Bagaimana Anda mengelola komputer tanpa Direktori Aktif?

9

Saya perlu mengatur antara 5-10 komputer untuk memulai dengan organisasi amal yang tidak bisa tidak menjalankan server khusus yang memelihara kebijakan grup untuk semakin banyak staf. Apakah ada cara saya dapat mengatur kebijakan setiap komputer tanpa harus secara fisik mengubah kebijakan keamanan lokal. Komputer menjalankan kombinasi Windows XP, Vista dan 7.

group-policy Kacang Kacang Tanah
sumber
1
Anda mungkin mempertimbangkan untuk membuat file registri dari semua pengaturan yang Anda inginkan, dan membagikannya di jaringan. Anda dapat mengimpor file itu secara manual di setiap mesin, atau mengimpornya saat startup (jika Anda dapat membagikannya di tempat yang dapat diandalkan di jaringan). Masalahnya adalah, jika Anda membuat perubahan signifikan, itu mungkin memerlukan reboot sebelum berlaku.
Brad
@Brad - Apakah ini berfungsi di seluruh versi Windows atau saya harus membuat file registri terpisah untuk masing-masing dari mereka misalnya Windows XP, Vista, dll?
PeanutsMonkey
Kebijakan apa yang ingin Anda terapkan?
Mark Henderson
@ Mark Henderson - Beberapa kebijakan akan memiliki kemampuan untuk menginstal pembaruan meskipun mereka bukan administrator, tidak memiliki akses ke drive tertentu, dll
PeanutsMonkey

Jawaban:

4

Saya akan mempertimbangkan biaya awal untuk menyiapkan 10 komputer satu kali dengan pekerjaan administrasi minimal vs. pengelolaan domain. Sebagai contoh, dua pengontrol domain akan disarankan untuk redundansi / keandalan dan konfigurasinya membutuhkan waktu yang cukup lama. Ini berkontribusi pada biaya keuangan yang lebih besar dan mungkin berkontribusi pada biaya yang lebih besar dalam jam kerja. Ini juga menambah kompleksitas jaringan Anda, yang kemungkinan besar akan membuat lebih banyak pekerjaan untuk Anda di telepon tanpa banyak manfaat nyata.

Di sisi lain, bekerja dengan 10 mesin kebijakan lokal relatif kering dan kering. Saya ragu Anda akan mengatur kebijakan keamanan mikro dalam aktivitas Anda sehari-hari. Pembaruan bisa menyusahkan, tetapi diterapkan dengan benar setelah Anda mengujinya. Utilitas AV / malware / intrustion juga dapat mengganggu dengan sedikit administrasi.

Jika Anda merencanakan pertumbuhan dan menginginkan domain, Microsoft BizSpark memberi Anda akses ke sebagian besar unduhan MSDN secara gratis, selama satu tahun. Ini termasuk versi Windows Server dan Windows OS dulu dan sekarang. Yang Anda butuhkan adalah perusahaan kecil untuk digunakan dengan beberapa persyaratan longgar. Saya yakin amal akan cocok tanpa masalah.

Blake Atkinson
sumber
1
@Peanuts - sebelum Anda menggunakan bizspark, Microsoft memiliki lisensi yang sangat bagus untuk nirlaba yang berpotensi lebih baik daripada program BizSpark. Saya pasti akan menghubungi reseller Microsoft tentang hal itu.
Mark Henderson
4

Microsoft menawarkan program lisensi khusus untuk amal, diskonnya cukup besar dan untuk menjalankan AD Anda dapat menggunakan dua PC lama dengan beberapa pertunjukan ram.

Lihat detailnya

HampusLi
sumber
Saya setuju, Anda tidak perlu server honkin besar untuk menjalankan Active Directory untuk sepuluh pengguna.
Nate
Terima kasih. Mereka telah secara efektif menghabiskan anggaran mereka untuk mendapatkan komputer baru dan lisensi untuk staf sehingga tidak menyisakan banyak untuk dibelanjakan pada bidang TI lainnya. Apakah ada perangkat lunak yang dapat saya katakan berjalan di laptop saya yang akan memungkinkan saya untuk terhubung ke semua komputer di jaringan dan menetapkan kebijakan untuk masing-masing pengguna?
PeanutsMonkey
3

Anda mungkin ingin mencoba TechSoup . Jika organisasi Anda memenuhi syarat, Anda mungkin bisa mendapatkan salinan Windows Server 2008 R2 dengan harga kurang dari $ 100. Saya percaya Anda akan mendapatkan sekitar 50 lisensi kursi juga. Dan seperti yang ditunjukkan sebelumnya, Anda tidak perlu perangkat keras heroik untuk menjalankan Active Directory dalam situasi Anda. Anda bahkan dapat menjalankan peran server lain tanpa masalah yang berarti.

Jika Anda benar - benar dalam situasi yang membutuhkan Active Directory, Anda akan menemukan bahwa setiap pengganti jauh dari sempurna.

Komunitas
sumber
Terima kasih. Saya telah mendengar tentang TechSoup sehingga mungkin menyarankan opsi. Ngomong-ngomong, saya telah mengirim komentar lain mengenai nama domain yang telah Anda bantu saya jawab. Akan sangat menghargai jika Anda bisa melihatnya.
PeanutsMonkey
3

Saya seorang manajer TI untuk bisnis kecil. Saya tidak memiliki banyak anggaran sehingga saya melakukan yang terbaik yang saya bisa dengan apa yang saya miliki. Sebagai seorang advokat open-source, jika saya dapat dengan andal dan kuat memecahkan masalah dengan perangkat lunak bebas dan open source, saya melakukannya. Saya telah menemukan sesuatu yang berfungsi cukup baik tanpa Active Directory. Inilah cara saya melakukannya:

Proyek FOG

FOG adalah solusi open source untuk pencitraan disk. (mis: Membuat citra disk mesin virtual, sysprep, dan gunakan satu gambar itu untuk sepuluh komputer.) FOG juga dapat menginstal snap-in dari jarak jauh. Snap-in dapat berupa file apa pun yang dapat dieksekusi. Jika saya ingin mengubah kebijakan grup sesuatu yang terkait pada satu atau lebih mesin, saya akan membuat file registri dengan nilai-nilai registri kebijakan grup yang perlu diperbarui. Saya membuat skrip batch untuk memanggil regedit /sfile .reg dan memperbarui registri.

7-zip & 7-zip SFX maker

Pembuat SFX membuat saya file .exe bagus yang dapat dikonfigurasi untuk secara diam-diam mengekstrak konten dan menjalankan program yang sewenang-wenang. Dalam contoh di atas saya menggunakan pembuat SFX untuk mengemas file .cmd dan .reg ke dalam .exe yang kemudian dapat diunggah ke kabut dan digunakan sebagai snapin.

Lain-lain alat penyebaran IT perusahaan

Untuk menginstal program baru di semua workstation, saya pertama-tama mencari alat penyebaran IT perusahaan untuk perangkat lunak yang dimaksud. Misalnya, Google Chrome menyediakan Chrome untuk Bisnis yang memiliki penginstal yang dapat dikonfigurasi sebelumnya, mudah digunakan, dan opsional diam. Banyak produsen printer juga memiliki alat untuk membantu Anda menggunakan driver printer mereka. HP dan Brother memiliki alat yang bagus untuk ini. Anda hanya perlu menemukan driver printer yang tepat untuk OS Anda, kemudian gunakan alat mereka untuk membuat installer diam yang dapat digunakan sebagai snapin FOG.

AutoIT

Banyak pengembang perangkat lunak tidak membuat alat penyebaran, bahkan beberapa judul nama besar seperti Quickbooks. Direktori aktif tidak dapat membantu Anda di sini. Dalam kasus di mana setiap komputer membutuhkannya, kadang-kadang lebih mudah untuk memanggang perangkat lunak ke dalam gambar disk Anda, kemudian menggunakan gambar disk dengan semua aplikasi yang biasa digunakan. Untuk yang lainnya, ada AutoIT. Meskipun bisa sangat memakan waktu untuk melakukannya, Anda dapat menulis skrip AutoIT untuk mengotomatiskan instalasi perangkat lunak, baik dengan mendeteksi windows dan mensimulasikan penekanan tombol dan mouse atau dengan menduplikasi perubahan file dan registri yang biasanya dilakukan oleh penginstal.

TightVNC

Setiap komputer yang saya kelola memiliki server TightVNC. Desktop pada dasarnya jauh. Ketika workstation tidak digunakan, saya dapat terhubung ke workstation dan secara manual mengubah pengaturan seolah-olah saya sedang duduk di depan mesin.

Kaki

Untuk perubahan kecil yang tidak perlu diubah pada setiap mesin, kaki sangat berguna untuk memindahkan saya ke komputer yang bersangkutan dan mengutak-atiknya. Bonus di sini adalah bahwa saya bisa melakukan beberapa latihan untuk menebus gaya hidup saya yang biasanya menetap: P. Meskipun ini bukan solusi yang baik untuk mengelola sejumlah besar komputer, itu baik untuk membuat perubahan kecil ke sejumlah kecil komputer. (untuk yang lainnya, ada AutoIT, ingat?)

Kesimpulan

FOG benar-benar tulang punggung dari keseluruhan proses ini. FOG memungkinkan saya menetapkan mesin ke grup, yang dapat ditetapkan gambar disk dan snapins tertentu yang cocok untuk grup tersebut. Grup dapat berupa "room1", "room2" dll. Dengan penginstalan printer tertentu yang digunakan. Proses ini mungkin tidak skala dengan sangat baik, bukan tanpa cacat itu, tetapi dalam kasus saya di mana saya mengelola sekitar 20 komputer, ia bekerja dengan cukup baik.

Grimtech
sumber
Ini bekerja tetapi jika perusahaan Anda memiliki lebih dari 10 workstation, tidak memiliki banyak argumen anggaran hanya salah. Setiap Manajer TI dengan setidaknya pengetahuan rata-rata harus dengan mudah dapat menghemat waktu kerja yang dari POV pemberi kerja memiliki nilai yang sama dengan lisensi untuk solusi pengaturan / penyebaran perangkat lunak perusahaan. Dan itu mungkin sudah di tahun pertama yang akan memerlukan lebih banyak waktu untuk pengaturan dan coba-coba ...
Jey DWork
2

Modul Windows yang dimungkinkan .

Saya mengelola stillup dengan CEO yang karena alasan apa pun menentang gagasan domain Windows.

Solusi saya adalah menggunakan buku pedoman yang memungkinkan untuk membuat hal-hal yang terjadi di workstation dari jarak jauh. Saya dapat menginstal MSI, menginstal paket Chocolatey , mengkonfigurasi RDP / VNC, memastikan pembaruan Windows diinstal, membuat skrip startup atau login untuk memetakan drive jaringan, jadwal backup robocopy , dll.

Ansible tidak menggunakan agen, artinya tidak ada layanan Ansible yang berjalan pada PC pengguna akhir. Mungkin hanya memanfaatkan WinRM untuk login jarak jauh dan mengirim instruksi ke komputer.

Saya mengelola repositori git yang berisi semua buku pedoman Ansible saya, skrip yang dapat disebarkan, dan beberapa skrip bawaan yang mengotomatiskan proses pengaturan untuk mengiklankan mesin Windows ke manajemen Ansible. Saya satu-satunya orang IT di sini yang menyentuh desktop, tetapi secara teori git repo berisi semua yang perlu dilakukan oleh orang IT lain untuk melakukan apa yang saya lakukan.

Juga di repositori git adalah file inventaris Ansible yang merupakan dokumen teks style .INI yang berisi alamat IP atau nama domain untuk setiap mesin yang dikelola oleh Ansible. ( Router kantor pfSense kami menangani resolusi DNS)

Ketika komputer baru ditambahkan di kantor, saya menjalankan skrip penyediaan Ansible di atasnya. Skrip provisi memenuhi dependensi .NET dan Windows Management Framework (PowerShell), mengonfigurasi komputer untuk Remoting yang dimungkinkan, dan menginstal Chocolatey. Setelah itu, saya tidak perlu menyentuh komputer lagi, karena saya bisa melakukan semua hal dari jarak jauh. Saya memiliki umpan Nuget internal yang melayani EXE paket khusus untuk industri kami.

Dengan menggunakan metode ini, saya dapat membuat buku pedoman yang dimungkinkan yang meniru beberapa fungsi Kebijakan Grup Windows. Sebagai contoh, saya dapat membuat buku pedoman Ansible yang disebut generalpolicy.yml, yang menargetkan grup mesin tertentu di file inventaris Ansible. Saat dijalankan, generalpolicy.yml akan melakukan remote ke setiap mesin dalam grup, dan memastikan serangkaian kondisi tertentu terpenuhi pada mesin tersebut.

Kondisi tersebut dapat berupa apa saja, seperti Notepad ++ yang diinstal, Terminal Server diaktifkan di registri, dan ICMP PING tidak diblokir di firewall. Playbook dapat dijalankan berulang-ulang, dan berkat idempotensi Ansible, tidak ada yang akan berubah pada komputer target kecuali kondisinya tidak memuaskan.

Grimtech
sumber
+1 untuk stillup;)
andreas
1

Samba 4 dapat dijalankan sebagai Pengontrol Domain yang kompatibel dengan Direktori Aktif Microsoft.

https://wiki.samba.org/index.php/Samba_AD_management_from_windows

https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

Grimtech
sumber
Selamat Datang di Kesalahan Server! Sementara ini secara teoritis dapat menjawab pertanyaan, akan lebih baik untuk memasukkan bagian-bagian penting dari jawaban di sini, dan menyediakan tautan untuk referensi.
slm
0

Satu per satu, dengan banyak kesalahan.

mfinni
sumber