Sziasztok!
Felmerült igényként, hogy a home officeban dolgozó céges laptopokat jó lenne a automatizálva birizgálni, felügyelni.
Pl. lejáró OpenVPN certet frissíteni a gépeken (sima fájl másolás), céges CA-t beimportálni a böngészőbe, reportot kapni a gép állapotáról (vírusírtó fut? Idegen prorgam telepítve? Idegen exe fellelhető?), Kérésre program telepítés.
Erre a windowsos kollégák sok csillió $ költségű dobozos termékekről kezdtek beszélni.
Linuxos fejjel azt gondolnám, hogy ehhez elég egy admin joggal futó ütemezett script, ami a https://cegesszerver.hu/$gépnév.xml fájlt időnként megnézi, változás esetén letölti és végrehajtja az utasítások power shellben admin joggal. Ha kell, cert alapon hitelesíthetik egymást a szerver-kliensek, hogy ne legyen támadható.
A windowsos kollégák szerint ilyet nem lehet, mert a windows jogosultság kezelése már nem teszi lehetővé. AD-ba vannak léptetve a gépek, bár sok hasznát nem igazán érzem.
Tényleg így van?
Ki mit használ ilyesmi feladatra céges környezetben? Gépek száma 50-60.
Hozzászólások
Ha tényleg AD-ba vannak léptetve a gépek, akkor azért ennél kézenfekvőbb megoldások is vannak, pl. Group Policy-vel vélhetően az igények egy része lefedhető. És mivel Group Policyvel lehet scripteket is futtatni a gépen, ezért akár bármilyen saját kódot is futtathatsz, ami admin jogokkal fog menni.
Ha csak egyedi dolgot kell beállítani , birizgálni már írtam:
- winRM kliensen PowerShell (Admin): winrm quickconfig (enter, majd 2x yes)
- Windows Admin Center (windows felügyeleti központ) free.
CPU load, memória, disk kapacitás, update, vírusírtó futtatása, távoli gépen powershell parancs, hardver/softver leltár stb..
+ GPO
For Whites Only meeting room!
Egy lehetőségnek nézz rá az OCS Inventory-NG-re. Alapjában véve egy hardver/szoftver leltár program, de mivel telepíthető klienssel operál, ezért elég kidolgozott(nak tűnő) központosított telepítési megoldást ígér.
A felület nem annyira polírozott csilivili, de maga a projekt él és fejlesztik folyamatosan. Mi HS/SW leltározásra használjuk, azt jól csinálja, konkrétan a telepítős részét nem próbáltam, csak elolvastam a leírás ide vonatkozó részét. Webes az admin, webes SOAP a komminikáció, nem kell hozzá AD vagy egyéb külső követelmény.
+1
50-60 gepnel szerintem meg hataereset, hogy megeri-e, mert ugy tapasztaltam, hogy pl. a telepito pakettek legyartasa egy ido utan elviszi, elviheti egy ember teljes napjat. Bar annyra nem nagy puki, a vegen egy zip file, benne egy cmd-vel, ami pl. elinditja a telepitot quiet, unattended, mifene modban. Vaaaagy ugye csinalhat barmi mast is. Jo esetben az uj verzio telepitojenek elkeszitese abbol all, hogy a friss exet kell odaadni neki, es atirni a cmd-ben is a nevet. Rossz esetben ki kell talalni ujbol, hogy milyen parameterezessel telepul fel ugy, ahogy szeretne az ember.
Nameg biztos van erre "gyari" megoldas, viszont az ocsinventory elonye, hogy bamin elfut, amire az agentje fel van teve, ha AD-ban van a gep, ha nem, ha linux, ha windows, etc.
Tovabbi erv lehet mellette, hogy ugy van kitalalva, hogy parezer, par tizezer kliense is lehet, nem biztos hogy ledontik a szervert, mert elosztva toltogetnek meg talan darabolva is.
Alapesetben - ha van AD - akkor GPO-val sok mindent le lehet telepíteni, de inkább arra szolgál, hogy beállításokat eszközölj a kliensen. Ha komplexeb megoldás és riportokat szeretnél, akkor több megoldás is létezik:
- MSP tools-ok: ATERA, SYNCROMSP, NINJARM
- lokális megoldás: ManageEngine Desktop Central: ilyet használók frissítések telepítésére és beállítások kezelésére.
Mindenképp agent kell a kliensekre, a megfelelő működés miatt
(Az AD-nak nagyon sok előnye van, mert sok mindent hozzá lehet kötni, amivel a felhasználók a munkáját lehet megkönnyíteni)
Mi ezt hasznaljuk:
https://www.ivanti.com/products/desktop-and-server-management
Bar gondolom ez mar a "Erre a windowsos kollégák sok csillió $ költségű dobozos termékekről kezdtek beszélni." esete...
Esetleg ?
https://github.com/ansible/awx
https://www.ansible.com/blog/windows-updates-and-ansible
https://docs.ansible.com/ansible/latest/collections/ansible/windows/#mo…
https://docs.ansible.com/ansible/latest/collections/ansible/windows/win…
https://docs.ansible.com/ansible/latest/collections/ansible/windows/win…
Nem feltetlen csak win a celplatfrom vele, de sztm megoldhato.
Szükségetek van arra, hogy a user megszabhassa, hogy a kért változtatás mikor történjen meg?
Fent több olyan eszköz szerepel (Ansible - AWX, általánosságban WinRM protokoll vagy GPO alapú deployment), ami tényleg jól működik, de önmagában nem ad lehetőséget arra, hogy a user szabadon döntse el, hogy mikor kívánja telepíteni az új konfigurációs beállításokat vagy szoftvereket. Szervernél ez jól tervezhető ezért egy Ansible / Puppet tökéletes, de ha kliensen kihúzzák a munkát a user alól, azzal sok barátot fogtok szerezni.