Active Directory가없는 컴퓨터는 어떻게 관리합니까?


9

점점 늘어나는 직원에 대한 그룹 정책을 유지 관리하는 전용 서버를 운영 할 수없는 자선 단체를 시작하려면 5-10 대의 컴퓨터를 설정해야합니다. 로컬 보안 정책을 물리적으로 변경하지 않고도 각 컴퓨터의 정책을 관리 할 수있는 방법이 있습니까? 컴퓨터는 Windows XP, Vista 및 7의 조합으로 실행됩니다.


1
원하는 모든 설정의 레지스트리 파일을 만들어 네트워크에서 공유하는 것을 고려할 수 있습니다. 각 시스템에서 해당 파일을 수동으로 가져 오거나 시작시 파일을 가져 오도록 할 수 있습니다 (네트워크의 안정적인 위치에서 파일을 공유 할 수있는 경우). 문제는 중요한 변경을 수행하는 경우 재부팅하기 전에 재부팅이 필요할 수 있다는 것입니다.
Brad

@Brad-Windows 버전에서 작동합니까? 아니면 Windows XP, Vista 등 각각에 대해 별도의 레지스트리 파일을 만들어야합니까?
PeanutsMonkey

어떤 종류의 정책을 배포하려고합니까?
마크 헨더슨

@Mark Henderson-일부 정책은 관리자가 아니더라도 특정 드라이브에 액세스 할 수없는 경우에도 업데이트를 설치할 수 있습니다.
PeanutsMonkey

답변:


4

최소한의 관리 작업과 도메인 관리로 한 번에 10 대의 컴퓨터를 설정하는 초기 비용을 계산합니다. 예를 들어 중복 / 신뢰성을 위해 두 개의 도메인 컨트롤러를 사용하는 것이 좋으며 구성에는 상당한 시간이 걸릴 수 있습니다. 이것은 더 큰 재정 비용에 기여하고 더 많은 인력 시간에 기여할 수 있습니다. 또한 네트워크의 복잡성을 증가시켜 실질적인 혜택 없이도 더 많은 작업을 수행 할 수 있습니다.

다른 한편으로, 10 대의 기계로 작업하는 경우 로컬 정책이 비교적 잘리고 건조합니다. 일상적인 활동에서 보안 정책을 미세하게 관리 할 것 같지는 않습니다. 업데이트는 번거로울 수 있지만 테스트 한 후에는 제대로 적용됩니다. AV / 악성 프로그램 / 신뢰할 수없는 유틸리티는 최소한의 관리만으로도 성 가실 수 있습니다.

성장을 계획하고 도메인을 원하는 경우 Microsoft의 BizSpark 는 1 년 동안 MSDN 다운로드의 상당 부분을 무료로 제공합니다. 여기에는 과거 및 현재 버전의 Windows Server 및 Windows OS가 포함됩니다. 몇 가지 느슨한 요구 사항을 충족하는 소규모 회사 일뿐입니다. 자선 단체에 문제가 없을 것이라고 확신합니다.


1
@Peanuts-bizspark를 사용하기 전에 Microsoft는 BizSpark 프로그램보다 훨씬 우수한 비영리 단체에 대한 실질적인 라이선스를 보유하고 있습니다. 이에 대해서는 Microsoft 리셀러에게 확실히 문의하십시오.
Mark Henderson 2016 년

4

Microsoft는 자선 단체를위한 특별 라이센스 프로그램을 제공하며, 할인은 상당히 크며 AD를 실행하기 위해 두 대의 램과 함께 두 개의 오래된 PC를 사용할 수 있습니다.

자세한 내용을 참조하십시오


동의합니다. 10 명의 사용자를 위해 Active Directory를 실행하는 데 큰 혼킨 서버가 필요하지 않습니다.
Nate

감사. 그들은 직원들을 위해 새로운 컴퓨터와 라이센스를 얻는 데 예산을 효과적으로 소비하여 다른 IT 영역에 많은 비용을 들이지 않았습니다. 네트워크의 모든 컴퓨터에 연결하고 각 사용자에 대한 정책을 정의 할 수있는 랩톱에서 실행할 수있는 소프트웨어가 있습니까?
PeanutsMonkey

3

TechSoup 을 시도 할 수 있습니다 . 귀사에서 자격을 갖춘 경우 100 달러 미만의 비용으로 Window Server 2008 R2 사본을 얻을 수 있습니다. 나는 당신이 그것으로 약 50 좌석 라이센스를 얻을 것이라고 생각합니다. 이전에 지적한 바와 같이, 상황에 따라 Active Directory를 실행하기 위해 영웅적인 하드웨어가 필요하지 않습니다. 큰 문제없이 다른 서버 역할 을 실행할 수도 있습니다 .

당신이 경우 실제로 Active Directory를 필요로하는 상황에서, 당신은 모든 대체 훨씬 못 미치는 것을 발견 할 것이다.


감사. TechSoup에 대해 들었으므로 옵션을 제안 할 수 있습니다. 그건 그렇고, 당신이 대답하는 데 도움이 된 도메인 이름에 관한 다른 의견을 게시했습니다. 당신이 그것을 볼 수 있다면 감사하겠습니다.
PeanutsMonkey 2016 년

3

저는 소기업의 IT 관리자입니다. 나는 예산이 많지 않기 때문에 내가 가진 것을 최대한 활용할 수 있습니다. 오픈 소스 옹호자로서, 무료 및 오픈 소스 소프트웨어의 문제를 확실하고 강력하게 해결할 수 있다면 그렇게합니다. Active Directory가 없으면 제대로 작동하는 것을 발견했습니다. 내가하는 방법은 다음과 같습니다.

안개 프로젝트

FOG는 디스크 이미징을위한 오픈 소스 솔루션입니다. (예 : 가상 머신의 디스크 이미지를 생성하고 sysprep를 생성 한 다음 한 이미지를 10 대의 컴퓨터에 배포합니다.) FOG는 원격으로 스냅인을 설치할 수도 있습니다. 스냅인은 모든 실행 파일이 될 수 있습니다. 하나 이상의 컴퓨터와 관련된 그룹 정책을 변경하려면 업데이트해야하는 그룹 정책 레지스트리 값을 사용하여 레지스트리 파일을 만듭니다. 배치 스크립트를 작성 regedit /s하여 .reg 파일 을 호출 하고 레지스트리를 업데이트합니다.

7-zip 및 7-zip SFX 메이커

SFX maker는 자동으로 내용을 추출하고 임의의 프로그램을 실행하도록 구성 할 수있는 nice .exe 파일을 만듭니다. 위의 예에서 SFX maker를 사용하여 .cmd 및 .reg 파일을 .exe로 압축 한 다음 포그에 업로드하고 스냅인으로 배포 할 수 있습니다.

기타 엔터프라이즈 IT 배포 도구

모든 워크 스테이션에 새 프로그램을 설치하기 위해 먼저 해당 소프트웨어의 엔터프라이즈 IT 배포 도구를 찾습니다. 예를 들어, Chrome은 사전 구성 가능하고 쉽게 배포 할 수 있으며 자동 설치 프로그램이있는 Chrome for Business 를 제공합니다 . 많은 프린터 제조업체에는 프린터 드라이버 배포를 도와주는 도구도 있습니다. HPBrother 는이를위한 훌륭한 도구를 제공합니다. OS에 적합한 프린터 드라이버를 찾은 다음 해당 도구를 사용하여 FOG 스냅인으로 사용할 수있는 자동 설치 프로그램을 만들어야합니다.

AutoIT

많은 소프트웨어 개발자는 배포 도구를 만들지 않으며 Quickbooks와 같은 큰 제목을 포함합니다. 여기서 Active Directory는 도움이되지 않습니다. 모든 컴퓨터에 필요한 경우, 소프트웨어를 디스크 이미지에 굽고 일반적으로 사용되는 모든 응용 프로그램과 함께 디스크 이미지를 배포하는 것이 더 쉬운 경우가 있습니다. 다른 모든 것에는 AutoIT가 있습니다. 시간이 많이 걸리지 만 창을 감지하고 마우스 및 키 입력을 시뮬레이션하거나 설치 프로그램이 일반적으로 수행하는 파일 및 레지스트리 변경 사항을 복제하여 소프트웨어 설치를 자동화하는 AutoIT 스크립트를 작성할 수 있습니다.

꽉 VNC

내가 관리하는 모든 컴퓨터에는 TightVNC 서버가 있습니다. 기본적으로 원격 데스크톱. 워크 스테이션을 사용하지 않을 때는 워크 스테이션에 연결하여 마치 마치 기계 앞에 앉아있는 것처럼 수동으로 설정을 변경할 수 있습니다.

피트

모든 기계에서 변경할 필요가없는 작은 변경의 경우, 문제의 컴퓨터로 나를 운반하고 바이올린을 조작 할 때 발이 매우 편리합니다. 여기서 보너스는 달리 앉아있는 생활 방식을 보완하기 위해 운동을 할 수 있다는 것입니다. 이 방법은 대량의 컴퓨터를 관리하는 데 유용한 솔루션은 아니지만 적은 수의 컴퓨터를 약간 변경하는 데 좋습니다. (다른 모든 것에는 AutoIT가 있습니다. 기억하십니까?)

결론

FOG는 실제로이 전체 프로세스의 중추입니다. FOG를 사용하면 머신을 그룹에 할당 할 수 있으며, 해당 그룹에 적합한 특정 디스크 이미지 및 스냅인을 할당 할 수 있습니다. 그룹은 필요한 경우 특정 프린터 스냅인이 배포 된 "room1", "room2"등이 될 수 있습니다. 이 프로세스는 확장 성이 떨어지고 결함이없는 것은 아니지만 20 대의 컴퓨터를 관리하는 경우에는 꽤 잘 작동합니다.


이것은 작동하지만 회사에 10 대 이상의 워크 스테이션이 있으면 많은 예산 인수가없는 것은 거짓입니다. 최소한의 평균 지식을 가진 IT 관리자는 고용주 POV가 엔터프라이즈 소프트웨어 오케스트레이션 / 배포 솔루션에 대한 라이센스와 동등한 가치를 갖는 작업 시간을 쉽게 절약 할 수 있어야합니다. 그리고 아마도 아마도 첫해에 이미 설정 및 시행 착오에 더 많은 시간이 필요할 것입니다 ...
Jey DWork

2

사용 가능한 Windows 모듈 .

나는 어떤 이유로 든 Windows 도메인의 아이디어에 위배되는 CEO와 스틸 업을 관리합니다.

해결 방법은 Ansible 플레이 북을 사용하여 워크 스테이션에서 원격으로 작업을 수행하는 것입니다. MSI를 설치하고, Chocolatey 패키지를 설치하고 , RDP / VNC를 구성하고, Windows 업데이트가 설치되어 있는지 확인하고, 시작 또는 로그인 스크립트를 작성하여 네트워크 드라이브를 매핑하고, robocopy 백업을 예약 할 수 있습니다.

Ansible은 에이전트를 사용하지 않으므로 최종 사용자의 PC에서 실행되는 Ansible 서비스가 없습니다. Ansible은 WinRM을 활용하여 원격으로 로그인하여 컴퓨터로 명령을 보냅니다.

모든 Ansible 플레이 북, 배포 가능한 스크립트 및 Ansible 관리에 Windows 컴퓨터를 추가하기위한 설정 프로세스를 자동화하는 일부 프로비저닝 스크립트가 포함 된 git 저장소를 유지 관리합니다. 나는 여기서 데스크톱을 만지는 유일한 IT 담당자이지만 이론 상으로는 git repo에는 다른 IT 담당자가 내가하는 일에 필요한 모든 것이 포함되어 있습니다.

또한 git 저장소에는 Ansible에서 관리하는 각 컴퓨터의 IP 주소 또는 도메인 이름을 포함하는 .INI 스타일 텍스트 문서 인 Ansible 인벤토리 파일 이 있습니다. (우리의 pfSense 오피스 라우터는 DNS 확인을 처리합니다)

사무실에 새 컴퓨터가 추가되면 Ansible 프로비저닝 스크립트를 실행합니다. 프로 비전 스크립트는 .NET 및 Windows Management Framework (PowerShell) 종속성을 만족시키고 Ansible Remoting을 위해 컴퓨터를 구성하며 Chocolatey를 설치합니다. 그 후에는 다른 모든 작업을 원격으로 수행 할 수 있기 때문에 컴퓨터를 다시 만질 필요가 없습니다. 업계에 맞는 패키지 EXE를 제공하는 내부 Nuget 피드가 있습니다.

이 방법을 사용하여 Windows 그룹 정책의 일부 기능을 모방 한 Ansible 플레이 북을 만들 수 있습니다. 예를 들어 Ansible 인벤토리 파일의 특정 시스템 그룹을 대상으로하는 generalpolicy.yml이라는 Ansible 플레이 북을 만들 수 있습니다. generalpolicy.yml을 실행하면 그룹의 각 컴퓨터에 원격으로 연결되고 해당 컴퓨터에서 특정 조건 집합이 충족되는지 확인합니다.

메모장 ++ 설치, 터미널 서버가 레지스트리에서 활성화되고 ICMP PING이 방화벽에서 차단되지 않는 등의 조건 일 수 있습니다. 플레이 북을 계속해서 다시 실행할 수 있으며 Ansible의 dem 등성 덕분에 조건이 충족되지 않으면 대상 컴퓨터에서 아무것도 변경되지 않습니다.


stillup의 경우 +1;)
andreas

1

Samba 4는 Microsoft의 Active Directory와 호환되는 도메인 컨트롤러로 실행할 수 있습니다.

https://wiki.samba.org/index.php/Samba_AD_management_from_windows

https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO


서버 결함에 오신 것을 환영합니다! 이 이론적으로 질문에 대답 할 수 있습니다 동안, 바람직 할 것이다 여기에 대한 대답의 본질적인 부분을 포함하고 참조 할 수 있도록 링크를 제공합니다.
slm

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.