Grupa Nowy Styl testuje Microsoft® Windows® Server® 2008 RC1 jako kontroler domeny oraz platformę do zarządzania dostępem do aplikacji.
 

Informacje o firmie

Grupa Nowy Styl należy do ścisłej czołówki europejskich producentów mebli. Oferta firmy obejmuje krzesła dla biur i gastronomii (marka Nowy Styl), nowoczesne meble, krzesła i fotele biurowe (marka: , BN OfficeSolution), krzesła i stoły do jadalni domowych i restauracji (marka Stylistica ), a także specjalistyczne fotele dla kin, obiektów sportowych i innych obiektów publicznych (marka Forum Seating). Na przestrzeni ponad 15 lat historii, rodzinna firma przekształciła się w koncern meblarski, który zatrudnia prawie 7 tys. osób w ośmiu zakładach. Firma ma biura w 10 krajach, a jej sieć sprzedaży obejmuje ponad 3,5 tys. partnerów działających na ponad 60 rynkach.

Cel wdrożenia

Grupa Nowy Styl skupiała się do tej pory na informatyzacji obszarów produkcji i logistyki. Za jedno z najambitniejszych wdrożeń systemu ERP IFS Applications firma uzyskała tytuł Lidera Informatyki przyznawany przez tygodnik Computerworld.

Obecnie Nowy Styl jest w trakcie budowy nowoczesnej infrastruktury do szeroko rozumianej komunikacji, zarządzania wiedzą i informacją w skali całej grupy. Środowisko to obejmuje m.in. portal korporacyjny dla pracowników i partnerów oparty na platformie Microsoft® SharePoint Server 2007 oraz system pracy grupowej wykorzystujący Microsoft® Exchange Server 2007.

Wstępna instalacja nowego środowiska odbyła się na platformie Windows Server 2003, ale równolegle Grupa Nowy Styl rozpoczęła testy najnowszej platformy – Microsoft® Windows Server 2008 RC1, która ma wkrótce stać się w firmie platformą standardową. Partnerem Grupy Nowy Styl w testach Windows Server 2008RC1 była firma Alterkom.

„ Postanowiliśmy przetestować nową platformę w scenariuszu Domain Controller, ponieważ zarządzanie użytkownikami i ich uprawnieniami to sprawa fundamentalna dla każdej dużej, rozproszonej firmy. Migracja do Windows Server 2008 rozpocznie się właśnie od kontrolerów domeny ” – mówi Krzysztof Patla, Konsultant IT w Dziale Rozwoju Informatyki w Grupie Nowy Styl.

Rozwiązanie

Administratorzy Grupy Nowy Styl byli szczególnie zainteresowani możliwością stworzenia jednej domeny logicznej, przy założeniu rozproszenia serwerów fizycznych. To dlatego testy rozpoczęto sprawdzeniem możliwości technologii Read Only Domain Controller, czyli kontrolera domeny działającego tylko w trybie odczytu.

„Z asymulowaliśmy sytuację, w której odległy o kilkadziesiąt kilometrów zakład zostaje odcięty od sieci. Kontroler domeny działający w trybie RODC działał poprawnie zarówno w trybie z buforowaniem haseł, jak i bez. Wszystko działało poprawnie, profile replikowały się. Ustaliliśmy, że administrator może zbuforowane hasła bardzo łatwo skasować, co jest bardzo ważne z punktu widzenia bezpieczeństwa danych osobowych ” – mówi Krzysztof Patla, Konsultant IT w Dziale Rozwoju Informatyki w Grupie Nowy Styl.

Administratorzy Grupy Nowy Styl przyjrzeli się także standardowym politykom Global Policy (GPO), i pomni własnych doświadczeń wyłączyli niektóre standardowe ustawienia.

„Mieliśmy na przykład obiekcje, czy użytkownik na hali fabrycznej powinien mieć w swoim profilu wymuszanie zmiany hasła. Nie każdy potrafi wymyślić naprędce hasło o odpowiedniej mocy, a niedopuszczalne jest, żeby pracownik nie mógł dostać się do systemu ERP i zablokować produkcję tylko dlatego, że nie może poradzić sobie z hasłem. Założenia GPO trzeba umieć dostosowywać do lokalnych warunków i potrzeb” – radzi Krzysztof Patla.

Problemu tak naprawdę nie ma. Grupa Nowy Styl zamierza bowiem wprowadzić dla wszystkich pracowników logowanie do komputerów wykorzystujące karty z mikroprocesorem, funkcjonujące również jako element systemu pomiaru czasu pracy.

„Doszliśmy do wniosku, że długofalowo bezpieczniej jest oprzeć bezpieczeństwo na urządzeniu fizycznym, najlepiej oczywiście wielofunkcyjnym, niż polegać na hasłach. W takim wypadku pracownik musi zapamiętać co najwyżej numer PIN i po prostu dbać o swoją kartę” – mówi Krzysztof Patla.

Testując Active Directory administratorzy nie zapomnieli o użytkownikach zdalnych, a więc o usługach VPN.

„Zamierzamy zmienić nasz VPN IPsec na VPN SSL.Przetestujemy nową usługę bramy VPN wbudowaną w Windows Server 2008 RC1. Microsoft dołożył protokół SSL, który może wykorzystywać certyfikaty cyfrowe.. Bezpieczeństwo to rzecz względna – IPsec to bardzo dobry system szyfrowania transmisji, ale kłopotliwy dla użytkowników. Nowa usługa VPN jest atrakcyjna także dlatego, że integruje się z usługami Network Access Protection” – mówi Krzysztof Patla.

Aby „odchudzić” informatykę pracownicy działu informatyki testowali usługi terminalowe Windows Server 2003 R2 jako technologię dostępu do aplikacji i są o krok od wymiany starych pecetów na nowiutkie terminale.

„Pilotażowe wdrożenie terminalowe prowadziliśmy jeszcze na dotychczasowej wersji systemu i zapewne dopiero w połowie roku wersja 2003 R2 zostanie zastąpiona wersją 2008. Nie chcemy na razie testować tego scenariusza w pełni – na rynku nie ma jeszcze wyboru terminali z pełną obsługą protokołu RDP 6” – mówi Krzysztof Patla.

Korzyści

Testy platformy Windows Server 2008 RC1 upewniły administratorów Grupy Nowy Styl, że przyszła migracja jest możliwa, a nawet pożądana – ze względu na nowe funkcje. Informatycy firmy docenili przede wszystkim możliwość zbudowania skalowalnego systemu katalogowego, opartego na jednym repozytorium logicznym z wieloma repozytoriami zależnymi, działającymi w trybie tylko do odczytu.

„W poszczególnych zakładach nie ma specjalnych pomieszczeń serwerowych. System Active Directory z kontrolerami zależnymi da nam pewność, że zdalny serwer nie jest zagrożeniem dla danych osobowych oraz dla danych handlowych firmy” – mówi Krzysztof Patla.

Korzyścią w dziedzinie bezpieczeństwa poufnych danych będzie też zmiana sposobu ich udostępniania. „Nowa brama VPN oparta na SSL, w połączeniu z usługami blokowania dostępu do sieci z komputerów nie mających właściwie skonfigurowanych zabezpieczeń oferuje większe bezpieczeństwo, niż bramka VPN oparta na IPsec. Jednocześnie będziemy mogli zmniejszyć koszty zarządzania dostępem i wyeliminować częste problemy użytkowników z klientami IPsec” – mówi Krzysztof Patla.

Informatycy Grupy Nowy Styl docenili także fakt, że usługi Active Directory w nowej platformie są całkowicie oddzielone od jądra systemu.

„Restart całego systemu będącego kontrolerem domeny to zawsze ryzyko. Możliwość traktowania Active Directory tak jak każdej innej usługi jest w praktyce bardzo rozsądnym rozwiązaniem” – mówi Krzysztof Patla.

Wszystko wskazuje też na to, że Windows Server 2008 będzie dla Grupy Nowy Styl platformą zarządzającą dostępem do aplikacji w trybie terminalowym.

„Wykorzystując usługi terminalowe będziemy w stanie istotnie zmniejszyć koszty związane z utrzymaniem sieci. To będzie również kolejny środek podwyższający bezpieczeństwo – użytkownicy będą mieć dostęp tylko do opublikowanych aplikacji, nie zaś do całych pulpitów” – podkreśla Krzysztof Patla.