rionnagel

Puppet манифесты можно запускать без сервера, это может быть вариантом.
chef тоже можно запускать локально, это может быть вариантом.
ansible плэйбуки можно запускать с локалхоста по ссш до сервера, это может быть вариантом.
Докер может быть ещё одним вариантом.
bash скрипты могут быть вариантом.
Сохраненные конфиги в гите со структурой каталогов и маленьким скриптиком могут быть вариантом.
gitlab-ci может быть вариантом.
С остальными не работал - не могу сказать.

Выбирайте что сердцу мило)

Я бы именно для вашего варианта рекомендовал бы больше всего ansible+gitlab-ci. В пайплайнах ci описать варианты что ставить, редактируем hosts, делаем пуш и в пайплайнах просто нажимаем кнопку что надо с этим сделать. И получаем полный вывод результата в читабельном виде, в реальном времени (если надо можно цепочку тестов делать например). Гитлаб воркер ставится на машину с ансиблом. Да и сразу версионирование получите и историю.

Вообще sccm по идее надо использовать, если везде винда.

Но я использую puppet (3.8 до сих пор) с foreman (отчеты, сбор фактов, таблички, подпись сертификатов коллегами) + gitlab-ci с виндой. Из минусов - сильная прожорливость как сервера - так и клиентов и куча исключений от руби при использовании большого количества скриптов (cmd/павершел), экзешников, msi, chocolatey/nuget и пр, когда они распределены по разным модулям/манифестам, а не исполняются парой внешних скриптов (если роль четко определена, например mssql+zabbix_client, а не дюжина наименований софта на одном хосте, то таких проблем не будет), да и полная жесть с кодировками, много готовых модулей в официальном репозитории для винды просто невменяемы. Из плюсов - легко всё описывать, делать свои модули и манифесты (имхо), вся инфраструктура описана и самозадокументирована, с отчётами всё хорошо, можно нормально править HKLM кстати :), разнообразные обновления можно очень оперативно раскатывать, темплейты сильно помогают. С линуксом гораздо меньше проблем у паппета. Но и кейсы с этим я решаю адовые, а вовсе не только менеджмент серверов (вот с ними как-раз всё просто и без проблем с паппетом), например *вырезал по этическим соображениям*.

puppet крутиться под другим пользователем и соответственно исполняет программы от другого пользователя.

Через auth.conf вроде можно разрешить.

Насколько я понимаю для foreman нужна определенная структура hier'ы и он как enc инструмент в принципе заменяет hiera. Я не уверен, но вроде надо вырубать external_nodes и node_terminus, оставив foreman только для репортов. А как гибридно это использовать я хз - надо рыться в коде.