?

Log in

No account? Create an account
Приветствую всех,
Предыдстория вопроса с описанием ниже.

ВОПРОС: для чего - по Вашему мнению? Не бойтесь выдвигать предположения)



Вчера опубликовал подсказку


Оригинальные фото [под катом 3 фото]
фото масштабируемы!

Лицевая часть:

тыльная:


подсказка




Я несколько в шоке от мыслей пользователей Инстаграм)

Честно говоря и сам не сразу понял что ЭТО. Лишь после фото, отправленного сестренкой из Берлина, по моей же просьбе как выглядит то, что искал среди доставленных из Берлина вещей, я присмотрелся к этому куску резины более пристально.

Шаблонность мышления - играет с нами жестокие шутки.
Считайте эту "загадку" как треннинг от.

ответ будет лишь в четверг. Если кто верно скажет что - опубликую тут раньше ;)

Доступ к фото Google Disk

Андрею Сдатчикову, наверное проще будет слить в один ресурс - в подпапку "Deutsche_Technikmusseum" все мои фото с одноименного берлинского музея, потому как сразу найти нужное фото у меня не получается, а Вы (ну а вдруг. глядя на фото) захотите о некоторых из самолетов рассказать в своем ЖЖ/Instagram еще чего интересного.
У меня катастрофически не хватает времени в реале, молчу уж о сборе, переработке и подборке фото к повествованию что в ЖЖ что в Instagram.
Есть приобретенная в музее литература (к сожалению исключительно на немецком, книг на русском там нет, так как русскоговорящих посетителей в год очень мало) по теме.
Итак, общий ресурс с берлинскими фото (smail) тут, а конкретно по музею - тут: Deutsche_Technikmusseum

P.S. Фото 2016 года в папке "Deutsche_Technikmusseum" оказались оригиналами, не smail / Будет заканчиваться место - поменяю на smail :)

P.S.S. Не ожидал, что наличие в настольном компе четырех языков переключения между языками делает быстрый набор несколько мучительным)
Всего лишь к английскому, украинскому, русскому добавился немецкий (Германия).
НО! Придется помучиться, пока восстанавливаю знания/учу немецкий )))
Рассекреченные документы ЦРУ подтверждают существование «летающих тарелок» Третьего рейха https://mirvokrug.blog/2018/08/09/rassekrechennye-dokumenty-cru-podtverzhdajut/

Остается открытым вопрос:
в какой степени секретные документы нацистов повлияли на конструкторскую мысль американских и не только американских авиаконструкторов.
Только ли советские конструкторы страдали плагиатом в этом плане?
Не думаю, что быстро озвучки ответы на.

Ordnung ist Ordnung! ;)

Перебирал фотографии 2016, нашел фото, что сделал на площадке (небольшой овраг за селом - не знаю как это в немецком зовется), куда немцы свозят ненужную землю (земля с травой, обрезки деревьев и пр), отдельно лежат обрезки бревен и прочая.
Все отсортировано.
5 фото под катомСвернуть )В общем,- фото выше.
Если есть вопросы - что знаю - отвечу.
Отпуск - как музка,- от перебора куда б можно было бы хоть ненадолго поехать ;)
И - релаксирующего

ти ж мене..

Ничего личного - просто нравится сама песня


желающим ... - смотрим, когда (2011) опубликован клип))
Улыбнули несколько моментов из рассказа американки о впечатлениях жизни в нашей стране: Здесь вклад каждого имеет значение: американка, которая предпочла Украину

Мне, такому же городскому жителю - в детстве, в гостях в селе "у бабушки" - то же было сложно рано подняться, но вкус парного молока, ради дегустации которого меня, по городским меркам, часто рано будили, - помню до сих пор. :)

Процитирую заключительную часть рассказа:
--
В Украине есть энергия, которую я так редко видела в других странах. В ее истории сейчас уникальный момент, и, даже будучи экспатом, я ощущала все перемены и сдвиги. Вклад каждого отдельного человека в Украине имеет значение. И речь идет не только о политике! Когда бы я ни оказалась, например, в кофейне, там были молодые люди, которые работали над креативными проектами. Мне посчастливилось познакомиться с предпринимателями и обсудить с ними их планы развития. И у студентов, с которыми я работала, были позитивные планы на будущее.

Это то, за что я люблю Украину. Но, я думаю, что страсть и решительность - это то,что меня восхищает больше всего.

О своих путешествиях Эми Батлер рассказывает в личном блоге thewayfarersbook.com .
---
Сім уроків Ізраїлю для УкраїниСвернуть )

-------
Христос, за Біблією, 40 років водив іудеїв по пустелі, з тим, щоб пішло то покоління, у якого яскраво проявилася рабська психологія.
Україне поки лише 27.
Скільки нам років знадобиться, щоб зжити в собі дурні нахили, що заважають на шляху до процвітання кожного і всіх?
Полностью согласен с мнением Михаила Френцеля.
По меньшей мере в историческом плане. Откровенно не понимаю переворачивания исторических фактов с ног на голову ибо

"Мне же думается, что миф нужен лишь империи или тоталитарному режиму, а демократическая страна в нем не нуждается." (с)
Не прошло и пяти лет, как РФ все-таки призналось, что российские кадровые военные псковские десантники таки погибли на Донбассе в 2014 году . И это - правильно. Ибо вряд ли настоящие военные профи будут рады воевать где-либо, зная, что их после этого обзовут шахтерами или еще кем :)
Вот любопытно... Сколько еще лет понадобится Пу и Ко (или их наследникам - не важно), что бы признать, что МН-17 либо изначально задумывался (быть сбитым) малазийским либо был сбит ошибочно, а на деле на его роль готовился российский пассажирский самолет с российскими туристами? Нечему изумляться во втором случае. Кажется еще жуковы утверждали, что "мамки еще нарожают"?
цитата, с ссылкой на:

"О людях впечатление сразу было довольно нейтральное, потому что встречались разные. Бывало, страшно грубили или просто игнорировали, потому что я начинала говорить с ними по-русски, а бывало, абсолютно наоборот. Меня немного удивляет этот парадокс: литовцы не питают самые теплые чувства по отношению к русским, но при этом Клайпеда – второй самый русский город после Вильнюса. Я обычно пытаюсь обойтись базовым литовским, но если и применяю русский, то часто стараюсь упомянуть, что я из Украины, потому что это существенно меняет отношение."

Как это по 1988-1989 годам знакомо! Дважды проезжал из Калининграда в Киев через Литву и дважды - в Литве - сталкивался (тогда еще) с разницев в отношениик русскоговорящим))

Во фразе выше негативное отношение скорее не нации как таковой, а к республике/стране.
Продолжаем зафиксировать в ЖЖ то, что обычно пишется второпях на бумажке, а позже оказывается абсолютно невозможным прочесть; что же сделало напиток этого сезона столь божественным?

[Оригинальный рецепт выглядит так]
Оригинал эликсира, напомню - не мой, я лишь его записал.
:) Оды обожествления (Ваши) щедро поделившейся (рецептом) Натальи Ромашкиной благосклонно принимаются Мрзд.
Оно же, Мрзд, все видит, все подмечает, и, хочется надеяться также щедро одаривает благосклонностью Фортуны того, кого считает наиболее достойным) Не знаю как Мрзд, а я и мои родственники, уже 6 год и потребляющие и изготавливающие эликсир сей (кто по оригинальной, кто - в творческой переработке) искренне благодарят Рромашкину!

Рецепт rromashkina в оригинале выглядел так:


позже поступило уточнение:


И творчески перерабатываю. Каждый год)


[рецептура 2018р]

Итак, рукой супруги на листке написано:
Наливка -
06.06.2015


06.06
~ 0,3 л. водки " Хлібний дар"
1 ст. клубники (не полный)
2 ст. сахара

17.06.2018
1 ст. сахара
0,5 ст. черешни

01.07.2018
1 ст. клубники
1,5 ст. красной смородины
1 ст. крупной черной смородины
0,5 ст. черники
3 ст. сахара

25.07.2018
1 ст. крупой черной смородины
0,3 стакана сахара

c Отдельной банки добавлено 05.08.2018 в вышестоящую 10 л
~ 0,7 л. водки " Хлібний дар"
2 ст. крупной малины
1 ст. шелковицы
1 ст. черники
2 ст. сахара

24.07.2018
1 ст. крупной черной смородины

Показательная пресс-конференция, с подробнейшими аргументами



Объединенная следственная группа по делу о крушении сбитого в небе над Донбассом в июле 2014 года малайзийского Boeing-777 предоставила новые доказательства того, что самолет был сбит из установки "Бук", которая числилась на вооружении 53-й зенитной ракетной бригады ПВО Вооруженных сил РФ.

Тяжело

Тяжело после длительного перерыва вновь заставить себя чего написать; все какая-то лабуда выходит и чаще просто удаляется; - не тот настрой.
Любопытно - лишь у меня так? )

**
[песенка о Музе]
Утром встретил видео:


на Facebook_страничке ESET in Ukraine, по фразе в конце ролика "see Erik Johansson and other creative minds live at adobe Cretive Days" нашел - через Google и видео (выше), а также прочитал об авторе розыгрышей)

Можно сказать, что креативное утро сделало мне этот день)

А что нового у Вас?
Не знаю какие ныне бывают сюрпризы во поездок в другие города и/или командировок, все-таки наш, информационный век, более комфортен в плане вариаций приобретения билетов и путей следоваия)

[Эпизод первый] Но в далеком прошлом, летом 1986г., случилось у меня приключения поиска путей возвращения в Калининград, на одном из заводов которого тогда работал) Командировка была Краматорск Донецкой области, где находился один из центров переподготовки кадров ИТР МинТяжМаша СССР. По пути обратно заехал в Киев к родителям.
Лето, время отпусков....
Обратный путь был веселеньким. Билетов на прямой поезд "Харьков-Калининград" не было. Кому ехать с Киева - пересаживались на станции Бахмут. В общем договориться с проводниками мне не удалось, пришлось возвращаться в Киев. Не стану утомлять подробностями, отмечу лишь, что путь обратно занял почти 2 суток и проходил по общему маршруту: Киев - Бахмут- Киев - Рига (билетов в Калининград нет) - Минск (тут повезло) - Калининград :) Тот еще прикол.
Но смешливых приколов было в пути еще два.
1. Вышел в Минске, повездло купить билет. До отправления поезда - почти пять часов, потому вышел на привокзальную площадь. И тут почувствовал такой ;) родной, с чесночком запах типа домашней украинской колбасы, по запаху которой до торговой точки добирался почти 2 квартала. Отстоял очередь купил. Колбаса сырая, требующая термической обработки, ехать домой почти 8 часов. В общем купил 5 кило, о чем позже пожалел) Поезд прибывал в Калининград по-моему в 5зо.
Первым же автобусом доехал до нужной остановки, пришел в общежитие, положив колбасу в мини-холодильник (морозильного отделения не было). А жрать-то хочется - всю ночь вагон на запах отзывался чрезмерным чревоугодием, гадая, ;) и откуда такой приятный запах? ))

2. 6 утра. Общежитие. Голодный аборигент идет с кружком колбасы на общую кухню и начинает жарить ту самую кобасу.
По кухне распространяется одуряющий аромат.
Спустя минуты то же на запах в кухню ... поодиночке и ли попарно начинают подтягиваться заспанные молодые специалисты... ;)))) Жители Белоруссии (Минск, Гомель) смеясь и смакуя, схлеснулись в словесных перепалках с выходцами из Украины (Краматорск, Харьков, Донецк, ...) чья национальная колбаса вкуснее) Ну как обычно ;)
В общем, от кружка колбасы мне на пробу достались слезки))
Остальное ел уже сам. Вот тоогда-то и пожалел, что купил так мало. Кто ж знал, что все благополучно доедет, не испортившись? ;)


[Эпизод второй]Через два года, уже переехав на ПМЖ в Киев, случилась необходимость съездить в Калининград за одним из документов. По пути обратно столкнулся со схожей проблемой. Нет билетов.
Сентябрь 1989. Кто помнит - тот поймет о чем я) Прибалтика начинала гудеть..
Но суть не в этом.
Сунулся к кассе. Толпа злых людей и брошенное вскользь: "Говорят, нет билетов".
Чего меня тогда дернуло на импровизацию - и сам не знаю. Обращаюсь в кассу с характернім акцентом: "Доброго дня! Один квиток до Києва є?" Кассирша молча берет деньги , выписывает билет. Отхожу. Слышу за спиной злобный мат в адрес кассирши, и, ее невозмутимый ответ с прибалтийским акцентом: "Нэт билетов!" ;)
...

Выход есть всегда ;)

https://vbeelokurskiy.blogspot.com/2017/09/blog-post_13.html

Вспоминали забавные истории из прошлого.
Вспомнился одни рабочий день на КгВЗ, 31 декабря. Последний день: месяца, квартала, года ;)
Производственники прекрассно поймут о чем речь)
[не суетись под клиентом]
Тут надо чуть подробнее пояснить, чтоб понять ситуацию в целом)
Калиниградский вагоностроительный завод (КгВЗ) вырос из вагоностроительных мастерских бывшего Кёнигсберга. Разумеется, планировка завода претерпела минимум изменений. Основной плац шириной примерно 24 м с транспордерной тележкой (огромная платформа поперек движения на 4х  катках по двум рельсам (шинина колеи метров18) - помещаются либо 3 вагона, либо 2 вагона и меневрный тепловоз.  Платформа снабжена с двух сторон лебедками для втягивания или вытягивания с платформы вагонов. От ж.д. путей первыми идут механосборочные и металообрабатывающие цеха, чугунолитейный цех самый дальний от ж.д. путей, в конце.

Я тогда работал на литейном участке (плавка чугуна), мастером. Режим работы в литейном цеху ступенчатый: 1 смена - формовка, 2-я - плавка, 3-я выбивка. Для пояснения: нередко плавка начинала разогревать вагранку, когда формовка еще не все формы закончила, чтобы к тому времени как закончит, можно было начинать) И разумеется - ранее заканчивать смену, т.е. раньше 24оо.
До этого дня три предупреждал, просил, но никак не мог заставить начальника ПРБ чтобы вовремя подали все компоненты для нормальной плавки: кокс, передельный чугун, лом.
31 декабря, воодушевленный предстоящим праздником народ подтянулся к 11, чтобы пораньше начать, пораньше закончить и дружно усеться за праздничными домашними столами) Ага, ага, "хочешь рассмешить Бога - расскажи ему про свои планы" (с)
К 10зо в цеху нет кокса, передельного чугуна и лома.
К 12оо ситуация не изменилась. Траспортники ссылались на категорический приказ нового начальника, предписывающего все силы отправить на нужды сборщиков.
К 15оо все нервы истрачены и мною и нач.цеха и..., результат  нулевой.
Ну, какова реакция работников - понятно? ^(
И тут вспомнил внезапно, что:
а) новый начальник;
б) матерную манеру разговаривать зам. директора по снабжению Т-ча.
Из хулиганских побуждений поднимаю трубку и подражая Т. произношу на метерном сленге что-то типа : "Ты, %%%, какого х%% мне (голос типа в сторону: "Как там тебя..?") говорит, что до сих пор литейка не имеет компонентов для нормального завершения работы? Корочее, если через полчаса мне не похвонит этот х%% и не скажет, что все готово - в%% и высушу! Понял?!" и бросаю трубку; типичкная матера общения Т. в рабочее время, когда он зол) Выговорился, спустил пар ;)
Каково было моё изумление, когда меня нашли и спросили, что нужно. Ну с транспортиками мы все давно обговорили-  все было быстро и в нужной последовательности протолкнуто в цех. Они же меня в процессе транспортировки и спрашивали не менее изумлено с чего бы такое вот радикальное изменение? Общание выполнил - рассказал лишь :) после того, как все в цех доставили) Много смеялись, обещали никому ни-ни...
Т-чу я типа позвонил. Не знаю что подумали о моих умственных способностях там. Но главное - для плавки было все)
Потом пришлось рассказать начальнику с тем же: ни-ни..
Итог? ;))))
Приказом по заводу меня лишили премии (которую и так я не получал).
Ну и перед новым начальником пришлось покаяться после НГ, извинившись за...

А еще врут говорят, что бывают ситуации, когда нет выхода ;)
https://vbeelokurskiy.blogspot.com/2017/09/blog-post_11.html

- Молочко, испей молочко - нежный голос нежданно вторгается в обсуждение найденного конструктивного автомобильного решения внезапно. Озираюсь... и - никого, спрособного издать столь нежно, не замечаю.
Вновь проваливаясь в критическое осмысление найденного решения вновь слышу: "- Молочко...", и, рывком выныривая из сна понимаю, что супруга предлагает выпить кружку горячего молока со специями и медом ;)

Ну, здравствуй, давно забытое прошлое! ;)
Не совершенный констуктив АЗЛК-2140 и попытки найти свои решения некоторым проблемам этого московского "чуда-юда" советского автопрома.
Чуть позже, обдумывая, с какой стати, прилегшему помедитировать вечером и провалившемуся в сон, могла прийти такая мысль, вспомнил публикацию научного гения на ниве зоологии Виталия Харченко в Фейсбуке., с которого начинался вояж в давно почившее прошлое.

"Никогда не знаешь, где найдешь, а где - потеряешь" (с) - давно не особо упорно, но  искал и так нежданного нашел внятную историю возникновения троичной системы счисления...
4 сентября, 11:30 неофициальныq и неформальныq блог, выходящим под эгидой Центра анализа стратегий и технологий ( Центр АСТ ) - российской научно-исследовательской организации, занимающейся изучением вопросов оборонной промышленности и военно-технического сотрудничества подал как некую сенсацию придуманную новость с кричащим заголовком Строитель советских авианосцев Валерий Бабич переезжает на работу в Китай из Николаева )
Я нашел его профиль в Facebook и указав ссылку на "первоисточник" попросил прокоментировать. Ответа не получил, но мне прислали ссылку на публичный ответ Валерия Бабича, [цитата]цитата:

--
Николаевский строитель авианосцев опровергает информацию о переезде в Китай
05.09.2017 10oo

Известный николаевский инженер, участник строительства всех советских авианосцев Валерий Бабич опроверг информацию о своем переезде в Китай.

- Никто меня в Китай не приглашал и я никуда я не переезжаю, - ответил Валерий Бабич на вопрос нашего корреспондента о возможном переезде.

Инженер подтвердил, что неоднократно бывал в Китае, в том числе и в г. Далянь, на верфях которого страивали купленный у Украины авианосец «Варяг». Однако с просьбой о помощи или консультациями относительно любых аспектов, связанных со строительством авианосца к нему ни разу никто не обращался.

- Я когда там бывал, ко мне никто ни разу не обратился по вопросу непосредственного строительства авианосцев. Когда «Варяг» ушел, с ним ушла наша небольшая группа — 3 человека, потом еще трое уехали, в том числе и Иван Винник. Они там три года находились, до тех пор, пока корабль не поставили в док. После этого они сразу уехали - рассказал Валерий Бабич.

Валерий Васильевич добавил, что китайцы свои военные секреты охраняют почище, чем в Советском Союзе, поэтому никаких посторонних к строительству авианосцев они на пушечный выстрел не подпускают.

Информация о переезде николаевского инженера в Китай была обнародована на сайте Лента.ру со ссылкой на china.com. и российский военный блог bmpd.
---

Я не стану риторически вопрошать "доколе?" ибо дело Геббельса живет и процветает на т.н. 1/6 суши; хотел разместить ссылку на опровержение в качестве комментария в "источнике", но увы: "- для вас закрыта возможность комментировать данный журнал.">.
*насмешливо* Се ля ви?
С :) длительной задержкой)
Начало, часть первая тут, продолжение вторая часть здесь
Частично навеяно вот этим утверждением, за что, пинок, Анатолию спасибо!)

[Курс молодого охотника] Пополнение в отряде будущих охотников
Если у вас есть кошка, причем кошка:
1. потомственный охотник на мышей;
2. Мама-кошка
тогда рассказ ниже может быть и не интересен; вы сами и не раз могли наблюдать подобное.
Когда кошка первый раз стала мамой (примерно в год - полтора) мне, на тот момент школьнику, было весьма любопытно наблюдать за ее волнением молодой мамы и последующим воспитанием котят)
Начиналось это приключение с курьеза.
Год примерно 1974 - для понимания момента)
Наблюдая за беспокойными играми располневшей кошки на родительской (пуховой) кровати и ее желанием завернуться в мамину ночнушку я однажды, по наитию, сказал: "Такое впечатление, что она гнездо пытается свить. Смотри, родит прямо туда!".
На что получил ;) почти категоричное: "Что ты! Маша у нас такая культурная, приличная кошка... Мы ей постелим в коробке на полу, когда придет время,- там она и родит".
Угу! Время пришло утром, между подъемом родителей и моим уходом в школу...
Да-да именно там, и, гордо так оттуда посмотривая на начинающую краснеть, пунцовую от эмоций, владелицу враз утерянной, такой нужной и такой )) дефицитной по тем временам, вещи...)
Смеялись мы уже позже. Тогда было совсем не смешно) Был крик и переселение. В коробку) Откуда котята переехали в другую комнату и чуть более ;) теплые условия.
Мне не с чем сравнить, ну разве что с рождением детей (когда у вас есть время понаблюдать и запомнить); первые волнующие моменты.
Первое время кошка весьма беспокойна, ее отлучка от новорожденных котят по естественным надобностям сопровождается предупреждающим мявом: "Не сметь! Я сейчас...". Даже на кухню за питанием она отказывалась отлучаться. Пришлось принести к коробке. И тут поминутно озираясь на уснувшее потомство и беспокойно - вокруг она и принимала пищу.
...
Курс молодого охотника
Ближе к концу месяца, в зависимости от развития котят, кошка, возвращаясь с уличной прогулки, приносит мышку и надкусив ее шкуру оставляет мышку чуть поодаль "гнезда". Если никто не обратил внимания, мышка съедается после кормления котят.
Но рано или поздно находится котенок, которого интересует то ли новый запах, :) то ли новый предмет в интерьере) и он приблизившись обнюхивает. Как только вкусил кровь мышки - все: он(а) практически потеряны для молочного кормления ;) Ибо котенок выбирает мясо)
Чуть позже и других начинают проявлять интерес: а чего, собственно происходит, мы то же хотим!
Вот, когда все перешли на мясо, кошка приносит придушенную мышь, зорко следя за игрой котят "догоню, придушу и съем" ;) И так - по нарастающей - с все менее и менее измученной мышкой)
Заканчивается курс КМО (курс молодого охотника) сдачей экзамена на ловлю свежей мышки. Если повезет (а мы на первом этаже жили и мышки случались) пройдут курс по выслеживанию мышек почти в полевых условиях.
Доходило порою до курьезов.
Сестренки завели пса некой охотничьей породы (не разбираюсь, рыжая поджарая масть - что-то связано с охотой то ли уток то ли лис). Очередная партия котят появилась, когда псу исполнилось месяцев восемь. ;) Он так азартно наблюдал за обучением! Порою с комком шерсти разучивал боевые приемы) И смешно реагировал, когда котята упускали мышку - пытался догнать ее сам и сцапать) То это у котят лапки мягкие и с когтями, а у пса она потверже будет. Придавит лапой, потом ее так лапой недоуменно: "Эй, ты, хватит притворяться - беги" ;)))) А уж когда нырял за мышью под низкую тахту - это надо было видеть: влетает комок, чуть пригибаясь. Тахта подпрыгивает от мощной подачи, лежащий на ней отец реагировал по-разному, в зависимости от того спал дли до того или просто подремывал. Иной раз - ну прям ребенок - нравилось ему пребывать на тахте, когда под нее ныряла мышь, а за нею пес..

(в процессе поиска ускользнувшей Музы)





P.S. Off-topik:
[SUP прикольно определяет местоположение]SUP прикольно определяет местоположение))
Рядом "где вы сейчас" есть ссылка "Определить".
Ответ сервиса: Ukraine, German
Мне понятен итог алгоритма; IP - пространства адресов Украины,
а ISP - СП украинско-германское (Инфоком).
Не ясен сам алгоритм) ж8-)

кто-то в состоянии предположить/пояснить (в чем он)?

ВIТАЄМО!

Дякуємо за з гумором виражені привітання та підтримку, Філ!

<Самые главные символы государства, на мой взгляд, — люди, их мысли, их действия, их принципы. А чем они размахивают — мне по фигу.> (с)
+1

Оригинал взят у suzemka в ВIТАЄМО!
IMG_3099.jpg

[Не могу сказать, что]
Не могу сказать, что мне так уж нравятся цвета украинского флага. Мне и российский никак. У скандинавов, например, флаги всяко красивее будут. А уж у грузин — вообще чума какое знамя клёвое!

На местечковые московские вопли, что под «жовто-блакитным» воевали гады-бандеровцы легко можно ответить, что под «триколором» бились сволочи-власовцы. И ничего! Несмотря на тотальный запрет в России любой фашистской символики наш aquafresh спокойно себе на каждом углу болтается.


Зi СвятомСвернуть )




С Днём Флага, Украина! И с Днём Независимости! По крайней мере — от нас.
--

P.S.
Оригинал взят у alexeyosokin в Что делать? Не могу расстаться с ней...
poly_face_ao_-5.jpg

[Это уже длится 2,5 года. Вокруг столько других, вероятно даже более интересных, но меня так и тянет к ней, а ее, похоже, ко мне] Это уже длится 2,5 года. Вокруг столько других, вероятно даже более интересных, но меня так и тянет к ней, а ее, похоже, ко мне. И даже когда я переехал в другой район, я все равно встречаю ее. Случайно ли? Зачем я обманываю себя…

Читать дальше...Свернуть )


Текст ниже не мой, я его лишь скопировал отсюда. Автор: hb860 опубликовал текст 27 марта 2013 в 17:44 в разделе Администрирование.
[Я продублировал его потому, что] Я продублировал его потому, что за несколько лет не раз сталкивался с дурацкой ситуацией, что в нужный момент (повторного выполнения той или иной задачи) оригинальная ссылка становится не актуальной, по поиску оригинальная статья не находится (увы, случается и такое).
Очень надеюсь, что SUP не одарит такой подлянкой ;)
А еще текст нравится грамотным изложением - одинаково полезным как начитающим сисемным администроаторам, так и практикующим администраторам-самоучкам (то есть тем, кто не имеет специализированного образования по ИТ, но работает в этой области).

Делегирование административных задач в Active Directory
Системное администрирование

Ввиду того, что во время Хабравстречи я рассказывал об 11 различных сценариях, естественно, мне хотелось бы на каждом из этих моментов остановиться подробнее. Другими словами, начиная с этой статьи я рассмотрю большинство моментов, о которых шла речь во время предыдущего доклада. Итак…
Относительно недавно мне в Windows Live Messenger задали несколько вопросов, связанных с делегированием административных полномочий в Active Directory. Однако, прежде чем переходить к самим вопросам по этой теме, я буквально в двух словах расскажу, что же собой представляет делегирование и для чего оно нужно.

Делегирование объектов Active Directory

Более чем очевидно, что практически в каждой организации ИТ-подразделение включает в себя нескольких администраторов, и различные административные задачи должны быть распределены среди администраторов, либо, скажем, среди членов службы поддержки. Например, как в данном примере, скажем сотрудники подразделения поддержки должны вносить компьютеры в домен. Однако такая группа пользователей не должна иметь возможности выполнять остальные операции, помимо тех, которые вы хотите им разрешить.
А вот те разрешения, которые можно назначать пользователям, группам или компьютерам, иначе говоря принципалам безопасности, называются записями контроля доступа (Access Control Entry, ACE). Следовательно, с помощью ACL модифицируются разрешения доступа для объекта. Списки ACL вы можете просматривать непосредственно при помощи таких оснасток как «Active Directory – пользователи и компьютеры», «Центр администрирования Active Directory», а также в таких оснастках и средствах как «Active Directory – Сайты и службы», «Редактор ADSI», а также «LDP» (некоторые средства будут подробнее рассмотрены далее в данной статье).
Если же говорить о разрешениях контроля доступа к объектам AD, то сразу следует отметить, что они разделены на стандартные разрешения и на особые разрешения. Особые разрешения представляют собой гранулированные опции, которые применяются к конкретному объекту, а стандартные разрешения доступа уже составляются из набора особых разрешений, которые разрешают, либо, наоборот, запрещают определенную функцию. Исключительно в качестве примера можно выделить такое стандартное разрешение как чтение, ведь на самом деле оно включает в себя записи таких особых разрешений как чтение разрешений, список содержимого, а также прочитать все свойства. Но это уже совсем другая тема.
Собственно, все записи ACE располагаются в дискреционном списке контроля доступа, иначе говоря, в оригинале это звучит как Discretionary Access Control List, или же, проще говоря, в списке DACL. Это список записей управления доступом, определяющий разрешения доступа для каждого принципала безопасности к объекту. В свою очередь, каждый принципал безопасности, который добавляется в объект, получает список разрешений, в котором указано, что конкретный пользователь либо группа пользователей может выполнять конкретные операции с самим объектом. Здесь всегда следует помнить то, что записи ACE, которые были назначены явным образом, всегда будут оцениваться перед унаследованными записями ACE. А также всегда следует учитывать то, что запрещающие записи всегда будут превалировать над разрешающими.
Сам по себе список DACL является составляющей списка ACL самого объекта, который еще содержит системный список контроля доступа, другими словами System Access Control List, SACL. Этот список определяет параметры аудита для объекта, включая все принципалы безопасности и операции, для которых должен выполняться аудит.
Таким образом, возвращаясь к самой теме данного раздела, делегированием административных задач называется наследование разрешений родительского объекта для принципала безопасности, созданного в Active Directory.

Пример делегирование административных полномочий

1. Одна из задач, которую необходимо было выполнить, представляла собой следующее: нужно было предоставить возможность определенной группе пользователей, скажем, некоему техническому персоналу, вносить компьютеры в домен и распределять эти компьютеры по различным подразделениям. В принципе, эту задачу можно назвать тривиальной, но мы незначительно изменим условия, чтобы было интересней. Что будет сделано: поскольку, по умолчанию каждый пользователь может присоединить компьютер к домену, исправим эту ситуацию таким образом, чтобы присоединять компьютеры к домену могли только лишь те пользователи, которые входят в группу безопасности «Поддержка». Следовательно, нужно выполнить следующие действия:

Для начала следует на контроллере домена открыть оснастку «Active Directory – пользователи и компьютеры». Здесь необходимо создать глобальную группу безопасности, члены которой смогут присоединять компьютеры пользователей к домену. Другими словами, эта группа будет выглядеть следующим образом:

Рис. 1. Свойства группы, отвечающей за присоединение компьютеров к домену

Следующим делом необходимо указать, что компьютеры присоединять к домену могут только лишь пользователи, входящие в созданную на предыдущем этапе глобальную группу безопасности. Для этого следует открыть оснастку «Управление групповой политикой» и перейти к редактору GPME для созданного по умолчанию объекта GPO «Default Domain Controllers Policy», который располагается в подразделении «Domain Controllers».
2. В отобразившейся оснастке следует перейти к узлу «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователей» и локализовать параметр политики, который называется «Добавление рабочих станций к домену».
Открыв диалоговое окно данного параметра политики, вы сразу сможете обнаружить, что по умолчанию там указана группа «Прошедшие проверку», благодаря которой присоединять компьютеры к домену может каждый пользователь. Теперь, для того, чтобы разрешить присоединять к домену компьютеры только пользователям из группы безопасности «Поддержка», следует удалить группу, указанную в этом параметре политики по умолчанию, а затем при помощи кнопки «Добавить пользователя или группу» и диалога поиска объектов Active Directory, следует добавить созданную ранее глобальную группу безопасности. Процесс добавления такой группы изображен на следующей иллюстрации:


Рис. 2. Изменение группы, отвечающей за присоединение компьютеров к домену

3. Теперь несмотря на то, что немного ранее было описано, в каких сценариях выполняется делегирование, и что в большинстве случаев делегирование выполняется на уровне подразделений, в данном случае для предоставления возможности присоединения компьютеров к домену, нам следует в оснастке «Active Directory – пользователи и компьютеры» вызвать мастер делегирования непосредственно для уровня всего домена. Следовательно, в оснастке «Active Directory – пользователи и компьютеры» необходимо в области дерева самой оснастки вызвать контекстное меню для домена и выбрать опцию «</b>Делегирование управления</b>», как показано ниже:


Рис. 3. Вызов мастера делегирования управления

4. На первой странице мастера можно просто ознакомиться с основной задачей данного средства и, ввиду того, что на первой странице нельзя выполнять какие-либо действия, следует просто нажать на кнопку «Далее». На второй странице мастера, странице «Пользователи и группы», нужно локализовать группу, для которой необходимо делегировать управление. В данном примере следует нажать на кнопку «Добавить» и при помощи соответствующего диалога выбрать группу «Поддержка», как показано на следующей иллюстрации:


Рис. 4. Добавление группы, для которой выполняется делегирование управления

5. После того, как группа будет добавлена, для перехода к следующей странице мастера следует нажать на кнопку «Далее».
Страница «Делегируемые задачи» позволяет вам определить конкретные операции, которые должны выполнять в доменных службах Active Directory пользователи или группы пользователей, которые были добавлены на предыдущей странице мастера. Так как в данном примере делегируется задача присоединения компьютеров к домену и такую задачу можно найти в предоставленном списке распространенных задач, следует напротив задачи «Присоединение компьютера к домену» установить флажок и нажать на кнопку «Далее». Стоит обратить внимание на то, что данный мастер позволяет делегировать не только те задачи, которые фигурируют в данном списке, и в том случае, если вы не смогли здесь сразу найти конкретную задачу, нужно будет создавать особую задачу для делегирования. Создание особой задачи будет показано далее в этой статье, а делегирование задачи присоединения компьютера к домену изображено на следующей иллюстрации:


Рис. 5. Делегирование задачи присоединения компьютеров к домену для членов группы «Поддержка»

На последней странице мастер повторно проинформирует о том, что работа мастера была успешно выполнена и определенной группе пользователей было передано управление для присоединения компьютеров к домену, что, собственно, и являлось поставленной перед нами задачей:


Рис. 6. Завершение процесса делегирования управления

Теперь, после того как были выполнены все эти действия, присоединять компьютеры к домену смогут только лишь те пользователи, которые являются членами созданной ранее глобальной группы безопасности «Поддержка».

Определение задач, для которых было предоставлено делегирование

Сразу после того, как была предоставлена возможность присоединения компьютеров к домену определенной группе безопасности, возник вопрос такого характера: «Можно ли как-то просмотреть делегированные ранее задачи»? Здесь ответ простой: просмотреть можно, причем далеко не единственным методом. Все возможные варианты просмотра задач, для которых было передано делегирование, в рамках одной статьи рассматривать просто бессмысленно, поэтому далее в данной статье будут представлены несколько основных вариантов:
1. Первый метод – это использование оснастки «Active Directory – пользователи и компьютеры». Прежде всего, для того чтобы просмотреть задачи, которые были делегированы, следует в меню «Вид» включить для самой оснастки отображение дополнительных компонентов. После этого необходимо перейти к диалоговому окну свойств подразделения, для которого выполнялось делегирование. Так как в предыдущем разделе выполнялось делегирование для уровня всего домена, в данном примере открывается диалоговое окно свойств домена.
В отобразившемся диалоговом окне следует перейти на вкладку «Безопасность», а затем оттуда вызвать диалоговое окно дополнительных параметров безопасности. Здесь, в отобразившемся диалоговом окне, вы можете обнаружить все записи ACE, которые были заданы как по умолчанию, так и при помощи мастера делегирования. Например, на следующей иллюстрации видно, что для группы «Поддержка» было добавлено разрешение, позволяющее создавать объекты «Компьютер»:


Рис. 7. Просмотр делегированных задач для группы «Поддержка»

При желании вы можете как изменить разрешения для текущей группы, так и, при необходимости, удалить его полностью.

2. Теперь рассмотрим более изощренный метод, а именно использование LDP.exe. На этот раз следует выполнить следующие действия:
1. Откройте инструмент LDP и при помощи меню «Подключение» подключитесь к контроллеру домена по порту 389, как показано на следующей иллюстрации:



Рис. 8. Подключение к контроллеру домена

2. После этого следует выполнить привязку, используя одноименную команду из меню «Подключение». Так как в данный момент я выполнил вход в систему от учетной записи администратора, я могу не вводить учетные данные, а сразу в отобразившемся диалоговом окне «Привязка» нажать на кнопку «ОК», как показано ниже:


Рис. 9. Выполнение привязки

Теперь можно подключиться к необходимому подразделению или же сразу ко всему домену, выбрав команду «Дерево» из меню «Вид». В том случае, если следует просмотреть весь домен, можно оставить поле пустым, однако если вы планируете просматривать конкретное подразделение, следует указывать различающееся имя в следующем формате: «OU=имя OU, DN=domain…».
Затем для того, чтобы увидеть, кому было предоставлено делегирование, следует просмотреть всю структуру в древовидном представлении. Другими словами, из меню «Вид» выбираем команду «Дерево» и в отобразившемся диалоговом окне «Дерево» указываем базовое расширяемое имя (либо, так как в приведенном примере необходимо просмотреть весь домен, можно оставить данное текстовое поле пустым).
Уже находясь в привычной области дерева, необходимо выбрать подразделение, предоставление прав к которому следует проверить, а затем из контекстного меню выбрать команду «Дополнительно» и «Дескриптор безопасности». В отобразившемся диалоговом окне обязательно удостоверьтесь в том, что у вас выбран правильный DN, а также в том, что установлен флажок на опции «Список ACL», как показано на следующей иллюстрации:


Рис. 10. Открытие диалогового окна дескрипторов безопасности

Теперь в отобразившемся диалоговом окне вы можете просмотреть все группы и пользователей, которым были предоставлены определенные разрешения. При необходимости вы также можете отредактировать либо удалить делегируемые разрешения, воспользовавшись соответствующими кнопками. Диалоговое окно дескрипторов безопасности, как и окно редактирования делегируемых разрешений, отображены на следующей иллюстрации:


Рис. 11. Просмотр и изменение делегируемых разрешений для группы поддержки

3. Третий вариант в какой-то степени можно назвать более модернистическим, так как сейчас мы определим, какие разрешения были назначены этой же группе поддержки, но уже при помощи оснастки «Центр администрирования Active Directory». Для этого следует открыть данное средство, выбрать в дереве оснастки подразделение, для которого следует просмотреть, кому было предоставлено делегирование, а затем перейти к свойствам выбранного объекта, например, как показано на следующей иллюстрации, непосредственно из контекстного меню:


Рис. 12. Переход к свойствам выбранного объекта

После работы с оснасткой «Active Directory – пользователи и компьютеры» вы сможете сразу определиться, что нужно сделать. В отобразившемся диалоговом окне следует перейти к группе «Разрешения», и просто останется лишь выбрать требуемую группу и перейти к диалогу дополнительных параметров безопасности. Группа разрешений отображена ниже:



Рис. 13. Разрешения группы безопасности поддержки

4. Если вы любитель командной строки, то вас никто не ограничивает. Для просмотра разрешений, позволяющих контролировать действия пользователей в Active Directory, предусмотрена такая утилита командной строки как DSACLS. Зачастую данная команда выполняется с отличительным именем объекта. Например, для того, чтобы узнать, у кого есть разрешения ко всему домену, следует выполнить команду:

DSACLS DC=331zone,DC=com
Результат выполнения команды виден на следующей иллюстрации:


Рис. 14. Проверка разрешений для группы поддержки средствами командной строки

По большому счету, еще можно выделить по меньшей мере 6 способов просмотра делегирования административных полномочий, но их попросту бессмысленно описывать в одной статье, и в том случае, если эта тема вас заинтересует, я могу показать большинство таких методов в отдельном вебкасте.
Однако, помимо разрешения присоединения компьютеров к домену и просмотра настроенных разрешений, у нас осталась еще одна небольшая задача, которая будет рассмотрена в следующем небольшом разделе.

Разрешения перемещения объектов между подразделениями

Последняя задача, которая будет рассмотрена в данной статье, представляет собой реализацию разрешения перемещения объектов компьютеров между подразделениями для группы безопасности «Поддержка». Так как в предыдущий раз разрешения для присоединения компьютеров к домену мы реализовывали средствами делегирования управления, следует и в этот раз попробовать поискать средства решения этой задачи в данном мастере. Для решения этой задачи нужно будет отредактировать некоторые разрешения для контейнера «Computers», так как известно, что объекты групповой политики невозможно связывать с данным контейнером, а сотрудникам подразделения поддержки необходимо распределять компьютеры по различным подразделениям.
После открытия мастера делегирования управления и добавления целевой группы вы обнаружите, что среди обычных задач невозможно выполнить подобные действия. В этом случае следует попробовать воспользоваться списком особых задач для делегирования. В отобразившемся диалоговом окне вам предоставляется возможность делегирования всех объектов в выбранном вами контейнере (в этом случае вам следует установить переключатель на опцию «этой папкой, существующими в ней объектами и созданием новых объектов в этой папке»), а также возможность передачи управления только выбранным объектам, которые можно найти в соответствующем списке (опция «только следующим объектам в этой папке»).
Среди доступных объектов следует установить флажок на опции «Компьютер объектов», а затем под данным списком установить флажок на опции «Удалить из этой папки выбранные объекты».
Диалоговое окно данной страницы мастера делегирования изображено на следующей иллюстрации:

</b> Рис. 15. Страница создания особой задачи для делегирования

После этого, на следующей странице мастера, странице «Разрешения» — следует указать, что делегируется разрешение «Запись», и этого будет достаточно.
Так как задачу по перемещению можно разделить на две части – удаление объекта из контейнера «Computers» и последующее создание объекта в другом подразделении – исключительно в качестве примера, создание объектов в специально созданном подразделении для учетных записей компьютеров будет продемонстрировано средствами изменения дополнительных параметров безопасности для требуемого подразделения (подобные действия были рассмотрены в предыдущем разделе).
Сейчас, в том случае, если вы закрывали оснастку «Active Directory – пользователи и компьютеры», нужно включить для нее отображение дополнительных компонентов, а затем перейти к диалоговому окну свойств подразделения, в которое должны перемещаться учетные записи компьютеров. В моем случае это подразделение «Клиенты».
В диалоговом окне свойств данного подразделения следует перейти ко вкладке «Безопасность», а затем открыть диалоговое окно дополнительных параметров безопасности. В отобразившемся диалоговом окне следует локализовать добавленную ранее группу и удостовериться, что сотрудникам группы поддержки разрешается присоединять компьютеры к домену, но разрешения, связанные с удалением объектов, здесь отсутствуют, а затем перейти к диалогу изменения разрешений посредством нажатия на кнопку «Добавить».
В отобразившемся диалоговом окне «Элемент разрешения для Computers» необходимо добавить группу, которой будут применяться разрешения. Другими словами, нажмите на ссылку «Выберите субъект» и при помощи соответствующего диалогового окна локализуйте группу «Поддержка». Так как внутри созданного ранее подразделения могут находиться дочерние подразделения с различной разбивкой (например, компьютеров по отделам), из раскрывающегося списка «Применяется к» следует выбрать опцию «Этот объект и все дочерние объекты», что и установлено по умолчанию.
Осталось только выбрать требуемое разрешение. Так как нам нужно разрешить перемещать компьютеры, а это означает, что объекты будут создаваться внутри данного и всех вложенных контейнеров, следует установить флажок напротив разрешения «Создание объектов: Компьютер», после чего сохранить все внесенные изменения. Диалоговое окно «Элемент разрешения для «Клиенты»» показано ниже:


Рис. 16. Добавление разрешений для создания объектов компьютеров

Вместо заключения

По большому счету, можно придумать еще множество примеров, связанных с делегированием полномочий и назначением нестандартных разрешений различным группам безопасности, и практически каждый пример можно по-своему назвать уникальным и интересным.
Запомните то, что вместо того, чтобы назначать всех администраторами, намного выгоднее будет, если вы будете просто назначать конкретной группе пользователей разрешения на выполнение определенных задач.
Напишите, пожалуйста, в комментариях к этой статье, использовали ли вы у себя делегирование и с какими примерами вы сталкивались и испытывали трудности.


[Полезные комментарии к]Полезные комментарии к



* Slipeer 27 марта 2013 в 18:44
Для полного раскрытия темы стоит упомянуть AdminSDHolder, который умеет «срывать» делегированные права и «ломать» их наследование.
А также про редактирование delegwiz.inf, которое может упростить выполнение типовых операций делегирования.

** hb860 27 марта 2013 в 19:02
В принципе, если данная тема будет интересна многим, можно будет сделать большой обучающий вебкаст, где я мог бы в более подробной форме показать, какие есть методы при использовании штатных средств, сторонних утилит, как можно скрыть от пользователей из конкретных групп определенные подразделения Active Directory и многое другое…

Метки:

Подарок(?) от Google :)

Зашел на новую площадку для блога, адрес: http://vbeelokurskiy.blogspot.com

Честно говоря, давно ищу адекватную альтернативу ЖЖ.
Есть моменты (преодолимые все еще), которые мне тут не нравятся, но пока площадок, близкую к этой, созданной отнюдь не нынешними владельцами аж в 1999 году, я не находил.

Поэтому подарок от Google - сегодня - [оказалась приятной альтернативой]оказалась приятной альтернативой.
Приятной еще и потому, что существующие возможности соц.сети Ukrainians лично меня не устраивают; мне нужна альтернатива ЖЖ а не симбиоза Фейсбука и вконтакте

Альтернативная площадка для блогеров от Google выглядит более привлекательной;
1. есть те же самые способы редактирования текста, включая тэги HTML
2. Не надо закидывать видео и фото в отдельные хостинги: перетащил и вставил (в виртуальном редакторе)
Не совсем понял где вставляются тэги, но учитывая тенденции вставлять хэштэги (#позитив) все можно придумать и самому))

Пока нет времени разобраться с новой площадкой - рабочий день все-таки, но вот то, что хотел - там - рассказать о себе (ограничение на размер сведений о себе = 500 символов):


- Ukrainian:
Майданчик, поки альтернативна мого основного на 18.08.2017 блогу http://vbeelokurskiy.livejournal.com/172391.html Можливо мені тут сподобається і я полностю переберуся сюди (давно шукаю альтернативу ЖЖ)
Детальніше про мене, хоча я давно і не коригував той текст, можна прочитати тут:
http://vbeelokurskiy.livejournal.com/172391.html
--Russian:
Площадка, пока альтернативная моему основному на 18.08.2017 блогу http://vbeelokurskiy.livejournal.com. Возможно мне тут понравится и я полностью переберусь сюда (давно ищу альтернативу ЖЖ)
Подробнее обо мне, хотя я давно и не корректировал тот текст, можно прочесть тут:
http://vbeelokurskiy.livejournal.com/172391.html
-- Detusch:
Site, bis eine Alternative zu meiner Hauptbibliothek am 18.08.2017 Blog http://vbeelokurskiy.livejournal.com
Vielleicht mag ich es hier und ich komme hier raus (ich habe schon lange eine Alternative zu LJ gesucht)
Mehr über mich, obwohl ich eine lange Zeit bin und stellen nicht den Text können Sie hier lesen:
http://vbeelokurskiy.livejournal.com/172391.html

Есть такой анекдот в одну фразу: "Директор департамента ушел в отпуск; хорошо отдохнул сам и департамент то же отдохнул от" ;)
;)) Я первый раз за все время работы тут возрадовался, выйдя из отпуска, как только узнал, что наш директор департамента - в отпуске: ну не было еще такого, чтобы в первые два часа не узнал про кучумалу дел, которые надо было сделать "сегодня на вчера". Хотя и - спустя эти самые два часа - мне рассказали про проблему, которую вот так, с кондачка и не решишь.
Зато легко нашел решение проблемы. которую никак не мог решить ДО отпуска. Запротоколировал в Email коллегам алгоритм решения)
Будем считать, что отпуск пошел на пользу и работе? )))

[Часто отчего-то вспоминаемая вдали от и исполняемая соло тихо песня]
[Текст на спойлер]
Слишком часто прежние ресурсы вдруг оказываются не доступны, чтобы избежать этого в дальнейшем, решил сюда, в этот пост скопировать чужие статьи по Microsoft ISA. :)
--
[16 советов для развертывания правил доступа в Isa Server...] 16 советов для развертывания правил доступа в Isa Server...

Stone Опубликовал: Thu, Apr 3 2008 16:17
Спасибо Dave за перевод! Smile

1. Компьютер это вещь безмозглая. Вы должны проверять конфигурацию ISA сервера когда его поведение не соответствует вашим ожиданиям.

2. Разрешайте доступ выборочно. Предоставляйте доступ только для тех пользователей, внутренних источников, назначений и протоколов которые вам необходимы, и тщательно проверяйте каждое правило. Используйте запрещающие правила только в том случае, когда вы не можете проконтролировать доступ разрешающими правилами.

3. Запрещающее правило должно идти по списку раньше разрешающего правила когда они применяются к одним и тем же элементам политики как, например, пользователи или айпишники.

4. Когда вам необходимо использовать запрещающее правило явно, как например запретное правило для какого-то определенного юзера или чьего-то айпишника, то оно должно быть обработано первым.

5. Располагайте правила, которые будут обрабатываться чаще других вначале списка если это не повлияет на эффективность вашей firewall-политики. Это правила, которые имеют большую вероятность соответствия к срабатыванию, как например правила, которые прнименяются к "Всем пользователям" или "Всем аутентифицированным пользователям". Это дает возможность ISA серверу обрабатывать правила более эффективно.

6. Сделайте вашу firewall-политику как можно проще.

7. Никогда не используйте правило "Allow all To all", т.к. в этом случае ISA сервер теряет контроль доступа.

8. Не создавайте правил, которые дублируют правила системной политики.

9. Помните, что каждое правило обрабатывается независимо. Хотя правила и обрабатываются по порядку, каждое обрабатывается само по себе (отдельно) когда firewall идет по списку.

10. Никогда не давайте доступа "Для всех" к localhost. Внутренняя сеть также должна рассматриваться со стороны недоверия.

11. SecureNAT-клиенты не могут быть аутентифицированы, поэтому используйте Web proxy клиентов и Firewall-клиентов, когда необходимо аутентифицировать пользователей.

12. Если есть возможность, используйте правила, основанные на IP-адресах, а не на пользователях, потому что они обрабатываются быстрее.

13. Настраивайте клиентов как Web proxy клиентов когда вы в правилах используете Domain Name Sets или URL Sets. В противном случае, разрешающее правило доступа может быть проигнорировано из-за ошибки реверсного разрешения доменного имени и может стать причиной медленной работы.

14. Используйте фильтрацию приложений (application filtering) (таких как HTTP filter) только когда это действительно необходимо. Использование фильтров может повлиять на производительность.

15. Помните, что последним правилом в списке firewall-политики является правило "Deny All".

16. Ну и напоследок, тестируйте вашу политику сначала в "песочнице", прежде чем запускать ее в реальное использование.

Спасибо за помощь моим наставникам по ISA Server: Thomas Shinder и Ronald Beekelaar.

С Уважением, Stone

[Запрет доступа к ресурсам с помощью Site and Content Rules] Запрет доступа к ресурсам с помощью Site and Content Rules
Dave Опубликовал: Wed, Feb 16 2005 15:02
http://www.isaserver.org/tutorials
Denying_access_to_a_specific_webpages_using_Site_and_Content_rules.html

Запрет доступа к определенным Web-страницам (ну, например ко всеми любимой порнухе) с использованием Site and Content rules.

Это руководство покажет вам, как это делается с помощью Site and content rules.

Когда юзера пытаются, пытаются, пытаются куда-то залезть через ISA Server, то он (ISA) сначала проверяет, проверяет, и еще раз проверяет - а не находится ли данное содержимое в Site and Content Rules определенных специально для запрета доступа к этому содержимому (или сайту). Запросы также дозволены если (Site And Content)-правило позволяет клиенту интернет-доступ используя протокол, определенный в правиле.

Перед тем, как вы сможете настроить какое-либо (Site And Content)-правило, которое запрещает доступ к порнухе, должно быть создано и настроено Destination Set.

Destination Set. Им может быть имя компьютера, имя домена, Web-сайта, IP-адрес или диапазон IP-адресов, которое может содержать или включать пути. Правила могут быть применены к Destination Set, вот почему мы и будем их использовать !

Создание Destination Set для использования его в дальнейшем в Site and Content rule.


Кликните последовательно на:




<Пояснение>: Это имя вашего Destination Set .
Нажмите кнопку Add...
[pagebreak]



<Пояснение>: Это URL, доступ к которому вы хотите запретить всем остальным.
Теперь кликните ОК.

Ишшо раз кликните ОК.
Наш Destination Set создан !
Создание Site And Content rule используя Destination Set для запрета доступа.



Искренне надеемся, что вам не составит труда найти где находится Site And Content Rules (подсказочка: загляните в Access Policy).



Правой кнопкой кликните Site And Content Rules, затем кликните New, затем кликните Rule.



Напишите (или напечатайте) имя правила (которое мы сейчас и пытаемся создать) в специально отведенном для этого месте (называется поле для ввода). Желательно, чтобы введенное имя имело хоть какой-нибудь смысл по поводу содержимого, потому что у вас скорее всего будет несколько, или даже много правил. И чтоб в них не заблудиться....



<Пояснение 1>: Поставьте тут галочку для переадресации на другой URL. И не забудь-те это оформить в виде http://........ (вместо многоточия должен быть адрес)
<Пояснение 2>: Если URL запрещен то юзера выбросит на эту страницу.
Жмите Next.



Тут выбираем КАК мы будем запрещать доступ.
В нашем случае это первый (т.е. верхний вариант: Deny access based on destination)
Опять жмем Next.



В этом окне выбираем Specified destination set.



И из Name выбираем ИМЯ недавно созданного нами Destination Set.



И снова жмем Next !



В появившемся окне осталось обнаружить и нажать кнопку Finish (Финиш).

Теперь у нас есть созданное (site and content)-правило на основе нашего (ну, или вашего) Destination Set, которое запретит доступ к www.domainx.com

Подведем итоги.
В этом руководстве мы показали вам как создать Destination Set. Destination Set это логическое группирование имен компьютеров, имен доменов, Web-сайтов, IP-адресов или диапазонов IP-адресов, которые могут включать или сожержать пути. Потом мы использовали Destination Sets в нашем site and content rule, чтобы заблокировать доступ юзверей к определенному Web-сайту. Причина создания destination set в том, что когда мы создаем некое правило, то мы можем в него включить этот самый destination set. Это будет особенно полезно для вас или вашей конторы, когда вы можете запретить доступ к ососбено часто посещаемым сайтам, или к тем сайтам, посещение которых создает большой трафик. :)
Автор: Ricky M. Magalhaes

Перевод: Dave
Катастрофически не складывается записать в блог текущие впечатления с отдыха в Берлине; то ЖЖ завис, то смартфон отчего-то именно в ЖЖ подвиснет.
В общем - пока не судьба.
Приеду, постараюсь извлечь из памяти и редких заметок в Instagram более интересные подробности (читайте; вспомнить те самые мысли и впечатления и, поймав кураж, живописать их в лицах).
В прошлом голу имел глупость писать текущие (впечатления) в ФБ, потом отыскать их было мучительно сложнее. Ибо ФБ чаще лично для меня -трибуна сиюминутных эмоций, заметки по принципу: "Высказался и -забыл". Так что их там вместе с отпускными (впечатлениями с фото) несть числа; на комменты я не очень-то и рассчитываю)
Плюнул на такие мучения и сказал себе: "это наверняка никому не интересно. Теперь и мне - то же" :)
Иными словами, хорошо, пока впечатления свежи :)
--
А мне на следующий день по прилету - выходить на работу.
По опыту прошлых лет: меня ждет/ждут куча мала как "моих" задач, так и тех, которые кое-кому лень было слелать во время моего отпуска. Оно откладывалось, откладывалось, пропустив все сроки...
ж;) Особо "радуют" дела/задачи с присказкой "вот выйдет Белокурский из отпуска и все порешает")
Так что, трезво взирая на день начиная с 16.08.2017, могу смело предполагать, что большая часть кратко записанного в Инстаграм подробно расписана вряд ли будет)
Если что, не пинайте сильно.
Я постараюсь таки все успеть.
Впечатлений - великое множество и маленькая тележка...

P.S. Я уже и забыл (и слава Всевышному) :) и где работаю и кем,и, самое главное, какие задачи у нас актуальны)
Мир не без "добрых" людей: всенепременно найдется и кому рассказать и кому покомандовать и... ;)
free counters

Календарь

Август 2018
Вс Пн Вт Ср Чт Пт Сб
   1234
567891011
12131415161718
19202122232425
262728293031 

На странице

Подписки

RSS Atom
Разработано LiveJournal.com
Дизайн heiheneikko