Назад | Перейти на главную страницу

Советы по управлению несколькими компьютерами вне домена?

В моем домашнем офисе используется домен Windows, в котором размещено около 25 узлов. Есть 17 мест в поле (70% Windows XP, 30% Windows 7) с 4-10 компьютерами, которые не присоединены к этому домену и не существуют в домене. Мы заранее решили, что стоимость создания и управления инфраструктурой для подключения к домену нашего домашнего офиса была недостаточной, чтобы оправдать то немногое, в котором мы нуждались (все они подключаются к нашему веб-приложению, чтобы выполнять свою работу в любом случае).

Тем не менее, это приводит к большой потере времени для нашего (очень маленького) ИТ-отдела, когда нам нужно провести какое-либо обслуживание полевого оборудования. Мне бы хотелось, чтобы мы сэкономили время с помощью инструмента или набора практик, которые позволят нам лучше управлять этими системами удаленно, даже если это что-то столь же простое, как управление обновлениями, выполнение команд или распространение Firefox для всех.

Какие хорошие инструменты / методы позволяют решить эту проблему примерно для 150 удаленных узлов, не относящихся к домену? Любые программные решения следует рекомендовать, зная, что мы небольшая компания с ограниченным ИТ-бюджетом.

Мне лично нравится AD, но вы уже сказали, что отказались от него. Так...

  • VPN-подключения для подключения к офису. (Маршрутизация и удаленный доступ / OpenVPN / Cisco AnyConnect / Комплект поставки вашего маршрутизатора и т. Д.)
  • LogMeIn или что-то подобное на клиентах.
  • Вы можете запускать WSUS вне домена. Есть ключи реестра, которые помогут вам в этом, и они могут загружать свои обновления Microsoft через VPN. Это также даст вам отчеты о соответствии исправлений. Вы можете нажать эти клавиши одним из способов ниже. (Будьте осторожны с SusClientID и PingID - они не могут быть идентичными на всех машинах. Кроме того, WinXP принимает эти ключи как куклу, но вам, возможно, придется немного подержать 7). И наоборот, вы можете навязать политику обновления для клиентов, которые включают обращение напрямую в Microsoft и покончили с этим.

Что оставляет нам установку / обновление программного обеспечения. Деньги и потраченное время будут обратно пропорциональны друг другу, по моему опыту, но ваш опыт может отличаться.

  1. Программное обеспечение для управления, такое как Altiris Deployment Solution, LANdesk и т. Д. Плюсы: Создано для этого, и они делают его намного более управляемым. Ваши клиенты появляются в консоли, когда они подключены к VPN, хотя соединение может быть неприятным. Минусы: стоит денег, хотя я считаю, что большинство из них взимаются клиентом.
  2. Скрипты и PSexec, хотя я никогда не тестировал запуск их через VPN, и у вас, вероятно, возникнут проблемы с поиском отдельных рабочих станций. Плюсы: Бесплатно. Минусы: вам, вероятно, придется выполнить LogMeIn на удаленной машине и таким образом запустить PSexec на локальных машинах.

Вот почему Грант выступает за Active Directory для установки программного обеспечения. Честно говоря, я был просто абсурдно счастлив, когда бывший работодатель наконец получил AD, и я наконец смог перестать выдвигать ключи реестра через управляющее программное обеспечение.

Есть также (очень мало) мест, которые предоставляют удаленные рабочие столы как услугу (Desktone, Molten, Citrix, Amazon имеет бета-версию). Вы могли бы быть кандидатом на это. В вашем случае, ИМХО, обязательно стоит изучить.

Я бы порекомендовал:

  • Выясните, сколько будет стоить подключение удаленных сайтов к вашему существующему домену, включая оборудование, программное обеспечение и тех, кто будет им управлять.
  • Стоимость различных пакетов программного обеспечения (Altiris, LANdesk), включая оборудование, программное обеспечение и кого-то для управления им.
  • Прайс нанял еще одного-двух техников.
  • Оцените различные настольные компьютеры как поставщиков услуг и посмотрите, подходят ли они.

Надеюсь, что в этот момент что-то начнет вам подходить. Удачи!

Active Directory.

Мы заранее определились с затратами на создание и управление инфраструктурой для подключения к нашему домашнему офисному домену, которой было недостаточно, чтобы оправдать то немногое, для чего нам это было нужно ...

В то время это могло быть правдой. Однако теперь вы подходим к тому, что без домена им невозможно управлять за неполиномиальное время.

Пришло время пересмотреть это решение, купить пару серверов (да, правильных серверов) и установить Windows Server 2012 R2. Это даже не так дорого.

Таким образом, вы сможете развертывать программное обеспечение и обновления с помощью WSUS и лучше контролировать, кто и что делает с объектами групповой политики. Вы даже можете развернуть новые системы на «голом железе» с помощью WDS.

Шутки в сторону. 150 узлов. Вам нужен домен. Если вы так не думаете, вы ошибаетесь.

Есть несколько способов управления этим:

  • Windows intune
  • System Center Configuration Manager (я считаю, что он может работать удаленно с некоторыми дополнительными усилиями)
  • Logmein или аналогичный на всех удаленных машинах
  • VPN-подключения между сайтами, чтобы перенести их в домен.
  • VPN прямо на каждом ПК, чтобы вывести их в домен. Встроенный в Windows 7 one позволяет подключаться с экрана входа в систему, чтобы вы все еще могли войти в систему. Win XP может потребоваться сторонний клиент.

Я бы порекомендовал варианты VPN. Услуги microsoft vpn не очень дороги. А OpenVPN можно сделать бесплатно (плюс ваши затраты времени).

Наличие всех ПК в домене означает, что вы можете использовать объекты групповой политики, удаленную помощь и т. Д., Чтобы очень легко управлять ими. И вам не нужно управлять отдельными учетными данными на каждой машине. Сравните затраты ИТ-времени на управление удаленными машинами и подключенными к домену, и вы, вероятно, обнаружите, что включение их всех в домен является довольно рентабельным и в то же время обеспечивает лучшую безопасность.

Если обе системы имеют совпадающие учетные данные (одно и то же имя пользователя / пароль для пользователя AD в домене и локального пользователя на удаленном хосте), то пользователь домена должен иметь возможность беспрепятственно аутентифицироваться на удаленном хосте.

Вам необходимо настроить брандмауэр на удаленных машинах, чтобы разрешить доступ к порту 445 из вашей доменной сети и заблокировать его для всех остальных.

Как только это будет сделано, любой процесс, запущенный от имени пользователя домена, сможет пройти перекрестную проверку подлинности на удаленном компьютере как соответствующий локальный пользователь без запроса на вход в систему.