我需要在5-10台计算机之间build立一个慈善组织,这个慈善组织无法运行一个专门的服务器来维护越来越多的员工的组策略。 有没有一种方法可以pipe理每台计算机的策略,而不必实际更改本地安全策略。 电脑运行Windows XP,Vista和7的组合。
我将用最less的pipe理工作与一个域的pipe理权衡一次设置10台计算机的初始成本。 例如,为了冗余/可靠性的缘故,两个域控制器将是可取的,并且它们的configuration可能需要相当长的一段时间。 这导致更大的财务成本,并可能导致工时更大的成本。 这也增加了你的networking的复杂性,这将会使你更多的工作,而没有太多的实际好处。
另一方面,与10台机器地方政策工作是相对切割和干燥。 我怀疑你会在你的日常活动中微观pipe理安全策略。 更新可能会很麻烦,但是一旦你testing完成就可以正确应用。 AV /恶意软件/ intrustion实用程序也可能是一些最小的pipe理恼人。
如果你正在计划增长,你想要一个域名, 微软的BizSpark可以让你在一年内免费访问很大一部分MSDN下载。 这包括过去和现在版本的Windows Server和Windows操作系统。 所有你需要的是一个小的公司使用一些宽松的要求。 我相信慈善机构不会有问题。
微软为慈善机构提供了一个特殊的许可计划,折扣相当大,只需要运行一个AD,就可以使用两台旧电脑和几个RAM。
见细节
你可能想尝试TechSoup 。 如果您的组织符合条件,您可以获得Window Server 2008 R2的副本,价格低于100美元。 我相信你也会得到大约50个座位的牌照。 正如以前所指出的那样,在您的情况下,您不需要英雄般的硬件来运行Active Directory。 你甚至可以运行其他服务器angular色,而不会有太大麻烦
如果您实际上处于需要Active Directory的情况, 您会发现每个替代品都很短。
我是一个小企业的IT经理。 我没有太多的预算,所以我尽我所能做到最好。 作为一个开源的倡导者,如果我能够可靠和有力地解决免费和开源软件的问题,我就可以做到。 我发现没有Active Directory的情况下工作得很好。 下面是我如何做到这一点:
FOG是磁盘映像的开源解决scheme。 (例如:创build一个虚拟机的磁盘映像,sysprep并将该映像部署到十台计算机。)FOG也可以远程安装pipe理单元。 pipe理单元可以是任何可执行文件。 如果我想更改一个或多个计算机上相关的组策略,我将创build一个包含需要更新的组策略registry值的registry文件。 我创build批处理脚本来调用.reg文件上的regedit /s并更新registry。
SFX制造商创build了漂亮的.exe文件,可以configuration为静默提取内容并运行任意程序。 在上面的例子中,我使用SFX制造商将.cmd和.reg文件打包成一个.exe文件,然后可以上传到雾中并作为pipe理单元进行部署。
为了在所有工作站上安装新程序,我首先要为所讨论的软件寻找企业IT部署工具。 例如,Google Chrome提供了Chrome for Business ,它具有预configuration,易于部署和可选的静音安装程序。 许多打印机制造商也有工具来帮助您部署其打印机驱动程序。 惠普和兄弟有这个很好的工具。 您只需为您的操作系统find合适的打印机驱动程序,然后使用其工具创build可用作FOGpipe理单元的无提示安装程序。
许多软件开发人员都没有制作部署工具,甚至是一些像Quickbooks这样的大牌名称。 活动目录不能帮你在这里。 在每台计算机都需要它的情况下,将软件烧入磁盘映像有时更容易,然后将磁盘映像与所有常用的应用程序一起部署。 其他的一切都有AutoIT。 虽然这样做可能非常耗时,但您可以编写AutoIT脚本来自动安装软件,可以通过检测窗口,模拟鼠标和击键或复制安装程序通常会执行的文件和registry更改。
我pipe理的每台计算机都有一个TightVNC服务器。 基本上远程桌面。 当工作站不在使用时,我可以连接到工作站,并手动更改设置,就像我坐在机器前面一样。
对于不需要在每台机器上进行更改的小改动,双脚都可以非常方便地将我转移到有问题的计算机并摆弄它。 这里的奖励是我可以通过锻炼来弥补我久坐不动的生活方式:P。 虽然这不是pipe理大量计算机的好方法,但对less量计算机进行小的更改是很好的。 (对于其他一切,有AutoIT,记得吗?)
FOG真的是整个过程的中坚力量。 FOG允许我将机器分配给组,可以为这些组分配特定的磁盘映像和pipe理单元。 组可以是“room1”,“room2”等与特定的打印机snapin部署在需要的地方。 这个过程可能不能很好地扩展,不是没有缺陷,但是在我pipe理大约20台电脑的情况下,它工作得很好。
Samba 4可以作为与Microsoft Active Directory兼容的域控制器运行。
https://wiki.samba.org/index.php/Samba_AD_management_from_windows
Ansible Windows模块 。
我pipe理一个CEO,无论出于什么原因都反对Windows域的想法stillup。
我的解决方法是使用Ansible的手册远程工作站上发生的东西。 我可以安装MSI,安装Chocolatey软件包,configurationRDP / VNC,确保安装Windows更新,创build映射networking驱动器的启动或login脚本,安排robocopy备份等。
Ansible不使用代理,这意味着在最终用户的PC上没有Ansible服务。 Ansible只是利用WinRM远程login并向计算机发送指令。
我维护一个包含我所有Ansible剧本,可部署脚本和一些供应脚本的git仓库,这些脚本可以自动执行将Windows机器添加到Ansiblepipe理的设置过程。 我是唯一一个触摸桌面的IT人员,但理论上git回购包含了另一个IT人员需要做的事情。
在git仓库中还有一个Ansible 库存文件 ,它是一个.INI样式的文本文件,包含Ansiblepipe理的每台机器的IP地址或域名。 (我们的pfSense办公室路由器处理DNSparsing)
当一台新的计算机被添加到办公室,我运行它的Ansibleconfiguration脚本。 configuration脚本满足.NET和Windows Management Framework(PowerShell)依赖项,configurationAnsible远程处理计算机,并安装Chocolatey。 之后,我不需要再次触摸电脑,因为我可以远程执行其他任何操作。 我有一个内部的Nuget feed,它提供了特定于我们行业的打包EXE。
使用这种方法,我可以创build模仿Windows组策略的某些function的Ansible剧本。 例如,我可以创build一个名为generalpolicy.yml的Ansible操作手册,该手册以Ansible库存文件中的一组特定机器为目标。 运行时,generalpolicy.yml将远程传入组中的每台机器,并确保在所述机器上满足一组特定的条件。
这些情况可能是任何事情,如安装了Notepad ++,在registry中启用了terminal服务器,并且ICMP PING在防火墙中未被阻止。 剧本可以反复运行,并且由于Ansible的幂等性,除非条件不满足,否则目标计算机上没有任何变化。
一次一个,有很多错误。