我的家庭办公室使用一个 Windows 域,该域托管大约 25 个节点。现场有 17 个位置(70% Windows XP,30% Windows 7),其中有 4-10 台计算机未加入此域,也不存在于域中。我们很早就决定,创建和管理连接到家庭办公室域的基础设施的成本不足以证明我们所需要的微不足道的东西是合理的(无论如何,它们都连接到我们的 Web 应用程序以完成工作。)
然而,每当我们需要对现场机器进行任何类型的维护时,这都会给我们(非常小的)IT 部门带来巨大的时间浪费。我希望看到我们通过一种工具或一套实践来节省一些时间,这些工具或实践将使我们能够更好地远程管理这些系统,即使它只是管理更新、运行命令或向所有人推广 Firefox 这样简单的事情。
有哪些好的工具/实践可以管理大约 150 个远程非域节点的这个问题?考虑到我们是一家 IT 预算有限的小公司,应该推荐任何软件解决方案。
答案1
我个人喜欢 AD,但你已经说过你决定不使用它了。所以……
- VPN 连接将它们连接到办公室。(路由和远程访问/OpenVPN/Cisco AnyConnect/路由器附带的内容/等等)
- 客户端上安装 LogMeIn 或类似程序。
- 您可以在域外运行 WSUS。有注册表项可以帮助您实现这一点,并且他们可以通过 VPN 下载 Microsoft 更新。这还会为您提供有关补丁合规性的报告。您可以通过以下方式之一推出这些密钥。(请小心使用 SusClientID 和 PingID——它们不可能在所有机器上都相同。此外,WinXP 像对待小娃娃一样对待这些密钥,但您可能需要稍微掌握 7。)相反,您可以将更新策略强加给客户端,这需要直接联系 Microsoft 并完成它。
剩下的就是软件安装/更新。根据我的经验,花费的金钱和时间是成反比的,但你的情况可能会有所不同。
- 管理软件,如 Altiris Deployment Solution、LANdesk 等。优点:专为此目的而设计,使管理更加方便。您的客户端在连接到 VPN 时会显示在控制台中,尽管连接可能不太稳定。缺点:需要花钱,但我相信大多数软件都是按客户端收费的。
- 脚本和执行命令,尽管我从未测试过通过 VPN 运行它们,而且您可能很难找到单个工作站。优点:免费。缺点:您可能必须登录到远程计算机,然后以这种方式在本地计算机上运行 PSexec。
这就是 Grant 支持使用 Active Directory 进行软件安装的原因。说实话,当以前的雇主终于有了 AD,我终于可以不再通过管理软件推送注册表项时,我简直高兴得要命。
还有(极少数)地方提供远程桌面服务(Desktone、Molten、Citrix、Amazon 有测试版)。您可能是这类服务的候选人。在我看来,就您而言,这绝对值得研究。
我的建议是:
- 计算出将远程站点连接到现有域需要花费多少成本,包括硬件、软件和管理人员。
- 为各种软件包(Altiris、LANdesk)定价,包括硬件、软件和管理人员。
- 聘请另外一两名技术人员的价格。
- 对各种桌面即服务提供商进行定价,看看它们是否合适。
希望到那时,事情会开始朝着好的方向发展。祝你好运!
答案2
活动目录。
我们很早就决定,创建和管理连接到我们家庭办公室域的基础设施的成本不足以证明我们所需要的一点点东西是合理的......
当时,这也许是真的。但是,现在,你已经到了这样的地步:如果没有域,它在非多项式时间内是无法管理的。
所以是时候重新考虑这个决定了,买几台服务器(是的,合适的服务器),然后安装 Windows Server 2012 R2。它甚至不再那么昂贵了。
这样,您将能够使用 WSUS 部署软件和更新,更好地控制谁使用 GPO 做什么。您甚至可以使用 WDS 将新系统部署到裸机上。
认真说。150 个节点。您需要一个域。如果您不这么认为,那您就错了。
答案3
有几种方法可以管理它:
- Windows Intune
- 系统中心配置管理器(我相信只要稍微努力一下它就可以远程工作)
- 所有远程机器上均安装 Logmein 或类似程序
- 站点到站点的 VPN 连接将它们带入域。
- 每台 PC 上都有 VPN,将它们连接到域中。内置的 Windows 7 允许您从登录屏幕连接,因此您仍然可以登录。Win XP 可能需要第三方客户端。
我推荐 VPN 选项。微软 VPN 服务并不昂贵。而且 OpenVPN 可以免费使用(但需要花费您的时间)。
将所有 PC 都纳入域中意味着您可以使用 GPO、远程协助等轻松管理它们。而且您不必在每台机器上管理单独的凭据。比较一下现在管理远程机器与域连接机器的 IT 时间成本,您可能会发现将它们全部纳入域中非常划算,同时还能带来更好的安全性。
答案4
如果两个系统都有匹配的凭据(域上的 AD 用户和远程主机上的本地用户的用户名/密码相同),那么域用户应该能够无缝地向远程主机进行身份验证。
您需要在远程计算机上配置防火墙,以允许从您的域网络访问端口 445,并阻止所有其他端口访问。
完成后,以域用户身份运行的任何进程都可以作为匹配的本地用户向远程计算机进行交叉身份验证,而无需登录提示。