Re: Firefox - jak ustawic proxy przy pomocy AD?

Tomasz Onyszko wrote:

>>> OK, i to jest dobry przyklad - ja nie mowie ze sie nie da, bo jakbym
>>> mial taka siec to tez bym sobie poradzil.
>>
>>
>>
>> Czyli troszkę dramatyzujesz. Więc właściwie w czym jest pies
>> pogrzebany? W czym tkwi problem?
>
>
> To ze bym sobie poradzil nie oznacza ze jakbym projektowal taka siec to
> bym przyjal takie rozwiazanie. Hund jest begraben w tym ze jezeli juz
> mowimy o FF i jego zastosowaniu w wiekszych sieciach to dla mnie
> powinien dorobic sie dwoch mechanizmow:
> - zarzadzania konfiguracja w sposob zcentralizowany
> - uaktualnien w postaci patchy a nie pelnych instalacji

Zacznijmy od tego, ze chyba zaden normalny admin w duzej sieci nie
bedzie sie zajmowal instalacja rozszerzen dla uzytkownikow do Firefoksa.

A jak juz, to mozna wrzucic rozszerzenie do katalogu z zainstalowanym
Firefoksem, i bedzie dzialac dla uzytkownikow (tak mi sie wydaje, nie
sprawdzalem).

Zmiana globalnych ustawien Firefoksa polega, jak sie okazuje, na zmianie
w jednym pliku, i ew. przegraniu go na stacje.

> To takie tam .. zgodze sie ze takie argumenty na pierwszy rzut oka
> wygladaja na wyimaginowane a i ja specjalista od kosztow itp nie jestem
> ale w skali wiekszych firm z rozbudowanymi sieciami i tysiacami userow
> to juz zaczyna sie liczyc. Bo jak przekonasz do przejscia na FF lub inne
> tego typu oprogramowanie firme ktora ma 100k userow (a nie dalej jak
> wczoraj z czlowiekiem ktory pracuje dla takiej firmy przy AD
> rozmawialem). Teraz policz ile potrwa przeslanie do 100k stacji 5MB a
> ile 50KB i tak dalej ...

Nie sadze.
5 MB to smiesznie malo. Jak to sie ma w porownaniu do instalacji Acrobat
Readera czy chocby Office? Nawet jakby w jakiejs Firmie ktos instalowal
wszystkie wersje Firefoksa, poczawszy od tych wczesnych alpha, to by nie
wysycil tyle sieci co cwierc instalacji Office.

Tak wiec po pierwsze, jak ktos ma 100k stacji, to nie uzywa do tego
jednego serwera.
Na ile maszyn wystarczy jeden serwer? 100? 200? 300? Zalezy od warunkow
pracy, ale srednio "na oko" mozna zalozyc, ze komfort pracy zacznie nam
sie psuc w przypadku 100 stacji roboczych na serwer. Jak uzytkownic
pracuja z b. duzymi plikami, to bedzie to jeszcze mniejsza liczba.

Po drugie, przy 100k stacji, instalacja oprogramowania nie nastepuje o
godzinie 13.oo w piatek 13-tego, wszedzie jednoczesnie.
Etapami.

Po trzecie, co duza siec, to ma swoje wlasne rozwiazania.

> ano wlasnie .. a jak nagle trzeba bedzie zmienic ustawienia czegos w
> takiej przegladarce to co .. paczka i lecimy z dystrybucja.

wystarczy przegrac plik z konfiguracja.
poza tym, jakie ustawienia mozna zmieniac w przegladarce? strone domowa?
przegranie certyfikatow?

> A przy
> mechanizmie centralnego zarzadzania chociazby takim jak GPO to po prostu
> zmienam w odpowiednim obiekcie jedno ustawienie i dalej sie to
> dystrubuuje po klientach samodzilenie.

Z tym GPO to troche przesadzasz :)

Sam pracuje w sieci, ktorej daleko do tej liczby 100k, bo jest to
zaledwie kilka setek - ale z jakiegos doswiadczenia wiem, ze GPO do
oprogramowania nadaje sie do zainstalowania:

1. Acrobat Reader
2. MS Office > 2000 (2000 jest skopane)
3. MS Project
3. Java

I na tym lista sie konczy, a przewija sie u mnie sporo oprogramowania
(wyklady, seminaria na / z roznych programow itp., dzisiaj zainstalowac,
a pojutrze odinstalowac).

Nawet jak oprogramowanie niby daje sie rozprowadzic za pomoca GPO (bo
"paczka MSI"), to potem sie okazuje, ze wszedzie musi sie przejsc admin
i uruchomic program po raz pierwszy.

Albo program w paczce MSI, ale spod zwyklego usera nie zadziala, bo zle
prawa dostepu (to od biedy da sie zmienic GPO, ale pierw trzeba wybadac,
co jest zle).

Albo paczka instaluje sie za pomoca GPO, ale juz sie nie odinstalowuje.

Albo jak jest zainstalowana wczesniejsza wersja InstallShieldScript
Engine (potrzebna do zainstalowania QuarkXPress), to pozniejsza,
ISScript9 (potrzebna do instalacji SPSS13) sie nie zainstaluje, chociaz
bedzie "udawala", ze sie zainstalowala. I wczesniejsza wersja ISScript
odinstalowac sie nie da - pozostaje reinstalacja stacji robczych w salach :)
(co mnie wczoraj spotkalo - i co mialobyc sprawdzeniem 20 minutowym na
losowych dwoch maszynach czy wszystko gra, skonczylo sie po 6-ciu
godzinach, a i tak dzisiaj ktos musi dokonczyc i uruchomic wszystko jako
administrator).

Wiem ze to w 90% nie wina GPO, ale wadlie zaprojektowanego
oprogramowania, ale troche mnie strzela, jak zmarnuje kolejny dzien na
badanie przyczyn.
Najgorsze jest to, ze jest to czyste zmarnowanie czasu, bo nic sie przy
tym czlowiek nie nauczy, i taka "wiedza" jest po prostu nieprzydatna w
rozwiazywaniu problemow w przyszlosci. Nie lubie tego.

> W FF konifguracja oparta jest o
> pliki i ciezko cos takiego w tej chwili zrobic.

Jeden plik ciezko przegrac? Nie przesadzaj.

>> konfiguracji proxy i wyskakuje za pierwszym połączeniem monit o
>> autoryzację do proxy, jak user sobie zażyczy to zostanie to zapisane w
>> profilu - a że wszędzie logują się tym samym zestawem użytkownik:hasło
>> więc problemu raczej nie ma, nazwałbym to niedogodnością... Z resztą
>> nie pamiętam czy FF czasem nie obsługuje NTLM - jak ostatnio tam byłem
>> to wyglądało tak jak opisałem. Ja wiem, że zaraz zadramatyzujesz jakie
>> to ma ogromne koszty itd. w każdym razie tak to tam działa.
>
>
> To nie chodzi o niedogodnosc - powiedzmy z dnia na dzien musisz wlaczyc
> obsluge SSL 3.0 na tych 1.5 tys stacji bo w domyslnej paczce byla
> wylaczona, albo chcesz sie zabezpieczyc zeby userzy nie mogli wylaczyc
> tego co ty im wlaczysz ... to nie jest niedogodnosc. W pewnej skali to
> jest niestety juz brak funkcjonalnosci IMO - ale to jest moja osobista
> opinia i moge sie mylic, miec calkiem bledne pojecie o zarzadzadniu
> siecia itp.

Cos w tym pewnie jest, ale pewnie daloby sie to rozwiazac przez
ustawiania w pliku konfiguracyjnym.
Ja tak od zaraz tez bym nie wiedzial, jak to zrobic w IE :)

-- 
Tomek