Comment gérez-vous les ordinateurs sans Active Directory?

J'ai besoin de configurer entre 5 et 10 ordinateurs pour commencer pour une organisation caritative qui ne peut pas offord exécuter un serveur dédié qui maintient des politiques de groupe pour un nombre croissant d'employés. Existe-t-il un moyen de gérer les politiques de chaque ordinateur sans avoir à modifier physiquement les politiques de sécurité locales. Les ordinateurs exécutent une combinaison de Windows XP, Vista et 7.

Je peserais le coût initial de la mise en place de 10 ordinateurs une seule fois avec un travail administratif minimal par rapport à la gestion d'un domaine. Par exemple, deux contrôleurs de domaine seraient recommandés pour des raisons de redondance / fiabilité et leur configuration peut prendre un peu de temps. Cela contribue à un coût financier plus élevé et pourrait contribuer à un coût plus élevé en heures / homme. Cela ajoute également à la complexité de votre réseau, ce qui fera probablement plus de travail pour vous sur la ligne sans grand avantage tangible.

D'un autre côté, travailler avec 10 machines sur les politiques locales est relativement simple et sec. Je doute que vous utilisiez la microgestion des politiques de sécurité dans vos activités quotidiennes. Les mises à jour peuvent être gênantes, mais correctement appliquées une fois que vous les avez testées. Les utilitaires AV / malware / intrustion peuvent également être ennuyeux avec une administration minimale.

Si vous prévoyez une croissance et que vous voulez un domaine, le BizSpark de Microsoft vous donne accès gratuitement à une bonne partie des téléchargements MSDN pendant un an. Cela inclut les versions passées et présentes de Windows Server et Windows OS. Tout ce dont vous avez besoin, c'est d'une petite entreprise à utiliser avec quelques exigences lâches. Je suis sûr que les organismes de bienfaisance s'intégreraient sans problème.

Microsoft propose un programme de licence spécial pour les organismes de bienfaisance, les remises sont assez importantes et pour simplement exécuter une AD, vous pouvez utiliser deux anciens PC avec quelques concerts de RAM.

Voir pour plus de détails

Vous voudrez peut-être essayer TechSoup . Si votre organisation est éligible, vous pourriez probablement obtenir une copie de Windows Server 2008 R2 pour moins de 100 dollars. Je pense que vous obtiendrez également environ 50 licences de siège. Et comme indiqué précédemment, vous n'avez pas besoin de matériel héroïque pour exécuter Active Directory dans votre situation. Vous pouvez même exécuter d' autres rôles de serveur sans problème majeur.

Si vous êtes réellement dans une situation qui nécessite Active Directory, vous constaterez que chaque substitut est loin d’être suffisant.

Je suis responsable informatique pour une petite entreprise. Je n'ai pas beaucoup de budget donc je fais de mon mieux avec ce que j'ai. En tant que défenseur de l'open source, si je peux résoudre de manière fiable et robuste un problème avec des logiciels libres et open source, je le fais. J'ai trouvé quelque chose qui fonctionne assez bien sans Active Directory. Voici comment je le fais:

Projet FOG

FOG est une solution open source pour l'imagerie de disque. (ex: créer une image disque d'une machine virtuelle, sysprep et déployer cette image sur dix ordinateurs.) FOG peut également installer à distance des composants logiciels enfichables. Un composant logiciel enfichable peut être n'importe quel fichier exécutable. Si je souhaite modifier quelque chose de stratégie de groupe liée à une ou plusieurs machines, je créerais un fichier de registre avec les valeurs de registre de stratégie de groupe qui doivent être mises à jour. Je crée des scripts batch pour appeler regedit /sles fichiers .reg et mettre à jour le registre.

Fabricant SFX 7-zip & 7-zip

SFX maker me crée de jolis fichiers .exe qui peuvent être configurés pour extraire silencieusement le contenu et exécuter un programme arbitraire. Dans l'exemple ci-dessus, j'utilise SFX Maker pour emballer les fichiers .cmd et .reg dans un fichier .exe qui peut ensuite être téléchargé dans fog et déployé en tant que composant logiciel enfichable.

Divers outils de déploiement informatique d'entreprise

Pour installer de nouveaux programmes sur tous les postes de travail, je cherche d'abord des outils de déploiement informatique d'entreprise pour le logiciel en question. Par exemple, Google Chrome fournit Chrome for Business qui dispose d'un programme d'installation préconfigurable, facilement déployable et éventuellement silencieux. De nombreux fabricants d'imprimantes disposent également d'outils pour vous aider à déployer leurs pilotes d'imprimante. HP et Brother ont de bons outils pour cela. Il vous suffit de trouver le bon pilote d'imprimante pour votre système d'exploitation, puis d'utiliser leurs outils pour créer un programme d'installation silencieux qui peut être utilisé comme composant logiciel enfichable FOG.

AutoIT

Beaucoup de développeurs de logiciels ne font pas d'outils de déploiement, même certains titres de grands noms comme Quickbooks. Active Directory ne peut pas vous aider ici. Dans les cas où chaque ordinateur en a besoin, il est parfois plus facile d'intégrer le logiciel dans votre image disque, puis de déployer l'image disque avec toutes les applications couramment utilisées. Pour tout le reste, il y a AutoIT. Bien que cela puisse prendre beaucoup de temps, vous pouvez écrire des scripts AutoIT pour automatiser les installations de logiciels, soit en détectant les fenêtres et en simulant la souris et les frappes ou en dupliquant les modifications de fichiers et de registre que les installateurs feraient normalement.

TightVNC

Chaque ordinateur que je gère possède un serveur TightVNC. Bureau essentiellement distant. Lorsque le poste de travail n'est pas utilisé, je peux me connecter à un poste de travail et modifier manuellement les paramètres comme si j'étais assis devant la machine.

Pieds

Pour les petits changements qui n'ont pas besoin d'être changés sur chaque machine, les pieds sont très pratiques pour me transporter vers l'ordinateur en question et le tripoter. Le bonus ici est que je peux faire de l'exercice pour compenser mon mode de vie autrement sédentaire: P. Bien que ce ne soit pas une bonne solution pour gérer une grande quantité d'ordinateurs, il est bon pour apporter de petites modifications à un petit nombre d'ordinateurs. (pour tout le reste, il y a AutoIT, tu te souviens?)

Conclusion

Le brouillard est vraiment l'épine dorsale de tout ce processus. FOG me permet d'affecter des machines à des groupes, auxquels peuvent être affectées des images de disque et des snapins spécifiques adaptés à ces groupes. Les groupes peuvent être "room1", "room2" etc. avec des composants logiciels enfichables d'imprimante spécifiques déployés là où cela est nécessaire. Ce processus n'est probablement pas très évolutif, n'est pas sans défauts, mais dans mon cas où je gère environ 20 ordinateurs, cela fonctionne plutôt bien.

Modules Windows Ansible .

Je gère une photo avec un PDG qui, pour une raison quelconque, est contre l'idée d'un domaine Windows.

Ma solution de contournement consiste à utiliser des playbooks Ansible pour que les choses se produisent à distance sur les postes de travail. Je peux installer des MSI, installer des packages Chocolatey , configurer RDP / VNC, m'assurer que les mises à jour Windows sont installées, créer des scripts de démarrage ou de connexion pour mapper les lecteurs réseau, planifier des sauvegardes de robocopy , etc.

Ansible n'utilise pas d'agent, ce qui signifie qu'il n'y a pas de service Ansible qui s'exécute sur le PC de l'utilisateur final. Ansible utilise simplement WinRM pour se connecter à distance et envoyer des instructions à l'ordinateur.

Je gère un référentiel git contenant tous mes playbooks Ansible, mes scripts déployables et certains scripts de provisioning qui automatisent le processus de configuration pour ajouter une machine Windows à la gestion Ansible. Je suis le seul informaticien ici qui touche aux ordinateurs de bureau, mais en théorie, le dépôt git contient tout ce dont un autre informaticien aurait besoin pour faire ce que je fais.

Le référentiel git contient également un fichier d'inventaire Ansible qui est un document texte de style .INI contenant des adresses IP ou des noms de domaine pour chaque machine gérée par Ansible. (Notre routeur de bureau pfSense gère la résolution DNS)

Lorsqu'un nouvel ordinateur est ajouté au bureau, j'exécute le script de provisionnement Ansible sur celui-ci. Le script de provision a satisfait les dépendances .NET et Windows Management Framework (PowerShell), configure l'ordinateur pour la communication à distance Ansible et installe Chocolatey. Après cela, je n'ai plus besoin de toucher l'ordinateur, car je peux faire tout le reste à distance. J'ai un flux Nuget interne qui sert des EXE emballés spécifiques à notre industrie.

En utilisant cette méthode, je peux créer des playbooks Ansible qui imitent certaines des fonctionnalités de la stratégie de groupe Windows. Par exemple, je peux créer un playbook Ansible appelé generalpolicy.yml, qui cible un groupe spécifique de machines dans le fichier d'inventaire Ansible. Lorsqu'il est exécuté, generalpolicy.yml se connecte à distance à chaque machine du groupe et garantit qu'un ensemble spécifique de conditions est rempli sur lesdites machines.

Ces conditions peuvent être n'importe quoi, comme Notepad ++ est installé, Terminal Server est activé dans le Registre et ICMP PING n'est pas bloqué dans le pare-feu. Le playbook peut être exécuté encore et encore, et grâce à l'idempotence d'Ansible, rien ne changera sur l'ordinateur cible à moins que la condition ne soit pas satisfaite.

Samba 4 peut s'exécuter en tant que contrôleur de domaine compatible avec Active Directory de Microsoft.

https://wiki.samba.org/index.php/Samba_AD_management_from_windows

https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

Un à la fois, avec beaucoup d'erreurs.