Re: Firefox - jak ustawic proxy przy pomocy AD?

Konrad Kosmowski wrote:
> *** Tomasz Onyszko <T.Onyszko_nospam_@w2k.pl>:

OK - teraz bede w ciagu dnia rzadziej odpowiadal a w eweekend wogole ale
jeszcze odpowiem chociaz na kilka rzeczy.

(...)

> 1. Działa mechanizm (jakikolwiek skuteczny) cacheowania plików.
> 2. Dla sieci lokalnej nie ma różnicy czy przepycha 1MB czy 5MB - z
> reguły nie ma, jedna stacja pewnie dziennie generuje ok.
> (optymistycznie) 50MB ruchu - a my mówimy o 5MB w skali np.
> miesiąca... No proszę...
(...)
zgadza sie

(...)

> I ta sieć miała 5000 takich końcówek (na łączach 128kbps)? Coś mi się
> wierzyć nie chce. To jest właśnie taka wyimaginowana sytuacja:

Uwierz :) - po kilkanascie koncowek na laczach od 128kbps do 512 kbps

>
> 1. To w jaki sposób im pchaliście te poprawki?

Nocami na stage serwery - jak sam zauwazyles tak to jakos trzeba
obdzocic, problem zaczynal sie gdy poprawka byla na tyle duza ze nie
udalo jej sie przepchac w nocy - rozpoczynaly sie telefony od
uzytkownikow dlaczego to nie dziala :)

> 2. Skoro ściąganie poprawki z Internetu przeszkadzało im w pracy to
> rozumiem, że praca wiązała się z pracą poprzez Internet - no więc
> 128kbps jakby nie patrzyć to jest za mało do wygodnej pracy przez
> Internet (dla kilku maszyn).

z praca z aplikacja umieszczona gdzies w sieci, niekoniecznie w sieci
Internet

>
> W każdym razie sytuacja 5000 maszyn po kilka w sieci połączonych łączami
> 128kbps to jest dla mnie nierealne, 5000 maszyn w kilkunastu sieciach po

widzisz ... samo zycie .. czasami jak widac bywa nierealne

(...)

> Strata:
> Czasami się posypie - trzeba zainstalować (albo poczekać na) nowszą
> wersję.
>
> IMHO korzyści są większe. :)
No chyba ze przez taki dodatek FF nie startowal po zmianie wersji -
trzeba bylo go wyrzucic i pracowac bez niego. ALe szczerze musze
przyznac ze zdarza sie to coraz czesciej - przy dwoch ostatnich
uaktualnieniach juz nie mialem takich problemow.

(...)

>
> Z FF jest *na* *razie* o tyle przyjemniej, że ZTCW nie jest atakowany,
> każdy poważniejszy patch na Windows po kilku dniach dorabia się
> exploitów wykorzystujących luki, które poprawia. To wymusza
> zainstalowanie go. Z FF tak *jeszcze* nie jest.

Tego bym jako przykladu akurat nie wyciagal - to nic nie pokazuje. To ze
  do wybuchu bomby zostalo 10 godzin nie powoduje ze bomba jest mniej
grozna.

(...)

> Co do konfiguracji jestem w stanie się zgodzić, już teraz można w pewien
> sposób na to wpływać, wygląda to tak że przygotowujesz samemu
> skonfigurowany pakiet i pchasz na końcówki, niestety rozsądnej metody na
> ustawienia użytkownika (FIXME) nie ma.

W jakim zakresie - w zakresie systemu Windows i oprogamowania ktore
dostarcza ADMy i mozliwosc konfiugracji przez GPO - jak najbardziej jest.
(...)

> Koszty pasma w tej skali (5MB co dwa tyg. - pesymistycznie) są
> pomijalne. Inne koszty są o rząd wielkości większe.

juz tylko zeby byc dokladnym 5MB x liczba stacji .. co juz moze byc
niebanalne

(...)

> W przypadku przechodzenia firmy mającej 100 tys. userów na inną
> przeglądarkę to różnica w rozmiarze tej paczki nie ma *żadnego*
> policzalnego znaczenia, koszty pochłonie support/przeszkolenie
> pracowników, poprawienie (ewentualne) aplikacji aby działały i pod tym,

Zgodze sie ze te koszty ktore wymieniles sa o wiele wieksze, ale sposob
zarzadzania porawkami jest tez wazny, wierz mi.
(...)

> kwota w skali nawet niewielkiej firmy. To co jest najdroższe to praca
> ludzi, porównaj sobie pensję wykfalifikowanego pracownika z kosztami
> łącz, wtedy różnica 5MB/500KB nie jest istotna. :)

Nie wiem dlaczego nasza dyskusja dazy do wielkosci paczki a nie samej
funkcjonalnosci rozwiazania.
> spenetrowaniu rynku korporacyjnego) powinni zająć się nad rozwinięciem
> np. integrowania FF z rozwiązaniami uwierzytelnianias na różne sposoby,
> z tym o czym wspomniałeś (ułatwienie centralnej konfiguracji), ale na
> Miłość Boską sama waga pliku jest totalnie nieistotna.

Ja naprawde nie podnosze tego argumentu - tylko wraca on caly czas z
Twojej strony :)

(...)

>
> To nie jest problemem - codziennie z rana maszyny się bootują i łapią
> nowe pakiety. :) Z resztą co chciałbyś zmieniać PO STRONIE PRZEGLĄDARKI
> co znacząco wpływa na cokolwiek? Proxy? Jest automagicznie
> konfigurowane. Co jeszcze? Logo? :>

rozne rzeczy - chociazby suffixy DNS ktore maja byc dodawane z automatu
i takie tam
(...)

> Ale co ustawiasz przez GPO na ten przykład? Co *konkretnie*, jakiś
> realny przykład.

Wszystko :) co sie da oczywiscie. Konfiguracje srodowiska usera,
przyslowiowy wygaszacz ekranu, to co user widzi w start a czego nie,
ustawienia zabezpieczen IE, ukrywam im zakladki IE, konfiguruje opcje
Office (w zakresie tego co daje ADM), wylaczam mozliwosc browsowania
sieci i takie tam.Oprocz tego wymuszenie czlonkostwa w grupach
zabezpieczen. Dozwolony rozmiar folderow temp dla IE .. wszystko co sie
da ustawic rpzez GPO.

To nie jest wyimaginowana sytuacja - to sa rzeczy ktore normalnie sie
kontroluje przez GPO.

A jak czegos nie ma w ADM a jest kontrolowane rpzez rejestr to sobie
moge sam szybko do dorobic.

Jak bardzo chcesz to mzoesz ustawienia Power maangement im nakladac nawet

(...)

> No puścić pliki po klientach. :) Tak to wygląda, GPO to też pliki
> puszczane na klienta w gruncie rzeczy, tylko może mają ładniejszy
> interfejs. ;)

Ano .. i jeszcze to ze masz zapewniony mechanizm dzieki ktoremu nie
musisz siedziec i pilnowac czy dana stacja juz dostala nowy plik czy nie.

>>Ale jak zauwazyl Pawel Golen warstwa wirtualizacji dostepu do
>>konfiguracji rozwiazalaby problem
>
>
> Oczywiście, że tak - ale jak już napisałem, dorobienie czegoś takiego
> nie jest trywialne ani nie jest to w gestii firm rozwijających FF. BTW

akurat totuaj bym stwerdzil ze to jest w ich gestii - raczej mozna
powiedziec ze nie jest w zakresie ich zainteresowan.

> tego typu rozwiązania (abstrakcja nad - wirtualizacja to zupełnie co
> innego) są w FF - np. interfejs użytkownika, na Windows kompiluje się z
> toolkitem win32, na innych systemach z toolkitem GTK - można dodać (jak
> ktoś będzie miał taką potrzebę) inny toolkit - dorobi się opcje
> kompilacji. ;)

Jak widac w zakresie GUI im sie chcialo - w zakresie konfiguracji juz
nieszczegolnie. przecciez to ta sama zasada.
(...)
> dostarczał różne backendy do tego to droga wolna. Po prostu zrozum w
> jaki sposób rozwija się FF. :)

Wydaje mi sie ze rozumiem - ale zrozum tez jak dzialaj firmy typu
enterprise - tam nikt nie bedzie developowal takiego rozwiazania bo im
sie to nie oplaca jezeli maja inne gotowe ktore takiej funkcjonalnosci
dostarcza. I licza koszty i zyski i pomimo wad tego innego ktore ma to
wbudowane wybieraja je.

> Sorry to bzdura. Rozumiem, że jesteś niewyspany. W sensie HAL w Windows
Ano.

> jest charakterystyczny... dla Windows - nie ma tu mowy o innych
> systemach.

Bierzesz to zbyt doslownie - HAL posluzyl mi tylko jako przyklad takiej
wlasnie wartwy wirtualizacji.

> Wyimaginowana sytuacja. W takiej skali - czego byś nie chciał włączyć -
> tego sie nie robi z dnia na dzień. Testuje się długo, wdraża się przez
> jakiś czas, daje się jakiś okres toleranci w którym oba rozwiązania
> (starsze i nowsze) działają, sprawdza się czy wszystko poszło OK,
> poprawia się to co nie poszło OK i dopiero jest koniec... To *nigdy* nie
> jest z dnia na dzień - nie opowiadaj bajek. :) To jest nierealne co
> mówisz. ;)

nierealne mowisz :) no wlasnie - zakladasz swiat idealny. Nie wiem czy
kojarzysz sytuacje sprzed kilku miesiecy kiedy w jednym z bankow w
anglii rano przestalo wszystko dzialac. No wlasnie .. testowali,
wdrazali itp i mieli wszystkie potrzebne rozwiazania. tylko krytycznego
dnia jeden (moe tez niewsyapny) czlowiek nacisnal nie tam gdzie trzeba i
wyslal bledna konfiguacje do wszystkich stacji roboczych. Zanim sie
zorientowali wiekszosc banku lezala. To pokazuje ze takie sytuacje sa
jak najbardziej realne a jak chcesz byc na nie gotowy to musisz w
projektowaniu i planownaiu te nierealne wg ciebie sytuacje uwzglednic.

> Również się nie zgodzę - zabezpieczenia to ja wprowadzam po tej stronie
> po której jestem - na serwerze, na kliencie to niech tam się dzieje co
> chce, to nie jest zabezpieczenie.

hmm ... no ja do tego tak nie podchodze, uwazam ze jak user nie bedzie
mogl u siebie czegos zrobic to nie zrobi przypadkiem sobie krzywdy, mi
problemu a i oszczedzi wszystkim pracy przy odkrecaniu tego co sobie
napsul w systemie.

> Wiesz ten przykład z przejściem na nowy protokół (SSL wersja++) to
> chybiony IMHO - OK w totalnie zamkniętych sieciach może tak się zdarzyć,
> ale np. masz serwer pocztowy - dla N tys. ludzi - oni muszą po prostu tą
> pocztę czytać, nie możesz z dnia na dzień zmienić protokół i kazać im
> się przekonfigurować, to wymaga sporego przygotowania, okresu

(...)

No wlasnie - zarzadzanie w takich sieciach w sposob scentralizwoany (i
tak to wyglada, wierz mi) polaga na tym ze testuje to wszystko
odpowiedni dzial i potem po porstu klika co trzeba, nowa konifguracja
sie propaguje po sieci a ludzie nawet nie widza ze im sie cos zmienilo.

> przejściowego, informowania użytkowników itd. - a i tak jak już
> zamkniesz stary protokół to zgłoszą się do Ciebie ludzie, że nie działa.
> ;) Tak to wygląda.

Nie zglosza sie bo ty przez wypchniecie im odpowiednich ustawien przez
mechanizm taki jak chociazby GPO (bo sa rozne metody) spowodujesz ze to
im po prostu bedzie dzialac.

(...)
>
> IMHO nie - to jest grupa dyskusyjna o Windows NT - sobie dyskutujemy,

o Windows NT to ona juz od dawna nie jest

> ostatnio grupy dyskusyjne działają głównie na zasadzie pytanie ->
> odpowiedź, a to nie o to chodzi. :)

:) - ale kto o tym jeszcze pamieta

-- 
Tomasz Onyszko
http://www.w2k.pl