Как Вы управляете компьютерами без Active Directory?
Попытайтесь работать iptables -L -n (добавьте-n опцию). Определение имен может заставить iptables-L зависать.
Я взвесил бы начальную стоимость установки 10 компьютеров одно время с минимальной административной работой по сравнению с управлением доменом. Например, два контроллера домена были бы желательны для пользы дублирования/надежности, и их конфигурация может занять немного времени. Это способствует большей финансовой стоимости и могло бы способствовать большей стоимости в человеко-часах. Это также добавляет к сложности Вашей сети, которая больше, чем, вероятно, сделает больше работы для Вас по линии без большого материального преимущества.
С другой стороны, работа с 10 машинами локальные политики сравнительно сокращается и суха. Я сомневаюсь, что Вы будете микроуправлять политикой безопасности в своих повседневных операциях. Обновления могут быть неприятными, но правильно примененный, после того как Вы протестировали их. Утилиты AV/malware/intrustion могут также быть раздражающими с некоторым минимальным администрированием.
Если Вы планируете рост, и Вы хотите домен, BizSpark Microsoft предоставляет Вам доступ к хорошей части загрузок MSDN бесплатно, в течение одного года. Это включает прошлые и настоящие версии Windows Server и Windows OS. Все, чем необходимо быть, является небольшой компанией для использования с несколькими свободными требованиями. Я уверен, что благотворительные учреждения соответствовали бы без проблемы.
Вы могли бы хотеть попробовать TechSoup. Если Ваша организация квалифицирует Вас, мог бы, вероятно, получить копию Сервера Окна 2 008 R2 за доллары меньше чем за 100$. Я полагаю, что Вы получите приблизительно 50 лицензий места с ним также. И, как ранее указано, Вам не нужны героические аппаратные средства для выполнения Active Directory в ситуации. Можно даже выполнить другие роли сервера без значительной проблемы.
Если Вы будете на самом деле в ситуации, которая требует Active Directory, то Вы найдете, что каждая замена далеко терпит неудачу.
Samba 4 может работать как контроллер домена, совместимый с Microsoft Active Directory.
https://wiki.samba.org/index.php/Samba_AD_management_from_windows
Я ИТ-менеджер в малом бизнесе. У меня не так много средств, поэтому я стараюсь изо всех сил с тем, что у меня есть. Как сторонник открытого исходного кода, если я могу надежно и надежно решить проблему с помощью бесплатного программного обеспечения с открытым исходным кодом, я это сделаю. Я нашел то, что достаточно хорошо работает без Active Directory. Вот как я это делаю:
FOG Project
FOG - это решение с открытым исходным кодом для создания образов дисков. (например, создайте образ диска виртуальной машины, выполните sysprep и разверните этот образ на десяти компьютерах.) FOG также может удаленно устанавливать оснастки. Оснасткой может быть любой исполняемый файл. Если я хочу изменить что-то, связанное с групповой политикой на одной или нескольких машинах, я бы создал файл реестра со значениями реестра групповой политики, которые необходимо обновить. Я создаю пакетные сценарии для вызова regedit / s в. reg файлы и обновите реестр.
7-zip & 7-zip SFX maker
SFX maker создает мне красивые .exe-файлы, которые можно настроить на автоматическое извлечение содержимого и запуск произвольной программы. В приведенном выше примере я использую SFX maker для упаковки файлов .cmd и .reg в .exe, который затем можно загрузить в туман и развернуть как оснастку.
Разное. инструменты развертывания корпоративной ИТ
Для установки новых программ на все рабочие станции я сначала ищу инструменты развертывания корпоративной ИТ для рассматриваемого программного обеспечения. Например, Google Chrome предоставляет Chrome для бизнеса , который имеет предварительно настраиваемый, легко развертываемый и опционально бесшумный установщик. Многие производители принтеров также имеют инструменты, которые помогут вам развернуть их драйверы. HP и Brother имеют для этого хорошие инструменты. Вам просто нужно найти подходящий драйвер принтера для вашей ОС, а затем использовать их инструменты для создания автоматической программы установки, которую можно использовать в качестве оснастки FOG.
AutoIT
Многие разработчики программного обеспечения не создают инструменты для развертывания, даже некоторые громкие названия, такие как Quickbooks. Active Directory здесь не поможет. В случаях, когда это необходимо каждому компьютеру, иногда проще встроить программное обеспечение в образ диска, а затем развернуть образ диска со всеми часто используемыми приложениями. Для всего остального есть AutoIT. Хотя это может занять очень много времени, вы можете написать сценарии AutoIT для автоматизации установки программного обеспечения, либо путем обнаружения окон и имитации нажатия клавиш мыши и клавиш, либо путем дублирования файлов и изменений реестра, которые обычно делают установщики.
TightVNC
На каждом компьютере, которым я управляю, есть сервер TightVNC. В основном удаленный рабочий стол. Когда рабочая станция не используется, я могу подключиться к ней и вручную изменить настройки, как если бы я сидел перед машиной.
Feet
Для небольших изменений, которые не нужно менять на каждой машине, ноги мне очень пригодятся, чтобы перенести меня к соответствующему компьютеру и поиграть с ним. Бонус в том, что я могу заниматься спортом, чтобы восполнить свой сидячий образ жизни: P. Хотя это не лучшее решение для управления большим количеством компьютеров, оно подходит для внесения небольших изменений в небольшое количество компьютеров. (для всего остального есть AutoIT, помните?)
Заключение
FOG действительно является основой всего этого процесса. FOG позволяет мне распределять машины по группам, которым можно назначать определенные образы дисков и оснастки, подходящие для этих групп. Группы могут быть "
Я веду переговоры с генеральным директором, который по тем или иным причинам против идеи домена Windows.
Мое обходное решение - использовать Ansible playbooks для удаленного выполнения задач на рабочих станциях. Я могу установить MSI, установить пакеты Chocolatey , настроить RDP / VNC, убедиться, что установлены обновления Windows, создать сценарии запуска или входа в систему для подключения сетевых дисков, запланировать резервное копирование robocopy и т. Д.
] Ansible не использует агент, то есть на компьютере конечного пользователя не работает служба Ansible. Ansible просто использует WinRM для удаленного входа в систему и отправки инструкций на компьютер.
Я поддерживаю репозиторий git, содержащий все мои плейбуки Ansible, развертываемые сценарии и некоторые сценарии подготовки, которые автоматизируют процесс установки для добавления машины Windows к управлению Ansible. Я единственный ИТ-специалист здесь, который касается рабочих столов, но теоретически репозиторий git содержит все, что потребуется другому ИТ-специалисту для выполнения моих действий.
Также в репозитории git есть инвентарный файл Ansible который представляет собой текстовый документ в стиле .INI, содержащий IP-адреса или доменные имена для каждой машины, управляемой Ansible. (Наш офисный маршрутизатор pfSense обрабатывает разрешение DNS)
Когда в офис добавляется новый компьютер, я запускаю на нем сценарий подготовки Ansible. Сценарий подготовки удовлетворяет зависимости .NET и Windows Management Framework (PowerShell), настраивает компьютер для удаленного взаимодействия Ansible и устанавливает Chocolatey. После этого мне больше не нужно прикасаться к компьютеру, потому что все остальное я могу делать удаленно. У меня есть внутренний канал Nuget, который обслуживает упакованные EXE-файлы, специфичные для нашей отрасли.
Используя этот метод, я могу создавать книги воспроизведения Ansible, имитирующие некоторые функции групповой политики Windows. Например, я могу создать сборник воспроизведения Ansible под названием generalpolicy.yml, который нацелен на определенную группу машин в файле инвентаризации Ansible. При запуске generalpolicy.yml будет удален на каждую машину в группе и обеспечит выполнение определенного набора условий на указанных машинах.
Эти условия могут быть любыми, например Notepad ++ установлен, сервер терминалов включен в реестре. , и ICMP PING не блокируется брандмауэром. Playbook можно запускать снова и снова, и благодаря идемпотентности Ansible ничего не изменится на целевом компьютере, если условие не будет выполнено.