Здравствуйте! Может быть кто то успешно решал вот такую проблему: нужно управлять множеством Windows пк, которые не заведены в домен ? До компьютеров есть доступ через VPN туннели.
Среди инструментов у нас имеется:
Zabbix, Антивирус Касперского с центром управления, самописная служба, через которую ставится ПО. Еще есть pstools и powershell + ansible.
Весь этот зоопарк не всегда корректно выполняет свои функции, нет удобной консоли управления.
Хочется удалённо ставить ПО, обновления, следить за безопасностью на пк, накатывать политики, выполнять удалённые команды.
Может быть есть какие то удобные инструменты для управления не доменными пк ?
В свое время пришлось админить среднего размера сеть без АД. Причем АД не было принципиально. Так же не приветствовались любые сторонние средства. Установка была на использование стандартных возможностей винды. Приходилось выкручиваться.
Вот что использовал:
1.Стандартные виндовые оснастки управления, основанные на mmc умеют подключаться к удаленным компьютерам и менять их конфигурацию. Конечно нужен админский доступ.
2.Запускать удаленные процессы можно с помощью wmic, который есть по умолчанию в винде.
3.Некоторые утилиты командной строки умеют работать с удаленным ПК. Например: netsh, reg и тот же wmic.
4.По моему, с помощью WSUS можно делать свои собственные обновления и распространять их через WSUS. Но это сам не испытывал.
5.Практически все в винде можно делать правкой реестра, правда для применения правок нужно либо перезагружаться либо давать команду на обновление конфигурации. Править реестр можно удаленно с помощью reg.
6.Удаленный рабочий стол. Так же применял механизм remote shadow - когда локальный и удаленный пользователи видят один и тот же раб.стол и действия друг друга. В некоторых ситуациях это нужно.
7.Пачка самописных скриптов для удаленной конфигурации ПК. В скриптах старался использовать только стандартный функционал виндов без привлечения сторонних средств.
В общем почти все что нужно для удаленного управления в винде есть практически из коробки. Другое дело, что оно все разрозненно и нет какого-то единого центра откуда можно было бы все делать. Для это у микрософта есть АД.
res2001, вот мне тоже кажется, что ТС пытается "изобретать велосипед" и зачем-то делать аналог АД. И я искренне не понимаю, почему для кейса ТС нельзя использовать штатный функционал.
Антон, У меня не было опыта использования АД где КД только удаленный и не всегда доступен.
Как она себя поведет в таком случае? Что будет с клиентами, если КД будет долго не доступен или умрет по любой причине? Какие еще могут возникнуть проблемы не берусь сказать.
Возможно ТС и прав, что не хочет связываться с АД.
Я бы сделал приближенный к реальности стенд с АД и погонял бы на тестовой конфигурации, устраивая разные проблемные ситуации. Если в каком-то случае восстановить работоспособность клиентов будет не возможно удаленно и в короткое время, то проще будет отказаться от АД.
Что будет с клиентами, если КД будет долго не доступен?
Ничего не будет, будут логинится и спокойно работать с локальной копией сетевого профиля, потом при появлении линка данные засинхрятся. Нужно хотя бы один раз залогиниться на клиенте в домен, потом можно хоть полностью от сети отключить клиента хоть на полгода.
Что будет с клиентами, если КД умрет по любой причине?
Это вопрос из серии "что будет, если материнская плата сгорит". Да ничего не будет, если КД резервируется или в кластере сидит.
1. Поднять sshd и выполнять консольные команды удаленно?
2. Авторизироваться под локальными учетками. Завести везде отдельную админскую учетку с одним паролем и можно без АД.
abmanimenja, 3rd party sshd для виндовс есть уже очен давно.
Просто это было бы логично, включить в штатную поставку с добавлением посик системы, но... пока что только нештатные варианты.
Командная строка, powershell + psexec мы используем, а вот некой GUI утилиты для этого нету. Смотрел в сторону Windows Intune, но пока не применял на практике. Кажется этот продукт как раз подходит для среды, где удалённые пк работают без включения в домен.
abmanimenja, В общем-то в современном виндовс, в командной строке можно сделать гораздо больше, чем в GUI
Поэтому подозреваю, что все админы под виндовс умеют все делать без GUI
Saboteur, Remote PoSh вместо ssh чем неугодил (кроме запуска веб-сервера в виде модуля ядра)?
В любом виндовс в командной строке можно сделать гораздо больше, чем в GUI, если знать что вызывать (в том же Powershell можно дёргать WinAPI без компиляции и СМС).
chupasaurus, Я просто не понимаю, почему MS не хочет вставить стандартную ssh службу, которой уже 40-50 лет, которая общеизвестна и принята. Не везде ж обязательно пилить свои костыли, а затем ставить два сервиса чтобы их связать. Причем уже все сделано - взять и добавить, и этим решается куча проблем.