Como você gerencia computadores sem o Active Directory?

9

Preciso configurar entre 5 a 10 computadores para uma organização de caridade que não pode estar executando um servidor dedicado que mantém políticas de grupo para um número crescente de funcionários. Existe uma maneira de gerenciar políticas de cada computador sem precisar alterar fisicamente as políticas de segurança local. Os computadores executam uma combinação do Windows XP, Vista e 7.

group-policy AmendoimMacaco
fonte
1
Você pode considerar criar um arquivo de registro com todas as configurações desejadas e compartilhá-lo na rede. Você pode importar manualmente esse arquivo em cada máquina ou importá-lo na inicialização (se puder compartilhá-lo em um local confiável na rede). O problema é que, se você fizer alterações significativas, poderá ser necessário reiniciar antes que elas entrem em vigor.
Brad
@ Brad - Funcionaria na versão do Windows ou eu teria que criar arquivos de registro separados para cada um deles, por exemplo, Windows XP, Vista, etc?
PeanutsMonkey
Que tipo de políticas você deseja implantar?
Mark Henderson
@ Mark Henderson - Algumas das políticas seria ter a capacidade de instalar atualizações, embora eles não são administradores, não ter acesso a certas unidades, etc
PeanutsMonkey

Respostas:

4

Eu avaliaria o custo inicial de configurar 10 computadores por vez com um mínimo de trabalho administrativo versus o gerenciamento de um domínio. Por exemplo, dois controladores de domínio seriam aconselháveis ​​por causa da redundância / confiabilidade e sua configuração pode demorar um pouco. Isso contribui para um maior custo financeiro e pode contribuir para um maior custo em horas-homem. Isso também aumenta a complexidade da sua rede, o que provavelmente fará mais trabalho para você no futuro, sem muitos benefícios tangíveis.

Por outro lado, trabalhar com 10 máquinas de políticas locais é relativamente fácil. Duvido que você esteja gerenciando as políticas de segurança em suas atividades diárias. As atualizações podem ser problemáticas, mas aplicadas corretamente depois de testadas. Os utilitários de antivírus / malware / intrusão também podem ser irritantes com uma administração mínima.

Se você planeja crescer e deseja um domínio, o BizSpark da Microsoft oferece acesso a boa parte dos downloads do MSDN gratuitamente, por um ano. Isso inclui versões anteriores e atuais do Windows Server e Windows OS. Tudo que você precisa é ser uma empresa pequena para usar com alguns requisitos frouxos. Tenho certeza que instituições de caridade caberiam sem problemas.

Blake Atkinson
fonte
1
@ Amendoins - antes de você optar pelo bizspark, a Microsoft tem um licenciamento muito bom para organizações sem fins lucrativos que são potencialmente ainda melhores que o programa BizSpark. Eu entraria em contato definitivamente com um revendedor da Microsoft.
Mark Henderson
4

A Microsoft oferece um programa de licenciamento especial para instituições de caridade, os descontos são bastante grandes e, para rodar um AD, você pode usar dois PCs antigos com alguns GB de RAM.

Veja para detalhes

HampusLi
fonte
Concordo que você não precisa de um grande servidor honkin para executar o Active Directory para dez usuários.
Nate
Obrigado. Eles gastaram efetivamente seu orçamento na obtenção de novos computadores e licenças para a equipe, portanto, não deixando muito para gastar em outras áreas de TI. Posso dizer que existe um software em execução no meu laptop que me permita conectar a todos os computadores da rede e definir as políticas para cada um dos usuários?
PeanutsMonkey
3

Você pode tentar o TechSoup . Se sua organização se qualificar, você provavelmente poderá obter uma cópia do Window Server 2008 R2 por menos de US $ 100 dólares. Acredito que você também receberá cerca de 50 licenças de assento. E, como mencionado anteriormente, você não precisa de um hardware heróico para executar o Active Directory em sua situação. Você pode até mesmo executar outras funções de servidor , sem problemas significativos.

Se você estiver realmente em uma situação que requer o Active Directory, verá que todos os substitutos ficam muito aquém.

Comunidade
fonte
Obrigado. Eu ouvi falar da TechSoup, então posso sugerir que é uma opção. A propósito, eu tinha postado outro comentário sobre nomes de domínio que você me ajudou a responder. Agradeceria se você pudesse dar uma olhada.
PeanutsMonkey
3

Sou gerente de TI de uma pequena empresa. Como não tenho muito orçamento, faço o melhor que posso com o que tenho. Como advogado de código aberto, se eu puder resolver de maneira confiável e robusta um problema com software livre e de código aberto, eu o faço. Eu encontrei algo que funciona bem o suficiente sem o Active Directory. Aqui está como eu faço isso:

Projeto FOG

FOG é uma solução de código aberto para geração de imagens de disco. (por exemplo: crie uma imagem de disco de uma máquina virtual, sysprep e implante essa imagem em dez computadores.) O FOG também pode instalar snap-ins remotamente. Um snap-in pode ser qualquer arquivo executável. Se eu quiser alterar algo relacionado à política de grupo em uma ou mais máquinas, criaria um arquivo de registro com os valores do registro de política de grupo que precisam ser atualizados. Crio scripts em lote para acessar regedit /sos arquivos .reg e atualizar o registro.

Fabricante de SFX com 7 e 7 zip

O fabricante de SFX me cria arquivos .exe que podem ser configurados para extrair silenciosamente o conteúdo e executar um programa arbitrário. No exemplo acima, eu uso o SFX Maker para compactar os arquivos .cmd e .reg em um .exe que pode ser carregado no fog e implantado como um snap-in.

Misc. ferramentas de implantação de TI corporativa

Para instalar novos programas em todas as estações de trabalho, primeiro procuro ferramentas corporativas de implantação de TI para o software em questão. Por exemplo, o Google Chrome fornece o Chrome for Business, que possui um instalador pré-configurável, facilmente implantável e opcionalmente silencioso. Muitos fabricantes de impressoras também possuem ferramentas para ajudá-lo a implantar seus drivers de impressora. HP e Brother têm boas ferramentas para isso. Você só precisa encontrar o driver de impressora certo para o seu sistema operacional e, em seguida, usar as ferramentas para criar um instalador silencioso que pode ser usado como um snap-in do FOG.

AutoIT

Muitos desenvolvedores de software não fabricam ferramentas de implantação, nem mesmo alguns títulos de grande nome como o Quickbooks. O Active Directory não pode ajudá-lo aqui. Nos casos em que todos os computadores precisam, às vezes é mais fácil inserir o software na imagem do disco e implantar a imagem do disco com todos os aplicativos mais usados. Para todo o resto, existe o AutoIT. Embora isso consuma muito tempo, é possível gravar scripts AutoIT para automatizar as instalações de software, detectando janelas e simulando pressionamentos de mouse e teclas ou duplicando as alterações de arquivo e registro que os instaladores normalmente fazem.

TightVNC

Todo computador que eu gerencio tem um servidor TightVNC. Área de trabalho basicamente remota. Quando a estação de trabalho não está em uso, posso conectar-me a uma estação de trabalho e alterar manualmente as configurações como se estivesse sentado em frente à máquina.

Pés

Para pequenas mudanças que não precisam ser trocadas em todas as máquinas, os pés são muito úteis para me transportar para o computador em questão e mexer nele. O bônus aqui é que posso fazer algum exercício para compensar meu estilo de vida sedentário: P. Embora essa não seja uma boa solução para gerenciar uma grande quantidade de computadores, é boa para fazer pequenas alterações em um pequeno número de computadores. (para todo o resto, existe o AutoIT, lembra?)

Conclusão

O FOG é realmente a espinha dorsal de todo esse processo. O FOG permite atribuir máquinas a grupos, aos quais podem ser atribuídas imagens de disco específicas e snapins adequados a esses grupos. Os grupos podem ser "room1", "room2" etc., com snap-ins específicos da impressora implantados quando necessário. Provavelmente, esse processo não escala muito bem, não deixa de ter falhas, mas no meu caso, onde gerencio cerca de 20 computadores, funciona muito bem.

Grimtech
fonte
Isso está funcionando, mas se sua empresa tiver um número acima de 10 estações de trabalho, o argumento de não ter muito orçamento é apenas falso. Qualquer gerente de TI com pelo menos conhecimento médio deve poder facilmente economizar o tempo de trabalho que, do empregador, o POV tem um valor igual ao das licenças para soluções de orquestração / implantação de software corporativo. E que provavelmente já no primeiro ano que vai exigir mais tempo para configuração e tentativa e erro ...
Jey Dwork
2

Módulos Windows Ansible .

Eu gerencio um silêncio com um CEO que, por qualquer motivo, é contrário à idéia de um domínio do Windows.

Minha solução alternativa é usar os manuais Ansible para fazer as coisas remotamente acontecerem nas estações de trabalho. Posso instalar MSIs, instalar pacotes Chocolatey , configurar RDP / VNC, garantir que as atualizações do Windows estejam instaladas, criar scripts de inicialização ou logon para mapear unidades de rede, agendar backups de robocopy , etc.

O Ansible não usa um agente, o que significa que não há serviço Ansible que é executado no PC do usuário final. O Ansible simplesmente utiliza o WinRM para efetuar logon remotamente e enviar instruções para o computador.

Eu mantenho um repositório git contendo todos os meus manuais do Ansible, scripts implementáveis ​​e alguns scripts de provisionamento que automatizam o processo de configuração para adicionar uma máquina Windows ao gerenciamento do Ansible. Sou a única pessoa de TI aqui que toca em desktops, mas, em teoria, o repositório git contém tudo o que outra pessoa de TI precisaria para fazer o que eu faço.

Também no repositório git está um arquivo de inventário Ansible, que é um documento de texto no estilo .INI contendo endereços IP ou nomes de domínio para cada máquina gerenciada pelo Ansible. (Nosso roteador de escritório pfSense lida com a resolução DNS)

Quando um novo computador é adicionado ao escritório, eu executo o script de provisionamento Ansible nele. O script de provisionamento atendeu às dependências do .NET e Windows Management Framework (PowerShell), configura o computador para o sistema de comunicação remota Ansible e instala o Chocolatey. Depois disso, não preciso tocar no computador novamente, porque posso fazer todo o resto remotamente. Eu tenho um feed Nuget interno que atende EXEs em pacotes específicos para nosso setor.

Usando esse método, posso criar playbooks Ansible que imitam algumas das funcionalidades da Diretiva de Grupo do Windows. Por exemplo, eu posso criar um manual do Ansible chamado generalpolicy.yml, que tem como alvo um grupo específico de máquinas no arquivo de inventário do Ansible. Quando executado, o generalpolicy.yml seria remoto em cada máquina do grupo e garantiria que um conjunto específico de condições fosse atendido nessas máquinas.

Essas condições podem ser qualquer coisa, como o Notepad ++ está instalado, o Terminal Server está ativado no registro e o ICMP PING não está bloqueado no firewall. O manual pode ser executado repetidamente e, graças à idempotência da Ansible, nada será alterado no computador de destino, a menos que a condição não seja satisfeita.

Grimtech
fonte
+1 para o stillup;)
andreas
0

Um de cada vez, com muitos erros.

mfinni
fonte