在我们的办公室,我们有一个带有纯内部 DNS 设置的局域网,所有客户端都命名为whatever.lan. 我还有一个 VMware 环境,在纯虚拟机网络上,我将虚拟机命名为whatever.vm.
目前,该网络为虚拟机是不是从我们的局域网访问,但我们正在建立一个生产网络将这些虚拟机迁移到,这将是从局域网访问。因此,我们正在尝试为我们正在设置的这个新网络上的来宾应用的域后缀/TLD 制定一个约定,但鉴于此.vm,我们无法提出一个好的约定,.local并且.lan所有这些都在我们的环境中具有现有的内涵。
那么,在这种情况下,最佳做法是什么?是否有可安全用于纯内部网络的 TLD 或域名列表?
domain-name-system local-area-network hostname best-practices
为此,我和上级发生了争执。虽然乍一看笔记本电脑的前一个用户只在他自己的文档文件夹中工作,但我应该总是为下一个用户安装新的操作系统还是删除旧的配置文件就足够了?下一个用户通常也需要安装的软件。
我认为需要安装,但除了我自己关于病毒和私人数据的论点之外,还有什么理由这样做?
在我们公司,允许将 PC 用于例如私人邮件,在某些 PC 上甚至安装了游戏。我们有一些移动用户,他们经常在客户现场,所以我并不真的责怪他们。
也正因为如此,我们有很多本地管理员。
我知道私人使用和本地管理员帐户的可用性都不是好主意,但这就是我在这里工作之前的处理方式,只有在我结束实习后才能更改;)
编辑:我认为发布的所有答案都是相关的,而且我也知道我们公司的一些做法并不是最好的开始(例如,对于太多人来说,本地管理员;)。
到目前为止,我认为讨论中最有用的答案是来自 Ryder 的答案。虽然他在回答中举的例子可能有些夸张,但之前曾发生过一位前员工忘记私人数据的情况。我最近在一台旧笔记本电脑中发现了游戏 Runaway 的零售副本,我们也有几个剩余的私人图像案例。
这听起来像是一个奇怪的问题,但它引起了我与一些同事的热烈讨论。考虑一个由八个或十二个磁盘组成的中等大小的 RAID 阵列。在购买第一批磁盘,或购买替换磁盘以扩大阵列或更新硬件时,可以采用两种广泛的方法:
显然有一些中间立场,但这些是主要的对立心态。我一直很好奇哪种方法在降低阵列灾难性故障的风险方面更明智。(让我们定义为“25% 的磁盘在等于重新同步阵列一次所需的时间窗口内发生故障。”)逻辑是,如果所有磁盘来自同一个地方,它们可能都具有相同的潜在的缺陷等待打击。如果你愿意,同样的定时炸弹与时钟上的相同初始倒计时。
我为每种方法收集了一些更常见的优缺点,但其中一些感觉像是猜测和直觉,而不是基于确凿证据的数据。
如果我们仅按要点计数,“批量购买”显然会获胜。但是一些优点很弱,而一些缺点很强。许多要点只是简单地说明了其他一些要点的逻辑逆。其中一些事情可能是荒谬的迷信。但是,如果迷信在维护阵列完整性方面做得更好,我想我会愿意接受它。
哪一组在这里最明智?
更新:我有与此讨论相关的数据。我个人构建的最后一个阵列(大约四年前)有八个磁盘。我从一个供应商处订购,但将购买分成两个订单,每个订单四个磁盘,相隔大约一个月。阵列的一个磁盘在运行的最初几个小时内发生故障。它来自第一批,并且该订单的退货窗口在所有东西都旋转起来的时间内已经关闭。
四年后,七个原始磁盘加上一个替换磁盘仍然没有错误地运行。(敲木头。)
作为程序员,我们倾向于认为系统管理员是理所当然的。有几次我没有一个好的系统管理员,这让我很感激你们所做的事情。当我们冒险进入没有系统管理员的环境时,您能给我们提供哪些智慧之言?
这是一个关于 Active Directory 域命名的规范问题。
在虚拟环境中对 Windows 域和域控制器进行试验后,我意识到将 Active Directory 域命名为与 DNS 域相同的名称是个坏主意(这意味着example.com当我们拥有example.com域名时,将 Active Directory 名称作为 Active Directory 名称是不好的)注册用作我们的网站)。
这个相关问题似乎支持该结论,但我仍然不确定命名 Active Directory 域还有哪些其他规则。
是否有关于 Active Directory 名称应该是什么或不应该是什么的最佳实践?
假设一个环境有一个由不同服务器组成的 puppet 管理集群——各种硬件、软件、操作系统、虚拟/专用等。
您会选择有意义的主机名(mysqlmaster01..99、mysqlslave001..999、vpnprimary、vpnbackup 等)还是更喜欢无意义的主机名,例如书籍或电影中的角色?
我看到有意义的主机名的问题是名称通常代表单个服务,如果服务器有多个用途,它会变得非常混乱(特别是如果服务器角色经常变化)。
难道不是将服务名称映射到 IP 地址并维护 DNS 应该做的映射吗?
这两种方法的优点和缺点是什么,你必须用你选择的方法解决哪些实际问题?
我将聘请一名 IT 人员来帮助管理我办公室的计算机和网络。我们是一家小商店,所以他将是唯一一个做 IT 的人。
当然,我会仔细面试,检查参考资料,并进行背景调查。但你永远不知道事情会如何发展。
如果我雇用的人是邪恶的,我如何限制我公司的曝光率?我如何避免让他成为组织中最有权势的人?
我有兴趣了解人们对标准用户名的体验。我一直在使用{firstInitial}{lastname} 的地方(有时有长度限制)。现在我有用户想要{firstname}.{lastname} - 现在出现这个时期可能会导致问题。
具体来说:
更新:我没有提到具体细节的原因是我想要足够通用来处理将来可能出现的任何事情。然而,这可能是一个过于笼统的要求(任何事情都可能发生,对吧?)。
这是我们的环境:Ubuntu Server Lucid Lynx 10.04 LTS、Red Hat Enterprise Linux 5.6 及更高版本、Windows Server 2003 和 Windows 2000 Server(在 Windows 2000 Native Mode 中使用 Active Directory)、用于邮件的 Zimbra 7.x,以及附近的 OpenLDAP未来。
我们都见过电缆管理的好坏例子。
我不是在寻找“不要做意大利面条式布线!” 但实用的、客观可衡量的政策,可以很容易地解释、遵循和检查它是否通过或不符合政策中的要求。
请避免“不要做 x、y 或 z”——而是将要求重新形成为“做 A、B 和 C”,其中遵循第二个要求将消除第一个要求中解释的问题。
cable-management rack physical-environment datacenter best-practices
我有一个客户,其员工完全由使用 Apple 和 Windows 7 PC/笔记本电脑的远程员工组成。
用户目前不针对域进行身份验证,但出于多种原因,组织希望朝这个方向发展。这些是公司所有的机器,公司寻求对帐户停用、组策略和一些轻微的数据丢失预防(禁用远程媒体、USB 等)进行一些控制。他们担心需要 VPN 身份验证才能访问 AD会很麻烦,尤其是在被解雇的员工和远程机器上缓存的凭据的交叉点上。
组织中的大多数服务都是基于 Google 的(邮件、文件、聊天等),因此唯一的域服务是 DNS 及其 Cisco ASA VPN 的身份验证。
客户想了解为什么向公众公开他们的域控制器是不可接受的。此外,什么是一个分布式远程员工一个更容易接受的域结构?
编辑:
Centrify用于少数 Mac 客户端。
best-practices ×10
windows ×2
datacenter ×1
hard-drive ×1
hostname ×1
installation ×1
rack ×1
raid ×1
security ×1
shipping ×1