Как администрировать инфраструктуру небольшой организации, не имея Active Directory

В данной статье не будет подробных гайдов о том, как я устанавливал и настраивал Meshcentral, потому что подобного материала в сети предостаточно. Я лишь поделюсь кейсом из личного опыта и расскажу про «узкие места», которые нашёл сам.

Что за зверь такой Meshcentral, и для чего он нужен?

Начнём с краткого ликбеза.

Важно! Основная суть и идея данного ПО построена вокруг организации простого удалённого доступа до пользовательских ПК и сведения всего этого в единый интерфейс (в случае с Meshcentral – web-интерфейс).

В этом основной прикол: в отличие от всем известных и популярных приложений с синими стрелочками и красными ромбиками, инструментарий не зависит от сторонних сервисов, вся серверная часть работает на оборудовании, на котором установлена серверная часть, не обращаясь на внешние ресурсы.

Принцип суперпростой: разворачиваешь сервер, он генерирует для тебя программу MeshAgent, ставишь её на рабочее место, и, вуаля, у тебя есть полный доступ! MeshAgent – кроссплатформенный. Есть версии агента под Windows, Unix-like системы (правда удалённый рабочий стол в этом случае не работает с wayland, только с x11), и даже под MacOS (в этом направлении тестировал мало, работоспособность под вопросом).

В пределах локальной сети этот софт работает просто отменно, но и в связке с VPN тоже показывает себя неплохо, но есть нюансы, о которых мы поговорим далее. Помимо доступа к удалённому рабочему столу, этот софт даёт тебе полный доступ к файловой системе рабочего места конечного пользователя и возможность выполнять скрипты из командной строки от имени пользователя или агента, а это вообще пушка. Все мои кейсы, собственно, завязаны на данном функционале.

Кейс

Мы подняли в организации сетевое хранилище по протоколу smb и хотим дать доступ к нему нашим пользователям. Здесь мы можем пойти двумя путями:

• Раздать всем ярлык прямо на рабочий стол.

На этом пути есть свои особенности. Расскажу и покажу, как сделал я.

Сначала на windows машине я создал ярлык на сетевое хранилище, а потом сделал вот так

Раз:

Два:

Три:

Затем выбрал ярлык, и добавил его в C:\Users\All users\Desktop, и на всех рабочих столах у моих пользователей появился ярлык на Хранилище! Здорово правда? Не нужно подключаться к каждой рабочей станции поочерёдно и ручками заносить туда ярлык, всё просто. Но тут важно понимать, что оперирую я машиной на Unix-like операционной системе, для которой файл *.lnk – это просто файл, который можно выгрузить.

Важно! Из-под windows машины такой трюк не провернуть, так как стандартный проводник при открытии файла *.lnk отправит тебя в то место, в которое этот файл ссылается. Да, при наличии Active Directory данный вопрос решается в разы проще, но мы помним, что AD у нас нет.

Но есть второй путь:

Первые два шага необходимо повторить (см. предыдущий путь).

Третий шаг:

Четвёртый:

Теперь у всех пользователей есть сетевой диск.

Два данных подхода можно легко комбинировать, например, написав километровый *.bat файл, разослать его всем пользователям и выполнить массово, что открывает безграничные возможности для автоматизации!

Всё GPO не нужны, AD сносим, радуемся жизни! На самом деле не всё так радужно, имеются нюансы, о которых я расскажу сразу после того, как дам список плюсов данного софта.

Преимущества

1. Open source – всё бесплатно, легко брендируется, а наличие навыков в node.js открывает безграничный спектр возможностей.

2. Все входные и выходные данные в данном софте – это json, что расширяет также возможности интеграции.

3. Есть API.

4. Кроссплатформа – это огромный плюс.

5. Не требует огромных вычислительных мощностей: 2 ядра, 2 гига, «игровая» видеокарта – вполне достаточная конфигурация для работы серверной части данного ПО.

6. Независимость от сторонних серверов.

7. Несложная установка. Серверная часть – тоже кроссплатформенная и достаточно просто разворачивается как в среде windows server, так и в unix-like системах.

8. Групповые действия сильно расширяют возможности, есть даже WoL, если включить его в BIOS конечно.

9. Какая-никакая инвентаризация, в наличии всегда есть актуальная информация о софте и железе своих пользователей, это даже можно выгрузить в файл, но не без особенностей.

10. Можно создавать учётные записи для младшего персонала, с ограниченными правами, чтобы те не «выстрелили себе в ногу». Можно даже давать разовую ссылку на разовый доступ к конкретной машине.
    

Те самые нюансы

1. Насколько я понимаю, дальнейшее развитие проекта не очень понятно, обновлений в ближайшее время не предвидится, что очень грустно.

2. Хотя это незавершённый продукт для коммерческого использования, он сильно облегчает жизнь админу.

3. Безопасность: я бы не стал выкидывать веб-интерфейс админки в сеть, ибо магия опасна. Но если спрятать это за VPN с шифрованием, уже вполне безопасно.

4. VPN, раз уж мы об этом заговорили. На l2tp всё работает отменно, но с другими протоколами – через раз.

5. Антивирусы частенько ругаются на MeshAgent.

6. Есть требования к скорости соединения, если канал меньше 10мб/c – возникают трудности.

7. Не работает трансляция рабочего стола, если у конечного пользователя в качестве графического окружения стоит wayland, и нет понимания, будет ли работать.

8. Иногда слетает кодировка в терминале.

Надеюсь, данная статья оказалась для вас полезной. В следующем материале хотелось бы рассказать о своём опыте интеграции MeshCentral и Zabbix. Понимаю, что добавлять пользовательские ПК в zabbix – это моветон, однако, для небольшой организации кейс вполне рабочий. Спасибо за внимание.