Dziś nie będzie konfiguracji MDM, nie będzie porównanie systemów, nie będzie też żadnego poradnika krok po kroku. Dziś otwieram forum. I chcę Wam powiedzieć dlaczego — i jak je zbudowałem.

Ale najpierw świętujemy

30 kwietnia 2025 roku opublikowałem na tym blogu pierwszy wpis. Dziś mija dokładnie rok.
Zapewne teraz powinienem napisać jak udało mi się w ten rok zarobić pierwszy milion, o kursach online które ledwo nadążam produkować i o tym jak zmienił mi się mindset – przecież po roku bycia „twórcą internetowym” wyprodukowałem tyle rozchwytywanego kontentu, że nie nadążam liczyć $$$… tiaaaaa

Ale nie napiszę. Po roku „twórczości” mogę się pochwalić publikacją 12 artykułów, co jak łatwo policzyć daje średnio jeden artykuł na miesiąc. Niby bez rewelacji. Ale biorąc pod uwagę fakt, że moje artykuły to nie wpisy newsowe, każdy z nich to kilka tysięcy słów i kilkanaście godzin pracy — research, weryfikacja, pisanie, screenshoty, poprawki – nie jest źle. Mogłoby być lepiej, ale nie jest źle.

A teraz wracając do tematu…

Skąd w ogóle pomysł

Przez ostatnie miesiące dostawałem regularnie wiadomości od czytelników bloga z mniej więcej tym samym komunikatem: „fajnie, że piszesz, ale gdzie można pogadać?” Komentarze pod artykułami to nie to samo co dyskusja. Każdy pisze swoje, nikt nie odpowiada na konkretne pytania innych, temat urywa się po tygodniu.

W tym czasie obserwowałem też, jak wygląda rynek: są spotkania branżowe dla Mac Adminów (nigdy nie uczestniczyłem, ale trzeba nadrobić – podobno są świetne), są webinary organizowane przez poszczególnych producentów MDM i ich resellerów, są grupy na LinkedInie. Ale każde z tych miejsc ma swoją wadę — albo jest domeną jednego producenta, albo jest za bardzo sprzedażowe, albo jest po angielsku, albo jest efemeryczne jak Slack z historią tylko do pewnego momentu wstecz.

Nie udało mi się znaleźć ani jednego miejsca, w którym administrator Proget MDM może zapytać kogoś zarządzającego Knox Manage o podejście do COPE, a przy okazji ktoś z Motoroli może wrzucić informację o nowej funkcji ThinkShield bez marketingowego opakowania. Producenci i administratorzy w jednym miejscu, na równych zasadach, bez paywalla i bez dziennikarskiej moderacji.

Zatem uznałem, że lepszego momentu na otwarcie forum nie będzie.

Silnik forum – dlaczego NodeBB, a nie coś innego

Rozważałem kilka opcji. Discourse jest popularny, ale jest ciężki i ma swój styl wizualny, który trudno przełamać. Reddit-like boards są zbyt przypadkowe. Grupy na LinkedInie nie mają żadnej struktury i topią się w algorytmie. Grupy na Facebooku to samo. Slack i Discord — świetne do czatu w czasie rzeczywistym, fatalne jako archiwum wiedzy.

NodeBB wygrał z trzech powodów. Po pierwsze, ma sensowny system kategorii i tematów, a do tego świetnie działająca wyszukiwarkę — nadaje się do budowania bazy wiedzy, a nie tylko do real-time chatu. Po drugie, jest oparty na Node.js z otwartym API do wtyczek, co okazało się ważne z powodów, które zaraz opiszę. Po trzecie, ma przyzwoity i w miarę nowoczesny interfejs, który nie wygląda jak relikt z 2003 roku.

Czego NodeBB nie umiał zrobić i co z tym zrobiłem

Tu zaczyna się część nieco bardziej techniczna. NodeBB w domyślnej konfiguracji to solidna platforma, ale kilka rzeczy musiałem dopisać samodzielnie. Skończyło się na czterech własnych wtyczkach.

Moderacja AI

To był punkt wyjścia całego projektu „forum z dodatkami”. Nie chcę spędzać życia na ręcznym moderowaniu spamu. Z drugiej strony nie chcę też prostej listy zabronionych słów, bo te są trywialne do obejścia i blokują też połowę legalnych technicznych dyskusji (słowo „exploit” w kontekście bezpieczeństwa MDM to nie spam).

Zbudowałem więc wtyczkę z dwuetapowym potokiem AI. Pierwszy etap to szybki triage oparty na Gemini Flash Lite – analizuje każdy post pod kątem spamu, toksyczności, treści NSFW, danych osobowych i niedozwolonej promocji już podczas pisania. Jeśli model nie jest pewien swojej analizy — eskaluje do Claude Haiku, który robi głębsze review. Każda decyzja trafia do dziennika audytowego, moderator może ją przejrzeć i unieważnić. Nie ma automatycznych banów — jest automatyczne flagowanie i opcjonalne ukrycie posta do czasu weryfikacji.
Wstępne testy na 200 przykładowych wpisach wykazały 100% skuteczności w działaniu. Jak będzie w rzeczywistości – czas pokaże.

Retencja kont zgodna z RODO

RODO wymaga, żeby dane osobowe przechowywać nie dłużej niż to konieczne. Dla forum oznacza to, że nieaktywne konta powinny być usuwane po określonym czasie. NodeBB nie ma wbudowanego żadnego mechanizmu, który by „opiekował” się tym obszarem — po prostu zbiera konta na wieczność.

Napisałem zatem kolejną wtyczkę, która codziennie skanuje konta pod kątem aktywności i wysyła przypomnienia na 30 i 7 dni przed planowanym usunięciem. W majlu jest tokenizowany link „zatrzymaj konto” — jedno kliknięcie resetuje licznik bez wymagania logowania. Konto, które nie reaguje przez 12 miesięcy jest usuwane, posty pozostają na forum jako wpisy anonimowe. Każda operacja jest rejestrowana w dzienniku z hashem adresu mailowego, żeby można było udowodnić compliance bez przechowywania samego adresu.

Przechowywanie plików w Backblaze B2

Domyślnie NodeBB zapisuje przesłane pliki na lokalnym dysku serwera. Podstawową wadą takiego podejścia jest to, że dysk serwera szybko puchnie. Społeczność NodeBB ma na to rozwiązanie – prosta wtyczka integrująca API S3 do wysyłania plików do chmury Amazona lub kompatybilnych. Po zbadaniu wtyczki wyszła kolejna wada – wtyczka nie ma wbudowanej żadnej kontroli uprawnień — kto ma URL do pliku, ten go zobaczy, niezależnie od uprawnień kategorii.

Więc ponownie – zbudowałem kolejną wtyczkę, która kieruje wszystkie pliki do Backblaze B2 przez API kompatybilne z S3. Pliki są w prywatnym buckecie. Zamiast bezpośrednich URL-i B2 w treści postów, trafiają tam adresy przez własne proxy, które przed wydaniem presigned URL sprawdza czy użytkownik ma uprawnienia do odczytu danej kategorii. Plik z prywatnej kategorii nie jest dostępny bez uprawnień, nawet jeśli ktoś skopiuje URL.

Do tego CDN od europejskiego Bunny.net i mamy rozwiązane obydwa problemy – dysk serwera pozostaje do dyspozycji plików systemowych, a wrzucane obrazy i pliki podlegają retencji i kontroli uprawnień.

Cloudflare Turnstile zamiast CAPTCHA

Rejestracja na forum wymaga ochrony przed botami. Istniejące wtyczki dla NodeBB mają już bardzo długą brodę, niekoniecznie są aktualizowane na bieżąco i do tego bundlują wielu providerów w jednej paczce — reCAPTCHA, hCaptcha, Akismet, honeypot i kilka innych. To sporo powierzchni do utrzymania, sporo zależności, a tym samym sporo zbędnych potencjalnych wektorów ataku.

I tak powstała ostatnia wtyczka dla Cloudflare Turnstile. Robi jedną rzecz: umieszcza komponent na formularzu rejestracji / logowania i weryfikuje token po stronie serwera. Turnstile jest privacy-friendly – bez przepisywania rozmytych liter, bez klikania w sygnalizatory, bez zaznaczania obrazów z mostami. Większość użytkowników przechodzi weryfikację bez żadnej interakcji – a na tym mi zależało – botom i robakom internetowym dziękujemy, ale nie utrudniamy życia prawdziwym userom.

Jeżeli korzystacie z NodeBB we własnych projektach, to wtyczki mogą się przydać i Wam. Wszystkie opisane znajdziecie na moim GitHubie.

Jak wygląda forum

Struktura kategorii jest podzielona według systemów MDM i platform:

Struktura jest dość typowa.
Pierwszy dział to Ogłoszenia, gdzie będą pojawiać się wszystkie komunikaty administracyjne związane z działalnością forum. Jest tu też wątek, który każdemu z Was pozwoli na zaprezentowanie innym swojej osoby, do czego oczywiście zachęcam.

Następnie mamy dedykowane kategorie dla: Microsoft Intune, Techstep Essentials MDM, Proget MDM, Jamf, ThinkShield od Motoroli, ManageEngine i szersza kategoria dla pozostałych niewymienionych systemów MDM/EMM.

Dalej obszary dla dyskusji w tematach związanych z Apple Business, Android Enterprise, Windows i wszelkiej maści sprzęt, z którym każdy z nas spotyka się w swojej codziennej pracy.

Polecane lektury – to miejsce na ciekawe artykuły znalezione w sieci, nie tylko moje ¯_(ツ)_/¯

Jest też dział Wsparcie i usługi MDM — dla tych którzy szukają kogoś do wdrożenia albo audytu i dla tych którzy takie usługi oferują.

Na forum działa system reputacji, który automatycznie przyznaje użytkownikom rangi.

Ranga Supervised (5 punktów) odblokowuje czat, głosowanie i możliwość wrzucania linków w postach. Punkty do reputacji naliczane są automatycznie zgodnie z tabelą, którą znajdziecie w Regulaminie.

Kilka słów o tym, czym to forum ma być – i czym nie jest

Forum jest bezpłatne i takie zostanie. Nie mam planu monetyzacji opartego na dostępie. Utrzymanie jest prywatną inicjatywą, stąd przycisk Buy Me a Coffee w stopce niektórych stron forum — nieobowiązkowy, bez wyrzutów sumienia.

Nie jest to miejsce sprzedażowe. Producenci sprzętu i dostawcy MDM są mile widziani — znam wielu z Was osobiście i liczę, że się pojawicie. Ale zasady są jasne: możecie informować o produktach, odpowiadać na pytania, oferować konta i sety demo. Nie możecie jednak aktywnie sprzedawać ani udawać niezależnych administratorów. Szczegóły są w zasadach forum.

Forum nie jest też miejscem do toczenia dyskusji politycznych (w żadnym wymiarze) ani branżowych wojen. Jeśli uważasz, że Intune jest lepszy od Knox Manage — napisz dlaczego, z argumentami technicznymi. Dyskusja jak najbardziej. Trolling i wycieczki osobiste — nie.

Wszystkie dokumenty prawne — Regulamin, Polityka prywatności, Polityka cookies — są dostępne na forum i napisane po polsku, po ludzku, bez prawniczej papki.

Dobra Tomek, przestań już lać wodę – gdzie te forum

Forum znajdziecie pod adresem forum.omdm.pl. Rejestracja jest otwarta. Jeśli czytasz tego bloga od jakiegoś czasu — masz już jakieś pojęcie z kim rozmawiasz. Zapraszam.

Jedna ważna rzecz zanim klikniesz

Wejdziesz tam i zobaczysz puste kategorie. Zero wątków, zero postów, zero dyskusji. To normalne — forum właśnie wystartowało i jest czystą kartką.

To nie pomyłka i nie błąd techniczny. Po prostu nikt jeszcze nic nie napisał.

I tu jest właśnie sedno: forum jest tyle warte, ile treści w nim stworzycie. Ja zbudowałem infrastrukturę — kategorie, zasady, system reputacji, moderację. Ale treści nie jestem w stanie wyprodukować sam, bo… nie o to chodzi. Forum ma być miejscem wymiany doświadczeń wielu adminów, nie kolejnym miejscem gdzie ja piszę monologi.

Więc jeśli masz pytanie o konfigurację, problem który od tygodnia Cię blokuje, ciekawy przypadek z wdrożenia albo artykuł, który ostatnio przykuł Twoją uwagę — to jest właściwy moment żeby go wrzucić. Pierwszy post, pierwszy wątek, pierwsza dyskusja. Ktoś musi zacząć.

Jeśli masz znajomych adminów MDM którzy mogliby skorzystać — prześlij im link. Im więcej osób z realnym doświadczeniem w pierwszych tygodniach, tym szybciej forum nabierze wartości dla wszystkich.

PS. Jak już postanowisz dołączyć i się zarejestrujesz, wpadnij do tematu z „Zasadami forum” – to podstawy obowiązujące nas wszystkich. A następnie zajrzyj do sekcji „Przedstaw się” i napisz kilka słów o sobie – miło będzie nam Cię poznać 😉

Do zobaczenia na forum.