Как вы управляете компьютерами без Active Directory?

Мне нужно настроить от 5 до 10 компьютеров, чтобы начать с благотворительной организации, которая не может позволить себе использовать выделенный сервер, который поддерживает групповые политики для растущего числа сотрудников. Есть ли способ управления политиками каждого компьютера без физического изменения локальных политик безопасности. Компьютеры работают под управлением Windows XP, Vista и 7.

Я бы взвесил первоначальную стоимость установки 10 компьютеров за один раз с минимальными административными затратами и управлением доменом. Например, для обеспечения избыточности / надежности рекомендуется использовать два контроллера домена, а их конфигурация может занять довольно много времени. Это способствует увеличению финансовых затрат и может привести к увеличению затрат в человеко-часах. Это также увеличивает сложность вашей сети, что, скорее всего, заставит вас работать в дальнейшем без особых ощутимых преимуществ.

С другой стороны, при работе с 10 машинами локальная политика сравнительно проста. Я сомневаюсь, что вы будете микроуправлять политиками безопасности в своей повседневной деятельности. Обновления могут быть хлопотными, но правильно их применять после того, как вы их протестировали. Утилиты AV / malware / intrustion также могут раздражать при минимальном администрировании.

Если вы планируете рост и вам нужен домен, Microsoft BizSpark предоставляет вам бесплатный доступ к значительной части загрузок MSDN в течение одного года. Это включает в себя прошлые и настоящие версии Windows Server и ОС Windows. Все, что вам нужно, это небольшая компания для использования с небольшими требованиями. Я уверен, что благотворительные организации подойдут без проблем.

Microsoft предлагает специальную программу лицензирования для благотворительных организаций, скидки довольно большие, и для того, чтобы просто запустить AD, вы можете использовать два старых ПК с несколькими гигабайтами оперативной памяти.

Смотрите для деталей

Возможно, вы захотите попробовать TechSoup . Если ваша организация соответствует требованиям, вы можете получить копию Windows Server 2008 R2 менее чем за 100 долларов. Я полагаю, что вы также получите около 50 лицензий на места. И, как уже указывалось ранее, вам не нужно героическое оборудование для запуска Active Directory в вашей ситуации. Вы даже можете запускать другие роли сервера без особых проблем.

Если вы на самом деле находитесь в ситуации, когда требуется Active Directory, вы обнаружите, что каждая замена отстает.

Я менеджер по ИТ для малого бизнеса. У меня нет большого бюджета, поэтому я делаю все возможное, что у меня есть. Как сторонник открытого исходного кода, если я смогу надежно и надежно решить проблему со свободным программным обеспечением с открытым исходным кодом, я это сделаю. Я нашел то, что работает достаточно хорошо без Active Directory. Вот как я это делаю:

FOG Project

FOG - это решение с открытым исходным кодом для создания образа диска. (например: Создать образ диска виртуальной машины, выполнить sysprep и развернуть этот образ на десяти компьютерах.) FOG также может удаленно устанавливать оснастки. Оснастка может быть любым исполняемым файлом. Если я хочу изменить групповую политику, связанную с одним или несколькими компьютерами, я бы создал файл реестра со значениями реестра групповой политики, которые необходимо обновить. Я создаю пакетные сценарии для вызова regedit /sфайлов .reg и обновляю реестр.

7-zip & 7-zip SFX Maker

SFX maker создает мне красивые файлы .exe, которые можно настроить для автоматического извлечения содержимого и запуска произвольной программы. В приведенном выше примере я использую SFX maker, чтобы упаковать файлы .cmd и .reg в .exe, который затем может быть загружен в туман и развернут как оснастка.

Разный средства развертывания ИТ на предприятии

Для установки новых программ на всех рабочих станциях я в первую очередь ищу средства развертывания ИТ-инфраструктуры предприятия для рассматриваемого программного обеспечения. Например, Google Chrome предоставляет Chrome для бизнеса, который имеет предварительно настраиваемый, легко развертываемый и, при необходимости, бесшумный установщик. Многие производители принтеров также имеют инструменты, которые помогут вам развернуть их драйверы принтера. У HP и Brother есть хорошие инструменты для этого. Вам просто нужно найти подходящий драйвер принтера для вашей ОС, а затем использовать их инструменты для создания установщика без вывода сообщений, который можно использовать как оснастку FOG.

AutoIT

Многие разработчики программного обеспечения не делают инструменты для развертывания, даже некоторые громкие названия, такие как Quickbooks. Active Directory не может помочь вам здесь. В случаях, когда это требуется каждому компьютеру, иногда проще запечь программное обеспечение в образе диска, а затем развернуть образ диска со всеми обычно используемыми приложениями. Для всего остального есть AutoIT. Несмотря на то, что это может занять очень много времени, вы можете написать сценарии AutoIT для автоматизации установки программного обеспечения, либо обнаруживая окна и имитируя нажатия клавиш и клавиш, либо дублируя файлы и изменения реестра, которые обычно выполняются установщиками.

TightVNC

Каждый компьютер, которым я управляю, имеет сервер TightVNC. В основном удаленный рабочий стол. Когда рабочая станция не используется, я могу подключиться к рабочей станции и вручную изменить настройки, как если бы я сидел перед машиной.

ноги

Для небольших изменений, которые не нужно менять на каждой машине, очень удобны ноги, чтобы перенести меня к рассматриваемому компьютеру и возиться с ним. Бонусом здесь является то, что я могу получить некоторое упражнение, чтобы восполнить мой иначе сидячий образ жизни: P. Хотя это не очень хорошее решение для управления большим количеством компьютеров, оно подходит для небольших изменений на небольшом количестве компьютеров. (для всего остального есть AutoIT, помните?)

Вывод

ВОГ действительно является основой всего этого процесса. FOG позволяет мне назначать машины группам, которым можно назначать определенные образы дисков и оснастки, подходящие для этих групп. Группами могут быть «комната1», «комната2» и т. Д., Где при необходимости используются специальные оснастки принтера. Этот процесс, вероятно, не очень хорошо масштабируется, не лишен недостатков, но в моем случае, когда я управляю около 20 компьютерами, он работает довольно хорошо.

Ansible Windows Модули .

Я управляю с генеральным директором, который по какой-то причине против идеи домена Windows.

Мой обходной путь - использовать Ansible playbooks, чтобы удаленно делать вещи на рабочих станциях. Я могу установить MSI, установить пакеты Chocolatey , настроить RDP / VNC, убедиться, что установлены обновления Windows, создать сценарии запуска или входа в систему для сопоставления сетевых дисков, запланировать резервное копирование robocopy и т. Д.

Ansible не использует агента, что означает, что на компьютере конечного пользователя нет службы Ansible. Ansible просто использует WinRM для удаленного входа в систему и отправки инструкций на компьютер.

Я поддерживаю git-репозиторий, содержащий все мои книги Plays Ansible, развертываемые сценарии и некоторые сценарии инициализации, которые автоматизируют процесс установки для добавления компьютера Windows к управлению Ansible. Я единственный ИТ-специалист, который касается настольных компьютеров, но теоретически в git-репозитории есть все, что нужно другому ИТ-специалисту, чтобы делать то, что я делаю.

Также в репозитории git находится файл инвентаризации Ansible, который представляет собой текстовый документ в стиле .INI, содержащий IP-адреса или доменные имена для каждой машины, управляемой Ansible. (Наш офисный маршрутизатор pfSense обрабатывает разрешение DNS)

Когда в офисе добавляется новый компьютер, я запускаю на нем сценарий обеспечения Ansible. Сценарий подготовки удовлетворяет зависимости .NET и Windows Management Framework (PowerShell), настраивает компьютер для удаленного удаленного взаимодействия и устанавливает Chocolatey. После этого мне больше не нужно прикасаться к компьютеру, потому что я могу делать все остальное удаленно. У меня есть внутренний канал Nuget, который обслуживает упакованные EXE-файлы, специфичные для нашей отрасли.

Используя этот метод, я могу создавать Ansible playbooks, которые имитируют некоторые функции групповой политики Windows. Например, я могу создать пьесу Ansible под названием generalpolicy.yml, которая предназначена для конкретной группы компьютеров в файле инвентаризации Ansible. При запуске generalpolicy.yml будет удаленно подключаться к каждой машине в группе и обеспечивать выполнение определенного набора условий на указанных машинах.

Такими условиями могут быть все что угодно, например, установлен Notepad ++, в реестре включен сервер терминалов, и ICMP PING не блокируется в брандмауэре. Плейбук можно запускать снова и снова, и благодаря идемпотентности Ансибл на целевом компьютере ничего не изменится, если условие не будет выполнено.

Samba 4 может работать как контроллер домена, совместимый с Active Directory Microsoft.

https://wiki.samba.org/index.php/Samba_AD_management_from_windows

https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

По одному с большим количеством ошибок.