Como você gerencia computadores sem o Active Directory?

8

Eu preciso configurar entre 5 e 10 computadores para começar, para uma organização de caridade que não pode ter que executar um servidor dedicado que mantém políticas de grupo para um número crescente de funcionários. Existe uma maneira de gerenciar políticas de cada computador sem ter que alterar fisicamente as políticas de segurança locais. Os computadores executam uma combinação do Windows XP, Vista e 7.

    
por PeanutsMonkey 31.05.2011 / 22:33

7 respostas

4

Eu pesaria o custo inicial de configurar 10 computadores uma vez com o mínimo de trabalho administrativo versus o gerenciamento de um domínio. Por exemplo, dois controladores de domínio seriam aconselháveis para redundância / confiabilidade e sua configuração pode demorar um pouco. Isso contribui para um custo financeiro maior e pode contribuir para um custo maior em horas-homem. Isso também aumenta a complexidade de sua rede, o que provavelmente fará mais trabalho para você no futuro sem muito benefício tangível.

Por outro lado, trabalhar com 10 políticas locais de máquinas é comparativamente cortado e seco. Eu duvido que você esteja micromanaging políticas de segurança em suas atividades do dia a dia. As atualizações podem ser problemáticas, mas aplicadas corretamente depois de testadas. Os utilitários AV / malware / intrustion também podem ser irritantes com alguma administração mínima.

Se você está planejando o crescimento e deseja um domínio, o BizSpark da Microsoft dá acesso a uma boa parte do Downloads da MSDN gratuitamente, por um ano. Isso inclui versões passadas e presentes do Windows Server e do sistema operacional Windows. Tudo o que você precisa ser é uma empresa pequena para usar com alguns requisitos soltos. Tenho certeza de que as instituições de caridade se encaixam sem nenhum problema.

    
por 31.05.2011 / 23:32
4

A Microsoft oferece um programa de licenciamento especial para instituições de caridade, os descontos são muito grandes e, para apenas executar um AD, você pode usar dois PCs antigos com alguns de RAM.

Veja os detalhes

    
por 31.05.2011 / 22:52
3

Você pode tentar TechSoup . Se a sua organização se qualificar, você provavelmente poderá obter uma cópia do Windows Server 2008 R2 por menos de US $ 100. Acredito que você também terá cerca de 50 licenças de assento. E como mencionado anteriormente, você não precisa de hardware heróico para executar o Active Directory na sua situação. Você pode até mesmo executar outras funções de servidor sem problemas significativos .

Se você estiver de fato em uma situação que requer o Active Directory, você descobrirá que cada substituto está muito aquém.

    
por 01.06.2011 / 00:01
3

Sou um gerente de TI para uma pequena empresa. Eu não tenho muito orçamento, então faço o melhor que posso com o que tenho. Como um defensor de código aberto, se eu puder resolver de forma confiável e robusta um problema com software livre e de código aberto, eu o faço. Eu encontrei algo que funciona bem o suficiente sem o Active Directory. Aqui está como eu faço:

Projeto FOG

O FOG é uma solução de código aberto para imagens de disco. (ex: crie uma imagem de disco de uma máquina virtual, o sysprep, e implemente essa imagem em dez computadores.) O FOG também pode instalar remotamente os snap-ins. Um snap-in pode ser qualquer arquivo executável. Se eu quiser alterar alguma política de grupo relacionada em uma ou mais máquinas, criaria um arquivo de registro com os valores de registro da diretiva de grupo que precisam ser atualizados. Eu crio scripts em lote para chamar regedit /s nos arquivos .reg e atualizo o registro.

7-zip & Fabricante de SFX 7-zip

O criador de SFX cria arquivos .exe agradáveis que podem ser configurados para extrair silenciosamente o conteúdo e executar um programa arbitrário. No exemplo acima eu uso o SFX maker para empacotar os arquivos .cmd e .reg em um .exe, que pode ser carregado para nevoeiro e implementado como um snapin.

Misc. ferramentas de implantação de TI corporativa

Para instalar novos programas em todas as estações de trabalho, primeiro procuro ferramentas de implantação de TI para o software em questão. Por exemplo, o Google Chrome fornece o Google Chrome for Business , que tem um pré-configurável, fácil Instalável e opcionalmente silencioso instalador. Muitos fabricantes de impressoras também possuem ferramentas para ajudá-lo a implantar seus drivers de impressora. HP e Brother tem boas ferramentas para isso. Você apenas tem que encontrar o driver de impressora certo para o seu sistema operacional, então use suas ferramentas para criar um instalador silencioso que pode ser usado como um snapin FOG.

AutoIT

Muitos desenvolvedores de software não fazem ferramentas de implantação, nem mesmo títulos de grandes nomes como o Quickbooks. O Active Directory não pode ajudá-lo aqui. Nos casos em que cada computador precisa, às vezes é mais fácil associar o software à sua imagem de disco e, em seguida, implantar a imagem de disco com todos os aplicativos usados com mais freqüência. Para todo o resto, há o AutoIT. Embora possa ser extremamente demorado fazer isso, você pode escrever scripts AutoIT para automatizar instalações de software, seja detectando janelas e simulando mouse e pressionamentos de teclas ou duplicando as alterações de arquivo e registro que os instaladores normalmente fazem.

TightVNC

Todo computador que eu gerencio tem um servidor TightVNC. Basicamente área de trabalho remota. Quando a estação de trabalho não está em uso, posso me conectar a uma estação de trabalho e alterar manualmente as configurações como se estivesse sentado na frente da máquina.

Pés

Para pequenas mudanças que não precisam ser alteradas em todas as máquinas, os pés são muito úteis para me transportar para o computador em questão e mexer com ele. O bônus aqui é que eu posso fazer algum exercício para compensar meu estilo de vida sedentário: p. Embora essa não seja uma boa solução para gerenciar uma grande quantidade de computadores, ela é boa para fazer pequenas alterações em um pequeno número de computadores. (para todo o resto, há AutoIT, lembra?)

Conclusão

FOG é realmente a espinha dorsal de todo este processo. O FOG permite-me atribuir máquinas a grupos, aos quais podem ser atribuídas imagens de disco específicas e snapins adequados a esses grupos. Grupos podem ser "room1", "room2" etc. com snapins de impressora específicos implantados onde necessário. Este processo provavelmente não escala muito bem, não é sem falhas, mas no meu caso, onde eu gerencio cerca de 20 computadores, funciona muito bem.

    
por 22.03.2014 / 05:17
2

Ansible Módulos do Windows .

Eu gerencio um stillup com um CEO que, por qualquer motivo, é contra a ideia de um domínio do Windows.

Minha solução é usar os playbooks Ansible para fazer com que as coisas aconteçam remotamente nas estações de trabalho. Eu posso instalar MSIs, instalar pacotes Chocolatey , configurar RDP / VNC, garantir que as atualizações do Windows estejam instaladas, criar scripts de inicialização ou login para mapear unidades de rede, programar backups do robocopy, etc.

O Ansible não usa um agente, o que significa que não há serviço Ansible que seja executado no PC do usuário final. O Ansible simplesmente aproveita o WinRM para efetuar login e enviar instruções remotamente para o computador.

Eu mantenho um repositório git contendo todos os meus playbooks Ansible, scripts implementáveis e alguns scripts de provisionamento que automatizam o processo de configuração para adicionar uma máquina Windows ao gerenciamento Ansible. Eu sou a única pessoa de TI aqui que toca os desktops, mas, em teoria, o repositório do git contém tudo o que outra pessoa de TI precisaria para fazer o que eu faço.

O repositório git também é um arquivo de inventário do Ansible, que é um documento de texto em estilo .INI que contém endereços IP ou nomes de domínio para cada máquina gerenciada pela Ansible. (Nosso pfSense roteador de escritório lida com a resolução de DNS)

Quando um novo computador é adicionado no escritório, eu executo o script de provisionamento Ansible nele. O script de provisionamento satisfaz as dependências do .NET e do Windows Management Framework (PowerShell), configura o computador para o Remoting Ansible e instala o Chocolatey. Depois disso, não preciso mais tocar no computador, porque posso fazer tudo remotamente. Eu tenho um feed Nuget interno que serve EXEs empacotados específicos para o nosso setor.

Usando esse método, posso criar playbooks Ansible que imitam algumas das funcionalidades da Diretiva de Grupo do Windows. Por exemplo, posso criar uma apostila Ansible chamada generalpolicy.yml, que tem como alvo um grupo específico de máquinas no arquivo de inventário Ansible. Quando executado, o generalpolicy.yml será remoto em cada máquina do grupo e garantirá que um conjunto específico de condições seja atendido nas referidas máquinas.

Essas condições podem ser qualquer coisa, como o Notepad ++ está instalado, o Terminal Server está habilitado no registro e o ICMP PING não está bloqueado no firewall. O playbook pode ser executado repetidas vezes e, graças à idempotência da Ansible, nada será alterado no computador de destino, a menos que a condição não seja satisfeita.

    
por 07.07.2017 / 23:51
1

O Samba 4 pode ser executado como um controlador de domínio compatível com o Active Directory da Microsoft.

link

link

    
por 23.08.2013 / 06:47
0

Um de cada vez, com muitos erros.

    
por 31.05.2011 / 22:58