我需要为一个慈善机构设置5到10台计算机,而这不能让它运行专门的服务器来维护越来越多的员工的组策略。有没有一种方法可以管理每台计算机的策略,而不必实际更改本地安全策略。这些计算机运行Windows XP,Vista和7的组合。
我需要为一个慈善机构设置5到10台计算机,而这不能让它运行专门的服务器来维护越来越多的员工的组策略。有没有一种方法可以管理每台计算机的策略,而不必实际更改本地安全策略。这些计算机运行Windows XP,Vista和7的组合。
Answers:
我要权衡一次以最少的管理工作与域管理来一次设置10台计算机的初始成本。例如,出于冗余/可靠性的考虑,建议使用两个域控制器,并且它们的配置可能会花费相当长的时间。这导致更大的财务成本,并且可能导致更大的工时成本。这也增加了网络的复杂性,很可能会使您的工作量增加,而又没有明显的好处。
另一方面,使用10台机器的本地策略相对而言比较枯燥。我怀疑您会在日常活动中对安全策略进行微管理。更新可能很麻烦,但是一旦测试了就可以正确应用。影音/恶意软件/委托实用程序也可能以一些最少的管理而烦人。
如果您正在计划增长并想要一个域名,则可以使用Microsoft的BizSpark,在一年内免费访问大部分的MSDN下载。这包括Windows Server和Windows OS的过去和现在版本。您所要做的只是一家小型公司,可以满足一些宽松的要求。我敢肯定,慈善机构将毫无问题地成立。
微软为慈善机构提供了一个特殊的许可计划,折扣很大,仅运行一个AD就可以使用两台旧PC和几台ram。
查看详情
您可能想尝试TechSoup。如果您的组织有资格,则可能只需不到100美元即可获得Window Server 2008 R2的副本。我相信您还将获得约50个座位许可证。并且如前所述,您不需要特殊的硬件即可在您的情况下运行Active Directory。您甚至可以运行其他服务器角色,而不会遇到很大麻烦。
如果您实际上处于需要Active Directory的情况下,则会发现每种替代品都远远不够。
我是一家小型企业的IT经理。我没有太多的预算,所以我会尽我所能。作为开源倡导者,如果我能够可靠,可靠地解决自由开源软件的问题,那就可以了。我发现没有Active Directory就能很好地工作。这是我的方法:
FOG是用于磁盘映像的开源解决方案。(例如:创建虚拟机的磁盘映像,然后进行sysprep并将该映像部署到十台计算机。)FOG还可以远程安装管理单元。管理单元可以是任何可执行文件。如果要更改与一台或多台计算机有关的某些组策略,我将创建一个注册表文件,其中包含需要更新的组策略注册表值。我创建批处理脚本以调用regedit /s
.reg文件并更新注册表。
SFX maker为我创建了不错的.exe文件,可以将其配置为以静默方式提取内容并运行任意程序。在上面的示例中,我使用SFX maker将.cmd和.reg文件打包为.exe,然后可以将其上传到fog并作为管理单元进行部署。
为了在所有工作站上安装新程序,我首先寻找有关软件的企业IT部署工具。例如,谷歌浏览器提供的Chrome for Business具有可预先配置,易于部署且可以选择静默的安装程序。许多打印机制造商还提供了可帮助您部署打印机驱动程序的工具。惠普和兄弟公司为此提供了很好的工具。您只需要找到适合您的OS的打印机驱动程序,然后使用它们的工具来创建可以用作FOG管理单元的静默安装程序。
许多软件开发人员都没有开发部署工具,甚至没有诸如Quickbooks之类的大牌头衔。Active Directory在这里无法为您提供帮助。如果每台计算机都需要它,有时将软件烘焙到磁盘映像中,然后将其与所有常用的应用程序一起部署会更容易。其他方面,还有AutoIT。尽管这样做可能非常耗时,但是您可以编写AutoIT脚本来自动执行软件安装,方法是检测窗口并模拟鼠标和击键,或者通过复制文件和注册表更改来完成安装程序通常会执行的操作。
我管理的每台计算机都有一个TightVNC服务器。基本上是远程桌面。当不使用工作站时,我可以连接到工作站并手动更改设置,就像坐在机器前一样。
对于不需要在每台机器上都进行更改的微小更改,脚非常方便地将我运送到有问题的计算机上并对其进行了摆弄。这样做的好处是,我可以做些运动来弥补原本久坐的生活方式:P。尽管这不是管理大量计算机的好解决方案,但对少量计算机进行少量更改还是有好处的。(对于其他所有功能,还有AutoIT,还记得吗?)
FOG实际上是整个过程的基础。FOG使我可以将计算机分配给组,可以为这些组分配适合于这些组的特定磁盘映像和管理单元。组可以是“ room1”,“ room2”等,并在需要时部署了特定的打印机管理单元。这个过程可能无法很好地扩展,不是没有缺陷,但是在我管理大约20台计算机的情况下,它运行得很好。
我与一位首席执行官共同管理一个剧照,无论出于何种原因,该首席执行官都反对Windows域。
我的解决方法是使用Ansible剧本远程使事情发生在工作站上。我可以安装MSI,安装Chocolatey软件包,配置RDP / VNC,确保已安装Windows更新,创建启动或登录脚本以映射网络驱动器,安排robocopy备份等。
Ansible不使用代理,这意味着在最终用户的PC上没有运行的Ansible服务。Ansible只是利用WinRM远程登录并向计算机发送指令。
我维护了一个git存储库,其中包含我的所有Ansible剧本,可部署脚本以及一些配置脚本,这些脚本可自动完成将Windows计算机添加到Ansible管理的设置过程。我是唯一接触台式机的IT人员,但从理论上讲,git repo包含另一个IT人员执行我需要做的所有工作。
git存储库中还有一个Ansible 库存文件,它是一个.INI样式的文本文档,其中包含由Ansible管理的每台计算机的IP地址或域名。(我们的pfSense办公路由器处理DNS解析)
在办公室中添加新计算机后,我在其上运行Ansible设置脚本。供应脚本满足.NET和Windows Management Framework(PowerShell)的依赖性,配置计算机以进行Ansible远程处理,并安装Chocolatey。之后,我无需再次触摸计算机,因为我可以远程进行其他所有操作。我有一个内部的Nuget提要,它提供特定于我们行业的打包EXE。
使用此方法,我可以创建模仿Windows组策略某些功能的Ansible剧本。例如,我可以创建一个名为generalpolicy.yml的Ansible剧本,它针对Ansible清单文件中的特定计算机组。运行时,generalpolicy.yml将远程访问组中的每台计算机,并确保在所述计算机上满足一组特定条件。
这些条件可能是任何情况,例如已安装Notepad ++,在注册表中启用了终端服务器,并且在防火墙中未阻止ICMP PING。该剧本可以一遍又一遍地运行,并且由于Ansible的幂等性,除非不满足条件,否则目标计算机上不会有任何改变。
Samba 4可以作为与Microsoft Active Directory兼容的域控制器运行。
https://wiki.samba.org/index.php/Samba_AD_management_from_windows