¿Cómo se administran las computadoras sin Active Directory?

9

Para comenzar, necesito configurar entre 5 y 10 computadoras para una organización de caridad que no puede permitirse tener un servidor dedicado que mantenga políticas grupales para un número creciente de empleados. ¿Hay alguna manera de administrar las políticas de cada computadora sin tener que cambiar físicamente las políticas de seguridad locales? Las computadoras ejecutan una combinación de Windows XP, Vista y 7.

group-policy 
CacahuetesMonkey
fuente
1
Puede considerar hacer un archivo de registro de todas las configuraciones que desee y compartirlo en la red. Puede importar manualmente ese archivo en cada máquina o hacer que lo importe al inicio (si puede compartirlo en un lugar confiable de la red). El problema es que si realiza cambios significativos, puede requerir un reinicio antes de que surtan efecto.
Brad
@Brad: ¿Funcionaría en una versión de Windows o tendría que crear archivos de registro separados para cada uno de ellos, por ejemplo, Windows XP, Vista, etc.?
PeanutsMonkey
¿Qué tipo de políticas está buscando implementar?
Mark Henderson
@ Mark Henderson: algunas de las políticas tendrían la posibilidad de instalar actualizaciones, aunque no sean administradores, no tengan acceso a ciertas unidades, etc.
PeanutsMonkey

Respuestas:

4

Yo sopesaría el costo inicial de configurar 10 computadoras una vez con un trabajo administrativo mínimo en comparación con la administración de un dominio. Por ejemplo, dos controladores de dominio serían aconsejables por razones de redundancia / confiabilidad y su configuración puede llevar bastante tiempo. Esto contribuye a un mayor costo financiero y podría contribuir a un mayor costo en horas hombre. También se suma a la complejidad de su red, que probablemente hará más trabajo para usted en el futuro sin muchos beneficios tangibles.

Por otro lado, trabajar con políticas locales de 10 máquinas es relativamente sencillo. Dudo que administre las políticas de seguridad en sus actividades cotidianas. Las actualizaciones pueden ser problemáticas, pero se aplican correctamente una vez que las haya probado. Las utilidades AV / malware / intrustion también pueden ser molestas con una administración mínima.

Si está planeando crecer y quiere un dominio, BizSpark de Microsoft le da acceso a una buena parte de las descargas de MSDN de forma gratuita, durante un año. Esto incluye versiones pasadas y presentes de Windows Server y Windows OS. Todo lo que necesita ser es una compañía pequeña para usar con algunos requisitos sueltos. Estoy seguro de que las organizaciones benéficas encajarían sin problemas.

Blake Atkinson
fuente
1
@Peanuts: sin embargo, antes de ir con bizspark, Microsoft tiene licencias realmente buenas para organizaciones sin fines de lucro que son potencialmente incluso mejores que el programa BizSpark. Definitivamente me pondría en contacto con un revendedor de Microsoft al respecto.
Mark Henderson
4

Microsoft ofrece un programa de licencia especial para organizaciones benéficas, los descuentos son bastante grandes y solo por ejecutar un AD puedes usar dos PC viejas con un par de gigas de ram.

Ver para más detalles

HampusLi
fuente
Estoy de acuerdo, no necesita un gran servidor honkin para ejecutar Active Directory para diez usuarios.
Nate
Gracias. Efectivamente han gastado su presupuesto en obtener nuevas computadoras y licencias para el personal, por lo tanto, no dejan mucho que gastar en otras áreas de TI. ¿Existe algún software que pueda ejecutar en mi computadora portátil que me permita conectarme a todas las computadoras de la red y definir las políticas para cada uno de los usuarios?
PeanutsMonkey
3

Es posible que desee probar TechSoup . Si su organización califica, probablemente podría obtener una copia de Windows Server 2008 R2 por menos de $ 100 dólares. Creo que también obtendrás alrededor de 50 licencias de asiento. Y como se señaló anteriormente, no necesita hardware heroico para ejecutar Active Directory en su situación. Incluso puede ejecutar otras funciones de servidor sin problemas importantes.

Si realmente se encuentra en una situación que requiere Active Directory, encontrará que cada sustituto se queda muy corto.

Comunidad
fuente
Gracias. He oído hablar de TechSoup, por lo que podría sugerir que es una opción. Por cierto, había publicado otro comentario sobre los nombres de dominio que me había ayudado a responder. Le agradecería si pudiera echarle un vistazo.
PeanutsMonkey 01 de
3

Soy gerente de TI para una pequeña empresa. No tengo mucho presupuesto, así que hago lo mejor que puedo con lo que tengo. Como defensor del código abierto, si puedo resolver un problema de manera confiable y sólida con un software gratuito y de código abierto, lo hago. He encontrado algo que funciona bastante bien sin Active Directory. Así es como lo hago:

Proyecto FOG

FOG es una solución de código abierto para imágenes de disco. (por ejemplo: cree una imagen de disco de una máquina virtual, sysprep e implemente esa imagen en diez computadoras). FOG también puede instalar complementos de forma remota. Un complemento puede ser cualquier archivo ejecutable. Si quiero cambiar algo relacionado con la política de grupo en una o más máquinas, crearía un archivo de registro con los valores de registro de política de grupo que necesitan actualizarse. Creo scripts por lotes para llamar regedit /sa los archivos .reg y actualizar el registro.

7-zip y 7-zip SFX maker

SFX maker me crea buenos archivos .exe que se pueden configurar para extraer silenciosamente el contenido y ejecutar un programa arbitrario. En el ejemplo anterior, uso SFX maker para empaquetar los archivos .cmd y .reg en un .exe que luego puede cargarse en la niebla e implementarse como un complemento.

Misceláneos herramientas de implementación de TI empresarial

Para instalar nuevos programas en todas las estaciones de trabajo, primero busco herramientas de implementación de TI empresarial para el software en cuestión. Por ejemplo, Google Chrome proporciona Chrome for Business que tiene un instalador preconfigurable, fácil de implementar y opcionalmente silencioso. Muchos fabricantes de impresoras también tienen herramientas para ayudarlo a implementar sus controladores de impresora. HP y Brother tienen buenas herramientas para esto. Solo tiene que encontrar el controlador de impresora adecuado para su sistema operativo, luego usar sus herramientas para crear un instalador silencioso que pueda usarse como un complemento FOG.

AutoIT

Muchos desarrolladores de software no hacen herramientas de implementación, incluso algunos títulos de renombre como Quickbooks. Active Directory no puede ayudarlo aquí. En los casos en que cada computadora lo necesita, a veces es más fácil integrar el software en la imagen de su disco, luego implementar la imagen del disco con todas las aplicaciones de uso común. Para todo lo demás, hay AutoIT. Si bien puede llevar mucho tiempo hacerlo, puede escribir scripts de AutoIT para automatizar las instalaciones de software, ya sea detectando ventanas y simulando el mouse y las pulsaciones de teclas o duplicando el archivo y los cambios en el registro que los instaladores normalmente harían.

TightVNC

Cada computadora que administro tiene un servidor TightVNC. Básicamente escritorio remoto. Cuando la estación de trabajo no está en uso, puedo conectarme a una estación de trabajo y cambiar manualmente la configuración como si estuviera sentado frente a la máquina.

Pies

Para pequeños cambios que no necesitan cambiarse en cada máquina, los pies son muy útiles para transportarme a la computadora en cuestión y jugar con ella. La ventaja aquí es que puedo hacer algo de ejercicio para compensar mi estilo de vida sedentario: P. Si bien esta no es una buena solución para administrar una gran cantidad de computadoras, es buena para hacer pequeños cambios en una pequeña cantidad de computadoras. (para todo lo demás, hay AutoIT, ¿recuerdas?)

Conclusión

FOG es realmente la columna vertebral de todo este proceso. FOG me permite asignar máquinas a grupos, a los que se les pueden asignar imágenes de disco específicas y complementos adecuados para esos grupos. Los grupos pueden ser "sala1", "sala2", etc., con complementos de impresora específicos implementados donde sea necesario. Este proceso probablemente no escala muy bien, no está exento de fallas, pero en mi caso donde administro alrededor de 20 computadoras, funciona bastante bien.

Grimtech
fuente
Esto está funcionando, pero si su empresa tiene más de 10 estaciones de trabajo, no tener mucho argumento presupuestario es simplemente falso. Cualquier gerente de TI con al menos un conocimiento promedio debería poder ahorrar fácilmente el tiempo de trabajo que, desde el punto de vista del empleador, tiene el mismo valor que las licencias para soluciones de implementación / orquestación de software empresarial. Y eso probablemente ya en el primer año, lo que requerirá más tiempo para la configuración y prueba y error ...
Jey DWork
2

Ansible Módulos de Windows .

Administro una imagen fija con un CEO que, por cualquier motivo, está en contra de la idea de un dominio de Windows.

Mi solución es usar los libros de jugadas de Ansible para hacer que las cosas sucedan de forma remota en las estaciones de trabajo. Puedo instalar MSI, instalar paquetes de Chocolatey , configurar RDP / VNC, asegurar que las actualizaciones de Windows estén instaladas, crear scripts de inicio o inicio de sesión para asignar unidades de red, programar copias de seguridad de robocopy , etc.

Ansible no utiliza un agente, lo que significa que no hay un servicio Ansible que se ejecute en la PC del usuario final. Ansible simplemente aprovecha WinRM para iniciar sesión de forma remota y enviar instrucciones a la computadora.

Mantengo un repositorio git que contiene todos mis libros de jugadas de Ansible, scripts implementables y algunos scripts de aprovisionamiento que automatizan el proceso de configuración para agregar una máquina Windows a la administración de Ansible. Soy la única persona de TI aquí que toca las computadoras de escritorio, pero en teoría el repositorio git contiene todo lo que otra persona de TI necesitaría para hacer lo que yo hago.

También en el repositorio de git hay un archivo de inventario Ansible que es un documento de texto de estilo .INI que contiene direcciones IP o nombres de dominio para cada máquina administrada por Ansible. (Nuestro enrutador de oficina pfSense maneja la resolución DNS)

Cuando se agrega una nueva computadora en la oficina, ejecuto el script de aprovisionamiento Ansible en ella. El script de provisión satisfizo las dependencias de .NET y Windows Management Framework (PowerShell), configura la computadora para la comunicación remota Ansible e instala Chocolatey. Después de eso, no necesito volver a tocar la computadora, porque puedo hacer todo lo demás de forma remota. Tengo un feed Nuget interno que sirve EXE empaquetados específicos de nuestra industria.

Con este método, puedo crear playbooks de Ansible que imitan algunas de las funciones de la Política de grupo de Windows. Por ejemplo, puedo crear un libro de jugadas Ansible llamado generalpolicy.yml, que se dirige a un grupo específico de máquinas en el archivo de inventario Ansible. Cuando se ejecuta, generalpolicy.yml se remueve en cada máquina del grupo y garantiza que se cumplan un conjunto específico de condiciones en dichas máquinas.

Esas condiciones pueden ser cualquier cosa, como Notepad ++ está instalado, Terminal Server está habilitado en el registro y ICMP PING no está bloqueado en el firewall. El libro de jugadas se puede ejecutar una y otra vez, y gracias a la idempotencia de Ansible, nada cambiará en la computadora de destino a menos que la condición no se cumpla.

Grimtech
fuente
+1 para el stillup;)
andreas
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.