Профиль должен быть заполнен на русском языке кириллицей. Заполнение профиля заведомо ложными или некорректными данными - причина возможного отказа в регистрации на форуме.

Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Обсуждение вопросов, не относящихся ни к одному из других подразделов

Автор темы
Yushko
здесь недавно
здесь недавно
Сообщения: 3
Зарегистрирован: 13 мар 2013, 14:16
Ф.И.О.: Юшко Александр Иванович

Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Yushko » 15 мар 2013, 16:58

Добрый день, уважаемые форумчане.
Недавно сам зарегистрировался на форуме, хотя вопросов накопилось предостаточно. Раньше просто почитывал, чем живут люди схожей профессии, но теперь пришла пора, и хочется самому понять, как же у людей, по-правильному это организовано на других предприятиях.
У меня следующий вопрос. На металлургическом предприятии есть отдел АСУТП, который находится в структуре ИТ и подчиняется директору по ИТ. Хотя, по роду своей деятельности, в основном, приходится иметь дело с производственниками, и, мягко говоря, большая часть рабочей деятельности проходит рядом с ними. Отдел, в основном, инженеры-программисты, занимающиеся сопровождением и некоторыми своими разработками, а также адаптацией уже готовых решений для производства. Структура отдела простая – два бюро, одно из которых занимается обслуживанием сталеплавильного и передельного производств, другое – энергосбережением и весовым хозяйством. Так сложилось исторически. Есть еще в крупных цехах участки АСУТП (3 участка), которые линейно подчиняются начальникам цехов, и только функционально начальнику отдела АСУТП. Такая структура, при которой участки являются слабоуправляемыми, и кроме того, выполняют много работы КИПовской, помогают электрикам и прочим. Понимаю, что это неправильно, но структура и подчинение подразделения АСУТП – вопрос сложный, неоднозначный, и тут я уже многое почерпнул на Вашем форуме..
Собственно сам вопрос. Кто на Ваших предприятиях, в Ваших структурах администрирует рабочие станции (ПК) инженеров-разработчиков АСУТП, а также ПК, участвующие в работе систем АСУТП? В структуре АСУТП у нас ранее было бюро, которое сопровождало и машины АСУТП, и сервера, и специалисты которого решали вопросы по взаимодействию систем различных уровней (функционирует ERP-система SAP ЕСС 6.0, в одном из цехов внедрен «пилотный» проект MES-системы IP21, происходит обмен данными между др. системами АСУТП собственной разработки и ERP, взаимодействие сети Microsoft и Novell и др..). Но потом бюро полностью было сокращено и занимались этим самостоятельно, где могли и как могли.
В последнее время вот какая напасть случилась. Идет борьба за «патентную чистоту» на предприятии и полным ходом, повсеместно поддерживается стратегия внедрения продуктов Майкрософт. И это чисто бич, непонятный пока, но от этого не менее опасный. Последний «конык» - перевод всех компьютеров, на которых установлен Виндовс (рабочие станции разработчиков отдела АСУТП, машин, задействованных в системах АСУТП, в т.ч. системах управления, PanelPC и пр.) на Microsoft ActiveDirectory. А это привело к тому, что разработчики–специалисты АСУТП– уже стали неАдминистраторами на своих ПК, и сопровождение потеряло административный доступ к ПК систем управления, на всех этих машинах пропали статические IP-адреса, а установлены динамические, со всеми вытекающими отсюда… Такие дела.
Есть ли у кого какой опыт от внедрения этого АД'а (ActiveDirectory) на Ваших предприятиях?
И второй, не менее важный вопрос, как все-таки и кем производится администрирование рабочих станций подразделения АСУТП?
Понимаю, что в одном вопросе «навалил» несколько вопросов. Но, как говорится, накипело..
Буду признателен за рассказ о том, как подобное происходит на др. предприятиях, виртуальный обмен опытом. Может получилось несколько сумбурно, пардон, но, надеюсь, свои вопросы изложил.

С уважением, Александр.


Romcheg
SCADA+
SCADA+
Сообщения: 520
Зарегистрирован: 05 ноя 2009, 11:18
Ф.И.О.: Бузинов Роман Анатольевич
Благодарил (а): 5 раз
Поблагодарили: 14 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Romcheg » 15 мар 2013, 20:23

При неправильном употреблении и молоток становится орудием убийства... Не один год сам лично работал в комплексах, где сетевая инфраструктура базировалась на технологии AD - пока что ничего лучше, удобнее и прозрачнее для конечного юзера я не встречал (причем системы работают в области АСУ ТП). При условии, что ее поддержкой и администрированием занимаются грамотные люди (причем с высшим образованием в этой отрасли), а не админы с тремя классами церковно-приходской школы за плечами.
SCADA+

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2407
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR » 15 мар 2013, 22:28

Кто отвечает за функционирование АСУТП? Ваш отдел? Тогда и админить всё, что находится в пределах ваших систем - вашему отделу. Все компьютеры из домена ActiveDirectory обязательно вывести, а на инициаторов ввода - служебку вышестоящему руководству, ибо нефиг ламерам лезть в ту область, в которой они нифига не понимают.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.


Михайло
почётный участник форума
почётный участник форума
Сообщения: 2215
Зарегистрирован: 10 ноя 2009, 04:58
Ф.И.О.: Толмачев Михаил Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 22 раза
Контактная информация:

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Михайло » 16 мар 2013, 07:25

VADR писал(а):нефиг ламерам лезть в ту область, в которой они нифига не понимают.

В том-то и дело, что не ламеры, а стратеги лезут в это дело. В таком случае дело становится запутанным... Служебки писать бесполезно.


Автор темы
Yushko
здесь недавно
здесь недавно
Сообщения: 3
Зарегистрирован: 13 мар 2013, 14:16
Ф.И.О.: Юшко Александр Иванович

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Yushko » 16 мар 2013, 11:06

Спасибо всем, что не оставили тему без внимания.

Я понимаю, что АД может и хорошая вещь, но для обычной сети и пользователей этой сети. По моему мнению, специалисты АСУТП, их рабочие машины, и машины , входящий в состав систем - это чуть другая каста. ПРичем, всем же понятно, что люди из отдела администрирующего компы, в т.ч. и АСУТП, ничего не понимают ни в WinCC, ни в КРУГ-2000, ни в разработках наших и т.д.

Т.е. с одной стороны "ламеры", а с другой - длительная по времени развития и агрессивная стратегия, поддерживаемая директором по ИТ. Который к тому же постоянно твердит, что не видит разницы в подходах и общих принципах работы сотрудников отдела инфраструктурных решений (поддержка корпоративной сети, ПК пользователей, периферийных устройств и пр.) и сотрудников отдела АСУТП.

Аватара пользователя

Marrenoloth
частый гость
частый гость
Сообщения: 490
Зарегистрирован: 05 окт 2009, 10:51
Ф.И.О.: Тихомиров Дмитрий Викторович
Откуда: Москва
Благодарил (а): 13 раз
Поблагодарили: 17 раз
Контактная информация:

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Marrenoloth » 16 мар 2013, 15:52

Обычно хорошо помогает взять за месяц все косяки, которые из-за такой организации труда вылезли, перевести их в человеко-часы и в чистые деньги. Дальше, если начальник ИТ адекватен, подойти к нему с этими фактами. Если нет, то эскалировать через его голову. Обычно факты типа "мы просто просрали пол-ляма" хорошо воздействуют на руководство.

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2407
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR » 16 мар 2013, 21:19

Михайло писал(а):
VADR писал(а):нефиг ламерам лезть в ту область, в которой они нифига не понимают.

В том-то и дело, что не ламеры, а стратеги лезут в это дело. В таком случае дело становится запутанным... Служебки писать бесполезно.

Ламер - человек, мнящий себя супер-специалистом, но на деле таковым не являющийся. Характерные признаки - неуважение к чужой работе (профессионал в своём деле знает немало тонкостей и понимает, что и в чужом деле таких тонкостей немало), а также стремление других научить тому, в чём сам не разбирается.
Так что здесь именно ламеры, даже если стратеги :)
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2407
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR » 16 мар 2013, 23:03

Yushko писал(а):Я понимаю, что АД может и хорошая вещь, но для обычной сети и пользователей этой сети.

AD действительно вещь неплохая, но только там где она нужна. Делать "внедрение ради внедрения" - глупость несусветная. В различных бухгалтериях - да, надо. В MES - тоже, наверное. В АСУТП для АД задачи нет.
Yushko писал(а):По моему мнению, специалисты АСУТП, их рабочие машины, и машины , входящий в состав систем - это чуть другая каста. Причем, всем же понятно, что люди из отдела администрирующего компы, в т.ч. и АСУТП, ничего не понимают ни в WinCC, ни в КРУГ-2000, ни в разработках наших и т.д.

Не каста. Задача здесь другая. Подобная ситуация на форуме уже обсуждалась, правда применительно не к АД, а к информационной безопасности. (Тема здесь: http://asutpforum.ru/viewtopic.php?f=11&t=3239). В наших задачах - другие приоритеты. Первичны - технология и управление технологией, безопасность процесса. Всё остальное - на второй план. Всё, что может привнести в систему хотя бы потенциальную опасность, не контролируемую вами, - исключить из системы. Кстати, а как они вообще сумели ваши машины в домен включить? У вас что, сети объединены? Разъединить немедленно! Никакого постороннего траффика в системе!
Yushko писал(а):Т.е. с одной стороны "ламеры", а с другой - длительная по времени развития и агрессивная стратегия, поддерживаемая директором по ИТ. Который к тому же постоянно твердит, что не видит разницы в подходах и общих принципах работы сотрудников отдела инфраструктурных решений (поддержка корпоративной сети, ПК пользователей, периферийных устройств и пр.) и сотрудников отдела АСУТП.

Да, бодаться с директорами бывает нелегко. Но приходится. На мой взгляд - здесь нужна бумага в адрес этого самого директора по ИТ, а если не поможет - то вышестоящему директору (сколько их там у вас - не знаю). Ключевые фразы - "нарушение функционирования АСУТП может привести к аварийной ситуации", "возможен переход техпроцесса в неконтролируемое и неуправляемое состояние", "размер убытков может сравним со стоимостью технологического узла и простоя оборудования, зависимого от данного узла". Как-то так. С людьми надо говорить на том языке, который им понятен. Если человек понимает в деньгах - объяснять ему в переводе на деньги. Не забывайте, что некоторые вещи, которые нам с вами кажутся "сами собой разумеющимися", для неспециалистов зачастую непонятны.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.


Василий Иванович
авторитет
авторитет
Сообщения: 872
Зарегистрирован: 21 авг 2009, 13:25
Ф.И.О.: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Василий Иванович » 18 мар 2013, 13:51

Здесь как я понял вопрос не в АД как продукте, а в том, что у ребят отобрали административный доступ к системам, за функционирование которых они несут ответственность. Вопрос надо ставить так - тот, кто админит, тот и ловит звиздюли при косяках. А не хотите - тогда отдавайте нам эти компутеры взад.
АД в принципе можно и в АСУ ТП применять, если размер сети достаточно велик. Там, где несколько десятков писюков на админе висит - запаришься разгребать. Таким образом, все зависит от конфигурации ваших сетей. Если много мелких сетей - тогда АД будет лишний. Если одна большая на всех - тогда да.

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2407
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR » 18 мар 2013, 15:31

Василий Иванович писал(а):Здесь как я понял вопрос не в АД как продукте, а в том, что у ребят отобрали административный доступ к системам, за функционирование которых они несут ответственность. Вопрос надо ставить так - тот, кто админит, тот и ловит звиздюли при косяках. А не хотите - тогда отдавайте нам эти компутеры взад.

Однажды админы берут и накатывают на все XP третий сервиспак. Второй-то не поддерживается MS, вот они и накатывают. Молодцы. А все OPC сервера накрываются медным тазом. Или просто очередной очень нужный хотфикс накатывают и у операторов компы сами перезагружаются. По закону всемирной подлости - именно в тот момент, когда технологу очень надо повлиять на техпроцесс. И АСУТПшник выслушивает от внезапно поседевшего оператора самые добрые слова. А ИТ-шному сисадмину пофиг: он "всё правильно сделал", в соответствии с придуманной его руководством стратегией.
Вопрос в том, что в пределах АСУТП вопросы операторских компьютеров - доля процента от всех вопросов. И компьютеры, будучи единожды правильно настроены, пашут без каких-либо переконфигураций. Вплоть до того, что при модернизации техпроцесс может смениться, управляющая начинка контроллеров измениться до неузнаваемости (и видеограммы операторов вместе с ними), а к самой операторской станции инженер АСУТП даже не подойдёт, ибо необходимости такой нет.
Всё всегда должно исходить от задачи. А для АД в пределах АСУТП задачи нет.
Василий Иванович писал(а):АД в принципе можно и в АСУ ТП применять, если размер сети достаточно велик. Там, где несколько десятков писюков на админе висит - запаришься разгребать. Таким образом, все зависит от конфигурации ваших сетей. Если много мелких сетей - тогда АД будет лишний. Если одна большая на всех - тогда да.

У меня на объектах - несколько десятков компов. Проблем с ними, которые могли бы быть решены при помощи АД, - нет совсем. Обслуживание сводится к периодической чистке от пыли. Иногда - ремонт: замена чего-то сгоревшего. Остальное время компы трудятся вместе с работающими на них операторами.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.


Автор темы
Yushko
здесь недавно
здесь недавно
Сообщения: 3
Зарегистрирован: 13 мар 2013, 14:16
Ф.И.О.: Юшко Александр Иванович

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Yushko » 18 мар 2013, 16:08

Вижу, что многие специалисты по АСУТП сталкивались в своей производственной практике с опытом различного рода подобных "внедрений". Когда и происходит , собственно, "внедрение ради внедрения", "всех под одну гребёнку", а ИТ-менеджеры вносят очередной пунктик в свои резюме/послужные списки.
В свою очередь, во время обсуждения этой темы здесь я получил ряд дельных советов и убедился в правильности своих суждений.

Всем участвующим - БОЛЬШОЕ СПАСИБО за поддержку и советы!

С уважением, Александр


Василий Иванович
авторитет
авторитет
Сообщения: 872
Зарегистрирован: 21 авг 2009, 13:25
Ф.И.О.: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Василий Иванович » 18 мар 2013, 19:06

VADR писал(а):, А для АД в пределах АСУТП задачи нет.
...
У меня на объектах - несколько десятков компов. Проблем с ними, которые могли бы быть решены при помощи АД, - нет совсем. Обслуживание сводится к периодической чистке от пыли. Иногда - ремонт: замена чего-то сгоревшего. Остальное время компы трудятся вместе с работающими на них операторами.


Ага. Значит патчи от Майкрософт не ставим, не так ли? Не подскажете ли, по какой причине?

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2407
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR » 18 мар 2013, 19:12

Василий Иванович писал(а):
VADR писал(а):, А для АД в пределах АСУТП задачи нет.
...
У меня на объектах - несколько десятков компов. Проблем с ними, которые могли бы быть решены при помощи АД, - нет совсем. Обслуживание сводится к периодической чистке от пыли. Иногда - ремонт: замена чего-то сгоревшего. Остальное время компы трудятся вместе с работающими на них операторами.

Ага. Значит патчи от Майкрософт не ставим, не так ли? Не подскажете ли, по какой причине?

Ставим, но:
1. После того, как производитель системы оттестирует и рекомендует.
2. Выбираем время, когда не мешаем технологам.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.


Василий Иванович
авторитет
авторитет
Сообщения: 872
Зарегистрирован: 21 авг 2009, 13:25
Ф.И.О.: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Василий Иванович » 18 мар 2013, 21:04

То есть каждый месяц полсотни компьютеров ручками патчим?

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2407
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR » 18 мар 2013, 23:10

Василий Иванович писал(а):То есть каждый месяц полсотни компьютеров ручками патчим?

Зачем каждый месяц? У нас на большинстве компов - XP SP2. Обновлений нет давно и уже не будет. SP3 использоваться не будет, ибо по рекомендациям производителя системы он не нужен. Висты тоже не будет - производитель даже не предлагал на ней что-то ставить, ибо... ну это жеж виста. Сейчас новые системы идут на семёрке, фиксы тестируются производителем и далеко не все из них нужны для установки. Не все хотфиксы одинаково полезны :) А всё, что не нужно - оно не нужно :lol: Кстати, семёрку обновлять ещё не доводилось.
Зачем ручками? При необходимости - с одного рабочего места телнетом (телнет-серверы настроены на каждой машине при установке) по всем машинкам запустить установщик - максимум полсотни минут на полсотни машин. Это если сразу везде. Обычно так не бывает - производство непрерывное, и при рабочей технологии стараемся станции операторские не трогать совсем. Так что по частям, максимум 3-4 машины в один приём, пока у технологов ППР.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.


Василий Иванович
авторитет
авторитет
Сообщения: 872
Зарегистрирован: 21 авг 2009, 13:25
Ф.И.О.: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Василий Иванович » 19 мар 2013, 09:27

SP3 использоваться не будет, ибо по рекомендациям производителя системы он не нужен

Хм. То есть как "не нужен"? Нужен или нет - решать вам, а не производителю. Производитель должен сказать, можно или нельзя использовать, и если можно, то ставить SP3 и обновления нужно хотя бы для закрытия дыр в безопасности.

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2407
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение VADR » 19 мар 2013, 10:09

Василий Иванович писал(а):
SP3 использоваться не будет, ибо по рекомендациям производителя системы он не нужен

Хм. То есть как "не нужен"? Нужен или нет - решать вам, а не производителю. Производитель должен сказать, можно или нельзя использовать, и если можно, то ставить SP3 и обновления нужно хотя бы для закрытия дыр в безопасности.

Безопасность тут, ксати, уже обсуждалась :).
А насчёт нужен/нужен - дело обстоит следующим образом: производитель ПО тестирует свой продукт на совместимость с ОС и разными его патчами. Если оказывается, что патч никаких плюсов не даёт (а то и вредит), то зачем его ставить? Известный факт: поставить OPC-сервер, к которому можно было бы достучаться удалённо, на XP SP3 очень проблематично. Ну и зачем он нужен? Необходимость любого софта определяется задачей. Зачем мне, к примеру, патч координатора распределённых транзакций, если он у меня не используется?
Кстати, этим мне нравится ОС linux - есть возможность сделать установку только того, что нужно, - без неиспользуемого софта.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.


Василий Иванович
авторитет
авторитет
Сообщения: 872
Зарегистрирован: 21 авг 2009, 13:25
Ф.И.О.: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Cопровождение ПК АСУТП, переход на MS ActiveDirectory

Сообщение Василий Иванович » 19 мар 2013, 11:51

Закрытие дыры в системе безопасности Windows (а именно для этого предназначена львиная доля заплат) - это однозначно плюс, и если есть возможность поставить разрешенную производителем заплатку - нужно ставить. Обновления опубликовываются Майкрософтом раз в месяц, многие поставщики разрешают их к применению спустя довольно короткое время, скажем, неделю. Ставить обновления ручками - дело тоскливое, и для этого даже у вас есть телнет, а у кого-то другого вполне может стоять Active Directory. Поэтому глобально утверждать что он "не нужен" оснований никаких нет.


Вернуться в «Общие вопросы»



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей