понедельник, 18 апреля 2011 г.

Легенды и мифы ИТ #1: Number of previous logons to cache

imageЗнаете, как IT Pro я частенько сталкиваюсь с тем, что иначе как мифами и не назовешь. Видимо, IT уже настолько старая отрасль, что свои мифы в ней просто не обходимы. Иногда, столкновение с ними становится настолько частым, что объяснение что и где не так, как в этой легенде становится смертельно скучным. Что еще более удивительно, чем сам факт существования мифов, так это то, что описание того, как правильно, есть на куче ресурсов в Интернете, но... Ну, в любом случае, наверняка есть люди, которые знают людей, которые читают мой блог и не читают эти ресурсы, так что я все равно их тут изложу постепенно.

Давайте начнем с самого базового, но очень часто всплывающего мифа о работе одной настройки в групповых политиках. Да, ту самую, о которой сказано в заголовке. Я однажды встречал человека, которого из-за нее чуть не уволили. Правда. Как всегда: “входит шеф и говорит, что нужно запретить продажникам входить в их ноутбуки больше, чем 15 раз без подсоединения к корпоративной сети, а то задолбали вообще в офисе не появляться”. “Нет проблем”, отвечает ему администратор, меняет настройку политики на 15 и отчитывается о выполнении задачи. А спустя некоторое время выясняется, что задача вовсе и не выполнена и начальство спускает всех собак. Что же случилось и как это поправить?

Перво-наперво, однозначно было ошибкой не проверить, а работает ли Ваше изменение (Я тоже наступал в свое время на эти грабли… Плохие воспоминания… Smile).

Во-вторых, эта настройка регулирует вовсе не то, что кажется на первый взгляд. Если мы прочитаем ее описание в первоисточнике (а это хорошая идея для реализации перед изменениями), то мы увидим следующее: “Determines the number of users who can have cached credentials on the computer”. Или в моём вольном переводе: “Определяет количество пользователей, которые могут иметь закешированные учетные данные на этом компьютере”. Вот оно! Количество самих учетных данных, которые можно кешировать, а не раз, которые можно использовать каждый из них. Так что если у Вас есть разъездной ноутбук, на котором работает 15 пользователей (ого…), то это может Вам помочь. Но не сможет ограничить количество раз, которое можно входить в систему без контакта с  контроллером домена. 

И в-третьих, плохие новости: я не знаю, как сделать то, что требовал тот самый начальник. По-крайней мере, не знаю, как сделать это встроенными средствами Windows. Если Вы знаете – поделитесь. Впрочем, незнание, это все равно не повод говорить шефу, что Вы решили эту задачу.  Smile

4 комментария:

Анонимный комментирует...

Александр,
Данный миф существует вполне справедливо. В далеком Windows Server 2000 объяснения данной политики разнились от тех, которые приводились уже для Windows Server 2003. Сравните описания:
Determines the number of user logons to a Windows domain that are cached. - для WS 2000 и
Determines the number of users who can have cached credentials on the computer. - для WS 2003.

На зарубежных форумах ошибочная трактовка тоже выплывала. Зависит от того кто когда учился.

Alexander Trofimov комментирует...

Ну то есть не "кто когда учился", а "кто когда перестал учиться"? )
Шучу. На самом деле я видел некоторое количество людей у которых было мало шансов застать только W2K-окружение, так что пусть уж оно будет - это сообщение =)

Xaegr комментирует...

Следующий миф - QoS? :)

Alexander Trofimov комментирует...

Ну про этот я могу только сказать "ну как же вы задолбали" ;)
Но за идею спасибо =)