Wie verwalten Sie Computer ohne Active Directory?

9

Ich muss zunächst zwischen 5 und 10 Computer einrichten, damit eine Wohltätigkeitsorganisation, die es sich nicht leisten kann, einen dedizierten Server zu betreiben, der Gruppenrichtlinien für eine wachsende Anzahl von Mitarbeitern verwaltet. Gibt es eine Möglichkeit, Richtlinien für jeden Computer zu verwalten, ohne die lokalen Sicherheitsrichtlinien physisch ändern zu müssen? Auf den Computern wird eine Kombination aus Windows XP, Vista und 7 ausgeführt.

group-policy PeanutsMonkey
quelle
1
Sie können eine Registrierungsdatei mit allen gewünschten Einstellungen erstellen und diese im Netzwerk freigeben. Sie können diese Datei entweder manuell auf jedem Computer importieren oder beim Start importieren lassen (wenn Sie sie an einem zuverlässigen Ort im Netzwerk freigeben können). Das Problem ist, dass bei wesentlichen Änderungen möglicherweise ein Neustart erforderlich ist, bevor diese wirksam werden.
Brad
@Brad - Würde es für jede Windows-Version funktionieren oder müsste ich für jede einzelne separate Registrierungsdateien erstellen, z. B. Windows XP, Vista usw.?
PeanutsMonkey
Welche Art von Richtlinien möchten Sie bereitstellen?
Mark Henderson
@ Mark Henderson - Einige der Richtlinien haben die Möglichkeit, Updates zu installieren, obwohl sie keine Administratoren sind, keinen Zugriff auf bestimmte Laufwerke haben usw.
PeanutsMonkey

Antworten:

4

Ich würde die anfänglichen Kosten für die einmalige Einrichtung von 10 Computern mit minimalem Verwaltungsaufwand im Vergleich zur Verwaltung einer Domäne abwägen. Zum Beispiel wären zwei Domänencontroller aus Gründen der Redundanz / Zuverlässigkeit ratsam, und ihre Konfiguration kann einige Zeit in Anspruch nehmen. Dies trägt zu höheren finanziellen Kosten bei und kann zu höheren Kosten in Arbeitsstunden führen. Dies erhöht auch die Komplexität Ihres Netzwerks, wodurch Sie höchstwahrscheinlich mehr Arbeit auf der ganzen Linie leisten können, ohne dass ein greifbarer Nutzen daraus resultiert.

Auf der anderen Seite ist die Arbeit mit 10 Maschinen lokaler Richtlinien vergleichsweise geschnitten und trocken. Ich bezweifle, dass Sie bei Ihren täglichen Aktivitäten Sicherheitsrichtlinien im Mikromanagement verwalten werden. Updates können problematisch sein, werden jedoch nach dem Testen ordnungsgemäß angewendet. AV- / Malware- / Intrustion-Dienstprogramme können bei minimaler Administration ebenfalls ärgerlich sein.

Wenn Sie Wachstum planen und eine Domain möchten, können Sie mit Microsoft BizSpark ein Jahr lang kostenlos auf einen Großteil der MSDN-Downloads zugreifen. Dies umfasst frühere und aktuelle Versionen von Windows Server und Windows OS. Alles, was Sie brauchen, ist ein kleines Unternehmen, das nur wenige Anforderungen erfüllt. Ich bin sicher, dass Wohltätigkeitsorganisationen problemlos passen würden.

Blake Atkinson
quelle
1
@Peanuts - Bevor Sie sich jedoch für bizspark entscheiden, verfügt Microsoft über eine wirklich sehr gute Lizenz für gemeinnützige Organisationen, die möglicherweise sogar besser sind als das BizSpark-Programm. Ich würde auf jeden Fall einen Microsoft-Händler kontaktieren.
Mark Henderson
4

Microsoft bietet ein spezielles Lizenzprogramm für Wohltätigkeitsorganisationen an. Die Rabatte sind recht hoch. Wenn Sie nur eine AD ausführen, können Sie zwei alte PCs mit ein paar Gigs RAM verwenden.

Siehe für Details

HampusLi
quelle
Ich bin damit einverstanden, dass Sie keinen großen Honkin-Server benötigen, um Active Directory für zehn Benutzer auszuführen.
Nate
Vielen Dank. Sie haben ihr Budget effektiv dafür ausgegeben, neue Computer und Lizenzen für die Mitarbeiter zu erhalten, sodass sie nicht viel für andere Bereiche der IT ausgeben müssen. Gibt es eine Software, die auf meinem Laptop ausgeführt werden kann und die es mir ermöglicht, eine Verbindung zu allen Computern im Netzwerk herzustellen und die Richtlinien für jeden Benutzer zu definieren?
PeanutsMonkey
3

Vielleicht möchten Sie TechSoup ausprobieren . Wenn Ihre Organisation qualifiziert ist, erhalten Sie möglicherweise eine Kopie von Windows Server 2008 R2 für weniger als 100 US-Dollar. Ich glaube, Sie werden damit auch ungefähr 50 Sitzplatzlizenzen erhalten. Und wie bereits erwähnt, benötigen Sie keine heldenhafte Hardware, um Active Directory in Ihrer Situation auszuführen. Sie können sogar andere Serverrollen ohne nennenswerte Probleme ausführen .

Wenn Sie sich tatsächlich in einer Situation befinden, in der Active Directory erforderlich ist, werden Sie feststellen, dass jeder Ersatz weit hinterherhinkt.

Gemeinschaft
quelle
Vielen Dank. Ich habe von TechSoup gehört, daher könnte dies eine Option sein. Übrigens hatte ich einen weiteren Kommentar zu Domain-Namen gepostet, bei deren Beantwortung Sie mir geholfen hatten. Würde mich freuen, wenn Sie es sich ansehen könnten.
PeanutsMonkey
3

Ich bin ein IT-Manager für ein kleines Unternehmen. Ich habe nicht viel Budget, also gebe ich mein Bestes mit dem, was ich habe. Wenn ich als Open-Source-Anwalt ein Problem mit freier und Open-Source-Software zuverlässig und zuverlässig lösen kann, mache ich es. Ich habe etwas gefunden, das ohne Active Directory gut genug funktioniert. So mache ich das:

FOG-Projekt

FOG ist eine Open Source-Lösung für das Disk Imaging. (Beispiel: Erstellen Sie ein Disk-Image einer virtuellen Maschine, sysprep und stellen Sie dieses Image auf zehn Computern bereit.) FOG kann Snap-Ins auch remote installieren. Ein Snap-In kann eine beliebige ausführbare Datei sein. Wenn ich eine Gruppenrichtlinie auf einem oder mehreren Computern ändern möchte, erstelle ich eine Registrierungsdatei mit den Registrierungswerten für Gruppenrichtlinien, die aktualisiert werden müssen. Ich erstelle Batch-Skripte, um regedit /sdie REG-Dateien aufzurufen und die Registrierung zu aktualisieren.

SFX-Hersteller mit 7 und 7 Reißverschlüssen

SFX Maker erstellt mir schöne EXE-Dateien, die so konfiguriert werden können, dass sie den Inhalt stillschweigend extrahieren und ein beliebiges Programm ausführen. Im obigen Beispiel verwende ich SFX Maker, um die .cmd- und .reg-Dateien in eine .exe zu packen, die dann in den Nebel hochgeladen und als Snapin bereitgestellt werden kann.

Sonstiges IT-Bereitstellungstools für Unternehmen

Um neue Programme auf allen Workstations zu installieren, suche ich zunächst nach IT-Bereitstellungstools für Unternehmen für die betreffende Software. Google Chrome bietet beispielsweise Chrome for Business mit einem vorkonfigurierbaren, einfach zu implementierenden und optional unbeaufsichtigten Installationsprogramm. Viele Druckerhersteller verfügen auch über Tools, mit denen Sie ihre Druckertreiber bereitstellen können. HP und Brother haben dafür nette Tools. Sie müssen nur den richtigen Druckertreiber für Ihr Betriebssystem finden und dann mithilfe der Tools ein unbeaufsichtigtes Installationsprogramm erstellen, das als FOG-Snapin verwendet werden kann.

AutoIT

Viele Softwareentwickler stellen keine Bereitstellungstools her, selbst einige bekannte Titel wie Quickbooks. Active Directory kann Ihnen hier nicht weiterhelfen. In Fällen, in denen jeder Computer dies benötigt, ist es manchmal einfacher, die Software in Ihr Disk-Image zu backen und das Disk-Image dann mit allen häufig verwendeten Anwendungen bereitzustellen. Für alles andere gibt es AutoIT. Dies kann zwar sehr zeitaufwändig sein, Sie können jedoch AutoIT-Skripte schreiben, um Softwareinstallationen zu automatisieren, indem Sie entweder Fenster erkennen und Maus- und Tastenanschläge simulieren oder die Datei- und Registrierungsänderungen duplizieren, die Installationsprogramme normalerweise ausführen würden.

TightVNC

Jeder von mir verwaltete Computer verfügt über einen TightVNC-Server. Grundsätzlich Remote-Desktop. Wenn die Workstation nicht verwendet wird, kann ich eine Verbindung zu einer Workstation herstellen und die Einstellungen manuell ändern, als würde ich vor dem Computer sitzen.

Füße

Für kleine Änderungen, die nicht an jeder Maschine geändert werden müssen, sind Füße sehr praktisch, um mich zum betreffenden Computer zu transportieren und damit herumzuspielen. Der Bonus hier ist, dass ich etwas Bewegung bekommen kann, um meinen ansonsten sitzenden Lebensstil auszugleichen: P. Dies ist zwar keine gute Lösung für die Verwaltung einer großen Anzahl von Computern, aber gut für kleine Änderungen an einer kleinen Anzahl von Computern. (Für alles andere gibt es AutoIT, erinnerst du dich?)

Fazit

FOG ist wirklich das Rückgrat dieses gesamten Prozesses. Mit FOG kann ich Maschinen Gruppen zuweisen, denen bestimmte Disk-Images und Snapins zugewiesen werden können, die für diese Gruppen geeignet sind. Gruppen können "Raum1", "Raum2" usw. sein, wobei bei Bedarf bestimmte Drucker-Snapins bereitgestellt werden. Dieser Prozess lässt sich wahrscheinlich nicht sehr gut skalieren, ist nicht ohne Mängel, aber in meinem Fall, in dem ich ungefähr 20 Computer verwalte, funktioniert er ziemlich gut.

Grimtech
quelle
Dies funktioniert, aber wenn Ihr Unternehmen über 10 Workstations verfügt, ist das Argument, nicht viel Budget zu haben, einfach falsch. Jeder IT-Manager mit mindestens durchschnittlichem Wissen sollte in der Lage sein, die Arbeitszeit zu sparen, die vom POV des Arbeitgebers den gleichen Wert hat wie Lizenzen für Orchestrierungs- / Bereitstellungslösungen für Unternehmenssoftware. Und das wahrscheinlich schon im ersten Jahr, das mehr Zeit für Setup und Versuch und Irrtum benötigt ...
Jey DWork
2

Ansible Windows-Module .

Ich verwalte ein Standbild mit einem CEO, der aus irgendeinem Grund gegen die Idee einer Windows-Domäne ist.

Meine Problemumgehung besteht darin, Ansible-Playbooks zu verwenden, um Remote-Aktionen auf Workstations durchzuführen. Ich kann MSIs installieren, Chocolatey- Pakete installieren , RDP / VNC konfigurieren, sicherstellen, dass Windows-Updates installiert sind, Start- oder Anmeldeskripts zum Zuordnen von Netzwerklaufwerken erstellen, Robocopy- Sicherungen planen usw.

Ansible verwendet keinen Agenten, dh es gibt keinen Ansible-Dienst, der auf dem PC des Endbenutzers ausgeführt wird. Ansible nutzt WinRM einfach, um sich remote anzumelden und Anweisungen an den Computer zu senden.

Ich verwalte ein Git-Repository, das alle meine Ansible-Playbooks, bereitstellbaren Skripts und einige Bereitstellungsskripte enthält, die den Einrichtungsprozess für das Hinzufügen eines Windows-Computers zur Ansible-Verwaltung automatisieren. Ich bin die einzige IT-Person hier, die Desktops berührt, aber theoretisch enthält das Git-Repo alles, was eine andere IT-Person benötigen würde, um das zu tun, was ich tue.

Im Git-Repository befindet sich auch eine Ansible- Inventardatei , ein Textdokument im INI-Stil, das IP-Adressen oder Domänennamen für jeden von Ansible verwalteten Computer enthält. (Unser pfSense- Office-Router übernimmt die DNS-Auflösung.)

Wenn im Büro ein neuer Computer hinzugefügt wird, führe ich das Ansible-Bereitstellungsskript darauf aus. Das Bereitstellungsskript erfüllt die Abhängigkeiten von .NET und Windows Management Framework (PowerShell), konfiguriert den Computer für Ansible-Remoting und installiert Chocolatey. Danach muss ich den Computer nicht mehr berühren, da ich alles andere aus der Ferne erledigen kann. Ich habe einen internen Nuget-Feed, der verpackte EXEs für unsere Branche bereitstellt.

Mit dieser Methode kann ich Ansible-Playbooks erstellen, die einige der Funktionen der Windows-Gruppenrichtlinie nachahmen. Zum Beispiel kann ich ein Ansible-Playbook namens generalpolicy.yml erstellen, das auf eine bestimmte Gruppe von Maschinen in der Ansible-Inventardatei abzielt. Bei der Ausführung würde generalpolicy.yml auf jeden Computer in der Gruppe zugreifen und sicherstellen, dass auf diesen Computern bestimmte Bedingungen erfüllt sind.

Diese Bedingungen können beliebig sein, z. B. Notepad ++ ist installiert, Terminal Server ist in der Registrierung aktiviert und ICMP PING ist in der Firewall nicht blockiert. Das Playbook kann immer wieder ausgeführt werden, und dank Ansibles Idempotenz ändert sich auf dem Zielcomputer nichts, es sei denn, die Bedingung ist nicht erfüllt.

Grimtech
quelle
+1 für das Stillup;)
andreas
0

Einer nach dem anderen mit vielen Fehlern.

mfinni
quelle