Мне нужно настроить от 5 до 10 компьютеров, чтобы начать работу с благотворительной организацией, которая не может работать с выделенным сервером, поддерживающим групповые политики для растущего числа сотрудников. Есть ли способ управлять политиками каждого компьютера без физического изменения локальных политик безопасности. Компьютеры работают под управлением Windows XP, Vista и 7.
Я бы взвесил начальную стоимость установки 10 компьютеров за один раз с минимальной административной работой по сравнению с управлением доменом. Например, для обеспечения избыточности / надежности было бы целесообразно установить два контроллера домена, а их настройка может занять довольно много времени. Это приводит к увеличению финансовых затрат и может способствовать увеличению затрат в человеко-часах. Это также усложняет вашу сеть, что, скорее всего, заставит вас работать больше без особой ощутимой выгоды.
С другой стороны, работа с локальными политиками на 10 машинах сравнительно проста. Я сомневаюсь, что вы будете заниматься микроменеджментом политик безопасности в своей повседневной деятельности. Обновления могут быть проблематичными, но они применяются правильно после их тестирования. Утилиты антивируса, вредоносных программ и вторжений также могут раздражать при минимальном администрировании.
Если вы планируете рост и хотите домен, Microsoft BizSpark дает вам доступ к значительной части загрузок MSDN бесплатно в течение одного года. Сюда входят прошлые и настоящие версии Windows Server и ОС Windows. Все, что вам нужно, - это небольшая компания с небольшими требованиями. Я уверен, что благотворительные организации подойдут без проблем.
Microsoft предлагает специальную лицензионную программу для благотворительных организаций, скидки довольно большие, и для запуска AD вы можете использовать два старых компьютера с парой гигабайт оперативной памяти.
Смотрите для подробности
Вы можете попробовать TechSoup. Если ваша организация соответствует требованиям, вы, вероятно, сможете получить копию Window Server 2008 R2 менее чем за 100 долларов. Думаю, с ним вы также получите около 50 лицензий. И, как указывалось ранее, вам не нужно героическое оборудование для запуска Active Directory в вашей ситуации. Ты даже можешь бежать другие роли сервера без особых хлопот.
Если ты фактически в ситуации, требующей Active Directory, вы обнаружите, что ни одна замена не оправдывает ожиданий.
Я ИТ-менеджер малого бизнеса. У меня не так много средств, поэтому я стараюсь изо всех сил, что у меня есть. Как сторонник открытого исходного кода, если я могу надежно и надежно решить проблему с помощью бесплатного программного обеспечения с открытым исходным кодом, я это сделаю. Я нашел то, что достаточно хорошо работает без Active Directory. Вот как я это делаю:
FOG - это решение для создания образов с открытым исходным кодом. (например, создайте образ диска виртуальной машины, выполните sysprep и разверните этот образ на десяти компьютерах.) FOG также может удаленно устанавливать оснастки. Оснасткой может быть любой исполняемый файл. Если я хочу изменить что-то, связанное с групповой политикой на одной или нескольких машинах, я бы создал файл реестра со значениями реестра групповой политики, которые необходимо обновить. Я создаю пакетные скрипты для вызова regedit /s в файлах .reg и обновите реестр.
Создатель SFX создает мне красивые .exe-файлы, которые можно настроить на автоматическое извлечение содержимого и запуск произвольной программы. В приведенном выше примере я использую SFX maker для упаковки файлов .cmd и .reg в .exe, который затем можно загрузить в туман и развернуть как оснастку.
Для установки новых программ на все рабочие станции я сначала ищу инструменты развертывания корпоративной ИТ для рассматриваемого программного обеспечения. Например, Google Chrome предоставляет Chrome для бизнеса который имеет предварительно настраиваемый, легко развертываемый и опционально бесшумный установщик. Многие производители принтеров также имеют инструменты, которые помогут вам развернуть их драйверы. HP и Брат есть хорошие инструменты для этого. Вам просто нужно найти правильный драйвер принтера для вашей ОС, а затем использовать их инструменты для создания тихого установщика, который можно использовать в качестве оснастки FOG.
Многие разработчики программного обеспечения не создают инструментов для развертывания, даже таких громких книг, как Quickbooks. Active Directory здесь не поможет. В случаях, когда это необходимо каждому компьютеру, иногда проще встроить программное обеспечение в образ диска, а затем развернуть образ диска со всеми часто используемыми приложениями. Для всего остального есть AutoIT. Хотя это может занять очень много времени, вы можете написать сценарии AutoIT для автоматизации установки программного обеспечения, либо обнаружив окна и имитируя нажатие мыши и клавиш, либо путем дублирования файлов и изменений реестра, которые обычно делают установщики.
На каждом компьютере, которым я управляю, есть сервер TightVNC. В основном удаленный рабочий стол. Когда рабочая станция не используется, я могу подключиться к ней и вручную изменить настройки, как если бы я сидел перед машиной.
Для небольших изменений, которые не нужно менять на каждой машине, мне очень пригодятся ножки, чтобы перенести меня к соответствующему компьютеру и возиться с ним. Бонус в том, что я могу заниматься спортом, чтобы восполнить свой сидячий образ жизни: P. Хотя это не лучшее решение для управления большим количеством компьютеров, оно подходит для внесения небольших изменений в небольшое количество компьютеров. (для всего остального есть AutoIT, помните?)
FOG действительно является основой всего этого процесса. FOG позволяет мне распределять машины по группам, которым можно назначать определенные образы дисков и оснастки, подходящие для этих групп. Группы могут быть «room1», «room2» и т. Д. С конкретными оснастками принтера, развернутыми там, где это необходимо. Этот процесс, вероятно, не очень хорошо масштабируется, у него есть недостатки, но в моем случае, когда я управляю примерно 20 компьютерами, он работает довольно хорошо.
Я веду переговоры с генеральным директором, который по тем или иным причинам против идеи домена Windows.
Мой обходной путь - использовать Ansible playbooks для удаленного выполнения задач на рабочих станциях. Я могу установить MSI, установить Шоколадный пакеты, настроить RDP / VNC, убедиться, что обновления Windows установлены, создать сценарии запуска или входа в систему для сопоставления сетевых дисков, запланировать Робокопия резервные копии и т. д.
Ansible не использует агент, то есть на компьютере конечного пользователя не работает служба Ansible. Ansible просто использует WinRM для удаленного входа в систему и отправки инструкций компьютеру.
Я поддерживаю репозиторий git, содержащий все мои плейбуки Ansible, развертываемые сценарии и некоторые сценарии подготовки, которые автоматизируют процесс установки для добавления компьютера Windows к управлению Ansible. Я единственный здесь ИТ-специалист, который имеет дело с рабочими столами, но теоретически репозиторий git содержит все, что потребуется другому ИТ-специалисту для выполнения моих действий.
Также в репозитории git есть Ansible инвентарный файл который представляет собой текстовый документ в стиле .INI, содержащий IP-адреса или доменные имена для каждой машины, управляемой Ansible. (Наш pfSense офисный маршрутизатор обрабатывает разрешение DNS)
Когда в офис добавляется новый компьютер, я запускаю на нем сценарий подготовки Ansible. Сценарий подготовки удовлетворяет зависимости .NET и Windows Management Framework (PowerShell), настраивает компьютер для удаленного взаимодействия Ansible и устанавливает Chocolatey. После этого мне больше не нужно прикасаться к компьютеру, потому что все остальное я могу делать удаленно. У меня есть внутренний канал Nuget, который обслуживает упакованные EXE-файлы, специфичные для нашей отрасли.
Используя этот метод, я могу создавать Ansible playbook, которые имитируют некоторые функции групповой политики Windows. Например, я могу создать сборник воспроизведения Ansible под названием generalpolicy.yml, который нацелен на определенную группу машин в файле инвентаризации Ansible. При запуске generalpolicy.yml будет удаленно подключаться к каждой машине в группе и обеспечивать выполнение определенного набора условий на указанных машинах.
Эти условия могут быть любыми, например Notepad ++ установлен, сервер терминалов включен в реестре и ICMP PING не заблокирован брандмауэром. Плейбук можно запускать снова и снова, и благодаря идемпотентности Ansible ничего не изменится на целевом компьютере, если условие не будет выполнено.
Samba 4 может работать как контроллер домена, совместимый с Microsoft Active Directory.
https://wiki.samba.org/index.php/Samba_AD_management_from_windows
По одному, с множеством ошибок.