您如何管理没有Active Directory的计算机？

我需要为一个慈善机构设置5到10台计算机，而这不能让它运行专门的服务器来维护越来越多的员工的组策略。有没有一种方法可以管理每台计算机的策略，而不必实际更改本地安全策略。这些计算机运行Windows XP，Vista和7的组合。

我要权衡一次以最少的管理工作与域管理来一次设置10台计算机的初始成本。例如，出于冗余/可靠性的考虑，建议使用两个域控制器，并且它们的配置可能会花费相当长的时间。这导致更大的财务成本，并且可能导致更大的工时成本。这也增加了网络的复杂性，很可能会使您的工作量增加，而又没有明显的好处。

另一方面，使用10台机器的本地策略相对而言比较枯燥。我怀疑您会在日常活动中对安全策略进行微管理。更新可能很麻烦，但是一旦测试了就可以正确应用。影音/恶意软件/委托实用程序也可能以一些最少的管理而烦人。

如果您正在计划增长并想要一个域名，则可以使用Microsoft的BizSpark，在一年内免费访问大部分的MSDN下载。这包括Windows Server和Windows OS的过去和现在版本。您所要做的只是一家小型公司，可以满足一些宽松的要求。我敢肯定，慈善机构将毫无问题地成立。

微软为慈善机构提供了一个特殊的许可计划，折扣很大，仅运行一个AD就可以使用两台旧PC和几台ram。

查看详情

您可能想尝试TechSoup。如果您的组织有资格，则可能只需不到100美元即可获得Window Server 2008 R2的副本。我相信您还将获得约50个座位许可证。并且如前所述，您不需要特殊的硬件即可在您的情况下运行Active Directory。您甚至可以运行其他服务器角色，而不会遇到很大麻烦。

如果您实际上处于需要Active Directory的情况下，则会发现每种替代品都远远不够。

我是一家小型企业的IT经理。我没有太多的预算，所以我会尽我所能。作为开源倡导者，如果我能够可靠，可靠地解决自由开源软件的问题，那就可以了。我发现没有Active Directory就能很好地工作。这是我的方法：

雾化项目

FOG是用于磁盘映像的开源解决方案。（例如：创建虚拟机的磁盘映像，然后进行sysprep并将该映像部署到十台计算机。）FOG还可以远程安装管理单元。管理单元可以是任何可执行文件。如果要更改与一台或多台计算机有关的某些组策略，我将创建一个注册表文件，其中包含需要更新的组策略注册表值。我创建批处理脚本以调用regedit /s.reg文件并更新注册表。

7拉链和7拉链SFX制作器

SFX maker为我创建了不错的.exe文件，可以将其配置为以静默方式提取内容并运行任意程序。在上面的示例中，我使用SFX maker将.cmd和.reg文件打包为.exe，然后可以将其上传到fog并作为管理单元进行部署。

杂项 企业IT部署工具

为了在所有工作站上安装新程序，我首先寻找有关软件的企业IT部署工具。例如，谷歌浏览器提供的Chrome for Business具有可预先配置，易于部署且可以选择静默的安装程序。许多打印机制造商还提供了可帮助您部署打印机驱动程序的工具。惠普和兄弟公司为此提供了很好的工具。您只需要找到适合您的OS的打印机驱动程序，然后使用它们的工具来创建可以用作FOG管理单元的静默安装程序。

自动IT

许多软件开发人员都没有开发部署工具，甚至没有诸如Quickbooks之类的大牌头衔。Active Directory在这里无法为您提供帮助。如果每台计算机都需要它，有时将软件烘焙到磁盘映像中，然后将其与所有常用的应用程序一起部署会更容易。其他方面，还有AutoIT。尽管这样做可能非常耗时，但是您可以编写AutoIT脚本来自动执行软件安装，方法是检测窗口并模拟鼠标和击键，或者通过复制文件和注册表更改来完成安装程序通常会执行的操作。

紧VNC

我管理的每台计算机都有一个TightVNC服务器。基本上是远程桌面。当不使用工作站时，我可以连接到工作站并手动更改设置，就像坐在机器前一样。

脚

对于不需要在每台机器上都进行更改的微小更改，脚非常方便地将我运送到有问题的计算机上并对其进行了摆弄。这样做的好处是，我可以做些运动来弥补原本久坐的生活方式：P。尽管这不是管理大量计算机的好解决方案，但对少量计算机进行少量更改还是有好处的。（对于其他所有功能，还有AutoIT，还记得吗？）

结论

FOG实际上是整个过程的基础。FOG使我可以将计算机分配给组，可以为这些组分配适合于这些组的特定磁盘映像和管理单元。组可以是“ room1”，“ room2”等，并在需要时部署了特定的打印机管理单元。这个过程可能无法很好地扩展，不是没有缺陷，但是在我管理大约20台计算机的情况下，它运行得很好。

Ansible Windows模块。

我与一位首席执行官共同管理一个剧照，无论出于何种原因，该首席执行官都反对Windows域。

我的解决方法是使用Ansible剧本远程使事情发生在工作站上。我可以安装MSI，安装Chocolatey软件包，配置RDP / VNC，确保已安装Windows更新，创建启动或登录脚本以映射网络驱动器，安排robocopy备份等。

Ansible不使用代理，这意味着在最终用户的PC上没有运行的Ansible服务。Ansible只是利用WinRM远程登录并向计算机发送指令。

我维护了一个git存储库，其中包含我的所有Ansible剧本，可部署脚本以及一些配置脚本，这些脚本可自动完成将Windows计算机添加到Ansible管理的设置过程。我是唯一接触台式机的IT人员，但从理论上讲，git repo包含另一个IT人员执行我需要做的所有工作。

git存储库中还有一个Ansible 库存文件，它是一个.INI样式的文本文档，其中包含由Ansible管理的每台计算机的IP地址或域名。（我们的pfSense办公路由器处理DNS解析）

在办公室中添加新计算机后，我在其上运行Ansible设置脚本。供应脚本满足.NET和Windows Management Framework（PowerShell）的依赖性，配置计算机以进行Ansible远程处理，并安装Chocolatey。之后，我无需再次触摸计算机，因为我可以远程进行其他所有操作。我有一个内部的Nuget提要，它提供特定于我们行业的打包EXE。

使用此方法，我可以创建模仿Windows组策略某些功能的Ansible剧本。例如，我可以创建一个名为generalpolicy.yml的Ansible剧本，它针对Ansible清单文件中的特定计算机组。运行时，generalpolicy.yml将远程访问组中的每台计算机，并确保在所述计算机上满足一组特定条件。

这些条件可能是任何情况，例如已安装Notepad ++，在注册表中启用了终端服务器，并且在防火墙中未阻止ICMP PING。该剧本可以一遍又一遍地运行，并且由于Ansible的幂等性，除非不满足条件，否则目标计算机上不会有任何改变。

Samba 4可以作为与Microsoft Active Directory兼容的域控制器运行。

https://wiki.samba.org/index.php/Samba_AD_management_from_windows

https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

一次出现很多错误。