Все наши управляемые машины с Windows Server 03+ включены и подключаются через RDP. Тем не менее, я бы хотел менее тяжелое централизованное управление (на основе командной строки?) Для массового управления и обслуживания систем с возможностью доставки обновлений с помощью ненавязчивых методов (то есть без прерывания производительности наших пользователей).
Было бы неплохо использовать традиционное программное обеспечение для управления системами с централизованной консолью, однако половина из наших более 100 серверов и рабочих станций находится в их собственных локальных сетях. Некоторые из них являются доменами, некоторые - рабочими группами.
У нас есть клиенты по всему США. Первоначальная настройка, конечно, не была моим решением, но теперь мне было поручено найти более оптимизированный метод для рассылки обновлений, исправлений и исправлений различным типам клиентов, которые у нас есть с различными версиями поддерживаемого продукта. Я склонялся к чему-то основанному на SSH. Я знаю, что могу аутентифицироваться с использованием RDP без ущерба для безопасности, и каждый наш клиент должен поддерживать для нас учетную запись администратора. Итак, используя всю нашу информацию, какое программное обеспечение может быть лучше всего использовано в нашей ситуации?
Я думал о Шпатлевка, но это поддерживает только открытые сеансы с отдельными вкладками. У нас не было бы способа распространять исправления на основе заранее определенной группы. Если я не понимаю неправильно. Мне определенно нужна помощь в этом вопросе, это сэкономит много времени нашей ИТ-команде, чтобы получить хотя бы что-то базовое.
Было бы лучше, если бы он мог работать с учетными данными, которые мы сохранили для всех в RDP, в противном случае у нас есть 300-325 клиентов, которым нам нужно будет объяснить изменения в их инфраструктуре, что потребует запланированного простоя для всех. Пытаюсь избежать этого.
Я думаю, вы думаете, что это ограничено возможностями клиентского программного обеспечения (например, RDP-клиента или PuTTY), а не более широкой картиной использования сценариев и автоматизации задач. Я также обеспокоен тем, что у вас уже могут быть серьезные проблемы с безопасностью с вашим текущим методом обработки учетных данных, и вы не хотите двигаться вперед с этим.
Что касается удаленного управления серверами, я думаю, вам следует подумать об этом с точки зрения проблемы: «Как я могу безопасно и надежно выполнять программы на удаленных серверах таким образом, чтобы это можно было автоматизировать, регистрировать и проверять?» Как только вы это получите, все остальное может последовать.
Удаленное взаимодействие Powershell в Windows Server 2008 и более поздних версиях Windows, вероятно, является хорошим решением.
Для Windows Server 2003 я бы рассмотрел использование SSH-сервера. Я неравнодушен к Cygwin-сборке OpenSSH, но есть и другие. Существует множество клиентов SSH. Некоторые из них похожи на PuTTY и ориентированы на интерактивное использование. Другие, как Инструмент Plink (часть пакета PuTTY) ориентированы на использование командной строки, которую вы можете использовать в простых сценариях оболочки. Наконец, существует множество библиотек, которые также могут позволить вам «разговаривать» по SSH с языками сценариев.
Я уверен, что есть блестящие готовые продукты, которые тоже могут вам помочь. Учитывая более старые версии Windows, которые вам необходимо поддерживать, вы не можете воспользоваться преимуществами Desired State Configuration, которые вполне могут помочь в ваших новых версиях Windows. Инструменты управления конфигурацией, такие как Puppet, CFEngine или Chef, тоже могут быть полезны (хотя я не уверен, что ваша проблема попадает прямо в область «управления конфигурацией»).
Как только у вас появится возможность запускать программы на удаленных серверах с аутентификацией, привязанной к локальным или доменным базам данных учетных записей на этих серверах, некоторые из ваших проблем будут решены.
Вам все равно нужно будет подумать о механизме управления учетными данными, которые вы сохранили для этих серверов. Похоже, эти учетные данные имеют доступ на уровне администратора к сотням серверных компьютеров, находящихся за межсетевыми экранами в сетях ваших клиентов, на которых уже сегодня установлены инструменты удаленного администрирования. Есть злоумышленники, которые люблю чтобы добраться до этого, особенно если ваша компания обрабатывает "интересные" данные (финансовые, медицинские и т. д.).
В идеале вы действительно не хотите, чтобы учетные данные передавались в руки отдельных сотрудников. Скорее, вам понадобится некий тип «прокси-системы», который будет выполнять аутентификацию от имени ваших сотрудников. Затем вы можете подключить хороший аудит, чтобы увидеть, какие сотрудники имеют доступ к различным системам клиентов. Я, конечно, могу представить, например, случай, когда бывший сотрудник-мошенник оставляет черный ход в системе клиентов. Возможность отследить, к каким другим системам клиентов, к которым имеет доступ бывший сотрудник, была бы полезной с точки зрения сохранения лица ваших клиентов. Я могу представить себе безграничные кошмарные сценарии. Централизованный контроль и регистрация доступа к этим учетным данным безопасности имеет решающее значение.
Что ты не want - это куча скриптов с учетными данными в них. Такие вещи золото для злоумышленников.