Come gestite i computer senza Active Directory?

9

Devo configurare tra 5 - 10 computer per cominciare per un'organizzazione di beneficenza che non può offordare di eseguire un server dedicato che mantiene le politiche di gruppo per un numero crescente di personale. Esiste un modo in cui posso gestire le politiche di ciascun computer senza dover cambiare fisicamente le politiche di sicurezza locali. I computer eseguono una combinazione di Windows XP, Vista e 7.

group-policy 
PeanutsMonkey
fonte
1
È possibile prendere in considerazione la creazione di un file di registro con tutte le impostazioni desiderate e la condivisione in rete. Puoi importare manualmente quel file su ogni macchina o farlo importare all'avvio (se puoi condividerlo su un posto affidabile sulla rete). Il problema è che, se si apportano modifiche significative, potrebbe essere necessario riavviare prima che abbiano effetto.
Brad
@Brad - Funzionerebbe su tutte le versioni di Windows o dovrei creare file di registro separati per ognuno di essi, ad esempio Windows XP, Vista, ecc.?
PeanutsMonkey
Che tipo di politiche stai cercando di implementare?
Mark Henderson,
@Mark Henderson - Alcune delle politiche potrebbero avere la possibilità di installare gli aggiornamenti anche se non sono amministratori, non hanno accesso a determinate unità, ecc.
PeanutsMonkey

Risposte:

4

Peserei il costo iniziale della configurazione di 10 computer una volta con un lavoro amministrativo minimo rispetto alla gestione di un dominio. Ad esempio, due controller di dominio sarebbero consigliabili per motivi di ridondanza / affidabilità e la loro configurazione può richiedere un bel po 'di tempo. Ciò contribuisce a un maggiore costo finanziario e potrebbe contribuire a un costo maggiore nelle ore lavorative. Inoltre aumenta la complessità della tua rete, che molto probabilmente farà lavorare di più per te senza grandi vantaggi tangibili.

D'altra parte, lavorare con 10 macchine politiche locali è relativamente semplice. Dubito che tu gestirai le politiche di sicurezza nelle tue attività quotidiane. Gli aggiornamenti possono essere problematici, ma applicati correttamente dopo averli testati. Le utility AV / malware / intrusione possono anche essere fastidiose con una minima amministrazione.

Se stai pianificando una crescita e desideri un dominio, BizSpark di Microsoft ti dà accesso a una buona parte dei download di MSDN gratuitamente, per un anno. Ciò include le versioni passate e presenti di Windows Server e del sistema operativo Windows. Tutto quello che devi essere è una piccola azienda da utilizzare con pochi requisiti. Sono sicuro che le organizzazioni benefiche si adatteranno senza problemi.

Blake Atkinson
fonte
1
@Peanuts - prima di andare con bizspark, Microsoft ha davvero, davvero ottime licenze per le organizzazioni no profit che sono potenzialmente persino migliori del programma BizSpark. Vorrei sicuramente contattare un rivenditore Microsoft a riguardo.
Mark Henderson,
4

Microsoft offre uno speciale programma di licenze per enti di beneficenza, gli sconti sono piuttosto elevati e per la sola esecuzione di un annuncio è possibile utilizzare due vecchi PC con un paio di concerti di ram.

Vedi per i dettagli

HampusLi
fonte
Sono d'accordo, non è necessario un grande server honkin per eseguire Active Directory per dieci utenti.
Nate,
Grazie. Hanno effettivamente speso il loro budget per ottenere nuovi computer e licenze per il personale, quindi non lasciando molto da spendere in altre aree dell'IT. Esiste un software che posso dire eseguito sul mio laptop che mi consentirebbe di connettermi a tutti i computer della rete e definire i criteri per ciascuno degli utenti?
PeanutsMonkey
3

Potresti provare TechSoup . Se la tua organizzazione si qualifica, probabilmente potresti ottenere una copia di Window Server 2008 R2 per meno di $ 100 dollari. Credo che otterrai anche circa 50 licenze di posto. E come precedentemente sottolineato, non è necessario un hardware eroico per eseguire Active Directory nella tua situazione. È anche possibile eseguire altri ruoli del server senza problemi significativi.

Se in realtà ti trovi in una situazione che richiede Active Directory, scoprirai che ogni sostituto non è all'altezza.

Comunità
fonte
Grazie. Ho sentito parlare di TechSoup, quindi potrei suggerire un'opzione. A proposito, avevo pubblicato un altro commento sui nomi di dominio a cui mi hai aiutato a rispondere. Lo apprezzerei se potessi dargli un'occhiata.
PeanutsMonkey l'
3

Sono un responsabile IT per una piccola impresa. Non ho molto budget, quindi faccio il meglio che posso con quello che ho. Come sostenitore dell'open source, se riesco a risolvere in modo affidabile e affidabile un problema con il software gratuito e open source, lo faccio. Ho trovato qualcosa che funziona abbastanza bene senza Active Directory. Ecco come lo faccio:

Progetto FOG

FOG è una soluzione open source per l'imaging del disco. (ad esempio: creare un'immagine disco di una macchina virtuale, sysprep e distribuire quell'immagine su dieci computer.) FOG può anche installare snap-in in remoto. Uno snap-in può essere qualsiasi file eseguibile. Se voglio cambiare qualcosa relativo ai criteri di gruppo su uno o più computer, creerei un file di registro con i valori del registro dei criteri di gruppo che devono essere aggiornati. Creo script batch per richiamare regedit /si file .reg e aggiornare il registro.

Creatore SFX a 7 e 7 zip

Il creatore di SFX mi crea dei bei file .exe che possono essere configurati per estrarre silenziosamente i contenuti ed eseguire un programma arbitrario. Nell'esempio precedente uso SFX maker per comprimere i file .cmd e .reg in un .exe che può quindi essere caricato su fog e distribuito come snapin.

Varie. strumenti di distribuzione IT aziendale

Per l'installazione di nuovi programmi su tutte le workstation, cerco innanzitutto gli strumenti di distribuzione IT aziendali per il software in questione. Ad esempio, Google Chrome fornisce Chrome for Business che ha un programma di installazione preconfigurabile, facilmente distribuibile e facoltativamente silenzioso. Molti produttori di stampanti dispongono inoltre di strumenti che consentono di distribuire i propri driver di stampa. HP e Brother hanno ottimi strumenti per questo. Devi solo trovare il driver della stampante giusto per il tuo sistema operativo, quindi utilizzare i loro strumenti per creare un programma di installazione invisibile che può essere utilizzato come snap-in FOG.

AutoIt

Molti sviluppatori di software non creano strumenti di distribuzione, nemmeno alcuni titoli di grandi nomi come Quickbooks. Active Directory non può aiutarti qui. Nei casi in cui ogni computer ne ha bisogno, a volte è più semplice inserire il software nell'immagine del disco, quindi distribuire l'immagine del disco con tutte le applicazioni comunemente utilizzate. Per tutto il resto, c'è AutoIT. Sebbene possa essere estremamente dispendioso in termini di tempo, è possibile scrivere script AutoIT per automatizzare le installazioni del software, rilevando finestre e simulando il mouse e le sequenze di tasti o duplicando il file e le modifiche del registro che normalmente farebbero gli installatori.

TightVNC

Ogni computer che gestisco ha un server TightVNC. Fondamentalmente desktop remoto. Quando la workstation non è in uso, posso collegarmi a una workstation e modificare manualmente le impostazioni come se fossi seduto davanti alla macchina.

piedi

Per i piccoli cambiamenti che non devono essere cambiati su ogni macchina, i piedi sono molto utili per trasportarmi sul computer in questione e giocherellare con esso. Il bonus qui è che posso fare un po 'di esercizio fisico per compensare il mio stile di vita altrimenti sedentario: P. Sebbene questa non sia una buona soluzione per la gestione di una grande quantità di computer, è utile anche per apportare piccole modifiche a un piccolo numero di computer. (per tutto il resto, c'è AutoIT, ricordi?)

Conclusione

La nebbia è davvero la spina dorsale di questo intero processo. FOG mi consente di assegnare macchine ai gruppi, ai quali è possibile assegnare immagini disco e snapin specifici adatti a tali gruppi. I gruppi possono essere "room1", "room2" ecc. Con specifici snap-in di stampante distribuiti dove necessario. Questo processo probabilmente non si adatta molto bene, non è privo di difetti, ma nel mio caso in cui gestisco circa 20 computer, funziona abbastanza bene.

Grimtech
fonte
Funziona, ma se la tua azienda ha un numero superiore a 10 postazioni di lavoro, il fatto di non avere molto argomento sul budget è semplicemente falso. Qualsiasi responsabile IT con almeno una conoscenza media dovrebbe poter facilmente salvare il tempo di lavoro che dal datore di lavoro POV ha lo stesso valore delle licenze per le soluzioni di orchestrazione / distribuzione del software aziendale. E quello probabilmente già nel primo anno che richiederà più tempo per l'installazione, la prova e l'errore ...
Jey DWork,
2

Ansible moduli di Windows .

Gestisco un stillup con un CEO che per qualsiasi motivo è contrario all'idea di un dominio Windows.

La mia soluzione alternativa è utilizzare i playbook Ansible per far sì che le cose accadano in remoto sulle workstation. Posso installare MSI, installare pacchetti Chocolatey , configurare RDP / VNC, assicurarmi che siano installati aggiornamenti di Windows, creare script di avvio o di accesso per mappare unità di rete, pianificare backup di robocopy , ecc.

Ansible non utilizza un agente, il che significa che non esiste un servizio Ansible in esecuzione sul PC dell'utente finale. Ansible sfrutta semplicemente WinRM per accedere in remoto e inviare istruzioni al computer.

Mantengo un repository git contenente tutti i miei playbook Ansible, gli script distribuibili e alcuni script di provisioning che automatizzano il processo di installazione per aggiungere un computer Windows alla gestione Ansible. Sono l'unica persona IT qui che tocca i desktop, ma in teoria il repository git contiene tutto ciò che un'altra persona IT dovrebbe fare per fare quello che faccio.

Inoltre nel repository git è presente un file di inventario Ansible che è un documento di testo in stile .INI contenente indirizzi IP o nomi di dominio per ogni macchina gestita da Ansible. (Il nostro router pfSense per ufficio gestisce la risoluzione DNS)

Quando un nuovo computer viene aggiunto in ufficio, eseguo lo script di provisioning Ansible su di esso. Lo script di provisioning ha soddisfatto le dipendenze .NET e Windows Management Framework (PowerShell), configura il computer per Ansible remoting e installa Chocolatey. Dopodiché, non ho più bisogno di toccare il computer, perché posso fare tutto il resto da remoto. Ho un feed Nuget interno che serve EXE impacchettati specifici per il nostro settore.

Usando questo metodo, posso creare Playbook Ansible che imitano alcune delle funzionalità di Criteri di gruppo di Windows. Ad esempio, posso creare un playbook Ansible chiamato generalpolicy.yml, che ha come target un gruppo specifico di macchine nel file di inventario Ansible. Quando eseguito, generalpolicy.yml si remetterebbe in ogni macchina del gruppo e assicurerebbe che un determinato set di condizioni fosse soddisfatto su dette macchine.

Tali condizioni possono essere qualsiasi cosa, ad esempio Notepad ++ è installato, Terminal Server è abilitato nel registro e ICMP PING non è bloccato nel firewall. Il playbook può essere ripetuto più volte e, grazie all'idempotenza di Ansible, nulla cambierà sul computer di destinazione a meno che la condizione non sia soddisfatta.

Grimtech
fonte
+1 per il stillup;)
andreas
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.