我需要为慈善组织设置 5 到 10 台计算机,该组织无法负担运行专用服务器来维护不断增加的员工的组策略。有没有办法可以管理每台计算机的策略,而无需实际更改本地安全策略。这些计算机运行 Windows XP、Vista 和 7 的组合。
答案1
我会权衡一次性设置 10 台计算机并进行最少管理工作与管理域的初始成本。例如,为了冗余/可靠性,建议使用两个域控制器,并且它们的配置可能需要相当长的时间。这会增加更大的财务成本,并可能导致更大的工时成本。它还增加了网络的复杂性,这很可能会在没有太多实际好处的情况下给您带来更多工作。
另一方面,使用 10 台机器的本地策略相对简单明了。我怀疑您在日常活动中是否会对安全策略进行微观管理。更新可能会很麻烦,但一旦测试过,就可以正确应用。AV/恶意软件/入侵实用程序在进行一些最低限度的管理时也会很烦人。
答案2
微软为慈善机构提供了一个特殊的许可计划,折扣相当大,而且只需运行一个 AD,您就可以使用两台带有几 GB 内存的旧电脑。
参见细节
答案3
我与一位 CEO 达成了协议,但他出于某种原因反对 Windows 域的想法。
我的解决方法是使用 Ansible playbooks 远程在工作站上执行操作。我可以安装 MSI,安装巧克力味软件包、配置 RDP/VNC、确保安装了 Windows 更新、创建启动或登录脚本以映射网络驱动器、计划机器人复制备份等等
Ansible 不使用代理,这意味着没有在最终用户的 PC 上运行的 Ansible 服务。Ansible 只是利用 WinRM 远程登录并向计算机发送指令。
我维护一个 git 存储库,其中包含我的所有 Ansible 剧本、可部署脚本和一些配置脚本,这些脚本可自动完成将 Windows 计算机添加到 Ansible 管理的设置过程。我是这里唯一接触桌面的 IT 人员,但理论上 git 存储库包含其他 IT 人员执行我所做工作所需的一切。
git 存储库中还有一个 Ansible库存文件这是一个 .INI 样式的文本文档,其中包含 Ansible 管理的每台机器的 IP 地址或域名。(我们的普富思办公室路由器处理 DNS 解析)
当办公室添加新计算机时,我会在其上运行 Ansible 配置脚本。配置脚本满足 .NET 和 Windows Management Framework (PowerShell) 依赖项,为 Ansible 远程处理配置计算机,并安装 Chocolatey。之后,我不需要再接触计算机,因为我可以远程完成其他所有事情。我有一个内部 Nuget 源,它提供特定于我们行业的打包 EXE。
使用这种方法,我可以创建 Ansible 剧本,模仿 Windows 组策略的某些功能。例如,我可以创建一个名为 generalpolicy.yml 的 Ansible 剧本,它针对 Ansible 清单文件中的特定计算机组。运行时,generalpolicy.yml 将远程访问组中的每台计算机,并确保所述计算机满足一组特定条件。
这些条件可以是任何条件,例如安装了 Notepad++、在注册表中启用了终端服务器,并且防火墙中没有阻止 ICMP PING。剧本可以反复运行,而且由于 Ansible 的幂等性,除非条件不满足,否则目标计算机上不会发生任何变化。
答案4
我是一家小型企业的 IT 经理。我的预算不多,所以我会尽我所能。作为一名开源倡导者,如果我能使用免费开源软件可靠而稳健地解决问题,我就会使用它。我发现有些东西即使没有 Active Directory 也能很好地工作。以下是我的做法:
FOG 项目
FOG 是一种用于磁盘映像的开源解决方案。(例如:创建虚拟机的磁盘映像,进行系统准备并将该映像部署到十台计算机。)FOG 还可以远程安装管理单元。管理单元可以是任何可执行文件。如果我想在一台或多台计算机上更改与组策略相关的某些内容,我会创建一个注册表文件,其中包含需要更新的组策略注册表值。我创建批处理脚本来调用regedit /s
.reg 文件并更新注册表。
7-zip 和 7-zip SFX 制作器
SFX maker 为我创建了不错的 .exe 文件,可以配置为静默提取内容并运行任意程序。在上面的示例中,我使用 SFX maker 将 .cmd 和 .reg 文件打包成 .exe,然后可以将其上传到 fog 并作为 snapin 部署。
杂项企业 IT 部署工具
为了在所有工作站上安装新程序,我首先寻找相关软件的企业 IT 部署工具。例如,Google Chrome 提供Chrome 商业版它具有可预配置、易于部署且可选的静默安装程序。许多打印机制造商还提供工具来帮助您部署其打印机驱动程序。生命值和兄弟有很好的工具可以实现这一点。您只需找到适合您操作系统的打印机驱动程序,然后使用其工具创建可用作 FOG snapin 的静默安装程序即可。
汽车信息技术
许多软件开发商不制作部署工具,甚至一些知名软件开发商(如 Quickbooks)也不制作。Active Directory 在这方面帮不了你。如果每台计算机都需要它,有时将软件嵌入磁盘映像中,然后使用所有常用应用程序部署磁盘映像会更容易。对于其他所有事情,都有 AutoIT。虽然这样做非常耗时,但你可以编写 AutoIT 脚本来自动化软件安装,方法是检测窗口并模拟鼠标和按键,或者复制安装程序通常会执行的文件和注册表更改。
TightVNC
我管理的每台计算机都有一个 TightVNC 服务器。基本上就是远程桌面。当工作站不使用时,我可以连接到工作站并手动更改设置,就像我坐在机器前面一样。
脚
对于不需要在每台机器上进行更改的小改动,脚非常方便,可以把我带到有问题的计算机并摆弄它。 额外的好处是,我可以做一些运动来弥补我久坐不动的生活方式 :P。 虽然这不是管理大量计算机的好方法,但它适合对少数计算机进行小改动。 (对于其他一切,还有 AutoIT,还记得吗?)
结论
FOG 实际上是整个过程的支柱。FOG 让我可以将机器分配到组中,然后可以分配适合这些组的特定磁盘映像和 snapin。组可以是“room1”、“room2”等,并在需要的地方部署特定的打印机 snapin。这个过程可能扩展性不是很好,也不是没有缺陷,但就我管理大约 20 台计算机的情况而言,它运行得相当好。