1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не писать свой вопрос в первую попавшуюся тему - вместо этого создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь и здесь, а студентам - обязательно здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Обсуждение вопросов, не относящихся ни к одному из других подразделов

Модератор: kirillio

Ответить

Автор темы
Yushko
здесь недавно
здесь недавно
Сообщения: 3
Зарегистрирован: 13 мар 2013, 15:16
Имя: Юшко Александр Иванович
Страна: Украина
город/регион: Запорожье

Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Yushko »

Добрый день, уважаемые форумчане.
Недавно сам зарегистрировался на форуме, хотя вопросов накопилось предостаточно. Раньше просто почитывал, чем живут люди схожей профессии, но теперь пришла пора, и хочется самому понять, как же у людей, по-правильному это организовано на других предприятиях.
У меня следующий вопрос. На металлургическом предприятии есть отдел АСУТП, который находится в структуре ИТ и подчиняется директору по ИТ. Хотя, по роду своей деятельности, в основном, приходится иметь дело с производственниками, и, мягко говоря, большая часть рабочей деятельности проходит рядом с ними. Отдел, в основном, инженеры-программисты, занимающиеся сопровождением и некоторыми своими разработками, а также адаптацией уже готовых решений для производства. Структура отдела простая – два бюро, одно из которых занимается обслуживанием сталеплавильного и передельного производств, другое – энергосбережением и весовым хозяйством. Так сложилось исторически. Есть еще в крупных цехах участки АСУТП (3 участка), которые линейно подчиняются начальникам цехов, и только функционально начальнику отдела АСУТП. Такая структура, при которой участки являются слабоуправляемыми, и кроме того, выполняют много работы КИПовской, помогают электрикам и прочим. Понимаю, что это неправильно, но структура и подчинение подразделения АСУТП – вопрос сложный, неоднозначный, и тут я уже многое почерпнул на Вашем форуме..
Собственно сам вопрос. Кто на Ваших предприятиях, в Ваших структурах администрирует рабочие станции (ПК) инженеров-разработчиков АСУТП, а также ПК, участвующие в работе систем АСУТП? В структуре АСУТП у нас ранее было бюро, которое сопровождало и машины АСУТП, и сервера, и специалисты которого решали вопросы по взаимодействию систем различных уровней (функционирует ERP-система SAP ЕСС 6.0, в одном из цехов внедрен «пилотный» проект MES-системы IP21, происходит обмен данными между др. системами АСУТП собственной разработки и ERP, взаимодействие сети Microsoft и Novell и др..). Но потом бюро полностью было сокращено и занимались этим самостоятельно, где могли и как могли.
В последнее время вот какая напасть случилась. Идет борьба за «патентную чистоту» на предприятии и полным ходом, повсеместно поддерживается стратегия внедрения продуктов Майкрософт. И это чисто бич, непонятный пока, но от этого не менее опасный. Последний «конык» - перевод всех компьютеров, на которых установлен Виндовс (рабочие станции разработчиков отдела АСУТП, машин, задействованных в системах АСУТП, в т.ч. системах управления, PanelPC и пр.) на Microsoft ActiveDirectory. А это привело к тому, что разработчики–специалисты АСУТП– уже стали неАдминистраторами на своих ПК, и сопровождение потеряло административный доступ к ПК систем управления, на всех этих машинах пропали статические IP-адреса, а установлены динамические, со всеми вытекающими отсюда… Такие дела.
Есть ли у кого какой опыт от внедрения этого АД'а (ActiveDirectory) на Ваших предприятиях?
И второй, не менее важный вопрос, как все-таки и кем производится администрирование рабочих станций подразделения АСУТП?
Понимаю, что в одном вопросе «навалил» несколько вопросов. Но, как говорится, накипело..
Буду признателен за рассказ о том, как подобное происходит на др. предприятиях, виртуальный обмен опытом. Может получилось несколько сумбурно, пардон, но, надеюсь, свои вопросы изложил.

С уважением, Александр.

Romcheg
SCADA+
SCADA+
Сообщения: 592
Зарегистрирован: 05 ноя 2009, 11:18
Имя: Бузинов Роман Анатольевич
Страна: Россия
город/регион: Москва
Благодарил (а): 8 раз
Поблагодарили: 33 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Romcheg »

При неправильном употреблении и молоток становится орудием убийства... Не один год сам лично работал в комплексах, где сетевая инфраструктура базировалась на технологии AD - пока что ничего лучше, удобнее и прозрачнее для конечного юзера я не встречал (причем системы работают в области АСУ ТП). При условии, что ее поддержкой и администрированием занимаются грамотные люди (причем с высшим образованием в этой отрасли), а не админы с тремя классами церковно-приходской школы за плечами.
SCADA+
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4711
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR »

Кто отвечает за функционирование АСУТП? Ваш отдел? Тогда и админить всё, что находится в пределах ваших систем - вашему отделу. Все компьютеры из домена ActiveDirectory обязательно вывести, а на инициаторов ввода - служебку вышестоящему руководству, ибо нефиг ламерам лезть в ту область, в которой они нифига не понимают.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Михайло
почётный участник форума
почётный участник форума
Сообщения: 3558
Зарегистрирован: 10 ноя 2009, 04:58
Имя: Толмачев Михаил Алексеевич
город/регион: г. Чехов, МО
Благодарил (а): 6 раз
Поблагодарили: 253 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Михайло »

VADR писал(а):нефиг ламерам лезть в ту область, в которой они нифига не понимают.
В том-то и дело, что не ламеры, а стратеги лезут в это дело. В таком случае дело становится запутанным... Служебки писать бесполезно.

Автор темы
Yushko
здесь недавно
здесь недавно
Сообщения: 3
Зарегистрирован: 13 мар 2013, 15:16
Имя: Юшко Александр Иванович
Страна: Украина
город/регион: Запорожье

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Yushko »

Спасибо всем, что не оставили тему без внимания.

Я понимаю, что АД может и хорошая вещь, но для обычной сети и пользователей этой сети. По моему мнению, специалисты АСУТП, их рабочие машины, и машины , входящий в состав систем - это чуть другая каста. ПРичем, всем же понятно, что люди из отдела администрирующего компы, в т.ч. и АСУТП, ничего не понимают ни в WinCC, ни в КРУГ-2000, ни в разработках наших и т.д.

Т.е. с одной стороны "ламеры", а с другой - длительная по времени развития и агрессивная стратегия, поддерживаемая директором по ИТ. Который к тому же постоянно твердит, что не видит разницы в подходах и общих принципах работы сотрудников отдела инфраструктурных решений (поддержка корпоративной сети, ПК пользователей, периферийных устройств и пр.) и сотрудников отдела АСУТП.
Аватара пользователя

Marrenoloth
завсегдатай
завсегдатай
Сообщения: 524
Зарегистрирован: 05 окт 2009, 11:51
Имя: Тихомиров Дмитрий Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 16 раз
Поблагодарили: 18 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Marrenoloth »

Обычно хорошо помогает взять за месяц все косяки, которые из-за такой организации труда вылезли, перевести их в человеко-часы и в чистые деньги. Дальше, если начальник ИТ адекватен, подойти к нему с этими фактами. Если нет, то эскалировать через его голову. Обычно факты типа "мы просто просрали пол-ляма" хорошо воздействуют на руководство.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4711
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR »

Михайло писал(а):
VADR писал(а):нефиг ламерам лезть в ту область, в которой они нифига не понимают.
В том-то и дело, что не ламеры, а стратеги лезут в это дело. В таком случае дело становится запутанным... Служебки писать бесполезно.
Ламер - человек, мнящий себя супер-специалистом, но на деле таковым не являющийся. Характерные признаки - неуважение к чужой работе (профессионал в своём деле знает немало тонкостей и понимает, что и в чужом деле таких тонкостей немало), а также стремление других научить тому, в чём сам не разбирается.
Так что здесь именно ламеры, даже если стратеги :)
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4711
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR »

Yushko писал(а):Я понимаю, что АД может и хорошая вещь, но для обычной сети и пользователей этой сети.
AD действительно вещь неплохая, но только там где она нужна. Делать "внедрение ради внедрения" - глупость несусветная. В различных бухгалтериях - да, надо. В MES - тоже, наверное. В АСУТП для АД задачи нет.
Yushko писал(а):По моему мнению, специалисты АСУТП, их рабочие машины, и машины , входящий в состав систем - это чуть другая каста. Причем, всем же понятно, что люди из отдела администрирующего компы, в т.ч. и АСУТП, ничего не понимают ни в WinCC, ни в КРУГ-2000, ни в разработках наших и т.д.
Не каста. Задача здесь другая. Подобная ситуация на форуме уже обсуждалась, правда применительно не к АД, а к информационной безопасности. (Тема здесь: viewtopic.php?f=11&t=3239). В наших задачах - другие приоритеты. Первичны - технология и управление технологией, безопасность процесса. Всё остальное - на второй план. Всё, что может привнести в систему хотя бы потенциальную опасность, не контролируемую вами, - исключить из системы. Кстати, а как они вообще сумели ваши машины в домен включить? У вас что, сети объединены? Разъединить немедленно! Никакого постороннего траффика в системе!
Yushko писал(а):Т.е. с одной стороны "ламеры", а с другой - длительная по времени развития и агрессивная стратегия, поддерживаемая директором по ИТ. Который к тому же постоянно твердит, что не видит разницы в подходах и общих принципах работы сотрудников отдела инфраструктурных решений (поддержка корпоративной сети, ПК пользователей, периферийных устройств и пр.) и сотрудников отдела АСУТП.
Да, бодаться с директорами бывает нелегко. Но приходится. На мой взгляд - здесь нужна бумага в адрес этого самого директора по ИТ, а если не поможет - то вышестоящему директору (сколько их там у вас - не знаю). Ключевые фразы - "нарушение функционирования АСУТП может привести к аварийной ситуации", "возможен переход техпроцесса в неконтролируемое и неуправляемое состояние", "размер убытков может сравним со стоимостью технологического узла и простоя оборудования, зависимого от данного узла". Как-то так. С людьми надо говорить на том языке, который им понятен. Если человек понимает в деньгах - объяснять ему в переводе на деньги. Не забывайте, что некоторые вещи, которые нам с вами кажутся "сами собой разумеющимися", для неспециалистов зачастую непонятны.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Василий Иванович »

Здесь как я понял вопрос не в АД как продукте, а в том, что у ребят отобрали административный доступ к системам, за функционирование которых они несут ответственность. Вопрос надо ставить так - тот, кто админит, тот и ловит звиздюли при косяках. А не хотите - тогда отдавайте нам эти компутеры взад.
АД в принципе можно и в АСУ ТП применять, если размер сети достаточно велик. Там, где несколько десятков писюков на админе висит - запаришься разгребать. Таким образом, все зависит от конфигурации ваших сетей. Если много мелких сетей - тогда АД будет лишний. Если одна большая на всех - тогда да.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4711
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR »

Василий Иванович писал(а):Здесь как я понял вопрос не в АД как продукте, а в том, что у ребят отобрали административный доступ к системам, за функционирование которых они несут ответственность. Вопрос надо ставить так - тот, кто админит, тот и ловит звиздюли при косяках. А не хотите - тогда отдавайте нам эти компутеры взад.
Однажды админы берут и накатывают на все XP третий сервиспак. Второй-то не поддерживается MS, вот они и накатывают. Молодцы. А все OPC сервера накрываются медным тазом. Или просто очередной очень нужный хотфикс накатывают и у операторов компы сами перезагружаются. По закону всемирной подлости - именно в тот момент, когда технологу очень надо повлиять на техпроцесс. И АСУТПшник выслушивает от внезапно поседевшего оператора самые добрые слова. А ИТ-шному сисадмину пофиг: он "всё правильно сделал", в соответствии с придуманной его руководством стратегией.
Вопрос в том, что в пределах АСУТП вопросы операторских компьютеров - доля процента от всех вопросов. И компьютеры, будучи единожды правильно настроены, пашут без каких-либо переконфигураций. Вплоть до того, что при модернизации техпроцесс может смениться, управляющая начинка контроллеров измениться до неузнаваемости (и видеограммы операторов вместе с ними), а к самой операторской станции инженер АСУТП даже не подойдёт, ибо необходимости такой нет.
Всё всегда должно исходить от задачи. А для АД в пределах АСУТП задачи нет.
Василий Иванович писал(а):АД в принципе можно и в АСУ ТП применять, если размер сети достаточно велик. Там, где несколько десятков писюков на админе висит - запаришься разгребать. Таким образом, все зависит от конфигурации ваших сетей. Если много мелких сетей - тогда АД будет лишний. Если одна большая на всех - тогда да.
У меня на объектах - несколько десятков компов. Проблем с ними, которые могли бы быть решены при помощи АД, - нет совсем. Обслуживание сводится к периодической чистке от пыли. Иногда - ремонт: замена чего-то сгоревшего. Остальное время компы трудятся вместе с работающими на них операторами.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Автор темы
Yushko
здесь недавно
здесь недавно
Сообщения: 3
Зарегистрирован: 13 мар 2013, 15:16
Имя: Юшко Александр Иванович
Страна: Украина
город/регион: Запорожье

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Yushko »

Вижу, что многие специалисты по АСУТП сталкивались в своей производственной практике с опытом различного рода подобных "внедрений". Когда и происходит , собственно, "внедрение ради внедрения", "всех под одну гребёнку", а ИТ-менеджеры вносят очередной пунктик в свои резюме/послужные списки.
В свою очередь, во время обсуждения этой темы здесь я получил ряд дельных советов и убедился в правильности своих суждений.

Всем участвующим - БОЛЬШОЕ СПАСИБО за поддержку и советы!

С уважением, Александр

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Василий Иванович »

VADR писал(а):, А для АД в пределах АСУТП задачи нет.
...
У меня на объектах - несколько десятков компов. Проблем с ними, которые могли бы быть решены при помощи АД, - нет совсем. Обслуживание сводится к периодической чистке от пыли. Иногда - ремонт: замена чего-то сгоревшего. Остальное время компы трудятся вместе с работающими на них операторами.
Ага. Значит патчи от Майкрософт не ставим, не так ли? Не подскажете ли, по какой причине?
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4711
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR »

Василий Иванович писал(а):
VADR писал(а):, А для АД в пределах АСУТП задачи нет.
...
У меня на объектах - несколько десятков компов. Проблем с ними, которые могли бы быть решены при помощи АД, - нет совсем. Обслуживание сводится к периодической чистке от пыли. Иногда - ремонт: замена чего-то сгоревшего. Остальное время компы трудятся вместе с работающими на них операторами.
Ага. Значит патчи от Майкрософт не ставим, не так ли? Не подскажете ли, по какой причине?
Ставим, но:
1. После того, как производитель системы оттестирует и рекомендует.
2. Выбираем время, когда не мешаем технологам.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Василий Иванович »

То есть каждый месяц полсотни компьютеров ручками патчим?
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4711
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR »

Василий Иванович писал(а):То есть каждый месяц полсотни компьютеров ручками патчим?
Зачем каждый месяц? У нас на большинстве компов - XP SP2. Обновлений нет давно и уже не будет. SP3 использоваться не будет, ибо по рекомендациям производителя системы он не нужен. Висты тоже не будет - производитель даже не предлагал на ней что-то ставить, ибо... ну это жеж виста. Сейчас новые системы идут на семёрке, фиксы тестируются производителем и далеко не все из них нужны для установки. Не все хотфиксы одинаково полезны :) А всё, что не нужно - оно не нужно :lol: Кстати, семёрку обновлять ещё не доводилось.
Зачем ручками? При необходимости - с одного рабочего места телнетом (телнет-серверы настроены на каждой машине при установке) по всем машинкам запустить установщик - максимум полсотни минут на полсотни машин. Это если сразу везде. Обычно так не бывает - производство непрерывное, и при рабочей технологии стараемся станции операторские не трогать совсем. Так что по частям, максимум 3-4 машины в один приём, пока у технологов ППР.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Василий Иванович »

SP3 использоваться не будет, ибо по рекомендациям производителя системы он не нужен
Хм. То есть как "не нужен"? Нужен или нет - решать вам, а не производителю. Производитель должен сказать, можно или нельзя использовать, и если можно, то ставить SP3 и обновления нужно хотя бы для закрытия дыр в безопасности.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4711
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR »

Василий Иванович писал(а):
SP3 использоваться не будет, ибо по рекомендациям производителя системы он не нужен
Хм. То есть как "не нужен"? Нужен или нет - решать вам, а не производителю. Производитель должен сказать, можно или нельзя использовать, и если можно, то ставить SP3 и обновления нужно хотя бы для закрытия дыр в безопасности.
Безопасность тут, ксати, уже обсуждалась :).
А насчёт нужен/нужен - дело обстоит следующим образом: производитель ПО тестирует свой продукт на совместимость с ОС и разными его патчами. Если оказывается, что патч никаких плюсов не даёт (а то и вредит), то зачем его ставить? Известный факт: поставить OPC-сервер, к которому можно было бы достучаться удалённо, на XP SP3 очень проблематично. Ну и зачем он нужен? Необходимость любого софта определяется задачей. Зачем мне, к примеру, патч координатора распределённых транзакций, если он у меня не используется?
Кстати, этим мне нравится ОС linux - есть возможность сделать установку только того, что нужно, - без неиспользуемого софта.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Василий Иванович »

Закрытие дыры в системе безопасности Windows (а именно для этого предназначена львиная доля заплат) - это однозначно плюс, и если есть возможность поставить разрешенную производителем заплатку - нужно ставить. Обновления опубликовываются Майкрософтом раз в месяц, многие поставщики разрешают их к применению спустя довольно короткое время, скажем, неделю. Ставить обновления ручками - дело тоскливое, и для этого даже у вас есть телнет, а у кого-то другого вполне может стоять Active Directory. Поэтому глобально утверждать что он "не нужен" оснований никаких нет.
Ответить

Вернуться в «Общие вопросы»