Увольняется штатный сисадмин: как не остаться без доступов к своей же инфраструктуре
За пятнадцать лет в аутсорсинге я раз двадцать заходил в компанию уже после того, как всё случилось. Директор звонит, голос на нервах: «Сисадмин уволился, а мы не можем зайти в 1С». Дальше начинается археология. Сегодня разберу по шагам, что нужно инвентаризировать до того, как человек напишет заявление — а не после.
История, после которой я завёл эту привычку у клиентов
Году в 2019 у меня был клиент — торговая компания, человек тридцать в штате, склад и офис продаж. Сисадмин там работал восемь лет. Один. Без напарника, без документации, без переписки с нами — они тогда ещё не были на аутсорсе. Просто хороший парень, который всё держал в голове.
Уволился он буднично. Нашёл работу поближе к дому, отработал две недели, попрощался с коллегами в общем чате. А через три дня бухгалтер не смогла зайти в клиент-банк — сертификат КриптоПро оказался привязан к токену, который сисадмин забрал домой «на всякий случай», чтобы обновлять с внешнего IP. Так он объяснил директору по телефону. Тот заплатил ему пятнадцать тысяч рублей за «консультацию», чтобы вспомнить пароль от Windows Server.
С тех пор я в каждом договоре аутсорсинга прописываю пункт про инвентаризацию доступов в первый месяц работы. Не потому что не доверяю людям. Потому что человек может заболеть, уйти в отпуск на Бали без связи, или просто уволиться — и это не вопрос доверия, это вопрос устройства бизнеса.
Почему один айтишник — это единая точка отказа
В компании до пятидесяти рабочих мест обычно один системный администратор. Иногда — приходящий раз в неделю фрилансер, иногда штатный. И вся инфраструктура держится на одном человеке физически и на его голове информационно.
Смотрите, что обычно у него в руках: домен и Active Directory, почтовый сервер или подписка Microsoft 365, 1С со всеми базами и правами, бухгалтерский клиент-банк с токенами и сертификатами, Wi-Fi роутер и VPN, камеры видеонаблюдения, Veeam для бэкапов, RDP на терминальный сервер, панель хостинга сайта, домены компании в реестраторе, антивирус на весь парк машин.
Если это один человек и уходит внезапно — компания на несколько дней теряет управляемость собственной техникой. Не потому что кто-то злой. Просто пароли лежат в его личном менеджере паролей, а не в корпоративном. Так почти everywhere устроено, я проверял на входе в проекты раз сто, наверное.
Что именно инвентаризировать: мой рабочий список
Начинаю всегда с реестра доменных имён. Кто регистратор — Reg.ru, Nic.ru, Webnames? На чей email зарегистрирован домен и кто оплачивает продление? Однажды нашёл домен клиента, зарегистрированный на личную почту уволенного сотрудника пятилетней давности — восстанавливали доступ через поддержку регистратора три недели.
Дальше хостинг и сервер: панель управления (ISPmanager, HestiaCP, cPanel), доступ по SSH, root-пароль, доступ к панели VPS-провайдера — Timeweb, Selectel, свой физический сервер в офисе. Отдельно — 1С: список информационных баз, кто администратор в самой конфигурации, пароль пользователя «Администратор» с полными правами, ключи защиты или подписка 1С:Фреш.
Ещё почта компании — если это Яндекс 360 или Google Workspace, нужен доступ в консоль администратора, а не только в личный ящик. Роутер и Wi-Fi — Keenetic, MikroTik, кто угодно — со своим паролем в веб-интерфейс, который вообще никогда не меняли с момента настройки. VPN-туннели для удалённых сотрудников. Учётки в Active Directory с правами Domain Admin. Клиент-банк и КриптоПро — сертификаты, токены, кто хранит физически. Камеры видеонаблюдения и Veeam для резервных копий — сюда, кстати, реже всего заглядывают, а зря.
Где всё это хранить, чтобы не превратилось в ещё одну проблему
Тут многие делают ошибку — заводят Excel-файл «Пароли.xlsx» на рабочем столе директора. Это тоже единая точка отказа, только другая: файл скопируют, потеряют, забудут зашифровать. У меня в компании и у клиентов, которых веду, используется корпоративный менеджер паролей — Bitwarden в self-hosted варианте или платная версия KeePass с общей базой на сетевом диске под шифрованием.
Важный момент: мастер-пароль от хранилища не должен знать один человек. Разделите его на две части — директор и, скажем, главный бухгалтер, или второй ответственный сотрудник. Или используйте функцию emergency access в Bitwarden, которая даёт доступ доверенному лицу через оговорённое время ожидания, если основной владелец недоступен.
Физические носители — токены КриптоПро, ключи 1С, флешки с сертификатами — храните в сейфе организации, а не в столе сисадмина. Звучит очевидно. На практике я такое видел у клиентов реже, чем хотелось бы — то есть почти никогда, пока не настоишь лично.
Регламент передачи дел: акт, а не рукопожатие
Когда сотрудник подаёт заявление на увольнение, у вас по Трудовому кодексу есть минимум две недели отработки. Используйте их не для того, чтобы он «доделывал текущие задачи», а для формальной передачи инфраструктуры.
Составьте акт передачи дел — обычный документ, где перечислены все системы, логины и статус: пароль сменён, доступ проверен новым ответственным. Пусть уходящий сотрудник лично при вас или при заместителе войдёт в каждую систему и покажет, что доступ действительно рабочий, а не заявлен на словах. Часто вскрывается, что часть паролей в голове уже подзабылась — тем более повод зафиксировать всё письменно, пока человек ещё рядом и может подсказать.
И отдельным пунктом — смените все пароли после его ухода, даже если акт подписан красиво. Не потому что вы подозреваете человека в злом умысле. А потому что бывший сотрудник теоретически помнит пароль от роутера ещё полгода, и это нормальная гигиена, а не оскорбление.
Проверка на прочность: тестовый вход без участия увольняющегося
Лучший способ понять, что вы ничего не упустили — попробовать зайти во всё сами, без подсказок уходящего сисадмина. Возьмите распечатанный список систем и по очереди проверьте: заходит ли новый ответственный сотрудник в 1С под администратором, открывается ли панель хостинга, поднимается ли VPN с нового устройства.
У одного клиента — медицинская клиника на сорок сотрудников — мы делали такую проверку перед плановым увольнением админа. И выяснили, что резервные копии Veeam последний месяц вообще не создавались: задание сломалось, а уведомления об ошибке уходили на почту, которую никто не читал. Если бы сисадмин ушёл без проверки, клиника узнала бы об этом в первый же серьёзный сбой сервера — и без единой рабочей копии данных пациентов.
Такая ревизия занимает день, максимум два. Но именно она показывает разницу между «у нас всё задокументировано» на словах и реальным положением дел.
Если сисадмин уже ушёл, а доступов нет
Бывает и так — статья написана поздно, момент упущен. Не паникуйте, восстановить можно почти всё, просто дороже и дольше. По доменам и хостингу — обращайтесь в поддержку регистратора или хостинг-провайдера с документами компании, подтверждающими, что вы юрлицо-владелец; процедура восстановления доступа есть у всех нормальных провайдеров.
По Windows Server и Active Directory — если нет доступа даже к серверу физически, поможет загрузка с livecd и сброс пароля администратора локальными утилитами, это делают многие сисадмины на аутсорсе как стандартную процедуру. По 1С сложнее, если стоит защита ключом — тут иногда нужен звонок в 1С или к партнёру-франчайзи для восстановления лицензии.
Дороже всего обычно обходится КриптоПро и клиент-банк — придётся ехать в банк лично, перевыпускать сертификаты, а это дни простоя платежей. Именно этот пункт чаще всего и заставляет директоров звонить мне в панике в пятницу вечером.
Частые вопросы
Сколько стоит провести полную инвентаризацию доступов силами аутсорсинговой компании?
Для компании до пятидесяти рабочих мест обычно это два-три дня работы инженера — в среднем от двадцати пяти до сорока тысяч рублей разово. Дешевле, чем потом восстанавливать доступ к клиент-банку через банк вручную.
Можно ли обойтись без менеджера паролей, просто держать всё в сейфе на бумаге?
Можно, но неудобно и небезопасно при большом числе систем — бумагу легко потерять или забыть обновить после смены пароля. Электронное хранилище с историей изменений и разделённым мастер-паролем надёжнее и быстрее в экстренной ситуации.
Нужно ли это делать, если сисадмин работает на аутсорсе, а не в штате?
Да, причём даже строже — при смене подрядчика риск потерять доступы такой же, если не выше. Требуйте от аутсорсинговой компании письменную передачу всех паролей и доступов в ваше собственное хранилище, а не только в их внутреннюю базу.
Как убедить сисадмина не сопротивляться такой инвентаризации, если он воспринимает это как недоверие?
Объясните это как страховку для него самого — если через полгода что-то сломается, никто не обвинит уволившегося сотрудника в саботаже, потому что всё передано под подпись. На моей практике нормальные специалисты после такого объяснения относятся к процедуре спокойно.
Обращайтесь в «АйТи-Фреш» — проведём инвентаризацию доступов и настроим передачу дел так, чтобы бизнес не зависел от одного человека.
Бесплатная консультация →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.
