@timarider

Контроль одноранговой сети?

Здравствуйте я начинающий админ подскажите пожалуйста как контролировать работу одноранговой сети на windows , имеется парк 50 компьютеров и все коммутаторы подключены к одному роутеру , подскажите программу или методы различных ограничений для пользователей (запрет установок программ , выхода в интернет и проч) желательно какой нибудь программный продукт , можно конечно групповые политики применят но мне муторно это делат и бегать , хочу чтобы на моем компе стояла прога которая конролировала все , типа шлюза что ли ....
P.S windows server исключается т.к пока не планируют покупки...
  • Вопрос задан
  • 760 просмотров
Пригласить эксперта
Ответы на вопрос 7
@DDwrt100
Так не получится, как вы хотите. Вам в любом случае нужно будет обвязывать серверами инфраструктуру, чтобы контролировать.
Так же описанный вами кейсы они не относятся к контролю сети , они ближе к контролю пользователями.
Самое простое это развернуть Ldap и с помощью групповых политик раздать права пользователям.
Тем более все пользователи находятся на Windows.
Для выхода в интернет - прокси. Для контроля подключения к сети, можно накинуть мак фильтры , если ваши коммутаторы управляемые. Для контроля установки и действий пользователей, честно бесплатных решений не знаю но гуглиться очень легко, вот для примера список.
https://info-comp.ru/top-5-programs-for-employee-m...
Ответ написан
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
В одноранговой сети - большая часть хотелок нереализуема.

Выход в тырнет обычно контролируется с помощью прокси и блокировки портов на роутере.
Ответ написан
@res2001
Developer, ex-admin
Если не хотите АД, то легких путей не ждите. АД - это и есть легкий путь.

Для начала вам нужно на всех компах в сети:
1. Завести одного пользователя (с одним и тем же паролем) с правами администратора. На компах админов то же нужно завести такого же пользователя.
2. Настроить удаленный доступ по RDP на всех компах как минимум для админа
3. Дать четкие имена компам, что бы вы могли без труда по имени/фамилии сотрудника (номеру телефона или чему-то еще) определить проблемный комп. Можно в качестве wallpaper вывести IP адрес и другую инфу, для этого есть соответствующий софт.
4. Включить "доступ к файлам и принтерам"
5. Убрать права администратора у пользователей
6. Начиная от Windows Vista и дальше, нужно выключить UAC для удаленного запуска программ. Делается это правкой реестра:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f


В винде почти все администраторские операции на локальном компе можно делать удаленно. Вышеприведенные настройки позволят это делать (пп.1,3,4).
В винде почти все инструменты для удаленного администрирования уже есть из коробки.

П.2 позволит подключиться к рабочему столу и потрогать руками, не отрывая задницы от своего кресла.
В RDP есть такая штука как remote shadow - это дает возможность удаленно подключаться к рабочему столу пользователя одновременно с пользователем (т.е. пользователь будет видеть все ваши действия, так же как и вы его). Часто это бывает удобно, но требует специфической настройки. В инете есть информация, ищите.
П.5 - это обычная мера безопасности, которая обеспечит 50% безопасности вашей сети.
П,6 - без этого пункта вы не сможете удаленно выполнять программы, требующие админских прав, на компах. Сам UAC отключать не стоит, вещь достаточно полезная.

Имея эту базу, дальше вы уже можете прикручивать к сети прокси, фаерволы, почтовики и т.д. и т.п. не сильно отвлекаясь на поддержку пользователей и компов в сети.
Но не ждите, что кто-то или что-то сделает эту работу за вас. Таких чудесных программ не существует. Вам придется погружаться во все детали самому.
Изучите хотя бы один скриптовый язык программирования, встроенный в винду из коробки: cmd, powershell, JScript, VBScript. Сейчас, пожалуй, самый актуальный powershell. Это поможет частично автоматизировать ваши процессы.

PS: Если что я 10 лет админил одноранговую сеть из более чем 100 компов. АД там не разворачивалась по "идеологическим" причинам я в этом был не виноват :-)
Ответ написан
0) без АД тяжко будет
1) забрать права
2) Если АД нет и не будет - автоматизировать другими средствами, аля ManageEngine DesktopCentral
Ответ написан
Комментировать
fluttershy174
@fluttershy174
Сисадмин и Фотограф
на первых порах я делал так
1. Забирал права на всех машинах, оставлял только нужный набор программ, остальное уже согласовывал отдельно
2. Всем ставил TightVNC - появилась проблема - написал в телегу - дал ip (он будет отображаться у пользователя в трее) - ты подключился с админ правами и все сделал
3. Если совсем нету серверов - но нужна общая файлопомойка - подойдет любой старый бук - на нем разворачиваешь freenas
4. По сетям, если нету управления, у тебя скорее всего есть роутер, скорее всего микротик - там можно резать скорость по мак адресам ( составить их таблицу поможет IpScanner)
Ответ написан
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
В одноранговой сети - бегать по компьютерам и настраивать.
Бегать можно ногами, а можно удаленно подключаясь или даже использовать софт вроде Ansible.

Если есть домен там попроще - все настройки делаются в одном месте, никакого стороннего софта не нужно.

хочу чтобы на моем компе стояла прога которая конролировала все
А, видел такую.
Не помню как называется но отличная программа.
Там всего одна кнопка - "Сделать все!"
Нажали и она все делает.

windows server исключается т.к пока не планируют покупки...
Правильно!
Зачем нужен windows server если дешевле нанять нескольких админов которые будут бегать и менять настройки.
Как только оплата труда админов становится дороже покупки сервера - его покупают.
Логично и экономически обоснованно.
Ответ написан
Комментировать
@ru6ak
windows server

Если у вас есть груповые политики значит стоит прошка, значит компы можно к домену подключить, а
AD можно и на Zentyal развернуть.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы