0. PhoenixAOD 57 06.07.17 09:26 Сейчас в теме

Как помочь сисадмину при большой текучке кадров

Хотелось бы поделиться своим опытом создания пользователей AD из 1С:ЗУП 2.5.

Перейти к публикации

Комментарии
Избранное Подписка Сортировка: Древо
1. oldfornit 06.07.17 10:49 Сейчас в теме
кстати, если у вас AD выше чем 2008- можно воспользоваться soap-интерфейсом для взаимодействия с ним.
2. PhoenixAOD 57 06.07.17 10:57 Сейчас в теме
(1)ну 2012 серваки стоят, с soap я сталкивался только когда писал выгрузку из 1с 7.7 в Кристалл 10))) и то плюнули на все эти пляски с бубнами и просто xml в папку обмена запилили))
3. citicat 119 06.07.17 11:10 Сейчас в теме
При большой текучке (об этом статья и написана) надо руководствоваться законом о защите персональных данных.
Данные вводить и нести за них ответстенность работники кадровой службы, а никак не сисадмин. Ссылка на закон здесь
http://www.consultant.ru/document/cons_doc_LAW_213151/

"Персональные данные: особая информация

Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).

У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).

Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ)."

Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
4. PhoenixAOD 57 06.07.17 14:11 Сейчас в теме
(3)
У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).
это вообще к чему тут? какие 3 лица?
5. chng 06.07.17 19:06 Сейчас в теме
(3) Вообще ваш камент, для тех кому предназначена эта статья, звучит примерно так:
Законодатель запретил водителю автомашины, заправлять автомобиль в поле из канистры, без уведомления производителя бензина. А саму заправку должен выполнять специалист заправочной станции, где приобретен бензин, находящийся в канистре.
:-) Согласитесь, смешно звучит...

Дело в том, что вы не разобрались о чем в статье идет речь.

Автор решал рутинную и очень важную проблему - управления аккаунтами пользователей в корпоративной компьютерной сети (т.е. сети работодателя).
Более того, предложенное решение, практически идеально разделяет ответственность за обработку ПДн, обобщенно о которой, идет речь в вашем комментарии.

В реализованном автором механизме, за персональные данные, отвечает именно кадровик (ему положено по штату), а с автоматически созданным в сети, аккаунтом пользователя, уже управляется сетевой администратор - назначает права, раздает полномочия и т.п.

Другими словами, Вас же не уведомляют каждый раз при расчете заработной платы, что обработали ваши данные из реестра больничных листов, его просто автоматизированно обрабатываю и включают в персонализированный расчет вашего больничного.
Так и тут, при приеме на работу, если кандидат берется на компьютеризированное рабочее место, то при заполнении кадровиком учетной информации о работнике, автоматика создает аккаунт в корпоративной сети, чтобы работник сев за рабочее место мог начать работать. Также оформив приказ на отпуск, кадровик фактически отключил аккаунт время отпуска т.к. юридически сотрудник в находящийся в отпуске не имеет права трудиться на работе.
При этом админам сети остается следить только за тем что находится в их компетенции - работой программного механизма, устраняя косяки в его работе и назначать не формализованные назначения привилегий...

Так что первый выделенный вами абзац, в части "общего правила" попадает под туже строчку в согласии об обработке ПДн что и расчет зарплаты.
Касательно части 4 статьи 9 152 ФЗ Вы перечислили очень мало данных которые должны быть в включены в согласие на обработку ПДн, особенно в все любят игнорировать п.4 и п.7.
6. PhoenixAOD 57 07.07.17 01:25 Сейчас в теме
(5)Вот именно, тем более у меня в организации каждый кто устраивается на работу, подписывает соглашение об обработке ПДн, хотя мне кажется уже в любой организации, если она конечно не ООО "Рога и Копыта" такое соглашение уже давно дают на подпись работнику при трудоустройстве.
7. TODD22 18 07.07.17 05:09 Сейчас в теме
Меня за такой код лет так 5 назад при трудоустройстве отправили учится программировать....
8. chng 07.07.17 09:25 Сейчас в теме
(7) Однако это не связанные процессы. Код работает, вы учитесь.. не просто профит, а профит+профит...
:-)
9. TODD22 18 07.07.17 10:29 Сейчас в теме
(8)
Однако это не связанные процессы.

Не связанные с чем процессы? И о каких процессах речь?
10. chng 07.07.17 11:05 Сейчас в теме
(9)Обучение красивому написательству и работа пусть и не оптимально написанного кода - собственно об этих процессах и речь.
14. TODD22 18 07.07.17 12:43 Сейчас в теме
(10)Речь не о красивости. А о грубых ошибках. Которые я сделал в тестовом задании.
15. PhoenixAOD 57 08.07.17 01:22 Сейчас в теме
(14)
(10)
Спасибо за поддержку и за критику, но на тот момент когда я это все говнокодил))) у меня вообще не было понятия как это все должно работать, Но так как я исповедую "Работает не лезь", я не стал править ничего, Если честно, я не знаю как можно из запроса вернуть NULL если должность не найдена, и вот в этом была загогулина, а сейчас это все дело предстоит перенести на 3.1, и я буду раз критике и помощи в этом деле, так как в 2.5 это все делается из одного документа, а в 3.1 это разные документы, и ТЧ там совсем другие, я бы выкладывал свои наработки и хотелось бы услышать критику и советы, как бы это сделать было более правильно.
17. chng 10.07.17 08:47 Сейчас в теме
(14) А разве это был пост про Ваши ошибки, зачем было начинать троллить ТС-а?
В отличии от франчей, на производстве, в большинстве случаев, работу оценивают по принципу выполняет свою функцию или нет.

(16)Скрипт это худшая по сравнению с кодом в 1С идея, и вот почему:
Схема со скриптом, порождает еще одну точку администрирования и лишний процесс передачи инфы, от процесса подготовившего информацию (владелец админ 1С) в скрипт который потом по каким-либо причинам накосячит в АД (владелец админ АД).
Согласование формата передачи, правка и администрирование скрипта, чья будет зона ответственности?
Второй минус схемы со скриптом, это необходимость разных скриптов для АД и ЛДАП, а в коде 1С это можно учесть сразу или доработать по мере потребности, главное, что будет уверенность в однообразности результата.

ИМХО, надежней решать эту проблему именно кодом в 1С, тем более что с АД она работает нормально не вообще не помню с какой версии версии платформы...
Конечно, если по уму, то 1С-овцы должны были отдельный модуль для этого в БСП запилить, тем более что большая часть у них уже реализована, но им как обычно пофиг...
18. TODD22 18 10.07.17 08:55 Сейчас в теме
(17)
А разве это был пост про Ваши ошибки, зачем было начинать троллить ТС-а?

ТС делает такие же грубые ошибки. Вы считаете нормой писать и выкладывать код который содержит грубые ошибки? Его так то другие смотрят... учатся...
В отличии от франчей, на производстве, в большинстве случаев, работу оценивают по принципу выполняет свою функцию или нет.

Это был не франч. А крупная торговая компания. Это как раз во франчах оценивают работает или нет. А в крупных компаниях очень часто смотрят на то какой код пишут сотрудники.

За последний месяц второй раз встречаю код написанный по принципу "выполняет свою функцию". Только он отлично выполняет свою функцию на 10-100 документах. А когда их стало 3000 тогда код выполняющий свою функцию стал выполнятся по 30-40 минут.

Второй код выполняет свою функцию в сети розничных на рабочем месте кассира. И он отлично работает только до обеда пока количество чеков не превысило 50-70 штук. После этого проведение одного чека занимает 8 минут!

Но функцию же свою выполняет....
19. chng 10.07.17 09:24 Сейчас в теме
(18)Коллега, я не имел желания вас задеть или обидеть, поэтому если это невольно получилось, прошу прощения.
Думаю, что таки пост ТС-а о другом, поэтому тему о Вас и вашей работе, лучше оставить, чтобы не развивать никому не нужный тут флэйм.
Не буду комментировать ваш последний пост, просто скажу, в (15) посте, ТС конкретно попросил помощи, можете помочь, помогите, не можете или не хотите помочь, тогда не стоит развивать тему про одинокого дартаньяна... :-)
20. TODD22 18 10.07.17 09:37 Сейчас в теме
(19)Давайте ТС будет за себя сам говорить или вам то же хочется побыть дартаньяном?
23. PhoenixAOD 57 10.07.17 12:30 Сейчас в теме
(20)Да я уже сказал за себя, и был бы рад услышал советы и подсказки) Так как сейчас все это дело надо на 3.1 будет перекинуть, и чем все будет правильнее и оптимальнее, да и посмотреть как правильно пишется код я бы с удовольствием) Я сам учился медотом наития кодить, ну и вопросу тут на форуме конечно))
11. v3rter 07.07.17 11:20 Сейчас в теме
Админа нельзя отделить от персональных данных, админу как минимум нужно ФИО и фото сотрудников. Если так уж хочется отделить админа от зарплатных ведомостей персональных данных, то делайте робота с некоторой регулярной выгрузкой из ЗУП-а, а на стороне админа пусть работает скрипт. И с точки зрения безопасности так лучше - база 1С не будет запускать от имени себя код с привилегиями администратора домена.
12. PhoenixAOD 57 07.07.17 11:45 Сейчас в теме
(11) Задача стояла не отделить админа от ПДн, а упростить парням работу, что бы не бегали к кадрам за данными, что бы работали больше по своей текучке, а остальное пусть выполнит 1с.
13. v3rter 07.07.17 12:37 Сейчас в теме
(12) Это понятно, и звезду именно за это поставил. Считайте разделение на выгрузку и скрипт одним из вариантов дальнейшего развития системы.
16. PhoenixAOD 57 08.07.17 01:25 Сейчас в теме
(13)к сожалению скрипты я писать не умею((( но это идея хорошая)) можно попробовать ее в 3.1 запустить)) когда то же надо учиться писать скрипты))
21. v3rter 10.07.17 09:56 Сейчас в теме
(16) Или можно разделить конфигурацию на две части: выгрузку и админку. И пусть каждая запускается со своим уровнем прав: выгрузка - с правами отдела персонала на своём сервере, загрузка - у Вас, в Вашей личной админской конфигурации 1С с правами админа домена. Так спокойнее и безопаснее, считаю.
22. chng 10.07.17 11:31 Сейчас в теме
(21) А смысл? Зачем админу АД отдельно осуществлять загрузку если по определению понятно, что как минимум один раз в день он ее обязан делать (большая движуха кадров определяет это требование). Такое разделение приведет к тому, что в какой-то (как обычно самый "важный" момент) админ не сделает ее вовремя и в результате, чьи-то полномочия не применятся - в разборке, крайним останется админ АД.

Зачем боятся автоматики, если она проверена и правильно отрабатывает? ИМХО не стоит придумывать лишнюю "страховку", которая на самом деле ни от чего не страхует, но обязательно послужит скрытой причиной производственного конфликта.

Другое дело, сделать оповещение админа (смс или например речевым информатором по IP-телефонии) об изменениях в составе пользователей, а самих пользователей парковать в специально созданном для этого контейнере, для дальнейшей обработки админами.
Еще можно упорядочить внесение изменений в АД например двумя моментами, скажем до обеда и в конце рабочего дня. Но это уже зависит от конкретной ситуации в боевой системе.
24. PhoenixAOD 57 10.07.17 12:32 Сейчас в теме
(21)Очень не удачная идея распиливать это на две части)) соглашусь с (22), создание нужно в реальном времени) оформили человека, отдали логин и пароль, дальше принимают или увольняют)) админу некогда этим заниматься, у админа своих проблем хватает)
25. v3rter 10.07.17 13:08 Сейчас в теме
Ну если никого ничем не смущает 1С ЗУП, запущенная с правами админа домена...
26. chng 10.07.17 13:30 Сейчас в теме
(25)Ну если точнее выразиться, то сервер запущенный с полномочиями создания пользователей, не особо смущает, у него и так полномочий системных может быть навешано не мало. А правильная раздача полномочий для системных процессов, ну так в этом суть работы админов...
Думаю один раз правильно настроить права и полномочия процессу для админов проще, чем каждый день, неизвестное количество раз дергаться на создание или перенос по контейнерам, пользователей домена.
Но соглашусь с тем, что работу данного механизма надо проектировать, оценивая реальную архитектуру сети и разные риски в том или ином случае.
27. dungeonkeeper 10 13.07.17 15:20 Сейчас в теме
Это ж насколько должна быть большая "текучка", чтоб заморочиться на такой инструмент.
Хотя вещь полезная. Посмотрел с любопытством, но возникли некоторые вопросы сразу.
Вот, например, при увольнении лочится учетка. А ведь по факту человек еще в этот день работает и даже может еще несколько дней проработать.

Я тоже начал такой инструмент мудрить, но не доделал и бросил.
Приходит с обходным листом при приеме и увольнении, тут же при них и создаю или помечаю себе, что завтра-послезавтра надо заблокировать.
Еще не забыть что-то сделать с почтовым ящиком, аккаунтом на сайте, удаленным доступом и т.д.
По этому замутил свою конфигурацию, где и хочу хранить все нужные данные. Времени нет совсем.

P.S.
Проще все это сделать на каком-нить бесплатном движке типа Joomla. Типа HelpDesk, туда же прикрутить заявки от пользователей и еще много всего.

Чет понесло меня...
28. PhoenixAOD 57 14.07.17 01:27 Сейчас в теме
(27)текучка достаточная что бы заморочиться этим))) а по сути, день в день увольнение это очень большая редкость, и тут уже админы нужны, а по сути обычно за 2 недели же готовятся документы на увольнение.
29. v3rter 14.07.17 10:02 Сейчас в теме
(28)
обычно за 2 недели же готовятся документы на увольнение
Обычно админам сообщают в день увольнения, а то и задним числом )
30. PhoenixAOD 57 14.07.17 10:20 Сейчас в теме
(29)а теперь не сообщают, зачем админу это знать) у нас админы узнают, что человек увольняется когда приходят с обходым к ним.
31. user752750 21.11.18 13:02 Сейчас в теме
Думаю, в этом случае проще 1IDM приобрести, и перекладывать ни на кого не придется и управление доступом автоматизировано будет (там тебе из ЗУП вся нужная инфа для доступа подгрузится и учетки с правами можно автоматом выдавать, блокировать, и все что угодно)
Оставьте свое сообщение
Новые вопросы с вознаграждением
Автор темы объявил вознаграждение за найденный ответ, его получит тот, кто первый поможет автору.

Вакансии

Автор новостных обзоров на тему 1С и бухучета
Санкт-Петербург
По совместительству

Ведущий программист 1С
Санкт-Петербург
зарплата от 130 000 руб.
Полный день

Программист 1С
Москва
зарплата от 130 000 руб. до 200 000 руб.
Полный день

Бизнес-архитектор 1С, ведущий консультант
Санкт-Петербург
Полный день

Руководитель проектов 1С
Санкт-Петербург
Полный день