Централизованное управление учетными записями удаленных серверов?

Question

[Typ6o_CycJIuk]

Доброго времени суток, коллеги!
У нас стоит задача в "один клик" управлять учетными записями админов на разных платформах серверов (Win 2003 по Win 2019).

У нас примерно 100 удаленных серверов в администрировании, которые объединены в VPN сеть.
Нам нужна система управления учетными записями администраторов. Трудность которая у нас сейчас имеется – персонал имеет административный доступ к серверам, если у нас сотрудник увольняется, нам приходиться вручную менять на каждом сервере пароли его учетной записи...

Возможно и вовсе нужно уходить от использования паролей, смотрел в строну двухфакторной авторизации, смотрел в сторону OTPkey, USB-ключей - так чтобы сказать "это то, что нам нужно" пока не нашел. Поделитесь опытом, какое решение выбрать лучше всего под эту задачу?

Основные условия:
1. Сервис не должен быть развернут в облаке (есть своё железо)
2. Сервис должен отрабатывать надежно (перепроверять "а сменилось ли на 127 сервере?" не получиться)

Answer 1

[rionnagel]

Puppet, salt. Ansible не подходит из-за push модели.
Как отметили выше ad это самый адекватный вариант.
Но если по какой-то причине ваши клиенты согласны на одинаковые логины-пароли приходящих сисадминов с другими конторами.... то я даже не знаю.

Comments

[#]

1 - пилим разные домены в дереве, с разным трастом
2 - делегируем администрирование конкретной учетке, тогоже приходящего админа или сотрудника на месте, не то что доменов, вплоть до AU