Làm thế nào để bạn quản lý máy tính mà không có Active Directory?

Tôi cần thiết lập từ 5 - 10 máy tính để bắt đầu với một tổ chức từ thiện không thể điều hành một máy chủ chuyên dụng duy trì các chính sách nhóm cho số lượng nhân viên ngày càng tăng. Có cách nào để tôi có thể quản lý chính sách của từng máy tính mà không phải thay đổi vật lý chính sách bảo mật cục bộ. Các máy tính chạy kết hợp Windows XP, Vista và 7.

Tôi sẽ cân nhắc chi phí ban đầu để thiết lập 10 máy tính một lần với công việc quản trị tối thiểu so với việc quản lý tên miền. Ví dụ, hai bộ điều khiển miền sẽ được khuyến khích vì sự dư thừa / độ tin cậy và cấu hình của chúng có thể mất một chút thời gian. Điều này góp phần vào chi phí tài chính lớn hơn và có thể đóng góp vào chi phí lớn hơn trong giờ làm việc. Nó cũng thêm vào sự phức tạp của mạng của bạn, điều này nhiều khả năng sẽ tạo ra nhiều công việc hơn cho bạn xuống dòng mà không có nhiều lợi ích hữu hình.

Mặt khác, làm việc với 10 máy chính sách địa phương tương đối bị cắt và khô. Tôi nghi ngờ bạn sẽ quản lý các chính sách bảo mật trong các hoạt động hàng ngày của mình. Các cập nhật có thể gây rắc rối, nhưng được áp dụng đúng cách khi bạn đã kiểm tra chúng. Các tiện ích AV / phần mềm độc hại / xâm nhập cũng có thể gây khó chịu với một số quản trị tối thiểu.

Nếu bạn đang lên kế hoạch phát triển và bạn muốn có một tên miền, BizSpark của Microsoft cung cấp cho bạn quyền truy cập vào một phần tốt các bản tải xuống MSDN miễn phí trong một năm. Điều này bao gồm các phiên bản trước đây và hiện tại của Windows Server và Windows OS. Tất cả bạn cần là một công ty nhỏ để sử dụng với một vài yêu cầu lỏng lẻo. Tôi chắc chắn rằng tổ chức từ thiện sẽ phù hợp mà không có vấn đề.

Microsoft cung cấp một chương trình cấp phép đặc biệt cho các tổ chức từ thiện, mức giảm giá khá lớn và chỉ cần chạy AD, bạn có thể sử dụng hai PC cũ với một vài hợp đồng ram.

Xem để biết chi tiết

Bạn có thể muốn dùng thử TechSoup . Nếu tổ chức của bạn đủ điều kiện, có lẽ bạn có thể nhận được một bản sao của Window Server 2008 R2 với giá dưới 100 đô la. Tôi tin rằng bạn cũng sẽ nhận được khoảng 50 giấy phép chỗ ngồi. Và như đã chỉ ra trước đây, bạn không cần phần cứng anh hùng để chạy Active Directory trong tình huống của mình. Bạn thậm chí có thể chạy các vai trò máy chủ khác mà không gặp rắc rối đáng kể.

Nếu bạn thực sự đang ở trong một tình huống yêu cầu Active Directory, bạn sẽ thấy rằng mọi sự thay thế đều giảm rất nhiều.

Tôi là quản lý CNTT cho một doanh nghiệp nhỏ. Tôi không có nhiều ngân sách nên tôi làm tốt nhất có thể với những gì mình có. Là một người ủng hộ nguồn mở, nếu tôi có thể giải quyết một cách đáng tin cậy và mạnh mẽ một vấn đề với phần mềm nguồn mở và miễn phí, tôi sẽ làm điều đó. Tôi đã tìm thấy một cái gì đó hoạt động đủ tốt mà không cần Active Directory. Đây là cách tôi làm điều đó:

Dự án FOG

FOG là một giải pháp nguồn mở cho hình ảnh đĩa. (ví dụ: Tạo hình ảnh đĩa của máy ảo, sysprep và triển khai một hình ảnh đó đến mười máy tính.) FOG cũng có thể cài đặt snap-in từ xa. Một snap-in có thể là bất kỳ tập tin thực thi. Nếu tôi muốn thay đổi chính sách nhóm nào đó liên quan đến một hoặc nhiều máy, tôi sẽ tạo tệp đăng ký với các giá trị đăng ký chính sách nhóm cần cập nhật. Tôi tạo các tập lệnh bó để gọi regedit /scác tệp .reg và cập nhật sổ đăng ký.

Nhà sản xuất SFX 7-zip & 7-zip

Nhà sản xuất SFX tạo cho tôi các tệp .exe đẹp có thể được cấu hình để trích xuất nội dung và chạy một chương trình tùy ý. Trong ví dụ trên, tôi sử dụng trình tạo SFX để đóng gói các tệp .cmd và .reg vào một .exe sau đó có thể được tải lên sương mù và triển khai dưới dạng snapin.

Linh tinh công cụ triển khai CNTT doanh nghiệp

Để cài đặt các chương trình mới trên tất cả các máy trạm, trước tiên tôi tìm kiếm các công cụ triển khai CNTT cho doanh nghiệp cho phần mềm được đề cập. Ví dụ: Google Chrome cung cấp Chrome for Business có trình cài đặt im lặng có thể cấu hình trước, có thể triển khai dễ dàng và tùy chọn im lặng. Nhiều nhà sản xuất máy in cũng có các công cụ để giúp bạn triển khai trình điều khiển máy in của họ. HP và Brother có các công cụ tốt cho việc này. Bạn chỉ cần tìm trình điều khiển máy in phù hợp cho hệ điều hành của mình, sau đó sử dụng các công cụ của họ để tạo một trình cài đặt im lặng có thể được sử dụng như một snapin FOG.

Tự động

Rất nhiều nhà phát triển phần mềm không tạo ra các công cụ triển khai, thậm chí một số tiêu đề tên tuổi lớn như Quickbooks. Active Directory không thể giúp bạn ở đây. Trong trường hợp mọi máy tính đều cần nó, đôi khi việc nướng phần mềm vào hình ảnh đĩa của bạn sẽ dễ dàng hơn, sau đó triển khai hình ảnh đĩa với tất cả các ứng dụng thường được sử dụng. Đối với mọi thứ khác, có AutoIT. Mặc dù có thể rất tốn thời gian để làm như vậy, bạn có thể viết các tập lệnh AutoIT để tự động cài đặt phần mềm, bằng cách phát hiện các cửa sổ và mô phỏng chuột và tổ hợp phím hoặc bằng cách sao chép tệp và các thay đổi đăng ký thường làm.

Thắt chặt VNC

Mỗi máy tính tôi quản lý đều có máy chủ TightVNC. Về cơ bản máy tính để bàn từ xa. Khi máy trạm không được sử dụng, tôi có thể kết nối với máy trạm và thay đổi cài đặt thủ công như thể tôi đang ngồi trước máy.

Đôi chân

Đối với những thay đổi nhỏ không cần thay đổi trên mọi máy, đôi chân rất tiện để vận chuyển tôi đến máy tính được đề cập và sử dụng nó. Phần thưởng ở đây là tôi có thể tập thể dục để bù đắp cho lối sống ít vận động của mình: P. Mặc dù đây không phải là một giải pháp tốt để quản lý một lượng lớn máy tính, nhưng nó tốt cho việc thực hiện các thay đổi nhỏ đối với một số lượng nhỏ máy tính. (đối với mọi thứ khác, có AutoIT, nhớ không?)

Phần kết luận

FOG thực sự là xương sống của toàn bộ quá trình này. FOG cho phép tôi gán máy cho các nhóm, có thể được chỉ định hình ảnh đĩa và snapins cụ thể phù hợp với các nhóm đó. Các nhóm có thể là "room1", "room2", v.v ... với các snapins máy in cụ thể được triển khai khi cần thiết. Quá trình này có thể không có quy mô rất tốt, không phải là không có lỗi, nhưng trong trường hợp tôi quản lý khoảng 20 máy tính, nó hoạt động khá tốt.

Mô-đun Windows ansible .

Tôi quản lý một tĩnh với một CEO vì bất kỳ lý do gì đều chống lại ý tưởng về một miền Windows.

Cách giải quyết của tôi là sử dụng Playbook Ansible để điều khiển từ xa trên máy trạm. Tôi có thể cài đặt MSIs, cài đặt Chocolatey gói, cấu hình RDP / VNC, đảm bảo cập nhật Windows được cài đặt, tạo khởi động hoặc đăng nhập script để ánh xạ ổ đĩa mạng, lịch robocopy sao lưu, vv

Ansible không sử dụng tác nhân, nghĩa là không có dịch vụ Ansible chạy trên PC của người dùng cuối. Ansible chỉ cần tận dụng WinRM để đăng nhập từ xa và gửi hướng dẫn đến máy tính.

Tôi duy trì kho lưu trữ git chứa tất cả các sách phát Ansible, tập lệnh có thể triển khai và một số tập lệnh cung cấp tự động hóa quy trình thiết lập để hỗ trợ máy Windows cho quản lý Ansible. Tôi là người CNTT duy nhất ở đây chạm vào máy tính để bàn, nhưng trên lý thuyết, git repo chứa mọi thứ mà một người CNTT khác sẽ cần để làm những gì tôi làm.

Ngoài ra trong kho git còn có tệp kiểm kê Ansible là tài liệu văn bản kiểu .INI chứa địa chỉ IP hoặc tên miền cho mỗi máy do Ansible quản lý. ( Bộ định tuyến văn phòng pfSense của chúng tôi xử lý độ phân giải DNS)

Khi một máy tính mới được thêm vào trong văn phòng, tôi chạy tập lệnh cung cấp Ansible trên nó. Tập lệnh cung cấp thỏa mãn các phụ thuộc .NET và Windows Management Framework (PowerShell), định cấu hình máy tính để từ xa Ansible và cài đặt Chocolatey. Sau đó, tôi không cần phải chạm vào máy tính nữa, vì tôi có thể làm mọi thứ khác từ xa. Tôi có một nguồn cấp dữ liệu Nuget nội bộ phục vụ các EXE đóng gói dành riêng cho ngành của chúng tôi.

Sử dụng phương pháp này, tôi có thể tạo các Playbook Ansible bắt chước một số chức năng của Chính sách nhóm Windows. Ví dụ: tôi có thể tạo một Playbook Ansible được gọi là generalpolicy.yml, nhằm vào một nhóm máy cụ thể trong tệp kiểm kê Ansible. Khi chạy, generalpolicy.yml sẽ điều khiển từ xa vào từng máy trong nhóm và đảm bảo một bộ điều kiện cụ thể được đáp ứng trên các máy nói trên.

Những điều kiện đó có thể là bất cứ điều gì, chẳng hạn như Notepad ++ được cài đặt, Terminal Server được bật trong sổ đăng ký và ICMP PING không bị chặn trong tường lửa. Playbook có thể được chạy đi chạy lại, và nhờ vào tính tự do của Ansible, sẽ không có gì thay đổi trên máy tính mục tiêu trừ khi điều kiện không được thỏa mãn.

Samba 4 có thể chạy như một Bộ điều khiển miền tương thích với Active Directory của Microsoft.

https://wiki.samba.org/index.php/Samba_AD_man Quản lý_from_windows

https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

Một lúc, với rất nhiều sai lầm.