Ищете программное обеспечение для управления центральной консолью, которое использует мои учетные данные RDP для доступа [закрыто]
Все наши управляемые машины с Windows Server 03+ включены и прекрасно подключаются через RDP . Тем не менее, я бы хотел менее сложное централизованное управление (на основе командной строки?) Для массового управления и обслуживания систем с возможностью доставки обновлений с помощью ненавязчивых методов (т.е. без прерывания производительности наших пользователей).
Было бы неплохо использовать традиционное программное обеспечение для управления системами с централизованной консолью, однако половина из наших 100+ серверов и рабочих станций находится в их собственных локальных сетях. Некоторые из них являются доменами, некоторые - рабочими группами.
У нас есть клиенты по всей территории США.Первоначальная настройка, конечно, не была моим решением, но теперь мне было поручено найти более оптимизированный метод рассылки обновлений, исправлений и исправлений различным типам клиентов, которые у нас есть с различными версиями поддерживаемого нами продукта. Я склонялся к чему-то основанному на SSH. Я знаю, что могу аутентифицироваться с использованием RDP без ущерба для безопасности, и каждый наш клиент должен поддерживать для нас учетную запись администратора. Итак, используя всю нашу информацию, какое программное обеспечение может быть лучше всего использовано в нашей ситуации?
Я думал о Putty , но он поддерживает только открытые сеансы с отдельными вкладками. У нас не было бы способа распространять исправления на основе заранее определенной группы. Если я не понимаю неправильно. Мне определенно нужна помощь в этом вопросе, это сэкономит много времени нашей ИТ-команде, чтобы получить хотя бы что-то базовое.
Было бы лучше, если бы он мог работать с учетными данными, которые мы сохранили для всех в RDP, в противном случае у нас будет 300-325 клиентов, которым нам нужно будет объяснить изменения в их инфраструктуре, что потребует запланированного времени простоя для все. Пытаюсь избежать этого.
Я думаю, вы думаете, что это ограничено возможностями клиентского программного обеспечения (например, RDP-клиента или PuTTY), а не думаете о более широкой картине использования сценариев и автоматизации задач. Я также обеспокоен тем, что у вас, возможно, уже есть серьезные проблемы с безопасностью вашего текущего метода обработки учетных данных, и вы не хотите двигаться вперед с этим.
Что касается удаленного управления серверами, я думаю, что вы бы сделали хорошо подумать об этом с точки зрения проблемы: «Как я могу безопасно и надежно выполнять программы на удаленных серверах таким образом, чтобы их можно было автоматизировать, регистрировать и проверять?» Как только вы это получите, все остальное может последовать.
Удаленное взаимодействие Powershell в Windows Server 2008 и более поздних версиях Windows, вероятно, является хорошим способом.
Для Windows Server 2003 я бы рассмотрел возможность использования SSH-сервера. Я неравнодушен к Cygwin-сборке OpenSSH, но есть и другие. Существует множество клиентов SSH. Некоторые из них похожи на PuTTY и ориентированы на интерактивное использование. Другие, такие как инструмент Plink (часть пакета PuTTY), ориентированы на использование командной строки, которую вы можете использовать в простых сценариях оболочки. Наконец, существует множество библиотек, которые могут позволить вам «разговаривать» по SSH и с языками сценариев.
Я уверен, что есть блестящие готовые продукты, которые тоже могут вам помочь. Учитывая более старые версии Windows, которые вы должны поддерживать, вы не можете воспользоваться преимуществами конфигурации желаемого состояния, которая может помочь с вашими новыми версиями Windows. Инструменты управления конфигурацией, такие как Puppet, CFEngine или Chef, тоже могут быть полезны (хотя я не уверен, что ваша проблема попадает прямо в область «управления конфигурацией»).
Как только у вас появится возможность выполнять программы на удаленных серверах с аутентификацией, привязанной к локальным или доменным базам данных учетных записей на этих серверах, некоторые из ваших проблем будут решены.
Вам все равно придется подумать о механизме управления учетными данными, которые вы сохранили для этих серверов. Похоже, эти учетные данные имеют доступ на уровне администратора к сотням серверных компьютеров, находящихся за брандмауэрами в сетях ваших клиентов, на которых уже сегодня установлены инструменты удаленного администрирования. Есть злоумышленники, которые хотели бы получить это, особенно , если ваша компания обрабатывает «интересные» данные (финансовые, медицинские и т. Д.).
В идеале вы действительно не хотите, чтобы учетные данные передавались в руки отдельных сотрудников. Скорее, вам понадобится некий тип «прокси-системы», который будет выполнять аутентификацию от имени ваших сотрудников. Затем вы можете подключить хороший аудит, чтобы увидеть, какие сотрудники имеют доступ к различным системам клиентов. Я, конечно, могу представить, например, случай, когда бывший сотрудник-мошенник оставляет черный ход в системе клиентов. Возможность отследить, к каким другим системам клиентов, к которым имеет доступ бывший сотрудник, была бы полезной с точки зрения сохранения лица ваших клиентов. Я могу представить себе безграничные кошмарные сценарии. Централизованный контроль и регистрация доступа к этим учетным данным безопасности имеет решающее значение.
Чего вы не хотите, так это кучу скриптов с учетными данными в них. Такие вещи золото для злоумышленников.