboring DCs and it also will implement retention and aging of backups. You’ll need to configure the age, log location, and backup table at the top.

W zasadzie staram się tutaj nie przeklejać informacji wprost z innych źródeł, ale teraz pomyślałem że warto. Miłego używania.

P.S. Jeżeli ze skryptu skorzystacie lub wam się spodoba, wejdźcie na blog Briana i zostawcie mu komentarz. Warto.

March 27th, 2011

Czy podzielisz się lokacją swoją?

Nie korzystasz z FourSquare, Google Latitude czy Facebook Places? Posiadasz iPhone i wypisałeś się z opcji śledzenia lokacji poprzez stronę Opt-Out? Czyli jesteś z tych mniej social użytkowników Internetu i z jakiegoś powodu nie masz ochoty dzielić się swoją pozycją z innymi, a tym bardziej z dostawcą usługi?

Nie bój się, nie jesteś sam a jest nas conajmniej dwóch(dwoje). Ja przynajmniej narazie z wyżej wymienionych usług nie korzystam. Z różnych powodów.

Prywatność w sieci już chyba dawno przestała istnieć, a przynajmniej jej koniec ogłosił Zukerberg w przypadku FB. Serwisy on-line karmią się tym co robimy, co piszemy, gdzie zrobiliśmy zdjęcia i z kim. Powstają nawet coraz nowsze sposoby na dzielenie się tymi informacjami, chociażby ogłoszona w zeszłym tygodniu aplikacja Color.
Jedyne co możemy w takiej sytuacji robić to albo zrezygnować z używania tych mediów albo świadomie ograniczać zakres informacji przez nas tam umieszczanych, ponieważ potem nie łatwo je usunąć, co jest tematem na osobne opowiadanie. Oczywiście pozostaje jeszcze kwestia naszego poruszania się w sieci (wyszukiwania), naszych sieci opartych o komunikatory itp. Trudno jest o prywatność w sieci w naszych czasach.

Okazuje się, że jednak nawet, gdy nie korzystamy z tych wszystkich nowomodnych usług to nadal większość z nas posiada coś, co jednoznacznie nas identyfikuje i pozwala w prosty sposób śledzić nasze zachowania. Coś o czym w zasadzie już nie myślimy jako o nowości a jest to nasze codzienne narzędzie pracy – telefon komórkowy.

(cc) jbeauchamp

Z tego też założenia wyszli twórcy wspomnianej już aplikacji Color – telefon mają prawie wszyscy, mniejszy, większy, nowszy, starszy, smart czy dumb.

Małe to urządzenie może jednak całkiem sprawnie zostać użyte do tego, aby zbierać informację o tym, czego sami nie chcieliśmy ujawnić., na przykład o naszej lokalizacji.  Oczywiście – sieć komórkowa musi posiadać informację o naszej lokalizacji, aby dostarczać nam usługę. Tak to działa i tego nie zmienimy. Pytanie jednak, czy operator powinien taką informację gromadzić w kontekście historycznym i ewentualnie ją przetwarzać?

Pytanie zainspirowane jest tekstem z NYT It’s Tracking Your Every Move and You May Not Even Know. Jak przekonał się pewien Niemiecki polityk, jego operator sieci komórkowej gromadził dane o jego położeniu z ostatnich co najmniej 6 miesięcy (na podstawie artykułu wynika, że tyle uzgodnili, że zostanie ujawnione) i to niekoniecznie wynikające z potrzeb technicznych samego GSM.

(…) “At any given instant, a cell company has to know where you are; it is constantly registering with the tower with the strongest signal,”

Mr. Spitz’s information, Mr. Blaze pointed out, was not based on those frequent updates, but on how often Mr. Spitz checked his e-mail. (…)

Artykuł oczywiście nie wyjaśnia, w jakich okolicznościach i jak dokładnie dane były gromadzone i do czego były używane. Czy były to faktycznie dane o położeniu użytkownika, czy o miejscu, w którym uzyskał dostęp do sieci (IP) itp. itd. Jednak pozwalały one na określenie miejsca, gdzie przebywał użytkownik telefonu w chwili korzystania z usługi, i nie były one zanonimizowane, ponieważ możliwe było podanie ich dla określonego użytkownika.

Nie, nie jestem tak naiwny, aby przed przeczytaniem tego artykułu uważać, że dane takie nie były gromadzone. I artykuł ten nie spowoduje, że przestanę korzystać ze swojej komórki czy dostępu do sieci na niej. zwraca on według mnie uwagę na nową klasę problemów jakie powstały już jakiś czas temu, a na które jeszcze nie mamy dobrych rozwiązań, albo nawet dalej – jako społeczeństwo jeszcze się nimi nie przejmujemy.

Pytanie – czy będziemy się nimi przejmować?? Nawet lepsze pytanie – czy powinniśmy?

Ze zmieniającą się technologią dostępu do sieci i urządzeń mobilnych dostęp do nich staje się powszechny. Równie powszechne staje się ich używanie i wynikające z tego możliwości chociażby lokalizacji użytkownika w prosty sposób przez usługodawców – czy to na potrzeby własne, prawne czy komercyjne (sprzedaż informacji w kontekście reklamy? SMSy wysyłane do konkretnego użytkownika, gdy sprawdzi on e-mail w danym miejscu z lokalnymi ofertami).

Pytanie – czy powinniśmy się tego obawiać i czy jest sens kontroli tego typu możliwości. Ja bym z chęcią widział możliwość wypisania się z takich usług dodanych, chociaż wtedy też nic nie zabroni operatorowi zbierania tych informacji. Ale może utrudni (przynajmniej prawnie) ich wykorzystanie.

Wasze opinie w temacie, komentarze? Tak to w ramach niedzielnej przerwy na kawę  spisałem …

March 24th, 2011

Co DCDiag tak naprawdę Ci powie?

Kilka tygodniu temu, na jednej z list dystrybucyjnych MVP padło pytanie:

Czy ktoś wie, co w zasadzie oznacza określenie “Cutoff Server” w wyniku DCDiag?

Jak widać i MVP nie wiedzą wszystkiego, nawet jeżeli są w kategorii Directory Services a pytanie dotyczy tego popularnego narzędzia. W zasadzie … dlaczego by mieli wiedzieć wszystko?? Prawdaż? 

(cc) Janneke Hikspoors

Dyskusja miała kilka odpowiedzi opierających sie w większości na doświadczeniu i przeczuciu jej uczestników niż na sprawdzonej wiedzy, co faktycznie ten termin oznacza. Bywa, ucichło. Czy Wy też kiedyś się nad czymś takim zastanawialiście (o ile napotkaliście taki termin w wynikach DCDIag).

Jeżeli kiedyś zastanawialiście się jak interpretować wyniki DCDiag to z pomocą przychodzi AskDS, na którym właśnie opublikowano artykuł What does DCDIAG actually… do? I w nim na przykład czytamy:

CutoffServers

 

Tests the AD replication topology to ensure there are no DCs without working connection objects between partners. Any servers that cannot replicate inbound or outbound from any DCs are considered “cut off”. It uses the function DsReplicaSyncAll to do this which means this “test” actually triggers replication on the DCs so use with caution if you are the owner of crud WAN links that you keep clean with schedules, and certainly consider this before using /e.

Gdybyście więc w przyszłości zastanawiali się co DCDiag wam stara się powiedzieć, warto zapamiętać link (lub nazwę bloga) i sprawdzić.

Miłego diagnozowania !

February 18th, 2011

Autorization Manager – bestia i jak ją obejść

Ostatnio miałem przyjemność szkolić pewną grupę z Powershell. Miło było , przynajmniej mi ale mam nadzieję że i uczestnikom.

Dygresja mała; mam nadzieję że nie wynieśli ze szkolenia wrażeń takich jak opisuje Maciej, z którymi się zgadzam chociaż trochę mocno teoretyczni bo w żadnym tego typu szkoleniu nie uczestniczyłem (znaczy się w takim organizowanym przez ośrodek i z trenerem itp. )

Tuż po szkoleniu napatoczył się problem, o którym w trakcie szkolenia mówiłem, a pomimo że w kilku miejscach można znaleźć różne opisy go dotyczące to pomyślałem że dołożę jeszcze jeden (reperując też statystyki pisania trochę dołujące). Do rzeczy więc.

Powershell jak wiadomo (a może niektórzy nie wiedzą) buduje swój model bezpieczeństwa w oparciu o  kilka elementów:

  • brak skojarzenia PS1 z wykonywalnym plikiem (szczegół a jednak)
  • konieczność umieszczenia skryptu w znanej ścieżce (path), lub wskazanie wprost wykonania lokalnego pliku (.\ ) – dla dociekliwych a nie wiedzących jeszcze dlaczego polecam ćwiczenie myślowe proste.
  • politykę wykonania, czyli tak zwaną execution policy. I o tej ostatniej chwilę.

Polityka wykonania to w uproszczeniu konfiguracja zaufania do wykonywanych skryptów (upraszczam jak napisałem). Domyślnie takowa jest niezdefiniowana, co odpowiada ustawieniu Restricted, czyli nie można wykonywać skryptów ogólnie,
a tylko działać w Powershell interaktywnie. Nastepnie mamy przejściowe polityki AllSigned, która wymaga aby wszystkie skrypty były podpisane cyfrowo przez zaufany certyfikat, RemoteSigned – to co wcześniej ale w odniesieniu do skryptów nie pochodzących z danego systemu, i na końcu Unrestricted czyli pozwalamy na wykonywanie skryptów wszystkich.

W zasadzie jest jeszcze jedno ustawienie, czyli Bypass, które całość opisanego powyżej mechanizmu po prostu pomija. I tak można.

Zestaw odpowiednich cmdlet do zarządzania tymi ustawieniami dostępny jest w Powershell – polecam Get-Command i verb ExecutionPolicy.

Problem, z którym się zetknąłem to fakt, że w środowisku klienta, wykonanie przez usługę skryptu Powershell kończyło się komunikatem:

AuthorizationManager check failed

Pomimo rozlużnienia polityki bezpieczeństwa Powershell do Unrestricted nic nie pomagało. Jako że robiłem za tak zwany remote support poprosiłem moje zdalne ręce
o to żeby sprawdził czy skrypt który wykonuje problem nie jest z kategorii zdalnych właśnie.

Jak to jest rozpoznawane w systemie? Rzecz jest prosta. Jeżeli zapisujecie w systemie jakiś plik, który pobraliście z internetu lub odebraliście pocztą, plik ten uzyskuje mały bonus w postaci alternatywnego strumienia NTFS (a taki opis na szybko znalazłem). Jeżeli spojrzycie na taki plik przy pomocy Streams.exe (lub alternatywnie Notepad.exe z wywołaniem strumienia) zobaczycie informację, o strefie, z której plik został pobrany:

alt

Mechanizm ten znany jest jako Attachment Execution Services.

Uaktualnienie #1Tutaj (KB 883260) można poczytać trochę więcej o tym jak kontrolować zachowanie powyższego .

W zasadzie, w przypadku polityki Unrestricted nawet plik oznaczony jako pochodzący z zewnętrznego systemu powinien zostać uruchomiony, jednak w tym wypadu rezultatem był komunikat jak powyżej. Cóż poradzić, usunąć tą informację by się przydało. Usunąć ją można rzeczonym powyżej poleceniem streams.exe lub prawym klawiszem klikając w plik i używając klawisza Unblock tam dostępnego.

alt

I w tym wypadku problem to rozwiązało, pozostawiając niestety niedosyt tego, że prawdziwe źródło problemu pozostało nieznane. Pomimo dłuższego poszukiwania nie udało mi się znaleźć głębszego opisu działania mechanizmu authorization manager powershell. Więc pozostawmy ten artykuł w serii porad, jak rozwiązać problem gdy już wystąpi.

A dlaczego akurat ten skrypt sprawiał takie problemy ??? To proste, został wysłany poprzez e-mail.