История началась давно, примерно 10 лет назад. Я еще не работал на своей нынешней фирме, но там работал мой товарищ Анатолий.  И вот он позвонил однажды и говорит: "Слушай, у нас тут компьютер один есть, за ним по очереди журналисты и все кому не лень сидят. На этом компе каждые две недели систему приходится переустанавливать из-за вирусов, игр и порнухи. Мне это уже надоело."

Именно Анатолий предложил мне снести с компьютера Windows 98 и установить Windows 2000. Толик где-то узнал, что в новой для того времени Вин2000 можно было завести нескольких пользователей с разными правами. Вот он меня и попросил настроить отдельно администратора, отдельно пользователя, админский пароль сказать только ему и "шоб никто ничего левого не поставил!". Я так и сделал: установил, разобрался с настройками и правами. С тех пор я пришел в эту фирму сисадмином, Толик ушел на вольные хлеба. Несколько лет назад этот компьютер выкинули - там процессор был то ли Pentium-II 450, то ли Celeron-500, да и все остальное железо того же уровня. Так вот - этот самый Windows 2000 с тех пор больше не переустанавливали. Да, иногда ловились вирусы, были какие-то проблемы, но система прожила много лет.

Зацените разницу - раз в две недели переустановка системы, потому что один сотрудник посмотрел сайтики, второй запустил игрушку, и так далее. И нормальная работа месяцами и годами.

Когда я начал работать сисадмином, то быстро понял, что это правильный путь - настроить на компьютере систему и нужные программы, а затем заблокировать для пользователя изменение системы и установку-удаление программ. Не один год у нас на фирме почти все компьютеры настроены именно так. Есть несколько людей, которые работают с полными правами, но они - исключения из общего правила.

Иногда просят подойти установить какую-то программу, чаще всего для дела. Не для дела я еще подумаю и возможно откажу. Да, надо отставить текущие дела, подойти и настроить. Но я уверен, что если бы все работали с полными правами, беготни и проблем было бы намного больше.

В следующих статьях на эту тему я собираюсь рассказать о тех настройках системы, которые были сделаны в самом начале (администратор/пользователь и права NTFS), об удаленном входе на жесткие диски компьютеров локальной сети, о том, как в заочной борьбе с отдельными хитрыми коллегами случайно узнал о Software Restriction Policies в Windows XP, о том, что можно сделать, если программа не хочет работать из учетной записи пользователя.

Продолжение следует...