Para comenzar, necesito configurar entre 5 y 10 computadoras para una organización de caridad que no puede permitirse tener un servidor dedicado que mantenga políticas grupales para un número creciente de empleados. ¿Hay alguna manera de administrar las políticas de cada computadora sin tener que cambiar físicamente las políticas de seguridad locales? Las computadoras ejecutan una combinación de Windows XP, Vista y 7.
group-policy
CacahuetesMonkey
fuente
fuente
Respuestas:
Yo sopesaría el costo inicial de configurar 10 computadoras una vez con un trabajo administrativo mínimo en comparación con la administración de un dominio. Por ejemplo, dos controladores de dominio serían aconsejables por razones de redundancia / confiabilidad y su configuración puede llevar bastante tiempo. Esto contribuye a un mayor costo financiero y podría contribuir a un mayor costo en horas hombre. También se suma a la complejidad de su red, que probablemente hará más trabajo para usted en el futuro sin muchos beneficios tangibles.
Por otro lado, trabajar con políticas locales de 10 máquinas es relativamente sencillo. Dudo que administre las políticas de seguridad en sus actividades cotidianas. Las actualizaciones pueden ser problemáticas, pero se aplican correctamente una vez que las haya probado. Las utilidades AV / malware / intrustion también pueden ser molestas con una administración mínima.
Si está planeando crecer y quiere un dominio, BizSpark de Microsoft le da acceso a una buena parte de las descargas de MSDN de forma gratuita, durante un año. Esto incluye versiones pasadas y presentes de Windows Server y Windows OS. Todo lo que necesita ser es una compañía pequeña para usar con algunos requisitos sueltos. Estoy seguro de que las organizaciones benéficas encajarían sin problemas.
fuente
Microsoft ofrece un programa de licencia especial para organizaciones benéficas, los descuentos son bastante grandes y solo por ejecutar un AD puedes usar dos PC viejas con un par de gigas de ram.
Ver para más detalles
fuente
Es posible que desee probar TechSoup . Si su organización califica, probablemente podría obtener una copia de Windows Server 2008 R2 por menos de $ 100 dólares. Creo que también obtendrás alrededor de 50 licencias de asiento. Y como se señaló anteriormente, no necesita hardware heroico para ejecutar Active Directory en su situación. Incluso puede ejecutar otras funciones de servidor sin problemas importantes.
Si realmente se encuentra en una situación que requiere Active Directory, encontrará que cada sustituto se queda muy corto.
fuente
Soy gerente de TI para una pequeña empresa. No tengo mucho presupuesto, así que hago lo mejor que puedo con lo que tengo. Como defensor del código abierto, si puedo resolver un problema de manera confiable y sólida con un software gratuito y de código abierto, lo hago. He encontrado algo que funciona bastante bien sin Active Directory. Así es como lo hago:
Proyecto FOG
FOG es una solución de código abierto para imágenes de disco. (por ejemplo: cree una imagen de disco de una máquina virtual, sysprep e implemente esa imagen en diez computadoras). FOG también puede instalar complementos de forma remota. Un complemento puede ser cualquier archivo ejecutable. Si quiero cambiar algo relacionado con la política de grupo en una o más máquinas, crearía un archivo de registro con los valores de registro de política de grupo que necesitan actualizarse. Creo scripts por lotes para llamar
regedit /s
a los archivos .reg y actualizar el registro.7-zip y 7-zip SFX maker
SFX maker me crea buenos archivos .exe que se pueden configurar para extraer silenciosamente el contenido y ejecutar un programa arbitrario. En el ejemplo anterior, uso SFX maker para empaquetar los archivos .cmd y .reg en un .exe que luego puede cargarse en la niebla e implementarse como un complemento.
Misceláneos herramientas de implementación de TI empresarial
Para instalar nuevos programas en todas las estaciones de trabajo, primero busco herramientas de implementación de TI empresarial para el software en cuestión. Por ejemplo, Google Chrome proporciona Chrome for Business que tiene un instalador preconfigurable, fácil de implementar y opcionalmente silencioso. Muchos fabricantes de impresoras también tienen herramientas para ayudarlo a implementar sus controladores de impresora. HP y Brother tienen buenas herramientas para esto. Solo tiene que encontrar el controlador de impresora adecuado para su sistema operativo, luego usar sus herramientas para crear un instalador silencioso que pueda usarse como un complemento FOG.
AutoIT
Muchos desarrolladores de software no hacen herramientas de implementación, incluso algunos títulos de renombre como Quickbooks. Active Directory no puede ayudarlo aquí. En los casos en que cada computadora lo necesita, a veces es más fácil integrar el software en la imagen de su disco, luego implementar la imagen del disco con todas las aplicaciones de uso común. Para todo lo demás, hay AutoIT. Si bien puede llevar mucho tiempo hacerlo, puede escribir scripts de AutoIT para automatizar las instalaciones de software, ya sea detectando ventanas y simulando el mouse y las pulsaciones de teclas o duplicando el archivo y los cambios en el registro que los instaladores normalmente harían.
TightVNC
Cada computadora que administro tiene un servidor TightVNC. Básicamente escritorio remoto. Cuando la estación de trabajo no está en uso, puedo conectarme a una estación de trabajo y cambiar manualmente la configuración como si estuviera sentado frente a la máquina.
Pies
Para pequeños cambios que no necesitan cambiarse en cada máquina, los pies son muy útiles para transportarme a la computadora en cuestión y jugar con ella. La ventaja aquí es que puedo hacer algo de ejercicio para compensar mi estilo de vida sedentario: P. Si bien esta no es una buena solución para administrar una gran cantidad de computadoras, es buena para hacer pequeños cambios en una pequeña cantidad de computadoras. (para todo lo demás, hay AutoIT, ¿recuerdas?)
Conclusión
FOG es realmente la columna vertebral de todo este proceso. FOG me permite asignar máquinas a grupos, a los que se les pueden asignar imágenes de disco específicas y complementos adecuados para esos grupos. Los grupos pueden ser "sala1", "sala2", etc., con complementos de impresora específicos implementados donde sea necesario. Este proceso probablemente no escala muy bien, no está exento de fallas, pero en mi caso donde administro alrededor de 20 computadoras, funciona bastante bien.
fuente
Ansible Módulos de Windows .
Administro una imagen fija con un CEO que, por cualquier motivo, está en contra de la idea de un dominio de Windows.
Mi solución es usar los libros de jugadas de Ansible para hacer que las cosas sucedan de forma remota en las estaciones de trabajo. Puedo instalar MSI, instalar paquetes de Chocolatey , configurar RDP / VNC, asegurar que las actualizaciones de Windows estén instaladas, crear scripts de inicio o inicio de sesión para asignar unidades de red, programar copias de seguridad de robocopy , etc.
Ansible no utiliza un agente, lo que significa que no hay un servicio Ansible que se ejecute en la PC del usuario final. Ansible simplemente aprovecha WinRM para iniciar sesión de forma remota y enviar instrucciones a la computadora.
Mantengo un repositorio git que contiene todos mis libros de jugadas de Ansible, scripts implementables y algunos scripts de aprovisionamiento que automatizan el proceso de configuración para agregar una máquina Windows a la administración de Ansible. Soy la única persona de TI aquí que toca las computadoras de escritorio, pero en teoría el repositorio git contiene todo lo que otra persona de TI necesitaría para hacer lo que yo hago.
También en el repositorio de git hay un archivo de inventario Ansible que es un documento de texto de estilo .INI que contiene direcciones IP o nombres de dominio para cada máquina administrada por Ansible. (Nuestro enrutador de oficina pfSense maneja la resolución DNS)
Cuando se agrega una nueva computadora en la oficina, ejecuto el script de aprovisionamiento Ansible en ella. El script de provisión satisfizo las dependencias de .NET y Windows Management Framework (PowerShell), configura la computadora para la comunicación remota Ansible e instala Chocolatey. Después de eso, no necesito volver a tocar la computadora, porque puedo hacer todo lo demás de forma remota. Tengo un feed Nuget interno que sirve EXE empaquetados específicos de nuestra industria.
Con este método, puedo crear playbooks de Ansible que imitan algunas de las funciones de la Política de grupo de Windows. Por ejemplo, puedo crear un libro de jugadas Ansible llamado generalpolicy.yml, que se dirige a un grupo específico de máquinas en el archivo de inventario Ansible. Cuando se ejecuta, generalpolicy.yml se remueve en cada máquina del grupo y garantiza que se cumplan un conjunto específico de condiciones en dichas máquinas.
Esas condiciones pueden ser cualquier cosa, como Notepad ++ está instalado, Terminal Server está habilitado en el registro y ICMP PING no está bloqueado en el firewall. El libro de jugadas se puede ejecutar una y otra vez, y gracias a la idempotencia de Ansible, nada cambiará en la computadora de destino a menos que la condición no se cumpla.
fuente
Samba 4 puede ejecutarse como un controlador de dominio que sea compatible con el Active Directory de Microsoft.
https://wiki.samba.org/index.php/Samba_AD_management_from_windows
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO
fuente
Uno a la vez, con muchos errores.
fuente