複数の非ドメインのオフサイトコンピューターを管理するためのヒント?
私のホームオフィスは、約25ノードをホストするWindowsドメインを使用しています。フィールドには17の場所(70%Windows XP、30%Windows 7)があり、このドメインに参加しておらず、ドメインに存在しない4〜10台のコンピューターがあります。ホームオフィスドメインに接続するためのインフラストラクチャを作成および管理するためのコストは、必要なものを正当化するのに十分ではないことを早い段階で決定しました(いずれにせよ、それらはすべてWebアプリケーションに接続して作業を行います)。
ただし、これにより、フィールドマシンで何らかのメンテナンスを行う必要がある場合は常に、(非常に小規模な)IT部門に大きな時間の浪費が発生します。更新の管理、コマンドの実行、Firefoxのすべてのユーザーへのプッシュなどの単純なものであっても、これらのシステムをリモートでより適切に管理できるツールまたは一連のプラクティスを使用して、時間を節約できることを望んでいます。
約150のリモートの非ドメインノードでこの問題を管理するための優れたツール/プラクティスは何ですか?私たちがIT予算に制約のある小さな会社であることを知って、ソフトウェアソリューションを推奨する必要があります。
私は個人的にADが好きですが、あなたはすでにそれに反対することを決めたと言っています。そう...
- それらをオフィスに接続するためのVPN接続。 (ルーティングとリモートアクセス/ OpenVPN/CiscoAnyConnect /ルーターに付属しているものなど)
- LogMeInまたはクライアント上の同様のもの。
- ドメイン外でWSUSを実行できます。それを支援するレジストリキーがあり、VPN経由でMicrosoftUpdateをダウンロードできます。これにより、パッチコンプライアンスに関するレポートも提供されます。これらのキーは、以下のいずれかの方法で押し出すことができます。 (SusClientIDとPingIDに注意してください。すべてのマシンで同一であるとは限りません。また、WinXPはこれらのキーを小さな人形のように受け取りますが、7を少し握る必要がある場合があります。)逆に、更新ポリシーを適用することもできます。マイクロソフトに直接アクセスし、それを使用したクライアント。
これにより、ソフトウェアのインストール/更新が残ります。私の経験では、費やしたお金と時間は互いに反比例しますが、マイレージは異なる場合があります。
- Altiris Deployment Solution、LANdeskなどの管理ソフトウェア。長所:このために構築されており、管理しやすくなっています。クライアントはVPNに接続しているときにコンソールに表示されますが、接続が不安定になる可能性があります。短所:費用がかかりますが、ほとんどの場合、クライアントが請求すると思います。
- スクリプトと PSexec 、ただしVPNでの実行をテストしたことはなく、個々のワークステーションを見つけるのに問題がある可能性があります。長所:無料。短所:おそらく、リモートマシンにLogMeInして、ローカルマシンでPSexecを実行する必要があります。
これが、GrantがソフトウェアのインストールにActiveDirectoryを支持している理由です。正直なところ、元雇用主がついにADを取得し、管理ソフトウェアを介してレジストリキーを押し出すのをやっとやめることができたとき、私はとてつもなく嬉しかったです。
リモートデスクトップをサービスとして実行する場所も(ごくわずかですが)あります(Desktone、Molten、Citrix、Amazonにはベータ版があります)。あなたはその候補者かもしれません。私見、あなたの場合は間違いなく調べる価値があります。
私がお勧めするのは:
- ハードウェア、ソフトウェア、およびそれを管理する人を含む、既存のドメインにリモートサイトをフックするのにかかる費用を計算します。
- ハードウェア、ソフトウェア、およびそれを管理する人を含む、さまざまなソフトウェアパッケージ(Altiris、LANdesk)の価格を設定します。
- 別の技術を雇う価格。
- さまざまなデスクトップをサービスプロバイダーとして価格設定し、それらが適切に見えるかどうかを確認します。
うまくいけば、その時点で、何かがあなたに正しく見え始めるでしょう。幸運を!
Active Directory。
ホームオフィスドメインに接続するためのインフラストラクチャを作成および管理するためのコストは、必要なものを正当化するのに十分ではないことを早い段階で決定しました...
当時、それは本当だったかもしれません。ただし、ドメインがないと、非多項式時間では管理できないという点に到達しています。
それでは、その決定を再検討し、いくつかのサーバー(はい、適切なサーバー)を購入し、Windows Server 2012R2をインストールするときが来ました。もうそれほど高価ではありません。
そうすることで、WSUSを使用してソフトウェアと更新プログラムを展開し、GPOを使用して誰が何を行うかをより細かく制御できるようになります。 WDSを使用して、新しいシステムをベアメタルに展開することもできます。
真剣に。150ノード。ドメインが必要です。そう思わない場合は間違っています。
あなたがそれを管理することを見ることができるいくつかの方法があります:
- Windowsインチューン
- System Center Configuration Manager(少し余分な労力でリモートで動作できると思います)
- すべてのリモートマシンでLogmeinまたは同様のもの
- ドメインに接続するためのサイト間VPN接続。
- 各PCでVPNを使用して、ドメインに接続します。内蔵のWindows7は、ログイン画面から接続できるため、引き続きログインできます。 Win XPサードパーティのクライアントが必要な場合があります。
VPNオプションをお勧めします。 MicrosoftVPNサービスはそれほど高価ではありません。また、OpenVPNは無料で実行できます(さらに時間のコストもかかります)。
ドメインにすべてのPCがあるということは、GPOやリモートアシスタンスなどを使用してPCを非常に簡単に管理できることを意味します。また、各マシンで個別の資格情報を管理する必要はありません。リモートマシンとドメインに接続されたマシンを管理するためのIT時間のコストを比較すると、それらすべてをドメインに取り込むことで、非常に費用効果が高く、同時にセキュリティが向上することがわかります。
両方のシステムに一致する資格情報(ドメインのADユーザーとリモートホストのローカルユーザーの同じユーザー名/パスワード)がある場合、ドメインユーザーはリモートホストに対してシームレスに認証できる必要があります。
ドメインネットワークからポート445へのアクセスを許可し、他のすべてのポート445をブロックするように、リモートマシンでファイアウォールを構成する必要があります。
これが完了すると、ドメインユーザーとして実行されているプロセスは、ログオンプロンプトなしで、一致するローカルユーザーとしてリモートマシンに対して相互認証できるようになります。