Itt az ideje a Macet beengedni a nagyvállalati környezetbe - megfelelő körültekintéssel (x)

Címkék

Bár üzemeltetői körökben máig sokan a homogén vállalati ökoszisztémát preferálják, a munkavállalók oldaláról egyre nagyobb az igény a megszokott Microsoft helyett alternatív platformok, főként az Apple rendszerének és eszközeinek használatára. A MacBookok és társaik beengedése a vállalati környezetbe nem kis feladat, ugyanakkor átgondolt kivitelezés mellett több területen is megtérülhet.

Nagyvállalati környezetben hazánkban a legtöbb helyen továbbra is a Microsoft platformjai dominálnak - az évtizedes uralkodás pedig erős megszokásokat vésett be mind a cégekbe, mind pedig a náluk dolgozó üzemeltetőkbe. A felhasználói szokások ugyanakkor rengeteget változtak, átalakulásuk pedig egyre gyorsul, amivel a vállalatoknak is tartani kell a lépést, ha fontos számukra az alkalmazottak elégedettsége. Köztük pedig rohamosan növekszik azoknak a száma, akik a Microsoft ökoszisztémája helyett szívesebben tekintenének ki az Apple-é felé, magánszinten pedig már potenciálisan utóbbit is használják.

A T-Systems Operational Development Team Managere, Ladosinszki István a július 7-i HWSW free! üzemeltetői meetupon járta körbe a klasszikus és a modern IT üzemeltetés különbségeit, és azt, hogy miért érdemes nyitni az Apple platformja felé is. A mai értelemben "hagyományosnak" tekintett vállalati IT mintegy 20 éves múltra tekint vissza, de helyenként akár ennél régebbi berögződéséket is magával hordhat. Ez a klasszikus felállás a dolgozók szintjén az eszközre helyezi a hangsúlyt, amely lehetőleg egységes platformra támaszkodik, céges hálózatra csatlakozik és az adatok tárolása is ahol csak lehet lokálisan történik. A végpontvédelem pedig szinte minden más szempontot felülír, ami még tovább nyújthatja a sokszor egyébként is időigényes deployment folyamatokat, sőt, a felhasználói élményt is nehézkessé teheti.

Ebben a hagyományos modellben a munkához szükséges alapvető funkcionalitás jól, stabilan, megbízhatóan igénybe vehető, amihez viszont szükség is van a vállalati rendszer homogenitására - utóbbi megtartásáért pedig az üzemeltetők általában mindent meg is tesznek. A munkavállalók jelentős része ugyanakkor már nem abból a világból érkezik, amelyben a klasszikus nagyvállalati IT működési modell alapjait lefektették. A dolgozók megkedvelt, kényelmesen használható mobil eszközeiket már nem csak privát célra vetik be, megnövekedett a hatékonyabb, produktívabb munkára való igényük, ennek pedig mára az infrastruktúra is megágyaz, a 4G/5G hálózatok akár az út közben végzett munkához is megfelelő sávszélességet biztosítanak, elérhető áron. A rugalmasság iránti igény is kilőtt, amelynek az elmúlt időszakot fémjelző pandémia és a globális home office csak újabb lökést adott.

VÁLASSZ MAGADNAK PLATFORMOT!

Ennek megfelelően a modern IT új világképet hoz: a fókusz az eszközről a felhasználóra kerül át, aki platformfüggetlenül, bármilyen készülékkel vagy operációs rendszerrel, bárhonnan, bármikor hozzáférhet a céges infrastruktúrához, adatokhoz - biztonságosan. Az egyre több nagyvállalatnál gyökeret verő rugalmasabb IT szemlélet előtt mára a nagyfokú automatizáció, illetve felhős megoldások is utat nyitottak, egy ponton talán túl nagy lendülettel is: biztosan sokan emlékeznek még a néhány évvel ezelőtt az IT-köztudatot gyorsan bejáró BYOD (Bring Your Own Device) trendre, amely a vállalati környezetben használt szoftverek, szolgáltatások alá a dolgozók saját eszközeit illesztette be. Az üzemeltetői oldalon nem éppen kitörő örömmel fogadott koncepció annak biztonsági problémái miatt a sok helyen mára csak "buzzword" szinten maradt meg - helyét pedig arany középútként a CYOD (Choose Your Own Device) vette át.

A CYOD konstrukcióban nem saját készüléket hoz be a felhasználó a céges környezetbe, az eszközt továbbra is a vállalat biztosítja, ugyanakkor választási lehetőséget is ad a különböző modellek, vagy akár platformok között. A kiválasztott készülék pedig idővel akár az alkalmazott tulajdonába  is kerülhet, ők is beszállhatnak annak finanszírozásába, a HR oldaltól függően, jellemzően 3-4 éves csereperiódus után. A saját igényeik szerint kiválasztott eszközöket, notebookokat az alkalmazottak is jobban megbecsülik, és a tapasztalatok azt mutatják, hogy ha kilátásban van, hogy az adott gép idővel tulajdonukba is kerül, számottevően jobban vigyáznak rá, illetve megfelelő használata kapcsán is sokkal proaktívabban tájékozódnak. Ezzel párhuzamosan, ha a vállalat engedi, hogy a dolgozók saját igényeiknek megfelelően válasszák ki eszközeiket megbecsülésüket is jobban érzik a cégnél, elköteleződésük is nagyobb lesz. A Windowstól való eltávolodás pedig a munkába álló új generációknál egyre inkább jellemző, az Y, Z generáció esetében tőlünk kissé nyugatabbra haladva már túlsúlyban van az Apple eszközei iránti igény.

LEGYŰRNI AZ ELŐÍTÉLETEKET

Persze a "vegyes" ökoszisztémának megvannak a maga kihívásai, céges doménen kívüli eszközök kontrolljától a nagyvállalati hálózatok szívét-lelkét jelentő Microsoft Acitve Directoryval való együttműködésen át, a nyílt interneten keresztül zajló vállalati adatforgalom jelentette kockázatokig. Ezek mellett az Apple kapcsán is sok előítélet él a nagyvállalati környezetben, legelterjedtebbek egyértelműen a cupertinói cég készülékeinek borsos árazásával kapcsolatos aggályok, vagy épp az, hogy a MacBookok és társaik "designereknek" valók.

Ez utóbbit gyorsan cáfolja az Apple gépeinek folyamatosan növekvő népszerűsége a fejlesztők, mérnökök, sőt a controlling területen dolgozók körében - az eszközök pedig a gyártó saját fejlesztésű chipjeivel szerelt Macek ütős teljesítményének és tiszteletet parancsoló üzemidejének hála pedig egyre szélesebb kör számára lesznek vonzók. A magas bekerülési költséget pedig annak fényében érdemes újragondolni, hogy az operációs rendszerért, illetve a hozzá tartozó támogatásért az Apple nem számít fel külön költséget. Hasonlóan sarkalatos pont a biztonság, a végpontvédelemre Windows környezetben jellemzően költséges, szoftveres megoldásokat használnak, az Apple-nél erről az integrált T2 biztonsági chipek gondoskodnak, szintén külön beruházás nélkül.

LEHET EGYSZERŰBB A DEPLOYMENT

A nehézkes deployment feladatokat az Apple DEP (Device Enrollment Program) szolgáltatása szintén felpörgetheti. Windowsos flotta esetében jellemzően kétféle módon állítják hadrendbe a vállalati számítógépeket: a nagy cégek a gyártóktól, mint a Dell, HP vagy a Lenovo be tudnak szerezni az operációs rendszerrel, illetve az alapvető szoftverekkel előre telepítve érkező gépeket, ehhez akár saját image-et biztosítva a gyártó számára. Ennek hátránya, hogy a cég teljes szélességében azonos szoftveres felszereltségű eszközök érkeznek, utólag kell az üzemeltetésnek az egyes céges területek által használt specifikus szoftverek telepítéséről gondoskodni. A másik út, amely itthon talán a legnépszerűbb, hogy egy saját deployment megoldáson keresztül továbbítják a beszerzett gépekre a rendszereket, valamint azok frissítéseit (jellemzően félévente), majd szintén távolról a különböző csapatok szerepköreinek megfelelő komponenseket osztják ki.

A DEP által kínált "zero-touch-deployment" esetében igény szerint már az Apple beállítja a vásárolt Mac-parkon a cég mobileszköz-kezelő, azaz MDM (Mobil Device Management) rendszerét, így az értékesítőtől a futár akár egyenesen a dolgozóhoz is viheti a gépet, amely az otthoni hálózatról a vállalti MDM rendszerre csatlakozva automatikusan letölt, telepít és beállít minden, az adott alkalmazott számára szükséges szoftvert, illetve biztonsági policyt - a teljes folyamatot akár húsz perc alatt lezongorázva. Ezzel az eszközbeszerzések, illetve -frissítések is felgyorsíthatók.

Az Apple eszközeinek nagyvállalati bevezetése tehát egy sor előnnyel kecsegtet, ugyanakkor ehhez arra is szükség van, hogy a Macekből a cég ne akarjon "Windowst faragni" ne lendületből, felkészülés nélkül vágjon bele az új platform bevezetésébe a céges környezetben. Ha nem is kell teljes vállalati tréninget tartani, de az üzemeltetésben dolgozó kollégákhoz mindenképp érdemes elhívni egy szakértőt, aki ismeri mindkét platformot és egy-két alkalommal, beszélgetés jelleggel bemutatja azok működését - persze a legtöbb cégnél ehhez nem kell messzire menni, a fejlesztők között is jó eséllyel akad, aki magabiztosan mozog a Microsoft és az Apple rendszerein egyaránt.

A T-Systems is ebbe az irányba indult el, dolgozóinak mindkét platformot felkínálja, és egy olyan keretrendszert biztosít, amely lehetővé teszi, hogy bárhonnan, bármilyen eszközzel, bármilyen operációs rendszerről elérhető legyen a központi infrastruktúra. Ehhez egyébként egy könnyen kézre álló szolgáltatás a Microsoft Azure alapokon nyugvó Intune MDM megoldása, amellyel egyszerűen megoldható az eszközök menedzselése és a CYOD struktúra is fájdalommentesen bevezethető. A preferált készülékek, platformok szabad kiválasztásával pedig a dolgozók komfortérzete, produktivitása, ezáltal pedig elkötelezettsége is komoly lökést kaphat - ami fokozottan igaz az Y, illetve a vállalati környezetbe frissen érkező Z generáció esetében.

Ha Te is szeretnél részese lenni a T-Systems üzemeltetési átalakulásának, akkor nézz szét a nyitott pozíciók között!

[A T-Systems megbízásából készített, fizetett anyag.]

Hozzászólások

Szerkesztve: 2021. 07. 19., h – 14:43

Bezony!

Nemrég váltottam munkahelyet, és ugyan a mac, mint platform elég előkelő helyen van a prioritás listámon, mégis elfogadtam az ajánlatot, holott valami Dell izét kaptam Windows 10-zel. A gép nagy, nehéz és melegszik, mint állat, a Windows meg csak szar úgy ahogy van.

Szerencsére nem én voltam az egyetlen, aki hiányolta a mac-et a kínálatból és a management is nyitottnak tűnik, ezért éppen az ops kollégát győzködöm, hogy kezdjünk már magunkkal valamit :) Mondjuk azt is mondtam neki, hogy érdemesebb várni őszig/télig, mikor az M1X/M2 processzoros gépek kijönnek. Ugyan a jelenlegi Windows konfiguráció is 16GB-tal rendelkezik és bőven elég a munkára, de Intel-t már nem érdemes venni, a 16"-os MBP meg még nem elérhető Apple Siliconnal.

Az ops srác EB előtt azt mondta, hogy ha nyer Anglia, akkor kapok egy mac-et (ennyire bízik az angol csapatban); mivel az angolok majdnem nyertek a döntőben, ezért én majdnem kaptam egy mac-et... :/

UI: jó lenne ha ez a cikk angolul is elérhető lenne. Át tudnám küldeni a kollégának, amolyan emlékeztető gyanánt :)

Nálunk nem melegszenek a PC-k sem, Dell-ek meg pláne, pedig nem újak, sőt van itt Nehalem alapú i7, gyakornoknak odaadva, az se hangos, csak simán dögnehéz. Egyik kolléga meg kapott egy használt iMac-et egy éve (Windows 10-el :D)

A MacOS hogy áll a tartományba léptetéssel? Úgy rémlik, SMB-t ismeri, meghajtókkal nem lenne (akkora) szívás, de csoportházirendet nem hiszem, hogy befogadná :D

Lehet csak nagyon hozzászoktam a saját M1 MBA-hez, de a Dell még egy vastag Belkin laptop öl"asztalon" keresztül is izzasztja a nem annyira izzasztani valót. Előző cégnél nem emlékszem ilyen problémára 16" MBP esetén. Hangosnak a Dell nem hangos, az Inteles MBP sokkal-sokkal hangosabb volt mikor beindult a venti.

Mondjuk a Dell billentyűzete meglehetősen jó, de annyira mégse.

Egyik kolléga meg kapott egy használt iMac-et egy éve (Windows 10-el :D)

Szégyen-gyalázat!!! :)

A MacOS hogy áll a tartományba léptetéssel?
 

Fogalmam sincs. "Én csak vezetem, de hogy mitől megy, nem tudom" :)

De úgy emlékszem nem volt probléma a tartományokkal se; talán a jamf kezelte ezt a részét? Mondjuk én end user vagyok ebből a szempontból, fogalmam sincs mit bűvészkedtek az ops kollégák (csak arra emlékszem, hogy nagyon berágtam, amikor lecserélték a háttér képemet valami vállalati egyen izére. Az nem esett jól).

“A MacOS hogy áll a tartományba léptetéssel? Úgy rémlik, SMB-t ismeri, meghajtókkal nem lenne (akkora) szívás, de csoportházirendet nem hiszem, hogy befogadná :D”
 

köszöni szépen jól áll a tartományba léptetéssel, de a managed apple id Azure SSO-val egy kicsit jobban megy neki mint az LDAP, smb-t már nagyon régóta ismeri. A winfosos csoportházirendet miért is ismerné???? Az OS nem ugyanaz, ha nincsenek fent neked se a DCn a legújabb templatek akkor te is sokminderől lemaradsz, viszont már erre is van megoldás (pl JAMF) de az intune is nagyon közel ért ezekhez a funkciókhoz

mondjuk legalább nem dózer és ez itt a balkánon elég nagy szó. Viszont van jobb rendszer, mint a mac.

GPLv3-as hozzászólás.

Itt az ideje a Macet beengedni a nagyvállalati környezetbe

Én komolyan azt hittem, hogy ezen már túl vannak, akik Mac-et használnak. Erre kiderül, hogy csak a szatócscégeknél vannak Mac-ek a céges hálón?

trey @ gépház

Nálunk vannak. WW multi. De itt is kivételként vannak kezelve. A közelmúltig oriás szívás volt velük a céges VPN, bár a Cisco végül összekapta magát. Az Anyconnect egészen használható lett Mac-en és Linuxon is.

Ugyanakkor az infra jórésze (a webes) integrated windows hitelesítéssel (is) megy amivel van probléma egy saját windowsos gépen is (ami nincs a tartomnyban), hát még egy más rendszerrel.

Nalunk is sok mac van (170k alkalmazott), foleg (szoftver)mernokok hasznaljak de csak senior folott lehet kerni.

Jol mukodnek, szeretunk is rajta dolgozni, par szivastol eltekintve amit a ceges policy toolok okoznak.

Oriasi szivas van veluk viszont MacOS verzio-valtasnal, mert uj Macat onnantol nem lehet csak az uj OS verzioval rendelni, downgrade ugyebar nem lehetseges.
A policy toolok beszallitoi/fejlesztoi viszont nem tudjak ilyen gyorsan lekovetni az evente kiadott (osszebaszott) major verziovaltasokat.
Ilyenkor siman nem tudnak rendelni azok akiknek lejar a gepuk uj macet rendelni. 

Nálunk Jamf, Intune, Azure app proxy, MS Defender ATP, Netscope a kulcsszavak ha Macről van szó.

Lehet több is, de nem fogok tudni mindenre válaszolni. :)

Jelenleg ha jól tudom nálunk kb. 50 Mac van Jamfben, korábban valamivel több volt. Egy ember foglalkozik velük a szolgáltatás minősége ennek megfelelő (=sz@r).

Kizárólag Winen futó programok futtatását sehogy nem oldjuk meg, azok futnank Winen. Sokezer Win kliens mellett a Mac amolyan megtűrt dolog de vannak helyek ahol kb. nélkülözhetetlen (designerek).

Több gond is van velük. A "szolgáltatásért" többet fizetünk mint a Winek esetében ill. a vállalti környezetbe integrálása nem sikerült valami jól. Ezt nem részletezném, maradjuk annyiban, hogy történelmi okai vannak és ha igaz ez változni fog egy "zero trust" megoldás implementálása után.

Kihaloban levo local herokent kezdem megszokni, hogy a gondolkodasom es az ertekrendem lenyegesen elter a nagyhangu es latvanyos embertarsaimetol. Kaptam egy macbookot, mert a fonoknek is az van. De egyszeruen nem biiirom megszokni! Szamomra egy GameBoy. Latom a rendszer ertekeit, de mint az adatait es a szemelyiseget paranoid modon orzo emberi egyed, a kenyelmi szolgaltatasokbol vajmi keveset "elvezek". Raadasul mindig ugy erzem a rendszert hasznalva, alig varjak a tuloldalon, hogy valamit megkivanjak, es vegre fizessek mar erte!! Biztos az en hibam, es majd dolgozok rajta... :-)

Bevallom, nem kicsit tartok tole, hogy elindul a macik begyuruzese! Ketsegeim vannak, hogyan fogom tudni megovni a cegem adatait. Peldaul ne vigye magaval egy megbantott, volt alkalmazott a hozzaferhetetlenne tett gepen, vagy mondjuk egy veletlen delete....

Win es linux kornyezetekben vannak megoldasaim, de egyertelmu, hogy nagyon keves ismeretem van Mac teren (ezert is vannak a felelmeim)! Tudom, tanulni kell!

Koszonom a valaszod! :-)

vigye magaval a megbantott alkalmazott a gepet, elveszett modba teszem meg torlom a francba az MDMen keresztul(ez mindig ervenyben lesz ah a gep valaha netre csatlakozik mert az apple oldalarol erkezik a tiltas), ilyent windowsal nem tudsz, ott tol egy dd-t aztan annyiszor probalkozik ahanyszor csak akar

Ahogy fdevso is modja MDM-en keresztül távolról teljesen használhatatlanná lehet tenni egy Mac gépet adattörléssel együtt. Windows dettó. Linuxról ugyanazt már nem tudom elmondani, ha a usernek van root joga.

Mi banki környezet vagyunk ennek megfelelő nagyon szigorú szabályokkal. Ha ide megfelel a Mac akkor gondolom sok más helyre is ;)

A dizájnerek valószínűleg Adobe CC-t használnak, ami egyébként mostanában Windows-on is necces. (Mert emlékszem, korábban bizonyos időszakokban MAC-en is az volt.) A frissítésekkel 2021 óta komoly bajok vannak, folyamatosan "kinyírják" a már végre jól működő szoftververziókat. - (Mintha óvodásokra cserélték volna a fejlesztőket?) - Amióta a logó-szivárványosítással kezdtek foglalkozni, kisebb katasztrófa. Folyamatosan rakom vissza frissítések után a még használható korábbi verziókat. - MAC-en hogy áll ez, esetleg tudtok ez ügyben valamit.?

Szerkesztve: 2021. 07. 23., p – 00:05

Mac-et is csak távolról láttam, ezért nem tudom megítélni, hogy a Windows-al szemben támasztott nagyvállalati követelményeket képes-e megugrani:

Központi patch management, ami magában foglalja a terítést és riportolást, valamint a helyi és távoli hálózati hozzáférés megtagadását, amennyiben a gép nem felel meg az előre definiált kritériumoknak

Eltérő gép és felhasználó szintű konfiguráció, folyamatvezérelt központi megoldással (kapja meg az adott department konfigurációját, amennyiben a felettese jóváhagyta egy folyamatban)

Lokális rendszergazdai jogosultság adott binárisra, valamint binárisok futtatásának korlátozása, mindkét esetben előre definiált szabályok szerint

IT privilégizált hozzáférés, aktivitás ellenőrizhetősége

Standardizált szoftverkörnyezet, belső alkalmazásboltal, 

Céges környezetben meglévő passwordless authentikációs megoldások támogatása

Céges certificate-ek biztonságos lokális tárolása, automatizált visszavonás és megújítás

Miért kell standardizált szoftverkörnyezet és belső alkalmazásbolt?
Az emberek különböznek, mindenki mással és máshogy szeret dolgozni. Remélem nem jutunk el oda, hogy nincs adminjogom és nem telepíthetek a gépre azt, amit akarok.

Szerintem pont ez a paranoid, self-preservative beállítottság hívta életre a BYOD fogalmát. Inkább viszi a paraszt a magáét, amin tud normálisan dolgozni.

Szerintem a következők miatt:

- Egy standardizált szoftverkörnyezetet lehet támogatni központilag (verzió frissítés megtörténjen, update-eket először szigetszerűen történjen, és ha ott megy, akkor a teljes cégnek, stb.)

- Ha a cég rendelkezik több licence-el, akkor ezt is valamilyen rendszerben érdemes kezelni (mikor, melyik gépen van fent, mi történik, ha a kolléga otthagyja a céget, stb.)

- Root jogra általában nincs szükséged. Arra van szükséged, hogy adott szoftver, amely a munkádhoz kell, ott legyen a gépeden.

- Nincs annál veszélyesebb, mint amikor Pistike behozza az ncore-ról töltött warez photoshop-ját azért, hogy körbevágjon 2 képet.

- Nálunk a fejlesztőknek sincs admin joga. Ami kell a munkához, az fent van. Docker-ben, illetve akinek van virtuális gépe, az abban azt csinál, amit akar.

Alapvetően POC jellegű feladatokra szoktunk ilyeneket csinálni, és a virtuális gépes megoldás helyett egyre inkább a docker felé megyünk (python-nal, illetve python-hoz kapcsolódó feladatoknál volt szívás az, hogy windows-on nem működtek azok a könyvtárak amelyekkel dolgozni szerettünk volna).

Vannak saját docker image-ek, és azokra lehet egyébként építkezni, de élesbe csak akkor megy bármi is, ha a devops-osok review-zzák.

Hogy a docker scan-en kívül futtatnak-e valami mást, őszintén, fogalmam sincs, ha érdekel, utánajárok.

Akinek annyi esze van, hogy felteszi a trójais warezolt szarokat bármilyen gépre, annak tényleg nem kell adminjog.
Ahogy azokat se kéne szopatni, akikkel soha nem volt gond.

Nálunk azért nagyjából tisztában vannak az emberek a saját képességeikkel és korlátaikkal.
Mivel viszonylag kevés a constraint és magas fokú a bizalom, kialakult az emberekben egy felelősségérzet. Ennél jobb védelem imho nincsen.

Korlátok állításával csak azt éred el, hogy az egységsugarú frusztrált lesz, az ügyesebbje meg kihívásnak tekinti, hogy túljárjon az eszeden. És túl fog.

A paranoiás, self-preservation interest által fűtött (e mellett gyakran korrupt) IT vezetésnek valójában nem az a fontos, hogy minden gördülékenyen működjön. Hanem hogy folyamatosan bizonygassa, mekkora kurvára nagy szükség van rájuk és milyen nagyon megdolgoznak a pénzükért.
A userek szopatása szinte csak egy pici mellékhatás. Az az irgalmatlan túlköltekezés teljesen felesleges dolgokra a legnagyobb bűn. Persze ez gyakran pénzkilapátolással karöltve történik saját cégbe, haver cégébe.
Nyilván erről nem a hátizsákos IT szolgák tehetnek, akik számára sokszor ez az egész ugyanolyan kellemetlen mint a usereknek, hanem az IT ,,vezetés". Sokuk büdös kis senki volt azelőtt, amíg pici Lőrinckét nem faragott belőlük valamelyik igazgató.

Így van. És mi ezzel a gond?

Amikor nem volt adminjogom a gépemen, mindig az volt az első, hogy csináltam magamnak.
Az a gond az IT-vel, hogy lekorlátozzák az embert, amikor meg nyígsz, hogy ezkéne azkéne, azzal meg nem akarnak foglalkozni, mert nincs rá kapacitás. Vagy nincs kompetencia.

Szerencsére mostanra, több, mint egy évtized után partnerként tekintenek rám. Sokszor húztam ki én is őket a csávából, cserébe nem szivatnak. Van adminjog, bios jelszó, meg ami kell.

Igen, azt telepítek, amit akarok.
Nyilván nem fogok kibabrálni sem magammal, sem az IT-vel. Lehet ezt is okosan csinálni.
Nem ncore-os warezolt szarokat teszek fel, hanem amire csak lehet, opensource toolokat. Illetve van egy virtuális gépem, bármi ami necces, abban fut.

Nálunk egyébként a közelmúltig meglehetősen laza volt a policy. Ennek ellenére nemigen volt incidens. A legkomolyabb az volt, amikor ellopták egy kolléga laptopját a csomagtartóból. Utána egy ideig volt diszk kriptó, aztán ismét kikopott.

A céges adatokat egyébként legtöbben nem azért féltik, mert a competition megtud belőlük valami hasznosat. Hanem mert sírva röhögnének, ha hozzájuk kerülne.

Milyen cég az, ahol nem értékes adatokkal dolgoznak?

Értékesek az adatok. Csak az az érzésem, hogy néha (gyakran) túlértékelik őket.
A competition se hülye, nem másik bolygón élnek. Amire mi rájövünk arra előbb-utóbb ők is, és viszont.
Vannak eltérések az egyes gyártók megoldásaiban, de látni, hogy lényegét tekintve mindenki ugyanazt csinálja, a saját adottságaihoz igazítva.
Nekem a feladatom nagyrészt a reverse engineering. Szétszedni és elemezni mindent, amit valamiért relevánsnak gondolnak és megmondani róla, miből és hogyan készülhettek az egyes alkatrészei. Sokszor nagyon apró, alig észrevehető dolgokon múlnak lényeges dolgok (működik vs. nem működik). Néhány iteráció alatt azért mindig rá szoktunk jönni. Nincsenek illúzióim, a mi termékeinkkel szerintem ugyanezt csinálják.

Szerintem ha hozzájutna valaki belső dokumentumokhoz, önmagában nem sokra megy vele. A know-how nem áll össze akár a teljes gyártási dokumentációból sem. El lehet itt lopni laptopot, lófaszra se lesz jó. Aki tudni akar valamit, az embert fog venni, nem hekkert játszani. Mi is csináltunk már ilyet, és a mi emberünket is vették már meg.
Így megy ez.

Egyszer körbenéznék a céges hálótokon, biztos lenne pár meglepi rajta.

Ebben biztos lehetsz. A legmeglepőbb dolgokra lehet bukkanni a network drive-okon.
_Szerintem_ ez csekély kockázatot hordoz. Annak viszont óriási (költségben is kifejezhető) overhead-je van, ha az adatokat rendszeresen auditálni kellene. Az pedig az organizáció overhead-jét növeli, ha nehezíted az adattárolást, megosztást, ezáltal végső soron az organizáció működtetéséhez szükséges kommunikációt.

Szerintem a hatékony szervezet kulcsa a minél egyszerűbb és hatékonyabb kommunikáció.

A válaszaidból kb. az jön le, hogy soha nem dolgoztál nagyobb szervezetnél, és lövésed nincs az üzemeltetők/támogatók fájdalmairól. Nem akarom elképzelni, hogy mi lenne pl. egy MOL-nál, ha mindenki admin lenne azon a pár tízezer PC-n/laptopon ami van náluk és azt gyakná rá amit akar. Azt azért szerintem nem olyan nehéz belátni, hogy cseppet egyszerűbb sztenderdizált konfigokat támogatni (kérdezd meg erről mondjuk pont az Apple-t, kontrasztnak meg ott van pl. az Android a százezernyi különböző telefonnal meg mindenféle bizbazzal), mint debugolni Gizike StarOffice 1.0-ját, mert mondjuk ő azt szereti és ezért azt tette fel a saját maga által telepített Win98SE-t futtató céges laptopjára.

Igaz, hogy mi csak egy magyar fejlesztőiroda vagyunk (alattunk termelő üzemmel), de a tulajdonosunk világcég.
Minél inkább tolják ide a központi szabályokat, annál szarabb minden.

Engem nem érdekelnek az üzemeltető fájdalmai. Engem a saját fájdalmaim érdekelnek. És nem, nem akarom elmagyarázni és megindokolni, hogy miért szeretnék ezzel vagy azzal a szoftverrel dolgozni. Kérdéseket én is tudnék feltenni az üzemeltetésnek.

Nem kell Gizike szoftverét debugolni. Gizike saját választása volt a StarOffice 1.0 a feladatai elvégzéséhez, innentől kezdve ez az ő gondja. Ha viszont valami regressziót okozol oprendszer szinten, ami miatt nem megy jól (pedig eddig jól ment), akkor azért tartozol minimum egy magyarázattal.

Szoftvert az válogasson és telepítgessen magának, aki tudja, mit csinál. Sok kolléga munkája eleve nem is olyan, hogy foglalkoztassa ez a kérdés.
Az üzemeltetés részéről szerintem az a helyes magatartás, hogy összeállít variációkat common feladatok elvégzésére. Mert egy IT-snek azért gondolom van fogalma róla, hogy mik a leggyakoribb common feladatok.
Egyszerű példa: képszerkesztés. IrfanView, Paint.NET, GIMP, aaphoto, ImageMagick (rövid jellemzéssel nyilván, hogy a user be tudja lőni, melyik az ő súlycsoportja).
PDF olvasónak ne csak a bloat Acrobat legyen, ami 1000 óra alatt töltődik be, hanem mondjuk egy SumatraPDF is meg legyen említve.
Ez nagy segítség az egységsugarú usereknek. (Mégse csinálják sok helyen, mert a végén még tanulnak valamit.)
DE ne korlátozza le az IT pusztán a saját fantáziájára a portfóliót. Ha én szeretném az n+1-edik szoftvert használni, hadd csináljam. Nyilván tudomásul veszem, hogy ez részükről unsupported. Aztán majd eldöntöm, akarom-e.

Ha 10 különböző node (*) verzió helyett egyetlen, internal feedből elérhető támogatott verzió van, akkor biztosítható hogy az mindenhol patchelve legyen, könnyű legyen projektek között kódot megosztani, egységes követelményekbe illeszthető build és release folyamatok legyenek, verzióváltás pontosabban tervezhető legyen.

Ez nem a tudás - szakértelem hiányáról szól (bár abban is sokat segít).

* Kiragadott példa, ideértve az összes development tool-t és framework-ot

Ez mindaddig tök jó, amíg az az internal verzió nekem is megfelelő. Olyankor kezdek zabos lenni, amikor valami őskövület verzió beragad és csak azt lehet használni, mert jaj a regressziók egy másik szervezeti egység tök mással foglalkozó fejlesztőinél, akiket nem is ismerek. Vagy olyan ember dönt a verzióváltásokról, custom patch-ekről (egy másik, fazékhoz közelebbi szervezeti egységben), aki az én feladataimról semmit nem tud, sőt, talán a létezésemről sem. Ő felveszi a prémiumot a ,,kiváló" ötleteiért, én meg szopok.

Értem, amit mondasz, és arra a következtetésre jutottam, hogy nem lehet általánosítani. Lehetne hozni sok-sok érvet pro és kontra is. A végletekhez közeli esetek a skála mindkét végén kiábrándítóak.

Kell egy keretet adni a munkavégzéshez, de teljesen keretek közé szorítva, szabad mozgástér nélkül nem szeretek dolgozni.

Nálunk már három éve, amikor felvettek a mostani munkahelyemre az volt csak a kérdése az IT-nak, hogy Windows-os, Linux-os gépet vagy Mac-et kérek-e. Mindegyikkel megy minden, bár főleg SaaS cuccokat használunk, böngésző meg mindegyiken van.

Kicsit elkanyarodtatok a tematol ugy erzem... :-)

Az a helyzet, hogy mindkettonek van relevanciaja...

Lassuk be, hogy egy patch managementet normalisan uzemeltetni (gondolok itt arra, hogy terjesztes elott kitesztelni), nem keves eroforras! Human, anyagi es szellemi! Mert ugye egy SCCM nem ket filler, se az MS szerver, es amin fut... Es hat pistikere se lehet rabizni a szomszed garazsbol! Vannak helyek ahol ez kivitelezheto. Es vannak helyek, ahol inkabb a minel kevesebb adatvesztesre probal felkeszulni az ember egy gebasz eseten...

Csoro kis magyar valosagban itt a balkanon is meg kell oldani az IT-t... Itt jonnek a "magyar megoldasok" es probalunk bizni a po(l)garok jozan eszeben. Ami ugye... Hat... Minden tiszteletem a kiveteleknek!!! Mert olcsobb, mert meg kell oldani... Nem idealis! Egy pisitke ugyeskedesevel sose fogja felvenni a versenyt egy normalis rendszergazda. Mert nem az a celja hogy aktualisan harom kattintassal megoldjon valamit, hanem az hogy tartosan mukodjon a rendszer. Pisteket istenitik, de ha odaadnanak neki egy Cisco routert, csak nezne nagy csodalkozo szemekkel: "es hol a monitor, meg az eger!" Csak hat ugye akik elott villogott azok nem tudjak, hogy mi hajcsa a zinternetet!

Nem fekete, es nem feher! Nem torol fakasztott bunko minden nyuzer, de azert az is elgondolkodtato, ha az IT a usertol ker segitseget. Valoszinuleg keves a forrasa az IT-nak.

...es akkor meg nem is beszeltem a balkani szoftver-kulturankrol!

Szeretem latni, hogy milyen megoldasok vannak. Lehetnek. Lehetnenek. Ha lehetoseg van ra, akkor alkalmazom. Magyar valosagnak, az adott helyzetnek megfeleloen...

A multkor lattam a tcsko kasszat bootolni, XP volt rajta. (pedig szerintem van penzuk) Naaaagy egyetemi intezet, XP-n fut a belepteto rendszer. (nincs penzuk).

Koszonom az infokat! Mert szerintem, meg a puffogassbol is lehet tanulni! :-)

de azert az is elgondolkodtato, ha az IT a usertol ker segitseget

Mindig van olyan terület, amihez az IT nem ért, de hozzá kell nyúlnia. Pl. van egy lézered, amit tartományba kell léptetni, be kell kötni valamelyik termelési hálózatba. Aztán azt se tudja szegény, melyik az eleje és melyik a vége. Nemhogy azt, miért nem megy.
Nemrég tanúja voltam, amikor a srác kínjában már engedélyezgette sorban a defaultból tiltott, vulnerable legacy dolgokat (pl. smb v1), hogy jöjjön már ki végre a dróton valamilyen bit. Persze egészen más volt a probléma.

Pont ezt a hozzáállást nem szeretem az üzemeltetés részéről: hogy ők a kurva okosak, mindenki más hülye és fogja be. Azért csak le kéne szállni már a magas lóról és együtt kellene működni. Partnerként tekinteni egymásra.

Mindig lesz olyan node, amit a corporate reqs-nek megfelelve lehetetlen rendesen kezelni.
Illetve kiskapu is mindig van: pl. ha PC-t rendelek valahová (vezérlési, irányítási feladatra), azt be kell jelentenem az IT-nek, vonatkoznak rá a corporate guideline-ok. Rájöttem, hogy ha RPi-ket szerzek be, azokat be se kell jelentenem. Csinálok nekik egy kis gateway-t, ami mögött azt csinálok, amit akarok. Fekete lyuk az IT-nek, még inventory-juk sem lesz ezekről a node-okról.

A szoftverkultúra bűzös poklairól osztom a nézetedet. Erre sajnos nem tudom, mi a jó megoldás, ami minden résztvevő számára előnyös. Magam semmiképp nem a rendőrködést tekintem annak.
Pont nem érdekel, ha valami IT metodika szerint így vagy úgy kellene csinálni valamit, ha ezzel kibasznak egy csomó emberrel, vagy növelik az organizáció szervezéséhez, működtetéséhez szükséges overhead-et.

Szerkesztve: 2021. 07. 25., v – 16:23

.