Čech v Microsoftu vyvinul nástroj běžící na milionech počítačů

Microsoft

Microsoft Zdroj: Jan Sedlak

Jan Sedlák
E15.cz z Orlanda: Česká stopa ve vysokých strukturách Microsoftu není zase tak neobvyklá, v Redmondu se například pohybuje viceprezident pro vývoj Windows Aleš Holeček. Kromě těchto známých jmen se ale ve firmě objevují další lidé, o kterých se veřejně příliš neví, ale dělají zajímavé věci. Tak třeba Jiří Formáček v Praze vytvořil software, o který se velice začala zajímat centrála a který by jednou mohl být důležitou součástí hlavních produktů.

„Ještě, než si toho centrála všimla, už ten nástroj měl instalaci na několika milionech počítačích. Teď už jsou to čísla ještě větší a jen samotné instalační soubory mají počet stažení přes 25 tisíc,“ říká Formáček v rozhovoru pro E15.cz. O zákaznících v Microsoftu příliš nechtějí veřejně mluvit, jde ale o velká jména po celém světě. Někteří zákazníci mají Formáčkův produkt nasazený i na více než sto tisících počítačích.

Formáčkův nástroj se zkráceně jmenuje LAPS, tedy Local Administrator Password Solution. Řeší problém, který administrátoři prostředí s Windows často dobře znají, a sice správu lokálních účtů na jednotlivých počítačích. Microsoft za ta léta přinesl hromadu funkcí pro správu účtů skrze tradiční domény, Active Directory, Group Policy a podobně, lokální jména a hesla už ale centrálně příliš neřešil.

Správa lokálních hesel

LAPS na to má odpověď. U počítačů, které se připojují do domény, umožňuje spravovat hesla k lokálním administrátorským účtům, které mají velká privilegia. Hesla k nim se ukládají v tradičním systému Active Directory s tím, že z koncové stanice lze inicializovat jejich změnu. Administrátoři domény mohou nastavit práva těm uživatelům, kteří něco takového mohou žádat. Typicky to jsou pracovníci helpdesku a podobně. U hesel lze nastavit jejich vypršení, takže lze například naplánovat určitou operaci s tím, že se později heslo samo změní.

Microsoft novou verzi LAPSu vydal letos v květnu, k dispozici je instalační balíček pro 32 i 64bitové systémy a konfigurace se provádí kompletně v Group Policy. Na webu se stažením je také přehled funkcí a odkazy na podrobnější dokumentaci. Komunita je aktivní na portálu MSDN a Jiří Formáček zde publikuje také svůj blog.

Centrála si nástroje všimla a viděla v něm potenciál. Vývoje LAPSu se ujal tým lidí.

LAPS je dostupný zdarma a administrátoři ho většinou nasazují svépomocí. „Tipujeme, že takových instalací bude velká část,“ říkají v neformální debatě zástupci Microsoftu, se kterými se E15.cz bavil na partnerské konferenci WPC. „K zákazníkům jsme ale také schopní vyslat vlastní lidi z celého světa, kteří se postarají o profesionální integraci a servis okolo. Na dalším formálním rozvoji pracujeme.“

Na vyšší úroveň

LAPS je typický produkt, který ve velké korporaci vznikne odspodu díky iniciativě zaměstnanců. Jiří Formáček pracuje na pozici nazvané Principal Consultant a je tak často ve styku s velkými zákazníky nasazující produkty Microsoftu. „U zákazníků jsem často slyšel, že by se jim něco na správu lokálních hesel líbilo, tak jsem na tom ve volném čase začal dělat,“ vypráví Formáček.

Jako první vznikající produkt vyzkoušel jeden velký mobilní operátor, to bylo někdy koncem roku 2010. Formáček později zdrojové kódy zveřejnil na interní stránce v rámci MSDN a začal informace o LAPSu šířit. Poté si toho všimly další velké společnosti. Společně s rychlým nasazováním se začaly objevovat nové požadavky, mimo jiné na šifrování a další funkce.

„Po publikování na MSDN si toho všimli v centrále a viděli v tom dobrý potenciál. V současné době tak na dalším rozvoji produktu pracuje tým lidí,“ popisuje Formáček. Dělá se na pokročilé verzi s dalšími funkcemi, mimo jiné třeba na šifrování hesel pomocí RSA klíčů a podobně.

„Samozřejmě bych chtěl, aby se LAPS stal součástí Windows a dalších našich produktů, třeba Windows Update. Ale o tom je teď velice předčasné debatovat, řešíme veškeré náležitosti okolo,“ zakončuje Formáček.

Cestu autora na konferenci WPC 2015 hradila společnost Microsoft.