Администрирование сетей windows с помощью сценариев

Книга представляет собой подробное руководство по автоматизации различных процессов в сети с помощью сценариев, а также содержит большое количество справочной информации. Приведенные примеры наглядно иллюстрируют возможные способы решения задач, возникающих перед пользователями и системными администраторами. Описываются достоинства и недостатки каждого способа. Рассмотрены основы разработки сценариев с использованием Windows Script Host, Visual Basic Script Edition, ASP и ASP.NET. Показано, как программно управлять реестром и файловой системой. Рассмотрены инструменты WMI. Уделено большое внимание созданию сценариев регистрации пользователей в сети на базе языка программирования KIXTart. Описано программное управление Active Directory с помощью LDAP и WinNT. Рассмотрены вопросы автоматизации процесса установки ОС и ПО, клонирования жестких дисков и др. Для системных администраторов, сотрудников службы технической поддержки.

Извините, данная книга недоступна в связи с жалобой правообладателя.

Извините! Не Татьяна,а Тимьянка)

очень хочеться прочитать .люблю книги донцовой

Хочу скачать эту книгу на телефон но, к сожалению не получается . У меня не Айфон а дряхленький самсунг за 1000 руб. боюсь что не скачаю. Буду ещё пытаться.

Очень интересная книга, прочитала на одном дыхании за вечер. Много интересных исторических фактов, что мне очень нравится в книгах Ж.Бенцони. Советую.

Ошибка автора: танкового лафета не бывает. Лафет бывает у арторудий. Книга редкостная, очень своевременная. Утверждение, что зло вечно — идеологически точно. Поздравляю автора с этой вещью и желаю ему дожить до конца обещанной трилогии. Я буду ждать продолжения с нетерпением. Только художественность не надо ослаблять. Восприятие темы ухудшится. Панин В.В. 13 мая 2012 года.

книга интересная очень захватывает правда конец не очень мне он даже не понравился!

Да-ааа. сказать, в каком я шоке была от книги — это ничего не сказать. давилась и плевалась, но так и не смогла осилить и до середины.

задали написать былину помогите

Очень хорошо написано. Просто очень хорошо. Необыкновенно позитивное впечатление, замечательный язык, умные и симпатичные герои. Маленькая дочка главного героя — просто чудо. )

Источник

Как быстро захватить мир или управление сетью windows компьютеров с помощью OPSI

Disclaimer:
Автор любит короткие и прямые костыли, а также нежно обожает свободный открытый софт за ту гибкость и масштабируемость, что тот дает. Целью данной статьи является желание попиариться, а также рассказать о незаслуженно неизвестной в русскоязычном интернете системе управления софтом OPSI(Open PC Server Integration).

Я сидел в офисе и попивал себе кофе, когда мне позвонил Илон Маск и на чистом русском языке сообщил мне, что хватит уже это терпеть, пора собрать лучшие умы для борьбы с неким вирусом, а для этого прямо сейчас, через пять минут ко мне в офис привезут 100 компьютеров, на которые мне в срочном порядке нужно будет развернуть windows 10, а завтра с утра в офис приедут ученые со всего мира, чтобы начать работу над антивирусом. Ну что же, разве не этого я ждал всю свою жизнь? Достойный вызов для хорошего инструмента.

Для исполнения плана я буду использовать систему OPSI — Open PC Server Integration.

OPSI написана на питоне в германии и, видимо, там тоже очень любят костыли, бесплатность и масштабируемость.

Базовые возможности системы:

Автоматическое развертывание софта

Работает это так: анализируешь инсталлятор и из него делаешь пакет opsi, который нужным образом ставит программу. Лучше всего работает с msi пакетами, знает еще несколько форматов, с которыми тоже справляется. Может запустить bat файл или powershell скрипт, да в принципе, любой интерпретатор. Есть встроенные системы работы с реестром, в общем, полный фарш, лучшая часть системы наверное.
Автоматическая установка операционных систем

Я пользуюсь только установкой из образа, как самой быстрой, но есть варианты с автономной установкой системы с нуля.
Программная и аппаратная инвентаризация

Здесь можно проводить например софтовую и железячную инвентаризацию при загрузке, но самой большой фичей в этом аспекте является безагентная инвентаризация, когда компы загружаются по сети в линукс, который проводит инвентаризацию и комп перезагружается, загружая со второго раза уже windows. То есть, если вам допустим, нельзя лезть в windows, а инвентаризировать компы надо, вы настраиваете инвентаризацию через сетевую загрузку и получаете что хотели.
Несколько удобных интерфейсов управления с возможностью гибкой интеграции

Есть программа с графическим интерфейсом, есть http интерфейс, на который можно слать команды, с консоли сервера можно управлять OPSI, встраивать команды в свои скрипты, можно получить доступ к бэкенду из питона, но я, к сожалению, пока такой магией не владею.
Поддержка множественных серверов depot (сервера, содержащие непосредственно софт, с которых идет развертывание).

Вы можете добавлять множество серверов, на каждую подсеть или группу компьютеров, каждый из которых будет обслуживать свою сеть.

Возможности системы, реализуемые за счет модулей(есть бесплатные модули и платные):

LDAP коннектор (платный)

Коннектор, соединяющий в одно целое домен и opsi
Управление лицензиями (платный)

Управление программными лицензиями на администрируемых компах: установка, удаление.
MySQL бекенд (платный)

Перевод базы OPSI на mysql для больших установок, более 300 клиентов
Nagios коннектор (платный)

расширенный мониторинг
Установка при выключении (бесплатный)

По умолчанию, opsi агент выполняет задания при загрузке системы, это можно изменить, перенеся задания на время при выключении.
Локальный бекап в образы (платный)

Не выяснял как это работает.
Линукс агент (платный)

ПлАчу горючими слезами, так как попробовать, как это работает было бы очень, очень интересно. Да, я знаю про ansible и puppet, но всё равно горько. Единая система управления linux и windows системами в сети это звучит очаровывающе.
WAN расширение (платный)

Расширение для работы с удаленными клиентами через медленные соединения, то есть интернет.
Управление пользовательскими профилями (бесплатный)

Не пробовал
OTRS::ITSM коннектор (платный)

Тоже не довелось
Софт по запросу (бесплатный)

Классная штука, вы в общих пакетах выделяете те, которые пользователь может ставить сам и пользователи сами могут ставить любые программы, применять изменения «без регистрации и смс», а главное, без вирусов.

Поподробнее можно узнать здесь

Модель монетизации у них следующая: они продают модули, пока не наберут сумму, чтобы сделать их бесплатными.

Пока ко мне в кабинет заносят компы и собирают их, я устанавливаю сервер AD на виндовс сервере, поднимаю на нем домен domain.local, а также DNS и DHCP.

Устанавливать OPSI можно в рабочей группе и в домене, мы будем ставить в домене, но без привязки к АД(LDAP коннектор).

Развертывать windows 10 на сеть компьютеров мы будем по следующей схеме: подготовим развертываемый образ windows 10 со всеми программами, загрузимся по сети через opsi, с помощью clonezilla автоматически сохраним его в файл, потом выставим всем компам автоматическую установку через opsi, загрузимся по сети и автоматически же разольем этот файл на все компьютеры в широковещательном сегменте сети через tftp.

Для этого на области DHCP сервера зададим параметр номер 66 в ip нашего будущего сервера opsi 192.168.1.229

и параметр 67 приведем к виду linux/pxelinux.0

В DNS добавляю opsiserver.domain.local под его статическим адресом 192.168.1.229
Затем создадим виртуальную машину под наш сервер opsi на железе, которое выдержит ваши нагрузки и подойдет вам по скоростям. Ssd и несколько сетевых карт приветствуются.

Opsi поддерживает не все системы, список совместимости можно посмотреть здесь.

Устанавливаем сразу в английской локали, крайне не советую использовать кириллицу где бы то ни было на этом сервере.

Мой любимый дистрибутив debian 10 я устанавливаю в минимальной комплектации с именем opsiserver.

После установки и перезагрузки на всякий случай сконфигурируем локали:

Я выбираю все, где есть de_ en_ и ru_ системной оставляю en_US.UTF8.

Дальнейшая установка есть адаптированный под задачу пересказ этого туториала.

Поменяем имя сервера, если оно отлично от того, что нам нужно:

Приведем /etc/hosts к следующему виду:

И забудем навсегда о его существовании, так как опси требовательна к содержанию этого файла и при его изменении иногда начинает бунтовать и сыпать ошибками.

Устанавливаем требуемые пакеты:

Устанавливаем mysql сервер по умолчанию, у меня встает maria-db, он тоже подойдет.

Отвечаем на вопросы утвердительно, меняя пароль рут и запоминая его.

Добавляем репозитории OPSI в систему:

Удаляем tftpd если он есть, так как OPSI будет с ним конфликтовать:

Удаляем поддержку tftp из inetd, так как если она есть, то OPSI будет с ней конфликтовать:

И непосредственно устанавливаем opsi сервер:

в процессе спросят данные, которые нужны для создания самоподписанного сертификата, который в свою очередь нужен для шифрованного соединения клиентов с сервером.
Устанавливаем поддержку windows:

конфигурируем mysql бекенд:

Выставляем адрес сервера(localhost), пользователь от которого действуем(root), пароль root в mysql(который запоминали ранее), название бд для opsi(opsi), имя пользователя кто будет работать в этой бд(opsi), пароль этого пользователя(придумываем новый).

Далее для debian 10 надо добавить /usr/sbin в PATH:

и эту же строку стоит добавить в .bashrc в вашем домашнем каталоге. Если этого не сделать, на следующем шаге получите ошибку «chpasswd not found».

Инициализируем систему и выставляем нужные права на файлы и директории системы:

Клиенты OPSI подключаются к основному серверу через https на порт 4447, при этом если нужно вызвать какую-то установку, то клиенты подмонтируют самба-шару с сервера opsi и с нее ставят софт. Чтобы все это было возможно, мы позволяем OPSI переконфигурировать самбу.

Устанавливаем администраторский пароль для системного пользователя pcpatch:

Теперь создадим пользователя для администрирования системы:

Создадим ему пароль:

Теперь пароль для самбы, я создаю такой же, как в системе:

Добавляем в группу:

Если мы будет делать что-то с OPSI под рутом то нужно добавить рута в группу:

Ещё немного костылей:

Теперь можно загрузить пакеты в систему, а пока они загружаются, попить кофе.

Впоследствии пакеты можно будет обновить командой:

Теперь заходим на
https://download.uib.de/opsi4.1/misc/helper/, скачиваем и устанавливаем оттуда менеджмент интерфейс opsi-configed для управления сервером

вводим адрес сервера, нашего пользователя adminuser и его пароль

На этом этапе сервер установлен!

1 — все подключенные к этом серверу клиенты, их можно разбирать по группам, в том числе, вложенным, применять назначение сразу ко всей группе.
2 — вкладка с клиентами, это список тех компов, которые управляется opsi
3 — клиенты списком, здесь их можно выделить в любом порядке, чтобы применить назаначение
4 — «конфигурация продукта» — жертва перевода. На самом деле там те пакеты, что можно ставить в винду, в терминологии opsi — localboot products
5 — Netboot products — это все то, что загружается по сети
6 — opsi-mac-address — мак компа — то, по чему он определяется при сетевой загрузке
7 — opsiHostKey — это «пароль» клиента в системе opsi, если вы удалите с компа клиент opsi, а потом установите заново, то он не будет работать, так как пароль останется старым и не будет подходить. Это и бага и фича. А как бы вы сделали?

Теперь подготовим windows 10 образ, который будем разливать. Clonezilla, которой мы будем пользоваться, не так хороша, как акронис, но она всё же умеет разливать образ с меньшего диска на такой же или больший.

Поставим в систему все нужные нам программы, а также Remote Server Administration Tools for Windows 10. У меня windows 10 1903, я поставил для 1803 и всё что нужно, завелось. Скачать его можно отсюда: https://www.microsoft.com/en-us/download/details.aspx?id=45520
Нам он нужен для утилитки netdom, которая позволяет автоматически ввести комп в домен.

Для этого мы скачиваем файлы отсюда https://github.com/valmont2k/renamejoin в каталог c:\renamejoin. Создаем на контроллере домена администратора домена с возможностью только вводить компьютеры в домен с логином Joinadmin с паролем password1234QWE. Если злоумышленник перехватит этот пароль, то он сможет только навводить компьютеров в наш домен.

Запустим в администраторской консоли полностью подготовленной винды строчку из createtesk.txt, что создаст задачу на запуск при загрузке.

Вся схема будет работать следующим образом:
Когда мы разольем образ по всем компам, при первой загрузке windows запустит задачу C:\renamejoin\step1.cmd , которая переименует комп в win-%random% , перезагрузит комп, удалив C:\renamejoin\step1.cmd и переименуя C:\renamejoin\step2.cmd в C:\renamejoin\step1.cmd . На следующей загрузке windows запустит C:\renamejoin\step1.cmd , который введет этот комп в домен, перезагрузит его и удалит C:\renamejoin\step1.cmd . Потенциально опасную задачу мы сможем удалить с компьютеров домена позже. Через OPSI конечно же!

Пришло время подготовленную винду сконвертировать в образ.

Через иконку компьютера с плюсиком добавляем наш компьютер в менеджмент интерфейсе opsi opsi-configed, выставляем его мак-адрес. Сохраняем. Переходим в Netboot продукты, напротив clonezilla ставим «setup». В конфигурации для клиента выставляем все как на скриншоте: название файла и команду, по которой весь диск заливаем в образ. В биосе компьютера с виндой выставляем загрузку из сети. Перезагружаем комп. Если вы всё сделали правильно, то увидите, как винда перетекает в образ без помощи рук.

Тем временем, компьютеры собраны, но их нужно добавить как клиенты в opsi вместе в их мак-адресами, добавлять их ручками совсем не боярское дело, верно?

Запускаете на opsiserver:

И, выставив в настройках биоса всех компов загрузку по сети(а заодно пробуждение от PCI-E устройств, по сети, позже поймете зачем), загружаем их. Если при загрузке появляется синее окошечко opsi boot menu,

то вы всё делаете правильно.

Компьютеры при загрузке обращаются к нашему серверу, tcpdump записывает их мак адреса в файл /var/log/tftp , а с помощью скрипта из репо https://github.com/valmont2k/opsi-hosts-importer который надо запускать на opsiserver после того, как все компы отметятся в opsi и оставят там свои мак-адреса. Этот скрипт использует API opsi вот отсюда https://download.uib.de/opsi4.1/experimental/documentation/html/opsi-api-documentation/opsi_API.html и немного магии. После его запуска у вас появятся клиенты на opsiserver вида win%random32%.domain.local

Следующий этап — разливка образа windows(который уже должен был сделаться), на все компьютеры.

Для этого выделяем все компы, на которые надо поставить винду и напротив clonezilla выставляем значения как на скриншоте. Компы выключаете, потом по очереди включаете несколько из них и наблюдаете, как на них полностью автоматически накатывается винда, они сами переименуются и вводятся в домен.

Если есть желание автоматизировать и это, то ставите etherwake и пишете скрипт, который с заданной задержкой берет из файла /tmp/newmacs мак-адреса и будит их хозяев, чтобы они по очереди накатили себе винду. Смотри update 1.

Я сделал жест Роналдо из рекламы шампуня и уже собрался за кофе, когда в мой телефон снова позвонил Илон Маск и добавил:

— Да, я забыл сказать, надо, чтобы завтра на всех компьютерах стояла %program% последней версии, справишься?
— Конечно, завтра всё будет!
Не могу же я расстраивать кумира технократов, значит нужно снова приложить мозги к рукам.

Неплохо бы, чтобы при загрузке компы ставили себе клиент opsi с названием opsi-client-agent. Сделать это можно через групповые политики домена.

Чтобы это происходило без ввода пароля при установке, надо в файле
/var/lib/opsi/depot/opsi-client-agent/files/opsi/cfg/config.ini на opsiserver
добавить как значение service_hidden_password пароль вашего пользователя adminuser в base64

Дальше добавляем групповую политику в домене setupOPSI и берем скрипт для нее отсюда https://github.com/valmont2k/opsi-install-opsi-client-agent-over-active-directory-domain-policy
Не забудьте вставить свои значения в скрипт.

Если вы все сделали правильно, то при первой перезагрузке в домене клиенты будут ставить opsi-client-agent , перезагружаться и появляться под своими именами вида win-%random% в интерфейсе управления OPSI. Старых клиентов с теми же мак-адресами можно удалить.

Теперь можно переходить к установке %program% .

Заходим сюда https://forum.opsi.org/viewtopic.php?f=22&t=7573 и находим ссылку на пакет *.opsi с названием packagebuilder , что-то типа «opsi PackageBuilder Windows (opsi Paket)» .

Скачиваем пакет в директорию /var/lib/opsi/workbench на opsiserver

и устанавливаем его:

Теперь в интерфейсе управления opsi нажимаем на кнопочку обновить и видим, что у нас появились новые пакеты opsipackagebuilder и opsi-setup-detector .

Ставим их через интерфейс управления на тестовую машину под виндой.

Когда программы opsipackagebuilder и opsi-setup-detector установились, запускаем opsi-setup-detector и натравливаем его на инсталлер программы windirstat , скачанный предварительно с официального сайта программы.

Перед установкой надо настроить параметры программы. Подмонтируем шару на тестовой машине \\opsiserver.domain.local\opsi_workbench как диск z:, впишем свое имя и свою почту в заданные поля:

OPSI может делать один пакет, используя 32 и 64 инсталлеры одновременно и ставя их, исходя из разрядности системы, у нас же везде 64 бит, так что нажимаем «Analyze single file. »:

Видим, что детектор не понял каталог установки, его мы можем узнать сами, попытавшись установить программу через инсталлер. Зато задетектил тип установщика, версию программы, размер приложения в собранном и развернутом виде, ключ автономной установки, ключ автономного удаления и название uninstaller’a.

Вписываем сами каталог установки и жмём Next Step:

Здесь можно добавить имя продукта, его ID, описание и выставить версию пакета, то есть поставить ту попытку, которую мы предпринимаем, чтобы собрать пакет(в нашем случае первая попытка):

Можно проставить зависимости, это значит, что для установки текущего пакета сами выставятся к установке те пакеты, которые проставлены в требованиях к нашему:

Create OPSI package:

Мы создали пакет, теперь на opsiserver надо зайти в /var/lib/opsi/workbench/windirstat .

Если все прошло хорошо, то в интерфейсе управления opsi-configed нажимаем на кнопочку «обновить» и видим, что у нас появились новый пакет windirstat , который можно установить на выбранные компы в нашей сети.

Бинго! Первый пакет собран!

Усложним себе задачу, при помощи powershell создадим правило в брандмауэре виндовс, дающее доступ к клиенту к порту 4441 и 4447 и сделаем автозагрузку этого приложения для пользователя через твик реестра, как будто это был бы, например, мессенджер.

Открываем opsi package builder:

Выбираем открыть пакет и открываем наш пакет с windirstat:

OPSI по умолчанию действует следующим образом: при удалении программы из uninstall.opsiscript вызывается delsub.opsiscript, который и удаляет программу. При установке программы из setup.opsiscript вызывается delsub.opsiscript, который удаляет программу, а потом setup.opsiscript устанавливает её. Поэтому правки для создания чего-то делаем в setup.opsiscript, а правки для удаления чего-то — в delsub.opsiscript.

setup.opsiscript можно открыть через значок карандашика, а delsub.opsiscript через Script Tree.

Вот полное меню файлов.

Каждую попытку сборки пакета стоит увеличивать на единицу его версию.

Добавляем программу в автозагрузку через opsi, для этого в setup.opsiscript вставим строки:

А в delsub.opsiscript вставим строки:

Добавляем правило в брандмауэр через запуск powershell скрипта, для этого в setup.opsiscript вставим строки:

А в delsub.opsiscript вставим строки:

Полный код можно посмотреть здесь:

Я уже расслабился, смотря как opsi раскатывает %program% последней версии на всю сеть, как мои размышления о высоком снова прервал Илон.
— На следующей неделе приедут ещё 500 человек, офисы уже сняты, компы завозятся, сетевик есть, нужно развернуть виндовс сеть в шести филиалах по городу, справишься?
— Ну конечно же, это же не рокет саенс — устало отшутился я в ответ.

Клонируем наш сервер opsiserver средствами гипервизора, разворачиваем его в филиале.
Предполагаем, что центральный офис соединен с филиалами через VPN со скоростью хотя бы 10мбит.

Сейчас мы сделаем depot сервер, то есть сервер для хранения пакетов в филиале. Клиенты в филиале будут стучаться по https на основной сервер, а если нужно будет ставить софт, то будут подмонитровать depot сервер в своем филиале и ставиться с него, сделано это в частности для экономии канала интернет между офисом и филиалом.

Настраиваем на филиальном сервере opsiserver-2 статический адрес из местной сети меняя файл /etc/network/interfaces согласно новой сети.

Меняем hostname и hosts:

в /etc/hosts актуализируем данные, вбивая новый ip адрес

Переименовываем сервер opsi средствами opsi:

С сервера opsiserver-2.domain.local подключаем его к opsiserver.domain.local как depot:

Указываем имя основного сервера, к которому подключаем новый depot, администратора и пароль:

Здесь ничего менять не нужно:

Проследить, что все сделано правильно, можно в opsi-configed:

Далее надо настроить систему так, чтобы клиенты сами выбирали себе сервер depot. Выделяем всех клиентов и выставляем им dynamic depot. По умолчанию клиент смотрит на свой ip адрес и выбирает depot из своей сети.

Теперь настраиваем, чтобы все будущие клиенты сразу динамически выбирали depot:

Всё, на этом настройка нового сервера depot закончена, устанавливать opsi-client-agent для компьютеров в местной сети можно с него тем же скриптом, что и ранее мы устанавливали в основном офисе, не забыв сменить ip адрес внутри скрипта.

В каждом филиале ставим по контроллеру домена(можно Readonly), делаем свою адресацию сети, делим default-site внутри домена windows на подсайты, каждому из которых делаем свою subnet, свою групповую политику со своим скриптом установки opsi-client-agent.

Потом повторяем в новом филиале.

Я допил кофе и пошёл домой, а светодиод на сетевой карте сигнализировал о том, что новые и новые системы раскатывались под шум кулеров…

Update 1:
Как оказалось, скриптовать не обязательно, opsi-configed позволяет мышкой нащелкать пробуждение клиетов по шедулеру.

Редакторский дайджест

Присылаем лучшие статьи раз в месяц

Скоро на этот адрес придет письмо. Подтвердите подписку, если всё в силе.

Похожие публикации

Развертывание Windows Azure WebJobs

Непрерывное развертывание проектов в Windows Azure с помощью Team Foundation Service

Путь обучения: Развертывание Windows на множество компьютеров (материалы на русском языке)

Вакансии

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Комментарии 13

По вашему описанию, OPSI очень похож на кучку костылей, в чём вы с первых же строк и написали, поэтому прошу не считать мой коммент упрёком.

1. Безагентная инвентаризация, с загрузкой линукс по сети требует ручного выбора сетевой загрузки в загрузочном меню? Фишка прикольная, но зачем? В какой реальной ситуации нельзя воспользоваться доменными политиками и скриптами или нельзя поставить агента, но требуется инвентаризация?
Я знаю о ПК, подключённых к весам, счётным машинам, медицинскому оборудованию и т.д. В этом случае вам и инвентаризация не особо нужна — вы либо можете одноразово запустить агента либо, если вендор вам запрещает «лезть в винду», то уж в аппаратную часть тоже обычно запрещают.

2. Дополнительно, у всех пользователей сейчас выскакивает (хоть и на секунду) загрузочное меню BIOS’а?

3. В качестве идентификатора машины используется MAC-адрес? Если да, то как OPSI переживает смену сетевушки? Если нет, то инвентаризация через агент и через сетевую загрузку создадут в БД две машины?

4. Платный MySQL-модуль для >300 клиентов. Без него, с maria-db будет тупить на 300+ клиентов?

5. Про расширение WAN на сайте написано, что установка кешируется и может быть выполнена оффлайн. Без этого расширения как происходит скачивание? Есть кеширование или установщик запускается прямо с сетевой шары, без предварительного скачивания? Есть ограничения скорости (чтобы не нагружало сеть)? Есть отложенная установка (чтобы не получить утром ситуацию «все компы обновляются»)? Проверка целостности пакетов?

Установка Windows на машины.
6. У вас пароль локального админа в скриптах? Т.е., я, сразу после установки ОС, смогу его прочитать?

7. %random% в имени машины — плохая идея. Во-первых, он не такой уж и random (https://devblogs.microsoft.com/oldnewthing/20100617-00/?p=13673), во вторых, просто для собственного удобства иногда удобно писать в имя часть MAC’а — тогда удобно определять, что это за комп, даже не включая его.

8. Зачем пляски с tcpdump, если вы ставите потом агента? Зачем etherwake, если к моменту, когда вы его упоминаете, уже отработал tcpdump, а значит, машинка уже загрузилась по сети? OPSI не умеет будить машины, которые уже знает?

Установка агента.
9. Скрипт установки — не ужас-ужас, но захардкоженные пути и неиспользуемые куски кода — это не очень хорошая практика для случаев «берем скрипт отсюда. »

Если вы все сделали правильно, то при первой перезагрузке в домене клиенты будут ставить opsi-client-agent, перезагружаться и появляться под своими именами

10. Без перезагрузки после установки агент неработоспособен?

11. Если инсталер не поддерживает unattended-установку или silent-ключи, возможно создать пакет без написания своих скриптов и ручного ввода параметров, например, через сравнение снапшотов клиентской ОС до и после установки %program%? Ясно, что всё равно придётся допиливать по мелочи, но всё же.

Спасибо за хороший вопрос!
1. Безагентная инвентаризация-просто прикольная фишка, которой я не встречал нигде. Не могу с ходу придумать хорошего примера, но думаю, есть ситуации, когда именно такой вариант решает. Тут ньюанс ещё и в том, что полученный формат данных безагентной инвентаризации совпадает с форматом данных агентной инвентаризации, что позволяет использовать единую базу инвентаризации. У opsi платный агент и возможно не покупать его, а проводить безагентную инвентаризацию на линукс и любом зоопарке(freebsd, Linux, hackintosh, os/2, VMWare, dos. )

2.Да, как раз opsi boot menu табличка на синем фоне и задержкой в 1 секунду и есть это дополнительное меню. Кстати, здесь можно выбрать другой пункт(а не по умолчанию первый-продолжить загрузку с диска) и загрузить по сети образ Linux с opsi.

3. В режиме pxe boot идентификатор-Mac адрес устройства, в агентом режиме идентификатор- opsiHost(имя агента) и opsiHostKey(пароль). Если из железа у имеющегося агента поменять сетевушку, то он при первой загрузке пропишет мак адрес новой сетевушки и будет жить дальше. Если же поменять сетевушку и сразу загрузиться по pxe, то opsi не будет знать этого агента и загрузит дефолтное opsi boot menu. Чтобы смена сетевухи прошла как надо, надо просто загрузиться один раз в агент режим и жить дальше.

4.Пока не знаю, у меня около 150 клиентов и от opsi только самые лучшие впечатления. Иногда бывают проблемы, но они все понятные и решаемые, а те функции, что есть в opsi работают надёжно. Нагрузочного тестирования я не устраивал, если вы займётесь-напишите о результатах. Кроме того, 300 клиентов можно использовать совершенно по разному. Если каждый день при загрузке ставить soft+Hard инвентаризацию, то это одна нагрузка, а если раз в месяц раскатывать мессенджеры на всю сеть, то это другая нагрузка, раз в 50 меньше. При моём режиме использования(он ближе ко второму) я не думаю, что на 300 клиентах будут тормоза.

5. Без расширения установка происходит с сетевой шары, без скачивания. По умолчанию, на загрузке комп блокируется и opsi ставит свои пакеты. Ограничения скорости я не видел, в базовой системе её нет. Отложенный установки так же нет. Проверка целостности есть при раскатке по depot’ам, при раскатке на клиенты её нет(так как ставится прямо из шары). По дефолт у вы и имеете ситуацию «все Компы обновляются», чтобы сгладить её, нужно выставлять обновление части компов, ещё можно использовать установку при выключении( install on shutdown).

6. Да, пароль локального админам в скриптах, вернее в образе системы и он удаляется ещё до первого входа пользователя. Сразу после установки нет файла с паролем и вы не сможете его прочитать.

7. Согласен, плохая идея, но нам надо быстро! При этом вероятность коллизии около нуля, проблемы от коллизии локальны и рашаемы.

8. Пляски с tcpdump нужны, когда у вас сто собранных компов и надо собрать их мак-адреса. Выставить установку с образа можно только созданному в opsi клиенту, а чтобы его создать, нужен мак-адрес. Поэтому мы один раз загружаем все компьютеры, не загружая на них ничего по сети, цель этого- получить мак адреса компов в сети и из них создать клиентов opsi. Со второй загрузки у уже созданных клиентов можно ставить систему для клиентов opsi, у которых уже прописан мак-адрес. Opsi не помню, умеет ли будить компы(вроде умеет), а ethrewake нужен, чтобы делать это автоматически, ночью, когда вы спите, а системы разливаются.

9. Не лучшая практика, можно ставить агент прямо в образ, можно ставить агент при автоматической установке Windows, можно использовать https://github.com/opsi-org/opsi-deploy-client-agent, можно делать как я — в этом и плюс opsi, можно выбрать вариант, который вам понравится.

10. Да, неработоспособен, по умолчанию он ещё сам перезагружает машину, входя в рабочий режим.

11. После сравнения снапшотов вы получите несколько файлов и дифф реестра, совсем без написания кода создать пакет вряд ли получится, придётся написать куда копировать файлы и как менять реестр, хотя бы на powershell. Можно найти подходящий похожий пакет opsi и списать с него. А есть инструмент который позволит сделать это совсем без написания кода? Чтобы я знал, на что вы ориентируетесь?

1. А, агент платный + инвентаризация неWindows-ПК, такие причины сойдут.

2. Я сначала невнимательно посмотрел на скриншот, подумал, что это меню BIOS’а. Сейчас понял, что у вас все ПК грузят образ opsi boot menu по сети, в котором уже можно выбрать загрузку с HDD. Образ много занимает? OPSI в таком случае может подкинуть образ, в котором по default’у выбран пункт с безагентной инвентаризацией (чтобы к компу не подходить вообще)? Как с безопасностью всего этого — если злоумышленник свой dns+tftp для pxe в сеть внедрит?

3. Раз идентификаторы разные и, допустим, мы используем агента, но случайно выбрали в меню opsi загрузку с безагентной инвентаризацией — в базе появится клон с другим id? Или, при наличии агента, проще вообще отключить это загрузочное меню, если оно больше ни для чего не нужно?

4. Ежедневная инвентаризация, как по мне, совершенно не нужна. Достаточно не давать юзерам прав администратора, чтобы не ставили левый софт. А при аппаратных апгрейдах достаточно один раз запустить на новой конфигурации. Чтобы пользователи не лезли в железо — ставим пароль на bios + блокировку загрузки, если было вскрытие корпуса (сейчас во всех закупаемых нами ПК такое есть).

5. Про блокировку на время установки прям совсем не понравилось. Ладно, упомянутый windirstat всего 600 килобайт весит, задержку на его установку никто не заметит. А офис как раскатывать? А обновления? Пользователь уже работать хочет, а ему не дают…
Установка при выключении, наверное, спасает. Но если юзер не дождётся и принудительно вырубит питание? OPSI умеет делать rollback?
Возможно, также спасёт установка при загрузке + включение с помощью WOL за полчаса до начала рабочего дня.

6. Если я правильно понял, пароль вы удаляете когда opsi уже работает.
Т.е., накатили образ — перезагрузка1 — переименовали машину — перезагрузка2 — ввели в домен — перезагрузка3 — установили агента opsi — перезагрузка4 — opsi удалил все скрипты с паролями.
На любой перезагрузке между первой и четвертой можно загрузиться с флешки и считать пароли. При первоначальной настройке, когда пользователей ещё нет и все компы перед вами, это не проблема. Что будете делать, когда вам надо будет переустанавливать ОС? Например, массовая миграция на следующую версию, или по другим причинам. Будете следить стоять у компа, пока процесс не завершится? А если надо сразу несколько компов перезалить?
Забыл ещё уточнить, что кроме пароля password1234QWE у вас в файле createtesk.txt светится пароль локального администратора и нигде нет упоминания (учитывая, что в сети мало ru-материалов по OPSI, эта статься может стать руководством для начинающих), что этот файл надо убрать из образа — он так и будет лежать в C:\renamejoin\, пока агент его на удалит.

проблемы от коллизии локальны и решаемы.

Как это можно обнаружить в OPSI? Для исправления, полагаю, достаточно ещё раз тачку переименовать и переустановить агента.

Выставить установку с образа можно только созданному в opsi клиенту,

Opsi не помню, умеет ли будить компы(вроде умеет), а ethrewake нужен, чтобы делать это автоматически,

Если OPSI умеет будить компы (судя по позиционированию — он ДОЛЖЕН уметь), но вам пришлось использовать стороннюю утилиту — это означает, что OPSI не имеет планировщика?

9. А расскажите о подводных камнях при установке агента в образ. Он же привязывается к имени хоста, а до первого запуска step1.cmd имя хоста у всех одинаковое.
Алсо родился вопрос — как OPSI реагирует на переименование компа после установки агента?

11. В прошлом десятилетии пользовался каким-то софтом (возможно, wise installer), предназначенным для создания инсталяционных пакетов. Помимо ручного создания дистрибутивов он умел отслеживать изменения, вносимые при установке другого софта, и на основании этого сам создавал скрипты установщика. Условно так:
— запустил wise, нажал кнопку record
— установил windirstat
— в wise нажал кнопку analyze
получил готовый скрипт, который можно скомпилировать в готовый установщик.
Да, приходилось иногда вычищать скрипт (игры любили ставить «свой» DirectX, а софт без спроса мог поставить .NET framework). Зато автоматически получал списки файлов, которые надо скопировать в %WINDIR% и в %PROGRAMFILES%, ключи реестра, с правильными ссылками на файлы, корректные ярлыки, записи в ini-файлы.

12. OPSI-пакеты для установки получаются в каком виде — оригинальные установщики. которые агент запускает с нужными ключами или он их перепаковывает в свой формат?
Их можно вручную скачать/запустить? При обновлении оригинального дистрибутива можно просто свежий msi подкинуть в папку или надо заново пакет создавать?

13. Судя по описанному в статье и комментах — новый софт ставится только в момент включения (или выключения) компьютера. Т.е., даже чтобы поставить notepad++ (который вообще достаточно просто распаковать и создать ярлык при желании) — надо обязательно перезагружаться?
Я знаю, что в спорах win/*nix часто возникает аргумент «винду надо постоянно перезагружать, а меня аптайм на линуксе четыре года». Но у меня Windows может не перезагружаться неделями, только на ночь в ждущий/спящий режим уходят (в зависимости от того, как это переживает запущенный софт).
Для SCCM это не проблема, перезагрузка требуется только тогда, когда устанавливаемый софт (а не агент) этого требует (например, антивирус или драйвера).

2. «все ПК грузят образ opsi boot menu по сети, в котором уже можно выбрать загрузку с HDD.» — нет, это не так, они грузят просто меню, за секунду, в котором по умолчанию стоит пункт продолжить грузить систему с локального дикса и задержка 1 секунда, для пользователей это не вносит сильной задержки. Для безагентной инвентаризации просто выставляете для нужных клиентов «Всегда» в netboot инвентаризации(безагентной) и они каждый раз при загрузке будут инвентаризироваться, а потом будет загружаться система. К компу вообще можно не подходить, всё делается само. Система защищена ровно так же, как и протокол PXE, то есть если злоумышленник поднимет в этой сети свой DHCP+TFTP то у него все шансы на успех.

3. В реальной работе у одного компа прописан один агент и в нем есть и opsihost и macaddress, можно загрузить и винду с агентом и по pxe. В базе НЕ появится клон с другим id, так как сама opsi агентов себе не создаёт. Там достаточно большое меню, можно загрузить установку почти всех популярных систем, а для обычных компов из полезного есть wipedisk, memtest, безагентная инвентаризация.

4. Я делаю инвентаризацию при каждой загрузке, но не через opsi, а через повершелл, github.com/valmont2k/powershellinventory так как был случай, когда понадобилось доказать, что это-наши компы, из наших комплектующих, через запись серийников в базу git. Конечно, ваш выбор по поводу инвентаризации, но что помешает пользователю забрать планку памяти себе? Вот сейчас около сотни компов забрали люди домой работать, а у меня записано всё о них, объёмы, серийники всего, включая мониторы. Без инвентаризации я бы просто поверил им, сейчас у меня есть возможность проверить, это важно для меня. Вскрытие корпуса конечно хорошо, но оно не дает никакой информации кроме того, что корпус был вскрыт. Сможете подать заявление в милицию на пользователя за вскрытие корпуса? А я смогу подать за кражу такой-то памяти, такого-то объема с таким-то серийником.

5. Есть еще silent установка пакетов, но я как-то пока не настроил. » OPSI умеет делать rollback?» — нет, она просто покажет, что установка не удалась и почему(с клиентов на сервер отсылаются подробные логи всего происходящего).

6. Нет, накатили образ — перезагрузка1 — переименовали машину — удалился файл с паролем локального админа — перезагрузка2 — ввели в домен — удалился файл с админом домена — перезагрузка3 — установили агента opsi — перезагрузка4. «загрузиться с флешки и считать пароли» — если можно загрузиться с флешки, то можно просто посмотреть пароли, не знаю как в windows 10, но в семерке пароли можно было смотреть спец софтом. Если есть возможность загрузиться с флешки, то это уже дает все права в компе. «в файле createtesk.txt светится пароль локального администратора» — только это мой выдуманный пароль, если человек ставит в этот файл свой пароль, он наверное думает куда этот файл деть?

7. В OPSI никак, просто комп не заведётся в домен. Потом ручками комп перезавести и всё.

8. Нет, функции заведения клиентов автоматически, нет насколько я знаю. OPSI грузит на неизвестные машины свое boot menu из которого можно запустить стандарный образ linux. OPSI умеет как оказалось будить компы, в том числе и по планировщику.

9. Я не устанавливал агент в образ, не могу ничего сказать про это. OPSI никак не реагирует на переименование компа после установки агента, потому что однажды создает его равным имени компа и оставляет таким, не связывая его с именем компа в домене больше. При желании можно переименовать. У меня работает скрипт, который в описание клиента пишет имя компа из домена. В дополнение можно посмотреть сессию под каким пользователем сейчас комп.

11. А на чем был скрипт-то? на cmd? Думаю, в виде скрипта с файлами или установщика запихнуть их в пакет opsi не составит большого труда.

12. Свой формат, файл с расширением .opsi. Вручную запустить нельзя. Скачать только ручками. При обновлении оригинального дистрибутива надо заново создавать пакет. Есть software-on-demand — это когда вы назначаете, какие пакеты пользователи могут ставить сами, тогда юзер может запустить из программ software-on-demand-клиент, выбрать в нем программы из opsi и установить их.

14. Новый софт ставится также по нажатию в opsi-configed кнопки «применить», сразу, но я этот момент не описывал, так как это не автоматическая функция, а я старался именно автоматическую часть отработать. Можно при желании сделать для всех клиентов сделать автоустановку софта ночью, чтобы не мешать работать и тогда всё будет происходить точно как вы описываете с SCCM.

2.… нет, это не так, они грузят просто меню

Для безагентной инвентаризации просто выставляете для нужных клиентов «Всегда» в netboot инвентаризации(безагентной) и они каждый раз при загрузке будут инвентаризироваться, а потом будет загружаться система

Я так и не понял — после безагентной инвентаризации как будет загружена основная ОС?
Я пока вижу два варианта, в обоих в BIOS’е выставлена загрузка по сети:
— при включении, OPSI выдаёт клиентскому компу меню, в котором дефолтным стоит безагентная инвентаризация; после завершения инвентаризации ПК перезагружается; при перезагрузке OPSI уже знает, что инвентаризация прошла и выдаёт клиенту меню, в котором дефолтная уже строка «boot from local disk». Если OPSI так умеет, то наверняка, можно конкретным машинам параметр «запустить безагентную инвентаризацию при следующей перезагрузке»
— при включении сразу грузится образ безагентной инвентаризации, после завершения работы ПК НЕ перезагружается (потому что при следующей перезагрузке опять загрузится тот же образ), а после linux’а передаётся управление загрузчику windows. Не уверен, что такое возможно, но если нельзя оперативно менять дефолтный пункт загрузочного меню, то я не вижу другого способа.

Система защищена ровно так же, как и протокол PXE, то есть если злоумышленник поднимет в этой сети свой DHCP+TFTP то у него все шансы на успех

Обычно, если в инфрастуктуре используется pxe, то он либо для ручного выбора загрузки по сети (для установки ОС, например), либо для загрузки тонких клиентов.
Если злоумышленник поднимет свой dhcp+tftp — он сможет только загрузить свою ОС на тонком клиенте, на котором нет никаких критичных данных (может даже не быть локального жесткого диска). Максимум, что он получит — ещё один свой хост в сети, но если он поднял dhcp+tftp, то он уже внутри периметра, доп.хосты ему только разве что для распределенного брутфорса нужны… Либо можно загружать пользователям свой вариант образа, максимально похожий на то, что они обычно используют (не уверен, можно ли это назвать фишингом), но тут сложность атаки зависит от защиты серверной инфрастуктуры.
У вас же pxe везде используется, но как основная грузится операционка с локального диска. Злоумышленник может получить доступ к локальным файлам пользователей, сбросить пароль локального администратора, отключить антивирусное и прочее защитное ПО, модифицировать настройки винды и т.д.

3. В реальной работе у одного компа прописан один агент и в нем есть и opsihost и macaddress, можно загрузить и винду с агентом и по pxe

Тогда я правильно понял, что при загрузке безагентной инвентаризации OPSI увидит совпадение MAC’ов и запишет данные инвентаризации тому win-хосту, у которого такой же MAC? И сравнение будет только по MAC’у, без пароля?

4. Я делаю инвентаризацию при каждой загрузке, но не через opsi

Конечно, ваш выбор по поводу инвентаризации, но что помешает пользователю забрать планку памяти себе? Вот сейчас около сотни компов забрали люди домой работать, а у меня записано всё о них, объёмы, серийники всего, включая мониторы. Без инвентаризации я бы просто поверил им, сейчас у меня есть возможность проверить, это важно для меня. Вскрытие корпуса конечно хорошо, но оно не дает никакой информации кроме того, что корпус был вскрыт. Сможете подать заявление в милицию на пользователя за вскрытие корпуса? А я смогу подать за кражу такой-то памяти, такого-то объема с таким-то серийником.

А вы сможете подать заявление в полицию без акта передачи оборудования, только на основании того, что в вашей (причём, как оказалось, самописной, той, которая на powershell) поменялись какие-то данные? Что-то сомневаюсь. Нет, если в вашей базе окажется именно тот серийник, который был изъят у обвиняемого, то это поможет, но не гарантирует успеха в суде (например, защита может убедить судью, что вы внесли именно этот серийник после того, как увидели его в материалах дела)
Если даёте машины пользователям домой без актов приемки-передачи (или аналогичной записи в трудовом договоре, например), то и инвентаризация не нужна — вы просто не сможете доказать, что этот сотрудник получал комп и что в том компе была та самая планка памяти, которая оказалась у него дома.
Придёт с карантина, сдаст комп, если серийники в актах сошлись — значит всё ок. Ну и что с того, что он вынимал планку памяти и ставил её себе в домашний комп, а сам работал на «ослабленой» тачке? Если на его показателях работы это не сказалось — пускай пользуется.
Про датчик вскрытия я не писал, что он заменяет инвентаризацию. Его срабатывание — просто повод провести повторную инвентаризацию. Пока он не сработал — ежедневная инвентаризация особо не нужна, только база будет распухать. Можно хоть раз в полгода её запускать + по некоторым событиям (увольнение сотрудника, перемещение между локациями, работы ИТ-сотрудника, срабатывание датчика вскрытия и т.д.). Впрочем, если у вас с работы планки памяти воруют…

5. Есть еще silent установка пакетов, но я как-то пока не настроил

Silent — это в фоновом (для пользователя) режиме? Т.е., сейчас у вас весь софт ставится только при перезагрузке? А при выборе пользователем доступных ему для установки пакетов (software-on-demand) — они будут тоже установлены только при перезагрузке или комп заблокируется на время установки или пользователь может продолжать работать, пока идёт установка?

6.… если можно загрузиться с флешки, то можно просто посмотреть пароли, не знаю как в windows 10, но в семерке пароли можно было смотреть спец софтом. Если есть возможность загрузиться с флешки, то это уже дает все права в компе.

Нет, про пользовательские пароли и всё такое я писал в п.2. Там не с флешки, а по сети, но суть такая же — пользователь может загрузиться с чего-то, кроме локального жесткого диска, не залезая в настройки BIOS.

«в файле createtesk.txt светится пароль локального администратора» — только это мой выдуманный пароль, если человек ставит в этот файл свой пароль, он наверное думает куда этот файл деть?

Не, не думает. «Это же мануал на хабре, у автора профиль на гитхабе, он уже протестировал и пользуется OPSI, как тут не довериться его скриптам? В статье же написано, что оно потом всё удалится.»
Если серьезно, как только пароль оказывается записан в файлике, он там остаётся, считай, навечно. У меня с поза-поза-. -позапрошлой работы до сих пор где-то, возможно, валяется аналогичный скрипт с паролями. Менять такие пароли «нельзя», потому что тогда надо будет менять его на всех флешках и во всех файлохранилищах, куда его растащили инженеры, которые с ним работали.
А для новичков — вы же расписали, что надо поменять пароль для ввода ПК в домен, а про этот пароль нет инструкций, значит можно не париться.
Впрочем, это можно исправить, сбросив пароль через доменные скрипты или тот же OPSI.

7. Да, что-то тут я тупанул. Действительно, ещё на этапе ввода в домен будет ошибка. И будет он так стоять с ошибкой, пока кто-нибудь к нему не подойдёт… И хорошо, если это будет не vip-юзер.

8. Нет, функции заведения клиентов автоматически, нет насколько я знаю. OPSI грузит на неизвестные машины свое boot menu из которого можно запустить стандарный образ linux

А можно это меню поменять? Просто у вас сейчас tcpdump логирует все попытки сетевой загрузки и все компы сейчас настроены на сетевую загрузку. Лог растёт, а польза от него — нет. Плюс пляски с двойной перезагрузкой для новых машин.

9. Я не устанавливал агент в образ, не могу ничего сказать про это. OPSI никак не реагирует на переименование компа после установки агента, потому что однажды создает его равным имени компа и оставляет таким, не связывая его с именем компа в домене больше

А, ну значит сам агент в образ не внедрить. Но можно положить в образ дистрибутив агента и запускать установку в step2.cmd — одну перезагрузку можно сэкономить.

11. Нет, скрипт был не на cmd. У того ПО был свой скриптовый язык, на основании которого потом компилировался setup.exe с wizard’ом.

14. Новый софт ставится также по нажатию в opsi-configed кнопки «применить», сразу, но я этот момент не описывал,

Так, постойте. Как только админ в консоли OPSI нажал кнопку «Применить» — на клиентские машины сразу начинается установка пакета? А пользователь в это время работать может? А распределение нагрузки есть?

15. к сожалению, отчетов [инвентаризации] по всем компьютерам сети нет, данные для них надо получать из opsi и строить самостоятельно.

Как это, нет отчётов? А смысл тогда внедрять такую инвентаризацию, если потом самому пилить отчёты? В этом плюсы опенсорса?

P.s. для понимания, почему я такие вопросы задаю — на бездоменных инфрастуктурах я раньше использовал самописные скрипты, которые делали то же самое, только без красивого интерфейса. Но это было давно, в последние годы, в основном попадаются домены и SCCM (ну и количество машин 500+). Время от времени поглядываю на другие продукты, надеялся, что OPSI сможет хоть где-то заменить SCCM.

2. Именно, загрузчик и меню, «грузить просто меню» я сказал, чтобы сосредоточить внимание на том, что образ линукс не грузится.
в opsi реализован вариант «при включении, OPSI выдаёт клиентскому компу меню, в котором дефолтным стоит безагентная инвентаризация; после завершения инвентаризации ПК перезагружается;»
«после linux’а передаётся управление загрузчику windows» — на текущей архитектуре, насколько я знаю, это технически невозможно.
«У вас же pxe везде используется, но как основная грузится операционка с локального диска» да, вектор атаки есть, об этом я и говорю. Если вы считаете риск подобного критически высоким, стоит прописать правила брандмауэра на маршрутизаторах, запретив исходящий 69 порт udp на всех других портах сети, кроме нужного. Эта схема внедрена на всех без исключения провадерах интернета.

3. Совпадение маков где и где?

4. У нас ежемесячная инвентаризация с серийниками плюс акты приема-передачи. Я говорил с адвокатом и выбрал именно такую систему. Никому не навязываю.

5. «Silent — это в фоновом (для пользователя) режиме» — да, значок в трее, работать можно.
software-on-demand — установка сразу после нажатия кнопки «установить» пользователем, комп не блокируется.

6. «Не, не думает.» — профнепригодность. Остальное просто безудержное зло какое-то, честное слово.

7. «Да, что-то тут я тупанул. Действительно, ещё на этапе ввода в домен будет ошибка. И будет он так стоять с ошибкой, пока кто-нибудь к нему не подойдёт… И хорошо, если это будет не vip-юзер.» Вы ищете уязвимости, как в рассказе про хакера с солонкой. В тексте описаны конкретные условия — есть пустой кабинет, админ и 100 компов. Если придумываете vip-юзера, то почему так скучно? Придумайте космическую частицу, которая перепишет программу на моем компе так, что та случайно взломает по уязвимости атомную станцию, взорвав её и задайте вопрос, как я от ядерного конца света защищён.

8. «А можно это меню поменять?» — я пока не разбирался с этим, но вообще это открытый софт, конечно можно, вопрос только в усилиях для этого. «Лог растёт, а польза от него — нет.» вы реально ставите в претензию рост текстового файла?

9. «А, ну значит сам агент в образ не внедрить» это не так. Я не разбирался с этим, так как надобности не было, но подозреваю, что с гибкостью opsi возможно и это.

11. Значит в opsi можно добавить интерпретатор того скриптового языка и собирать так пакет. Либо работать сразу с setup.exe и wizard’ом.

14. «Как только админ в консоли OPSI нажал кнопку «Применить» — на клиентские машины сразу начинается установка пакета?» — если вы в консоли выбрали все клиентские машины, то на все клиентские машины начнется установка пакета, если вы выбрали некоторые клиентские машины, то на некоторые. «А распределение нагрузки есть?» — на установках более 3000 машин есть возможность приобрести модуль для этого www.uib.de/en/opsi-cofunding/scalability-1

15. Встроенных отчётов нет, я для себя без труда написал отчёты, которые нравятся мне. Кроме того в opsi есть фишка выбора компов по железячным и любым параметрам — можно выбрать с любым уровнем гибкости, например где установлен windirstat, при этом свободного места осталось менее 10 гб и проц амд(пример выдуманный). «А смысл тогда внедрять такую инвентаризацию, если потом самому пилить отчёты? В этом плюсы опенсорса?» — именно, в этом и плюс опенсорса, в том, чтобы разобраться за небольшое время и запилить отчёты, которые нужны именно тебе, а не дефолтные, которые вроде выглядят ок, но не подходят толком никому. Впрочем, я не навязываю свое видение, лично мне именно это реально удобно.

p.s. при всём уважении, ваши вопросы не похожи на сравнение возможностей SCCM и OPSI, вы если решили сравнить, задайте вопросы вида «вот в SCCM есть такая функция, работает так, у opsi такое есть?» и тогда сравним, а делать неверные предположения вида «А, ну значит сам агент в образ не внедрить» — больше похоже на предвзятое негативное отношение, отвечать на подобные упреки неприятно.

И если вы имели дело с SCCM, поправьте меня, если я ошибаюсь: разница в цене лицензий на 100 клиентских компьютеров составит: стоимость лицензии винды — 71928 + лицензия SCCM standard 27933 + 100 клиентских лицензий по 1435 = 243361р. Я не пользовался SCCM, наверное, это продукт, который стоит своих денег, но мои потребности opsi покрывает с легкостью в бесплатном варианте, как и потребности большинства небольших сетей. Озвучьте, какие дополнительные фичи есть у SCCM, которых нет в opsi, чтобы было понятно, за что именно стоит платить деньги.

2. в opsi реализован вариант
«при включении, OPSI выдаёт клиентскому компу меню, в котором дефолтным стоит безагентная инвентаризация; после завершения инвентаризации ПК перезагружается;»

Вы не дописали, что происходит после перезагрузки — OPSI всё-таки после перезагрузки выдаёт другое меню, с «boot from local disk» по дефолту?

«У вас же pxe везде используется, но как основная грузится операционка с локального диска»
да, вектор атаки есть, об этом я и говорю. Если вы считаете риск подобного критически высоким

стоит прописать правила брандмауэра на маршрутизаторах, запретив исходящий 69 порт udp на всех других портах сети, кроме нужного. Эта схема внедрена на всех без исключения провайдерах интернета

Что мне это даст? Для того, чтобы пакет был обработан маршрутизатором — он должен быть из другой сети. Внутри одной сети пакеты летают без участия маршрутизатора.
Я же описывал две (возможно не так явно) ситуации:
— пользователь подключает патч-кордом рабочий комп к своему устройству, на котором подняты те же dns+dhcp+tftp и загружает свою операционку на вашем толстом клиенте, получает пароль админа и т.д. Аналог «загрузился с флешки».
— злоумышленник поднял сервак на 192.168.1.230 и ночью имеет все машины (разбудив их через WOL). Вот три дня назад была статья, в которой как раз описывается ситуация, в которой злоумышленники получили доступ к одному хосту внутри сети и через него «работали» дальше

3. Тогда я правильно понял, что при загрузке безагентной инвентаризации OPSI увидит совпадение MAC’ов и запишет данные инвентаризации тому win-хосту, у которого такой же MAC? И сравнение будет только по MAC’у, без пароля?

Такая ситуация: есть ПК с агентом, прошла инвентаризация через агента. Потом запустили безагентную инвентаризацию. OPSI поймёт, что эти две инвентаризации относятся к одному ПК? По совпадению MAC’ов поймёт? Во втором случае имя хоста и пароль не участвуют?

5. Спасибо, всё таки умеет в фоновом режиме ставить софт.

6. «Не, не думает.» — профнепригодность

Согласен, но понаблюдав в нескольких компаниях (разного размера) за действиями сотрудников ИТ-служб, могу сказать, что таких очень много.
+ см.постскриптум

7. Вы ищете уязвимости, как в рассказе про хакера с солонкой. В тексте описаны конкретные условия — есть пустой кабинет, админ и 100 компов

Нет, я просто планирую, как в дальнейшем будет идти работа с OPSI. Вы рассказали, как легко можно поставить ОС на 100 компов. Когда-нибудь вам придётся перезаливать ОС — вы все компы будете к себе таскать или стоять над каждым до конца установки?
Или вы не рассматриваете его дальнейшее использование?
+ см.постскриптум

8. Вы реально ставите в претензию рост текстового файла?

Нет. Я реально считаю это лишним костылём. Но вы это считаете нормальным, о чём и написали в начале статьи, поэтому у меня претензий нет. Просто представьте, что вам передали в обслуживание сервак, и на нём крутится вот такой tcpdump, поди разберись, для чего это.

В остальном слишком много «я с этим ещё не разобрался», «в моём случае это не нужно», «тут можно самому написать модуль», «подозреваю, что будет работать».

Последний год с SCCM я «работаю» не как админ, а как пользователь, поэтому сравнение SCCM vs OPSI будет по памяти. Возможно что-то из перечисленного умеет и OPSI, просто в статью не попало или упомянуто вскольз. Постараюсь изложить в OPSI-терминологии:
— Не надо отслеживать MAC’и, комп попадает в базу после установки агента.
— Установку через pxe не пробовал. На пустой ПК операционку ставим через загрузку winPE с флешки. Сразу запускается короткий wizard, для ввода ip (если нет dhcp), выбора типа ПК (от этого зависит перечень устанавливаемого софта), смены имени ПК (если автосгенерированное не устраивает). Wizard не без самописной логики. Итоговый образ операционки для разворачивания скачивался с сервера (если это не оффлайн образ, см.ниже). Тот же WinPE можно наверняка грузить по сети.
— Можно создать образ для оффлайн-установки, в котором будут все нужные пакеты. Удобно для филиалов со слабым каналом, но пакетов много и образ надо часто обновлять.
— Работа с филиалами. У нас много филиалов, некоторые — мелкие, на 1-2 ПК, соотв. интернет-канал слабый. Другие — крупные, на несколько сотен устройств, с разными сетками (так исторически сложилось). В SCCM можно настроить, чтобы мелкие филиалы качали с определённых depot-серверов. А все сетки крупного филиала качали со своего сервера.
— При недоступности ближайшего depot, пакеты качаются с любого ближайшего доступного (не помню точно, как настраивается, вроде по подсетям).
— Пакеты не перепаковываются, можно вручную запустить из шары или скачать для оффлайн установки — если агент ещё не установился или занят другой установкой, но вот именно эту софтину надо прям сейчас.
— При работающем агенте можно переустановить ОС удалённо.
— У пользователя никакие загрузочные меню не выскакивают. Они нужны только инженерам сопровождения, поэтому их вручную запускают.
— Установить linux можно, но что там с агентом — не знаю, сопровождал только win-машины.
— Все дистрибутивы перед запуском полностью скачиваются. Это избавляет от долгого ожидания установки и возможных сбоев по связи в удалённых филиалах.
— Сложный софт ставится через unattended-файлы, простой — через silent-установку, экзотика — через самописные скрипты (примерно как в OPSI)
— Что используется в качестве id-машины — не помню.
— Весь софт ставится в фоновом режиме, без перезагрузок и блокировок ПК. Исключения — некоторые драйвера, обновления ОС, иногда антивирус, но они и при обычной установке просят перезагрузку.
— Software-on-demand есть
— setup-capture (через сравнение снапшотов) нет
— Между depot’ами и на клиентов пакеты передаются в фоновом режиме (вроде через BITS), не занимая полностью канал.
— Инвентаризация по расписанию + по команде от сервера
— Отчёты есть, но сейчас не уверен, входили ли они в базовую версию. Аппаратная инвентаризация использовалась не для отлова воров, а для планирования апгрейдов. Софтовая — например, для учета лицензий.
— Можно дать загрузочную флешку обезьяне и отправить «ставить винду» — не накосячит.
— При сбое установки пакета через какое-то время будут повторные попытки.
— Интеграция с доменом. Достаточно добавить новый комп в нужную доменную группу, чтобы применились нужные доменные политики + установились (или появилось в списке доступных для установки пользователем) нужные программы. В консоль SCCM лазить необязательно.
— На малом объеме клиентов можно ставить на несерверную винду (это к стоимости лицензий). Тут примерно как с MySQL-расширением для OPSI — для больших объемов нужна серверная редакция, но это зависит от количества клиентов и общей нагрузки.
— На Windows-only инфрастуктуре НЕ нужен linux-сервер и linux-админ.
— Стоимость модулей OPSI до 2000 евро, причём в эту стоимость не входит поддержка (если мне гугл правильно перевёл с немецкого).
Не буду спорить и пересчитывать, SCCM может действительно для вашей ситуации будет стоить 243K. Но если начать использовать модули OPSI, то SCCM может и дешевле выйти. Если не использовать платные модули, то надо считать время, потраченное вами на допиливание OPSI, подбор сторонних утилит, самописные интеграции с AD, сопровождение сервера + надежность всего этого и т.д.

P.s. в самом начале вы пишите

Целью данной статьи является желание… рассказать о незаслуженно неизвестной в русскоязычном интернете системе управления софтом OPSI

Источник