Active Directoryのないコンピューターをどのように管理しますか？

増加するスタッフのグループポリシーを維持する専用サーバーを実行することができない慈善団体のために、5〜10台のコンピューターをセットアップする必要があります。ローカルセキュリティポリシーを物理的に変更せずに、各コンピューターのポリシーを管理できる方法はありますか？コンピューターは、Windows XP、Vista、および7の組み合わせを実行します。

ドメインの管理と比較して、最小限の管理作業で10台のコンピューターを一度にセットアップする初期コストを比較検討します。たとえば、冗長性/信頼性のために2つのドメインコントローラーを使用することをお勧めします。その構成にはかなりの時間がかかる場合があります。これは、財務コストの増加に寄与し、工数の増加にもつながります。また、ネットワークの複雑さが増すため、目に見える利点がなくても、将来的にはより多くの作業を行うことができます。

一方、10台のマシンのローカルポリシーでの作業は、比較的削減され、乾燥しています。日常業務でセキュリティポリシーを細かく管理することはないでしょう。更新は面倒な場合がありますが、一度テストしたら適切に適用されます。AV /マルウェア/信頼ユーティリティも、最小限の管理で煩わしい場合があります。

成長を計画していてドメインが必要な場合は、MicrosoftのBizSparkを使用すると、MSDNダウンロードの大部分に1年間無料でアクセスできます。これには、Windows ServerおよびWindows OSの過去および現在のバージョンが含まれます。あなたがする必要があるのは、いくつかの緩い要件で使用するための小さな会社です。慈善団体は問題なく収まると確信しています。

マイクロソフトは、慈善団体向けの特別なライセンスプログラムを提供しています。割引は非常に大きく、ADを実行するだけの場合は、2台の古いPCと数GBのRAMを使用できます。

詳細はこちら

TechSoupをお試しください。組織が適格であれば、おそらく100ドル未満でWindow Server 2008 R2のコピーを入手できます。これで約50シートのライセンスも取得できると思います。また、以前に指摘したように、状況でActive Directoryを実行するための勇敢なハードウェアは必要ありません。大きな問題なく他のサーバーの役割を実行することもできます。

あなたがいる場合は、実際にActive Directoryを必要とする状況で、あなたはすべての代替がはるかに下回っていることがわかります。

私は中小企業のITマネージャーです。予算があまりないので、持っているものでできる限り頑張ります。オープンソースの擁護者として、無料のオープンソースソフトウェアで問題を確実かつ確実に解決できれば、それを実行します。Active Directoryがなくても十分機能するものが見つかりました。ここに私がそれをする方法があります：

FOGプロジェクト

FOGは、ディスクイメージング用のオープンソースソリューションです。（例：仮想マシンのディスクイメージを作成し、sysprepでその1つのイメージを10台のコンピューターに展開します。）FOGはリモートでスナップインをインストールすることもできます。スナップインは、任意の実行可能ファイルです。1つ以上のマシンに関連するグループポリシーを変更したい場合は、更新が必要なグループポリシーレジストリ値を含むレジストリファイルを作成します。regedit /s.regファイルを呼び出してレジストリを更新するバッチスクリプトを作成します。

7-zipおよび7-zip SFXメーカー

SFXメーカーは、コンテンツをサイレントに抽出して任意のプログラムを実行するように構成できる素敵な.exeファイルを作成します。上記の例では、SFXメーカーを使用して.cmdファイルと.regファイルを.exeにパックし、フォグにアップロードしてスナップインとして展開できます。

その他 エンタープライズIT導入ツール

すべてのワークステーションに新しいプログラムをインストールするために、まず問題のソフトウェアのエンタープライズIT展開ツールを探します。たとえば、Google ChromeはChrome for Businessを提供します。これには、事前設定が可能で、簡単に導入でき、オプションでサイレントインストーラーがあります。多くのプリンターメーカーには、プリンタードライバーの展開に役立つツールもあります。HPとブラザーには、このための素晴らしいツールがあります。OSに適したプリンタードライバーを見つけ、そのツールを使用して、FOGスナップインとして使用できるサイレントインストーラーを作成するだけです。

AutoIT

多くのソフトウェア開発者は、クイックブックのようないくつかの有名なタイトルでさえ、展開ツールを作成していません。ここではActive Directoryは役に立ちません。すべてのコンピュータで必要な場合は、ソフトウェアをディスクイメージに焼き付けてから、一般的に使用されるすべてのアプリケーションでディスクイメージを展開する方が簡単な場合があります。それ以外にはAutoITがあります。非常に時間がかかる場合がありますが、ウィンドウを検出してマウスとキーストロークをシミュレートするか、インストーラーが通常行うファイルとレジストリの変更を複製することにより、ソフトウェアのインストールを自動化するAutoITスクリプトを作成できます。

TightVNC

私が管理するすべてのコンピューターにはTightVNCサーバーがあります。基本的にリモートデスクトップ。ワークステーションを使用していないときは、ワークステーションに接続して、マシンの前に座っているかのように手動で設定を変更できます。

足

すべてのマシンで変更する必要のない小さな変更の場合、足を使用すると、問題のコンピュータに私を運んでいじるのに非常に便利です。ここでのボーナスは、それ以外の座りがちなライフスタイルを補うためにいくつかの運動をすることができるということです：P。これは、大量のコンピューターを管理するための良いソリューションではありませんが、少数のコンピューターに小さな変更を加える場合には適しています。（それ以外にはAutoITがあります、覚えていますか？）

結論

FOGはこのプロセス全体のバックボーンです。FOGを使用すると、マシンをグループに割り当てることができます。グループには、それらのグループに適した特定のディスクイメージとスナップインを割り当てることができます。グループは「room1」、「room2」などにすることができ、特定のプリンタースナップインが必要な場所に展開されます。このプロセスはおそらくうまく拡張できず、欠陥がないわけではありませんが、私が約20台のコンピューターを管理している私の場合は、かなりうまくいきます。

Ansible Windowsモジュール。

私は、何らかの理由でWindowsドメインのアイデアに反対するCEOとのスティルアップを管理しています。

私の回避策は、Ansibleプレイブックを使用して、ワークステーションで何かをリモートで実行することです。MSIのインストール、Chocolateyパッケージのインストール、RDP / VNCの構成、Windowsアップデートのインストールの確認、ネットワークドライブのマッピング、robocopyバックアップのスケジュールなどの起動スクリプトまたはログインスクリプトの作成を行うことができます。

Ansibleはエージェントを使用しません。つまり、エンドユーザーのPCで実行されるAnsibleサービスはありません。Ansibleは、WinRMを利用してリモートでログインし、コンピューターに指示を送信します。

私はすべてのAnsibleプレイブック、デプロイ可能なスクリプト、およびWindowsマシンをAnsible管理に関連付けるためのセットアッププロセスを自動化するいくつかのプロビジョニングスクリプトを含むgitリポジトリを維持しています。私がここでデスクトップに触れる唯一のIT担当者ですが、理論的にはgitリポジトリには、別のIT担当者が私が行うことを実行するために必要なすべてのものが含まれています。

また、gitリポジトリには、Ansible が管理する各マシンのIPアドレスまたはドメイン名を含む.INIスタイルのテキストドキュメントであるAnsible インベントリファイルがあります。（私たちのpfSenseオフィスルーターがDNS解決を処理します）

新しいコンピューターがオフィスに追加されたら、Ansibleプロビジョニングスクリプトを実行します。プロビジョニングスクリプトは、.NETおよびWindows管理フレームワーク（PowerShell）の依存関係を満たし、コンピューターをAnsibleリモート処理用に構成し、Chocolateyをインストールしました。その後は、リモートで他のすべてのことができるので、コンピュータに再度触れる必要はありません。私の業界に固有のパッケージ化されたEXEを提供する内部Nugetフィードがあります。

この方法を使用して、Windowsグループポリシーの機能の一部を模倣するAnsibleプレイブックを作成できます。たとえば、Ansibleインベントリファイル内の特定のマシングループを対象とするgeneralpolicy.ymlというAnsibleプレイブックを作成できます。実行すると、generalpolicy.ymlはグループ内の各マシンにリモートでアクセスし、特定の条件セットがこれらのマシンで満たされていることを確認します。

これらの条件は、Notepad ++がインストールされている、ターミナルサーバーがレジストリで有効になっている、ICMP PINGがファイアウォールでブロックされていないなど、何でもかまいません。プレイブックは何度も実行でき、Ansibleのべき等性のおかげで、条件が満たされない限り、ターゲットコンピューターで何も変更されません。

Samba 4は、MicrosoftのActive Directoryと互換性のあるドメインコントローラーとして実行できます。

https://wiki.samba.org/index.php/Samba_AD_management_from_windows

https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

1つずつ、多くの間違いがあります。