Запись доклада со дня СПО

Мероприятие прошло отлично, организаторы — большие молодцы, было интересно и очень динамично, а не как это бывает на семинарах — тягомотно и скучно. Спасибо им большое. Названная организаторами моя тема «Рабочий стол на FreeBSD» совсем уж не соответствовала реальности, то есть фактически — история о создании просто RDP-клиента, пришлось поменять её на «Организация рабочего стола Windows с использованием СПО», имея в виду, что мы оставляем операционной системой сотрудника MS Windows, но доступ до неё даём используя FreeBSD/Linux и RDesktop/FreeRDP. Но как обычно все всё поняли неправильно. Плюсом к этому к вечеру дико уставший, я рассказал всё совсем не так как хотел. В результате получилось то, что получилось. Выкладывать саму речь нет никакого желания, я ей не доволен, но раз уж обещал, вот:

48 комментариев

  1. Unleashed 2000 Сентябрь 26, 2016 9:41 дп  Ответить

    Дмитрий, спасибо Вам огромное!

    Всё доходчиво и понятно.
    Шутки остроумные и к месту.
    Похоже, что Вы рассчитывали на сеть, но что-то пошло не так, в итоге Вы очень хорошо симпровизировали.

    Посмотрев видео, я понял, что работал на чём-то подобном в одной региональной конторе. И да, я не подозревал, что терминал НЕ под Windows.

  2. sashkadv Сентябрь 26, 2016 10:19 дп  Ответить

    мне понравилось

  3. Павел Марачков Сентябрь 26, 2016 10:29 дп  Ответить

    Дмитрий, благодарю за очень увлекательный рассказ. Было приятно и интересно послушать.

    Когда в конце презентации рассказывали про воровство и камеры наблюдения, вспомнился забавный случай http://minsknews.by/blog/2016/09/13/delo-tehniki-iz-ofisa-razrabatyivayushhey-programmnoe-obespechenie-firmyi-ukrali-noutbuki/

  4. Hemulo Сентябрь 26, 2016 11:40 дп  Ответить

    Спасибо за доклад!
    Я узнал новые для себя вещи и даже появились кое-какие идеи.

  5. Олег Бурвиков Сентябрь 26, 2016 1:34 пп  Ответить

    Дмитрий большое спасибо за видео, я с Украины и очень бы хотелось побывать на докладе.
    У меня на работе реализованы тонкие клиенты но начальство не готово было покупать тонике клиента типа как на докладе и прошло очень долго собирать образ Thinstation под разные старые компьютеры, к счастью все получилось и наш образ подходит почти к любой конфигурации компьютера.
    Очень хороший доклад, всех благ ))

  6. Иван Сентябрь 26, 2016 3:05 пп  Ответить

    Час жизни потрачен НЕ зря. Спасибо Дмитрий!

  7. Дмитрий Кузнецов Сентябрь 26, 2016 3:34 пп  Ответить

    Дмитрий. Не подскажите, где можно скачать данную сборку для режима тонкий клиент к этим Lenovo. Имеется некоторое количество на работе таких аппаратов в бухгалтерии и как ПК они очень медленны. Хотелось бы сделать из них именно клиентов для RDP. Заранее спасибо в любом случае.
    P.S. А доклад действительно был любопытен с профессиональной точки зрения. Да и вообще.

  8. Александр Марченко Сентябрь 26, 2016 6:27 пп  Ответить

    Спасибо, как раз этим занимаемся — интересный опыт, будем использовать Ваши идеи в своих проектах) Хотел уточнить насчет Крипто Про: имеем Win Server 2012 в котором через Крипто Про по RDP вполне себе работает юзер с банками, ключи при этом стоят на сервере — какие проблемы встретили Вы?

    • Александр Сентябрь 28, 2016 1:27 дп  Ответить

      То, что сервер в Амстердаме

    • Дмитрий Фисенко Сентябрь 29, 2016 7:14 пп  Ответить

      Полностью согласен что КриптоПро работает отлично.
      Ниже я описал свои наблюдения и опыт использования токенов в терминальной сессии.
      На сколько я знаю, что в новых версиях драйверов токенов, ради безопасности, отключили возможность доступа из терминальной сессии к ключу подключенного физически в сервер.
      Поделитесь, пожалуйста своим опытом

  9. Сергей Пономарёв Сентябрь 26, 2016 7:27 пп  Ответить

    Как говорится, нет пределу совершенству, но в данных создавшихся условиях доклад получился вполне себе неплохой.)

  10. sEr... Сентябрь 26, 2016 7:32 пп  Ответить

    Спасибо за видео! Дмитрий, тебя смотрит, я думаю, много коллег. Было бы не плохо, еслиб ты иногда выпускал такие практические видео по работе, как вы что-то там эдакое замутили или побороли. 🙂 У тебя хорошо получается рассказывать. Не знаю, чем ты не доволен в своём выступлении. Наверное, ты хотел ещё лучше, но на мой взгляд получилось вполне хорошо! Спасибо!

  11. Андрей Сентябрь 26, 2016 8:24 пп  Ответить

    Дима, спасибо за визит в наш город. Приятно было тебя увидеть в живую и даже оставить твою фотокарточку на память )
    На докладе видно было что ты волновался, но выступил, имхо, очень достойно. Всё-таки выступать завершающим докладчиком очень тяжело, но свои аплодисменты ты срывал 🙂
    Ждём снова в гости, ну и, надеюсь, тебе у нас понравилось.

    • Bocha Сентябрь 26, 2016 8:37 пп  Ответить

      Спасибо, очень понравилось!

  12. Hemulo Сентябрь 26, 2016 9:02 пп  Ответить

    А после докладов какие-то что-то ещё было?

    • Hemulo Сентябрь 26, 2016 9:06 пп  Ответить

      На полуфразе меня отвлекли, и вопрос смешной получился 😉

  13. Vladimirs Tanciks Сентябрь 26, 2016 10:01 пп  Ответить

    Очень позновательный доклад, узнал много нового. Спасибо 🙂

  14. Дмитрий Клюев Сентябрь 26, 2016 10:16 пп  Ответить

    Все выступающие были молодцы, но их минус (имхо) был в том что они рассказывали про технологии которые мало где применимы . Ваш же доклад был про самые злободневные проблемы рядового сисадмина + подача и наполнение на хорошем уровне. Полностью оправдали звание хэдлайнера )

  15. Влад Сентябрь 26, 2016 11:00 пп  Ответить

    Как обычно Дмитрий слишком самокритичен. Очень хороший доклад и выдержан в его фирменном стиле. Смотрел на одном дыхании. Час пролетел незаметно.
    Большое спасибо.
    Из личного опыта — тонкие клиенты любит компания Siemens, устанавливая на любое промышленное оборудование. Начиная от токарных станков, и до автоматической линии по сборке «космических кораблей». Очень удобная и простая штука.

  16. Der Rote Baron Сентябрь 27, 2016 12:14 дп  Ответить

    Огромное спасибо. Было очень интересно послушать,вынес для себя достаточно много полезного даже при том, что к работе админа и даже офисного эникейцика отношение имею крайне опосредованное

  17. Тим Сентябрь 27, 2016 1:02 дп  Ответить

    Отличный доклад, Дмитрий!
    История про wine просто на 10 из 10 🙂
    Хотелось бы узнать, не интересно ли тебе в рамках отдельного обзора рассказать об RDP не в рамках 16 бит, но в подобном формате?

    Спасибо c:

  18. Виктор Птицин Сентябрь 27, 2016 2:28 дп  Ответить

    Спасибо за запись. Посмотрел, мало что понимаю в таких темах, но интересно послушать умного человека )
    Все- таки у Дмитрия есть скилл рассказчика !
    Все понравилось, хорошо выступили .

  19. warik Сентябрь 27, 2016 6:32 дп  Ответить

    Дима, как всегда скромничает говоря что в докладе что-то не так. Да, было бы лучше если бы Ethernet всё таки предоставили, как и задумывалось, но… Но весь доклад посмотрел на одном дыхании. Очень познавательно, доступно и интересно. Большое спасибо!
    Хотелось бы больше такого рода роликов. Но к сожалению, я понимаю что у Димы канал всё-таки развлекательный.

  20. Сергей Ш Сентябрь 27, 2016 8:44 дп  Ответить

    Дмитрий, даже без интернета было понятно как работает тонкий клиент. Так что не сильно расстраивайся) Мне всё понравилось, очень интересно.
    А CAD-программы через rdp нормально работают?

    • Сергей Ш Сентябрь 27, 2016 8:50 дп  Ответить

      Например такие как Solidworks или Unigraphics

  21. intr0ver Сентябрь 27, 2016 12:39 пп  Ответить

    Маловато ненависти к себе))
    В такие моменты мне всегда вспоминается закон Мёрфи: Неважно, что что-то идет неправильно. Возможно это хорошо выглядит… Доклад мне понравился, да и шутки по большей части заходили на ура. Да, не идеально получилось, но со стороны выглядело очень достойно, да и много ли у вас опыта таких риал лайф стримов?. Спасибо, что выложили в хорошем качестве, жду больше подобных видео!
    Пользуясь случаем хочу передать привет всем тем, кто ждёт только 16 бит, надеюсь вы скоро поймёте, что вы теряете.

  22. Stranger Сентябрь 27, 2016 1:39 пп  Ответить

    Идея совершенно не нова: это абсолютно правильно выбранное решение для этой проблемы, все выбранные технологии являются стандартными. Существуют готовые решения(ltsp.org). Как я понял, доклад популяризирующий, но стоило уточнить, что мы тут не велосипед изобретаем, а используем незаменимые инструменты для решения конкретных задач.

  23. vadimml24 Сентябрь 27, 2016 1:51 пп  Ответить

    Дмитрий, спасибо за Ваше творчество! Вы стали своеобразным толчком моей «тонкой виндовой» натуры в сторону опенсурс систем. Я почти пятнадцать лет работаю с «окнами». И вот я кажется прозрел! Ваши видосы смотрю регулярно. (Времена Вашего отсутствия в сети были скудными на качественную инфу). Спасибо, что вернулись! Спасибо, что Вы есть!

    Прошу воспринимать вышесказанное ни как пафосное восхваление, а как СПАСИБО!

  24. Roman San Сентябрь 27, 2016 2:33 пп  Ответить

    Интересный доклад, и вопрос освещался нужный и полезный (и как будто выпуск 16 бит посмотрел))
    Спасибо!

    З.Ы. Теперь мы знаем где Дима работает :))

  25. Сергей из г.Королёв Сентябрь 27, 2016 3:30 пп  Ответить

    Дмитрий, спасибо за доклад! Очень интересно было послушать еще и потому, что в своей организации я применяю примерно такую же схему работы с терминальным сервером. Есть несущественные отличия в деталях, но они не столь важны.
    Собственно хотел поделиться кое-какими соображениями по поводу выноса браузера на локальную ОС из терминальной сессии. В таком варианте работы мы получаем крайне не удобную для пользователя систему. Т.к. если у него например почта в веб-интерфейсе (а я так понял что у вас именно так, да и много где уже так), а вся остальная работа в терминале, то пользователю нужно постоянно переключаться между локальной ОС и терминальной сессией. А если по почте прислали вложения, то для их обработки их надо перенести на терминал. Геморрой короче.
    Насколько я понял было две причины сделать такую систему: непомерное расходование памяти и соображения безопасности (пользователь запустил троян/поймал какую-то заразу). С первым понятно — можно бороться только увеличением памяти сервера. А вот про второе вот что есть сказать:
    1. Пользователь на терминальном сервере работает без админских прав (надеюсь это даже не обсуждается 🙂 Следовательно зловред, запустившийся в сессии конкретного пользователя с его правами, сможет нанести вред только файлам данного конкретного пользователя. Испортить файлы другого пользователя или системные файлы он не сможет, т.к. просто нет к ним доступа. Сами же файлы не хранятся на терминальном сервере, а лежат на файловом сервере (для пользователя происходит прозрачная переадресация), где архивируются хоть по нескольку раз на дню. Аналогично и с какими-то общими папками (если они есть). Т.е. в самом худшем случае мы теряем несколько часов работы (в зависимости от частоты бэкапа). Сам профиль пользователя в случае порчи его зловредом просто удаляется и настраивается с нуля (5 минут). Важный момент — на сам сервер должны оперативно устанавливаться все обновления безопасности. Что бы зловред не смог воспользоваться уязвимостями в ОС и натворить дел даже не имея админских прав изначально.
    2. Серверные редакции Windows (и кстати десктопные в максимальных редакциях) имеют такую прикольную штуку как AppLocker. Она блокирует (хотя если быть точным наоборот — разрешает) запуск приложений по определённым правилам. Правила там весьма гибкие. Тут я их описывать не буду, т.к. получится очень много букв. Короче смысл в том, что с помощью этой штуки можно сделать например так, что бы приложения могли быть запущены только из папки Program Files и Windows. Т.е. ОС просто физически заблокирует запуск любого исполняемого файла не из этих папок. А не имея админских прав файл туда записать не возможно. Таким образом зловред просто не запустится. Шах и мат, как говориться.
    [Описание конечно несколько упрощенное, но иначе это на целую статью потянет. Гугл в помощь в общем:)]

    Вот такая система реализована у меня. Что позволило не выносить браузер из терминальной сессии, что несомненно удобнее для пользователя. И, на мой взгляд, достаточно безопасно. Да, антивирус на терминале конечно это не отменяет.

    Если есть в этой схеме изъяны с радостью выслушаю. Критика приветствуется в общем.

  26. Сергей из г.Королёв Сентябрь 27, 2016 3:40 пп  Ответить

    И еще хочется более развёрнуто ответить на вопрос человека спросившего почему в качестве тонких клиентов применяются системники, а не специализированные тонкие клиент в их классическом понимании.
    Когда я внедрял эту систему я этот вопрос конечно же тоже изучал. И получилось вот что:
    1. Хороший (это ключевое слово) тонкий клиент по стоимости ВНЕЗАПНО оказался дороже чем новый системный блок с лицензионной (!) Win7. С дешевыми был опыт в одной конторе: купили их несколько десятков, они поработали несколько месяцев и начали помирать пачками.
    2. Тонкий клиент это, как ни крути вещь в себе, и не обладает гибкостью вообще. Скажем завтра выйдет новая версия RDP, а производитель прошивку обновлять откажется — покупайте мол новую модель. Это про «вещ в себе». Или скажем какое-то приложение не работает в терминальной сессии. Скайпом, например, через RDP пользоваться практически не возможно. А надо. И в этом случае мы ставм его на локальную ОС и работаем. И если у нас ТК, то вопрос не решаем. Это про гибкость.
    3. Как правило уже есть парк компов которые можно превратить в тонкие клиенты бесплатно 🙂 Аппаратные же ТК надо покупать.

  27. evg Сентябрь 27, 2016 7:42 пп  Ответить

    Да норм всё получилось. Спасибо за доклад.

  28. supershmel Сентябрь 27, 2016 8:23 пп  Ответить

    Добрый вечер, Дмитрий Большое спасибо за выступление!

  29. Дмитрий Ярош Сентябрь 27, 2016 9:57 пп  Ответить

    Дмитрий спасибо за доклад. Такой вопрос может быть в одном из выпусков 16 бит Вы расскажете об истории «Облачных АТС» их применении и перспективах? Спасибо.

  30. Смерть Крыс Сентябрь 27, 2016 10:34 пп  Ответить

    Какая тёплая дружеская атмосфера! Очень жалею что не смог поехать. Надеюсь, это мероприятие будет не последним.

  31. dPlayer Сентябрь 28, 2016 6:01 пп  Ответить

    Доклад на дне)))

  32. Дмитрий Фисенко Сентябрь 29, 2016 7:04 пп  Ответить

    Дмитрий, спасибо за доклад!
    Но в одном моменте с вами не соглашусь:
    CriptoPro отлично работает в терминальной сессии!
    Просто проблема не в самом КриптоПро, а в драйверах самих токенов.
    Физически воткнутый (= или проброшенный USB-Redirect) токен в терминальной сессии просто не определяется.
    Наличие токена вы можете наблюдать в панели управления Rutoken. (http://www.rohos.com/1/wp-content/uploads/2013/12/rutoken.png)

    И в принципе есть два способа решения данной проблемы:
     — заставить сам RDP клиент пробрасывать ключ, точно так же как принтер
       (виндовый клиент справляется с этим на ура)
       Таким образом ключ становится доступным только в одной конкретной терминальной сессии
     — КриптоПро может сохранять сертификаты в реестр и сам токе после импорта уже больше не будет нужен

    Во втором способе нужно учитывать:
     — что ключи в реестре храняться в отденьной ветке реестра для кажого пользователя отдельно
     — что второй способ не всегда годится, тк НЕ все банки (и подобные организации) используют КриптоПро
       (Я встречал банковский софт написанный на JAVA который напрямую общается с eToken)
       И в этом случае только проброс через RDP или же ваш способ ))

  33. Дмитрий Фисенко Сентябрь 29, 2016 7:37 пп  Ответить

    Дмитрий, а как на счет поделиться образом?
    Был бы благодарен опробовать, что у вас получилось.
    Сравнительно недавно искал и пробовал разные варианты(ThinStation и тп) похожие на ваше решение,
    но к моему разочарованию windows пока твердо сидит на первом месте по всем параметрам(((
    (Решающие фактором является количество танцев с бубном, тк я IT-аутсорсер и очень сложно да и порой невозможно уделять много времени на пляски с линукс)

    • Дмитрий Кузнецов Октябрь 1, 2016 8:09 дп  Ответить

      Вот я тоже у Дмитрия просил (пост выше) Но видимо это не для всех. А пробовали искать в просторах инета? Может есть чтото подобное подвергающееся редактированию. Напишите.

  34. Melch Октябрь 2, 2016 11:09 пп  Ответить

    Оправдали, Дмитрий, ожидания. Доклад отличный. То что можно считать минусом, на мой взгляд, наоборот — положительный момент — доклад живой получился.
    С такими примерно аппаратами столкнулся на работе.. Они по факту как обычные desktop работают. Под Windows 7 реально не супер быстро.
    Сервер удалённый я так понимаю уже поставляется с Windows server, остаётся только Cal лицензии купить.?

  35. Сергей Октябрь 5, 2016 12:25 пп  Ответить

    Добрый день! Очень интересный доклад. Не расслышал название модели lenovo использованной для тонкого колиента, не могли бы написать тут?

  36. Виктор Октябрь 7, 2016 7:14 дп  Ответить

    Очень интересно. Получилось здорово, и по содержанию, и по форме, как у вас обычно и бывает. С названной вами оценкой ваших видеобзоров вы, наверное, подобрали не точное слово. Это никак не отстой, даже близко. Это простые вещи, это понятно. но это их свойство. Каждое дело на своём месте. И есть пожелание, может быть, вам стоит относится к своей деятельности менее самокритично. Получается у вас здорово.

  37. xoxma Октябрь 9, 2016 1:40 дп  Ответить

    Доброго времени суток.
    Дмитрий по поводу проброса в терминальную сеть электронных ключей. Мы в пределах одной сети используем для проброса данное устройство http://www.tp-linkru.com/products/details/cat-5688_TL-PS310U.html. На данный момент пробрасываются все ключи которые имебтся в наличии.

Leave a comment

Войти с помощью: 

Ваш e-mail не будет опубликован. Обязательные поля помечены *