Windows 7-es gépek csoportos adminisztrálása

Microsoft Windows

Sziasztok!

Egy kisebb iskolában lettem rendszergazda. Volt már hasonló munkám, így van egy kevés tapasztalatom a Domain Kontrollal kapcsolatban, de azt a rémálmot inkább szeretném elfelejteni. Összesen 25 laptop van, valamint még 10 tanári gép, de jellemzően vegyes hardveres felszereltséggel (más, más típusok).

Keresek egy olyan szoftvert, ami képes az alábbiakra:
a.) Több (kiválasztott) gépekre adott szoftver telepítése egy időben (legalább a telepítő elindítása).
b.) Windows operációs rendszert érintő beállítások egyidejű módosítása (háttérkép, animációk, felhasználók létrehozása, jogok beállítása).

Fontos lenne, hogy az eszköz, ami ezeket a feladatokat ellátja, ingyenes (még jobb: nyílt forráskódú) program legyen.

Ismer valaki ilyen programot?

Köszönöm!

  • 3361 megtekintés

( SzBlackY | 2017. 08. 30., sze – 12:46 )

Ami nálunk van a számítógépes termekre: Samba4-es AD (user management, beállítások) és egy Microsoft Deployment Toolkit (telepítések), ha szétnézel a blogomban találsz leírást, hogy hogyan tákolható össze udpcast-tal [nálam egy standard image megy ki udpcast-tal, a géphez szükséges driverek injektálását az MDT-re bízom].

Utóbbi kapott még egy indító exe-t, amiben szerepel egy domain fiók jelszava, ő minden gépen admin, hogy tudjon telepíteni, így a userek egy duplaklikkel (és egy UAC prompt leokézásával) tudnak frissítést indítani (van egy Task sequence, ami csak az appokat dobálja), én meg tömegesen egy PsExec-kel megoldom.

A kezdeti beállítással lehet szívni (meg egy-két alkalmazás telepítőjével, hogy unattended végigfusson, meg körbe kell taknyolni az összes nyűgjüket :) ), de ha egyszer meg van, utána már teszi a dolgát.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A Zentyal gyakorlatilag egy Ubuntu néhány előre konfigolt alkalmazással (pl. a fenti Samba4), ha szereted a kulcsrakész(ebb) megoldásokat, használhatod azt is.
Az Apache Directory (ahogy fentebb írták) Windows-os környezetben felejtős.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)


A kezdeti beállítással lehet szívni

meg azzal, hogy ma kapta meg a feladatot, holnapután meg jönnek a gyerekek...

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

( Vizibirka | 2017. 08. 30., sze – 13:01 )

b pontra a valasz az, hogy Group Policy, pontosan erre van kitalva a windows-os vilagban.

( bennyh | 2017. 08. 30., sze – 13:37 )

Zentyal +1, ha nincs zsé, ugyanakkor, még ha herótod is van egy DC-től, mégis tisztább, szárazabb, biztonságosabb érzés Windows környezetben, sajna pont arra találták ki, amiket írtál.
Szerintem még a Zentyal-ból is inkább valami előfizetéses változat kéne, pláne eleinte. Nem ismerem a licenszelését, de gondolom, ha lejár a támogatás, max nem jönnek a jól tesztelt frissítések csak a közösségiek, addig meg legalább segítenek belőni neked a hálózatot.

( vl v | 2017. 08. 31., cs – 17:53 )

Nálunk Samba 4.5 DC van, remélhetőleg hamarosan AD-sra cseréljük.
A telepítő WAIK/WinPE alapú, unattended cucc, pár cmd-vel kiegészítve (mert egy valag dolgot nem tud magától a telepítő), egységes konfig, MUI meg OS patchek beleintegrálva (évente frissítjük), az összes gép összes driverével feldúsítva.
Ezen felül patchek és az alkalmazások telepítését egy saját gyártású perl script csinálja, web url-ről megkapja, hogy az adott gépen minek és milyen verziónak kéne lennie, és konfig fájlban le van írva, hogy az adott alkalmazást/patchet hogyan kell telepíteni.

A telepítés egyelőre annyiban manuális, hogy rdesktop + cmd + kézi indítás van.
A többi (beállítások force-olása) alapvetően group policy, de a DC miatt egyelőre csak gép szintű group policy van (ezzel is mindent meg tudunk csinálni, amir akarunk), ezt módosítani kicsit macerás, az AD-s verzió azért kényelmesebb.

terv nekem is hasonló volt, samba4 dc-ből migrálni ms ad-ra. egyetlen feltételként azt kaptam, hogy ebből viszont a userek semmit nem érzékelhetnek, tehát új domain és ki-be lépkedés nem játszik. még nem találtam rá jó megoldást, több teóriát láttam már fórumon, hogy ezt próbáld ki azt próbáld ki, de egyelőre nem nyert egyik se..
van már konkrét tervetek a migrálásra, vagy ne adj isten már sandboxban sikerült is? :D

Nincs terv, nem próbálkoztunk, de már végigolvastam, hogy mi kell neki.

Az a gond, hogy a jelenlegi felállás az, hogy a user adatbázist "alárakjuk" a DC alá LDAP formájában (ldapsam), míg ez AD esetén nem működik, azt a Sambán keresztül _kell_ adminisztrálni, és majd ő tárolja a saját kis adatbázisában, 100%-ban emulálva a Win AD működését (ergó fog kelleni csinálnunk egy egyszerű identity managementet). Ez a látszik a legnagyobb falatnak (meg hogy kell varázsolni Kerberost). Meg persze neki saját elképzelése van a kliensek DNS-ben való megjelenéséről, miközben mi azt is szorosan kézben tartjuk, és nem, nem elfogadható a Windows-style self regisztrációs idiótaság.

Szóval mindaz, amiben a Win-style működés más, mint amit rendesen csinál(na) az ember, na azt a Samba AD annyira jól leemulálja, hogy pont úgy akar működni, mint a Win AD, és amit mi alapvetően nagyon nem szeretnénk bevezetni. Ez adja a kihívást :D

Nálunk nem gond az új domain beléptetés sem, bár azt írja valami howto, hogy erre nincs szükség, a "migrálás" funkció automágikusan megcsinálja ezt - igaz, ezzel a gép elveszti a DC-vel a kapcsolatát, ergó ezt a műveletet egyszer lehet megcsinálni.

( elod v | 2017. 08. 31., cs – 20:36 )

Ha most még gyorsan össze akarsz valamit lőni akkor scripteled a lényeges programokat, pendrive-ra fel és adod neki.
Ninite is jó lehet.

Puppet-et használok a programok telepítgetésére, most fogom megkísérelni a Samba AD migrálást (most klasszikus NT4 szintű domain van).

( luisex v | 2017. 09. 01., p – 08:05 )

Szia,
Mint többen mondták is előttem, én is AD-t és windows servert javasolnék. Annyival kiegészítve, hogy emlékeim szerint az (állami) iskolák jogosultak a Tisztaszoftver (vagy épp milyen néven fut) program keretén belül a használatára. Aka. ingyenes. (tévedés jogát fenntartom, de kb. 10 éve még így állt a dolog :) )
Persze Samba is jó a DC feladatra, de ha adott a hozzáférés egy célra kiélezett termékre, ami mellékesen pont windowshoz lett fejlesztve, személy szerint arra voksolnék, mint kerülő megoldásokra.
Üdv,
LuiseX

Azt senki el ne feledje, hogy volt idő, amikor általános iskolákban megszűnt a tisztaszoftveres ms szerver.
(Én ekkor lettem linuxos)
Jó, most megint használhatják, de mi lesz 2018 márciusa után azt senki meg nem mondja.

----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

( kroozo v | 2017. 09. 01., p – 09:03 )

"van egy kevés tapasztalatom a Domain Kontrollal kapcsolatban, de azt a rémálmot inkább szeretném elfelejteni".

tehát keresel helyette valamit, ami ugyanazt csinálja, csak ingyen. Ebből a felállásból kevesebb rémálom még sose született.

( herka v | 2017. 09. 01., p – 12:24 )

Nem olvastam végig, mert rám ez nem vonatkozik, de talán segíthet:

http://huedu.hu/megoldasok/

Nem csak az M$ számol furán... A Zinternet lenne ilyen gyors?
65% [62 Sources 1528 kB/6239 kB 24%] 3062 PB/s 0s

( zither | 2017. 09. 01., p – 15:45 )

Ha rá tudsz szánni némi időt, meg van linux szerveretek, akkor samba 4 dc + saltstack. Samba megoldja a felhasználók, jogosultságok és jelszavak kezelését. A saltstack pedig tud szoftvereket, frissítéseket telepíteni (van saját repozitori megoldása is win alá, amit könnyen ki tudsz egészíteni a saját telepítőiddel), illetve rendszerbeállításokat módosítani (user accounthoz kapcsolódó dolgok kivételével nagyjából mindent elérhetsz.) Ráadásul így központilag lesz minden konfigurálva, ha valami managelt rendszerbeállítás megváltozna, akkor egy újraindítás után automatikusan helyére kerülhet.
A szoftver frissítések is egyszerűbben teríthetőek így. Meg gépet is könyebb telepíteni (ha mar az inhomogén hardver készlet miatt nem lehet imagezni): driverezés után rádobod a salt miniont, engedélyezed a szerveren, hozzárendeled a targettet, a többit megoldja helyetted. Targetből is jó esélyel csak kettőd lesz: egy oktató, meg egy tanuló gép.

Zavard össze a világot: mosolyogj hétfőn.

Elméletileg igen. Mondjuk sose láttam az enterprise változatot belőle, ettől függetlenül teljesen jól elvagyok vele egy hasonló architektúrában. Lassan ugyan migrálni fogunk, mert egy régebbi verziót használunk, amihez képest elég sok új szolgáltatás van.
(Pl. az újabb verziónál úgy láttam, hogy már a házirendekhez is hozzá lehet férni a beépített modulokon keresztül)

Zavard össze a világot: mosolyogj hétfőn.

köszi, ez nagyon hasznos infó volt, kipróbálom én is ezt a megoldást. Van most egy windows imaging toolkit (vagy mi éppen a neve)-el készített lemezkép, de az 22 giga és szerintem gyorsabb lesz az ha unattend-el felteszek egy windowst, majd arra ezzel a szoftvereket, mint az image deploy...

( saxus | 2017. 09. 01., p – 16:42 )

Tehát domain controller feladatra keresel egy nem domain controllert. ;)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Az MSGINA.DLL user logon interfészt lecserélő "pGina fork" jó lehet neki. Bár minden Windowsra fel kell tenni, de nem kell hozzá Windows Server AD vagy Samba 4 AD és megy Windows Home verzióval is.
https://mutonufoai.github.io/pgina/
http://pgina.org/
--
Légy derűs, tégy mindent örömmel!

Bocs, az előző hozzászólás domain kontrollerére figyeltem..
Az igényeire pedig jó lehet akár a nem interaktív csendes telepítő batch scriptek futtatása psexec által vagy a powershell remote használata. Ha nincs domain login akkor a PC-k távoli elérésérnél és PC-kről a máshol lévő telepitőkészlet elérése esetében figyelnie kell az authentikációra.
Amennyiben valami komolyabb célszoftver kell, akkor én az Ansible-t próbálnám.

Pl.:
psexec.exe \\pc1 -u pc1\adminuser -p password -i \\SERVER\share\appsetup.bat
psexec.exe \\pc1,pc2,pcN -d -u DOMAIN\adminuser -p password -i \\SERVER\share\appsetup.bat
--
Légy derűs, tégy mindent örömmel!

( szeg v | 2017. 09. 03., v – 10:29 )

Mi az OPSI-t használjuk. Telepítés nyers vasra, alkalmazások, driverek, beállítások, hardver/szoftver leltár stb. Windows és Linux kliensekkel. Pénzért még licenckezelés is.