我们所有托pipe的Windows Server 03+机器都可以通过RDP启用并正常连接。 但是,我想要一个不那么重的中央pipe理(基于命令行)来大规模pipe理和维护系统,以便能够通过非侵入性方法(即不中断用户生产力)来更新。
具有集中控制台的传统系统pipe理软件将非常棒,但是,我们的100多台服务器和工作站中有一半都位于自己的本地networking上。 有些是域名,有些是在工作组。
我们在美国有客户。 最初的设置当然不是我的决定,但我现在的任务是寻找一种更简化的方法来发送更新,修补程序和修复程序到我们支持的不同版本的产品的不同types的客户端。 我倾向于基于SSH的东西。 我知道在不牺牲安全性的情况下可以使用RDP进行身份validation,我们的每个客户都需要为我们维护一个pipe理员帐户。 因此,插入我们的所有信息,哪些软件可以最好地利用我们的情况?
我曾经想过腻子 ,但只保留与个别标签的公开会议。 我们没有办法根据我们预先定义的组来分发修复程序。 除非我理解错误。 在这个问题上肯定能够得到一些帮助,这将为我们的IT团队节省很多时间,至less可以得到一些基本的东西。
最好的方式是,如果它能够使用我们为RDP上的每个人存储的凭证,那么我们有300-325个客户,我们需要解释他们基础设施的变化,这将需要为每个人计划停机时间。 试图避免这一个。
我认为你的想法是受到客户端软件(如RDP客户端或PuTTY)function的限制,而不是考虑利用脚本和自动执行任务的大局。 我也担心你现在的处理证书的方法可能已经有了重大的安全问题,而且你也不想继续这样做。
在服务器的远程pipe理方面,我认为你应该好好考虑这个问题:“我怎样才能以一种可以自动化,logging和审计的方式安全可靠地在远程服务器上执行程序? 一旦你有了,一切都可以遵循。
在Windows Server 2008和更高版本的Windows上进行Powershell远程处理可能是一个好方法。
对于Windows Server 2003,我会考虑使用SSH服务器。 我偏向于OpenSSH的Cygwin构build,但也有其他的。 那里有各种各样的SSH客户端。 有些像PuTTY,面向交互使用。 其他的,像Plink工具 (PuTTY套件的一部分)适用于可以在简单的shell脚本中使用的命令行使用。 最后,还有许多库可以让你从脚本语言中“谈”SSH。
我确定有些shiny的现货产品可以帮助你。 鉴于您必须支持的较旧版本的Windows,您无法利用“期望的状态configuration”,这可能对您的较新版本的Windows有帮助。 像Puppet,CFEngine或Chef这样的configurationpipe理工具也可能会有帮助(尽pipe我不确定你的问题是否属于“configurationpipe理”领域)。
一旦你有能力执行远程服务器上的程序与身份证绑定到这些服务器上的本地或域帐户数据库的一些问题已经解决。
您仍然需要考虑一种机制来pipe理您为这些服务器存储的凭证。 这听起来像是这些证书具有对数百台服务器计算机的pipe理员级访问权限,坐在客户networking中的防火墙之后,已经安装了当今的远程pipe理工具。 有攻击者喜欢这样做, 特别是如果你的公司处理“有趣的”数据(金融,医疗保健等)。
理想情况下,您不希望凭证交由个别员工处理。 相反,您需要某种types的“代理”系统来代表您的员工执行身份validation。 然后,您可以配合一些很好的审计,看看哪些员工访问了各种客户系统。 例如,我可以想象,一个stream氓前雇员离开客户系统的后门的情况。 能够追踪以前员工能够访问的其他客户系统是否为黄金,从而节省与客户的关系。 那里有无限的噩梦场景,我可以想象。 集中控制和logging访问这些安全凭证是至关重要的。
你不想要的是一堆坐在其中的证书的脚本。 这些东西是攻击者的黄金 。