O que é um cronograma de manutenção razoável para PCs com Windows?

13

Estou encarregado de manter cerca de 25 PCs com várias versões do Windows (Vista, 7, 8).

Eu estava pensando algo ao longo das seguintes linhas:

  • A cada 4-6 meses:
    • Tire uma imagem da partição do sistema para que os programas instalados com seus vários requisitos de licença possam ser restaurados facilmente se um disco rígido falhar. (Estou pensando em Clonezilla para isso.)
    • Limpe fisicamente a máquina, livre de poeira dos ventiladores etc.
  • A cada 2 meses:
    • Faça uma verificação de software em coisas como backups ainda em execução, antivírus atualizados, Windows se atualizando, firewall configurado corretamente.
  • Todo dia:
    • Backups automáticos de coisas como e-mails e documentos.

Que tipo de programação você recomenda?
Que tipo de ferramentas de software usar? Idealmente, eu gostaria de automatizar o máximo possível disso.
Que outras coisas devo fazer?

ATUALIZAR:

Obrigado por todas as ótimas respostas até agora, o conselho para não fazer backups / imagens de máquinas individuais não funciona realmente no meu caso.
Os custos de licenciamento seriam proibitivos, pois existem pelo menos 5 configurações de software diferentes para as diferentes funções da empresa - finanças, vendas, gerenciamento, produção (3 tipos aqui somente) e ter licenças para todos por tudo não faria sentido. .
Também temos que manter algumas versões antigas do software para compatibilidade com alguns de nossos clientes - os discos de instalação (com as chaves de licença) foram perdidos ou enterrados antes do meu tempo.

Loopo
fonte
2
Qualquer que seja a programação usada, se você tiver um PC sobressalente, tente restaurar um de seus backups. Passe pela sequência pelo menos uma vez. Você ficaria surpreso com o número de administradores de sistemas que fazem backup de sistemas há anos e não sabem como restaurá-los. Pior ainda - existe apenas uma unidade de fita e ela vive apenas no sistema de backup.
Copa
2
@ Loopo - não estou sugerindo que você instale todos os aplicativos em todos os computadores. Estou sugerindo que você crie instalações de software automatizadas para aplicar a imagens "genéricas". As imagens mais específicas que você precisa manter são piores, em termos de tempo para manutenção da imagem. Na medida em que o software antigo para o qual você não possui mais mídia ou chaves: Você terá problemas quando precisar substituir máquinas. Você não pode manter esse software em execução para sempre. Você faria bem em começar a descobrir uma estratégia de mitigação agora antes que ela te morda.
Evan Anderson
Este é, como outros sugeriram, um problema perfeitamente simples que já foi resolvido. Existem muitos métodos para criar trivialmente uma imagem de sistema operacional de linha de base simples de implantar, possivelmente com um ou dois aplicativos que você usa em qualquer lugar e, em seguida, adicionar (ou remover) pacotes como uma parte automatizada do processo de implantação, para explicar máquinas com funções diferentes. Pode demorar um ou dois dias para configurar e testar, mas o tempo será pago quando levar 40 minutos em vez de meio dia para implantar uma nova máquina.
9788 Robolir
2
... e embora seja fácil dizer "esse material de implantação não se aplica a mim, eu apenas apóio uma pequena empresa com 20 ou 30 máquinas", sugiro que, se houver, a implantação rápida de uma máquina possa ser ainda mais importante para uma pequena empresa onde você pode não ter muitas máquinas 'sobressalentes' que podem ser facilmente colocadas na mesa de alguém no momento em que elas relatam uma falha.
21414 Rob Moir

Respostas:

30

Aqui estão algumas "páginas" do meu "manual de operações" pessoal:

  • Todos os dados do usuário são salvos nos servidores, ponto final. Ele pode ser replicado para computadores clientes através de funcionalidades como "Arquivos offline" (especialmente para laptops) e "Modo Cache de Troca" do Outlook, mas nunca há armazenamento primário de dados em computadores clientes.

  • Nenhum backup recorrente dos computadores clientes é executado. Nenhum dado é armazenado lá. Os usuários são instruídos (de preferência por documentos de política corporativa) a salvar dados em áreas aprovadas e a realização de backup de qualquer coisa salva fora dessas áreas.

  • O software deve ser instalado automaticamente por meio de um mecanismo automatizado, sempre que economicamente viável. (O "ponto de equilíbrio" foi, para fins dos meus clientes, um programa sendo instalado em cinco (5) ou mais computadores. Se continuar em menos, provavelmente vou apenas fazer a instalação manualmente.) A associação ao grupo de segurança do Active Directory e localização (OU) são suficientes para determinar a carga de software de uma máquina.

  • Tirei uma imagem de um computador cliente sendo usado em uma função muito crítica para os negócios de vez em quando, mas, em geral, a maioria dos computadores clientes com os quais trabalho são criados a partir de sua carga de fábrica e instalações de software automatizadas. Onde eu já vi isso, senti que a manutenção de uma "biblioteca" de imagens de disco dos computadores clientes era complicada e propensa a erros.

  • Desde que o Windows 7 adicionou o software RAID-1 ao sistema operacional "Professional", eu o uso cada vez mais de computadores clientes com funções mais "essenciais". O RAID do software Windows é muito mais tolerante e viável do que o "RAID da placa mãe" (que não passa de um problema).

  • O software antivírus deve usar um "console de gerenciamento" que forneça alertas automatizados e centralizados para condições de falha ou anomalia. Isso geralmente significa comprar software antivírus orientado a "empresas".

  • As configurações do ambiente do computador (firewall, opções de segurança etc.) são enviadas por meio da Diretiva de Grupo. (Tudo o que pode ser feito com a Diretiva de Grupo é feito dessa maneira.)

  • Nenhuma manutenção do hardware (ventiladores, etc.) é feita, exceto quando o ambiente é severo e, mesmo assim, apenas de maneira reativa. O hardware ficou bastante sólido nos últimos 10 a 15 anos.

  • As atualizações são instaladas via WSUS. A conformidade é rastreada no WSUS e, se o ambiente o justificar (por exemplo, conformidade com PCI) com qualquer ferramenta de auditoria que seja financeiramente apropriada. (O SCCM é bom, por exemplo, mas nem sempre é apropriado da perspectiva de custo.)

Editar (agora que tenho mais alguns minutos para escrever):

  • Minha definição de "dados do usuário" inclui perfis de usuário. Eu uso o redirecionamento de pasta para obter as pastas grandes fora do perfil. Geralmente redireciono o AppData, o que parece desanimado em todo o setor (porque os desenvolvedores de software idiotas fazem suposições sobre a pasta AppData ser local e não ser verdadeira ... > tosse < Apple > tosse < iTunes > tosse < ).

  • Os usuários nunca têm direitos de "administrador" nos computadores clientes para suas contas de usuário diárias. Lidar com pequenas empresas de capital fechado, como eu, muitas vezes exige uma certa delicadeza ao explicar ao proprietário por que a conta de usuário deles não tem direitos de administrador. (Porém, com o advento de malware assustador, tornar esse argumento muito mais fácil. Marque um para malware, eu acho ...) Eu crio contas de administrador local secundárias para usuários tecnicamente competentes e que possuem uma necessidade legítima caso a caso (após consultar meu contato e avaliar os prós e contras). Fazer essa alteração diminui drasticamente a "manutenção de software". Se você não fizer mais nada, faça isso.

Alguns dos objetivos desta metodologia são:

  • Permita que um usuário entre em contato com a mesa quente se houver uma falha grave (fumaça saindo do computador, etc.). Todo o software pode não estar disponível (devido a limitações de licenciamento que limitam os assentos instalados, etc.), mas eles devem ter funcionalidade básica. (Eu ofereço suporte a um número razoável de computadores clientes em toda a minha base de clientes. Preciso que uma simples falha no PC seja um evento não emergencial ou não posso ser dimensionada para um número significativo de clientes.)

  • Reduz a maioria da solução de problemas de problemas do usuário, simplesmente para determinar se o problema é específico do perfil do usuário ou da máquina. Os problemas específicos do perfil do usuário são resolvidos restaurando o perfil a partir de um backup em boas condições ou, em situações drásticas, iniciando com um perfil limpo. Os problemas específicos da máquina são resolvidos trazendo uma máquina sobressalente ou limpando / reinventando o computador com falha.

  • Não há impacto na perda de dados quando ocorre uma eventual falha nas unidades de disco rígido do computador cliente.

  • É fácil substituir o computador (e manter o Cliente seguindo um plano de ciclo de vida do computador).

Evan Anderson
fonte
9

Manter uma imagem separada de cada máquina soa como um plano muito trabalhoso e de alto custo. Como você vai armazenar todas essas imagens e mantê-las correspondentes a cada máquina. Você será capaz de restaurá-los adequadamente quando o hardware antigo morrer e for substituído por um hardware novo e diferente?

Não faço backup de máquinas de usuários finais. Todos os seus dados importantes são armazenados em nossos servidores de arquivos, troca e ponto de compartilhamento. Cada usuário tem seu próprio compartilhamento de rede pessoal e departamentos. Instruímos todos os usuários a não armazenar dados em sua máquina local.

Todas as máquinas são visualizadas com o software de que precisam quando as implantamos. A Microsoft oferece ferramentas para fazer isso de graça, como o Microsoft Deployment Toolkit e o Windows Deployment Services . Ou você pode obter o System Center Configuration Manager, que também monitora a integridade das máquinas, permitindo garantir atualizações aplicadas e software não autorizado não instalado. Todas as máquinas são definidas pela política de domínio para aplicar automaticamente as atualizações do nosso servidor WSUS .

Quando uma máquina morre ou recebe um vírus, apenas substituímos / reparamos o hardware e o reinventamos. A nova máquina já possui todo o software necessário, suas unidades de rede são mapeadas automaticamente pela política de grupo assim que entram no sistema. As impressoras são instaladas automaticamente, etc. Portanto, as máquinas são basicamente descartáveis.

Na maioria das vezes, não faço manutenção nas máquinas do usuário final, a menos que isso seja um problema delas. O System Center ajuda a identificar problemas que os usuários não relatam. O WSUS e nosso software antivírus fornecem relatórios sobre quais máquinas estão faltando atualizações. Quando há um problema com uma máquina, ela é espanada e o hardware é verificado enquanto a consertamos.

Conceder
fonte
1
O WDS salvou minha empresa inúmeras horas! O cara anterior fez a coisa de clonezilla, e levou pelo menos 4 horas para atualizar um sistema. Os motoristas eram um pesadelo, e todos corriam horrivelmente. Agora, com o WDS, posso fazer uma preparação completa do sistema em 45 minutos com todos os softwares instalados e registrados. Acabei substituindo o outro cara, ele foi liberado.
9788 Lee Julison
5

Repensar sua estratégia. Não faça backup de dispositivos clientes.

Gaste seu tempo fazendo o seguinte:

  1. Crie uma imagem do sistema operacional que possa ser implantada automaticamente na rede com o WDS / MDT. Quando um computador é mangueira, apenas faça uma nova imagem. Esta imagem deve conter todo o seu software / configuração.

  2. Centralize seus dados de usuário em servidores. Isso significa ter um servidor de correio adequado e não usar POP3 com backups de usuários individuais. Basta fazer backup do servidor de email e pronto. Isso também significa centralizar os arquivos do usuário nos servidores de arquivos. Você pode usar a Diretiva de Grupo para redirecionar de forma transparente a área de trabalho, documentos, dados do aplicativo e outras pastas para este servidor de arquivos. Você pode usar arquivos offline para sincronizar esses dados localmente, para que os usuários ainda possam trabalhar remotamente. Agora, você tem uma máquina para fazer backup e não 25.

  3. Centralize seu patch. Use o WSUS para poder gerar relatórios sobre quais clientes possuem quais correções. Então, você só precisa "verificar pontualmente" as máquinas que não são compatíveis. Você deve fazer isso todos os meses após o Patch Tuesday.

Quanto à manutenção física, a menos que você esteja em um ambiente excepcionalmente imundo (chão de fábrica, dentro de um aspirador de pó, etc.), não abra os computadores e limpe / aspire. Em alguns casos, isso pode anular a garantia. Em outros casos, é apenas uma perda de tempo. Se você precisar fazer isso para dormir profundamente à noite, faça-o a cada poucos anos.

MDMarra
fonte
1
25 computadores com 3 versões de sistema operacional sugerem aquisições adhoc de computadores. Eu suspeito que Loopo provavelmente tenha uma confusão de modelos de computadores diferentes e acabaria tendo que criar quase tantas imagens limpas quanto computadores individuais. Nessas condições, preparar imagens antecipadamente para todas as máquinas existentes parece muito trabalho que geralmente não é utilizado. Salve imagens limpas para qualquer sistema novo ou antigo que precise de novas instalações; além disso, provavelmente é mais tempo do que vale para máquinas não essenciais.
Dan is Fiddling por Firelight
4
Não tenho certeza do que você está falando. As imagens do sistema operacional são independentes de hardware desde o Vista. Uma única imagem pode ser usada em qualquer número de modelos de hardware.
MDMarra
@MDMarra, parece que depende do que ele está usando para fazer backup da imagem, não sei se o Clonezilla manipulará imagens independentes de hardware, usando imagex (ou agora DISM) sim, mas quem sabe em que tipo de formato o clonezilla fará isso? Com isso dito, não apenas a criação e manutenção de imagens seria mais um aborrecimento do que uma ajuda em um ambiente tão pequeno, mas com 25 computadores, não consigo imaginar que você tenha mais servidores para configurar a infraestrutura por um preço razoável. sistema de imagem. Sim, talvez você também possa instalar a função WDS no servidor do Exchange, mas ainda assim não.
Get-HomeByFiveOClock
1
Você pode usar o MDT, que é um compartilhamento de arquivos glorificado. Acho que você está superestimando o trabalho e subestimando o benefício. Mas cada um na sua.
MDMarra 9/07
3

(Uau - eu nunca adicionei uma segunda resposta a uma pergunta antes ... Isso é surreal!)

Todo o resto que eu disse na minha outra resposta se aplica, basicamente, exceto que vou me expor e sugerir o backup do computador cliente. (Caramba!)

A funcionalidade de backup do computador cliente no Windows Server 2012 R2 Essentials pode ser apenas a sua opção. Funcionalmente, é um armazenamento de backup desduplicado em nível de bloco que fica em um computador servidor, combinado com um aplicativo cliente que executa os backups e carrega os dados no servidor. Na verdade, é bem liso, como soluções. Há uma imagem ISO de restauração bare-metal que permitirá restaurar uma máquina a partir de uma unidade de disco rígido vazia. (Eu já o usei antes e funciona muito bem.)

O Windows Server 2012 R2 Essentials não requer CALs (Licenças de Acesso para Cliente) para até 25 clientes. Se você precisava de mais clientes do que (o que parece), deveria licenciar o Windows Server 2012 R2 Standard, adquirir as CALs necessárias e adicionar o recurso Experiência Essencial ao servidor.

Planejar a utilização do disco será difícil, porque você não saberá quanto "vencer" obterá da desduplicação. Seu ambiente vai determinar o quão bem isso funcionará, então não há diretrizes a serem fornecidas aqui.

Pelo custo de algum software e um pequeno servidor, você pode criar uma boa solução de backup para PC. Embora eu seja um pouco "moralmente contrário" à idéia de backups de computadores clientes, acho que poderia ser uma estratégia viável em seu ambiente, dada a quantidade de trabalho necessário para fazer a transição para um ambiente Windows corporativo mais "normal".

Se você executar backups do próprio computador servidor (o que você deve, obviamente), também poderá obter um backup externo eficaz de todos os computadores clientes usando esta ferramenta. Isso certamente seria um complemento atraente, já que no momento um incêndio ou inundação em seu escritório provavelmente representaria a destruição completa de todos os dados da sua empresa.

Evan Anderson
fonte
Obrigado por esta segunda resposta. Pena que só posso aceitar um deles. Aceitarei sua outra resposta, pois se aplica de maneira mais geral.
Loopo
2

Eu não uso o Windows, mas muitos princípios básicos são transferidos, e a principal coisa que você deve tentar fazer é configurar um sistema que o alertará se uma parte falhar.

Por exemplo, se eu estivesse fazendo backup de uma pasta em outro computador todos os dias, talvez eu tenha um script separado em execução no destino para verificar o carimbo de data / hora mais recente e, se nenhum arquivo foi modificado no dia anterior, ele envia um e-mail informando o back não está mais em execução. Este é apenas um exemplo vago, mas em geral você não se lembra de fazer tudo sozinho - a lei de Murphys diz que a única coisa que você esquece geralmente é a coisa errada que dá errado, por isso é melhor ter algum tipo de automação para detectar falhas. .

Da mesma forma, configure um conjunto de testes automáticos para itens do sistema, como versão de antivírus, funcionalidade de firewall, etc. Eu faria backup de arquivos importantes a cada hora, se possível, diariamente, no mínimo, mas isso depende de quão tolerante é o seu negócio - quanto custará perder um dia de e-mails?

Se você está preocupado com a falha do disco rígido, consulte o RAID . Os backups são para falhas catastróficas (inundação, incêndio, etc.) e erro do usuário (ajuda, eu apaguei o arquivo errado!). Raid é por falha no disco.

Benubird
fonte
1
O RAID nos sistemas de classe desktop geralmente causa mais problemas do que resolve, causando perda de dados quando o controlador ou a placa-mãe falham e substituições idênticas não estão disponíveis. Às vezes, até quando substituições idênticas estão disponíveis.
Grant
Fiquei muito feliz com o software RAID-1 do Windows. Desde que me disponibilizei para o sistema operacional de classe "profissional" no Windows 7 (ou Vista, não me lembro - e nunca usei o Vista nos sites dos clientes), fiquei feliz em usá-lo em máquinas que precisam de tolerância a falhas para disco rígido. falha na unidade de disco. Certamente não o implantaria em qualquer PC cliente antigo, mas para máquinas mais críticas, gosto do recurso. OTOH, "RAID da placa-mãe" nada mais é do que um dispositivo usado para destruir dados e eu não desejaria isso para ninguém.
Evan Anderson