окей, если вы не бот и реально не понимаете, я объясню: в Беларуси пытают и убивают людей, изощрённо, с удовольствием. Протасевич попал в эти тиски и говорить про него "тапки переобул" - значит очернять истину. Практически любой человек на его месте сломался бы, здесь не стоит преувеличивать способность выстоять против пыток. Не завидую ему и никому не рекомендую оказываться на его месте. Человек огрёб за правду, за правильные дела и говорить про него "переобулся" - это оскорбительно. Фу таким быть
Да, действительно жаль, что не описано как дальше с такими логами жить: например искать через aws Athena для авс или как-то ещё построить удобную схему работы и поиска по логам, чтобы прямо удобно было хотя бы дебажить проблему или взаимодействия микросервисов
Итоговое изделие из металла, сплавленое из порошка разве не будет более хрупким, чем например, пломба после затвердевания? В части прочности металл разве не будет проигрывать? Стоит ли игра свеч?
Вряд ли она знает про город КашИн, скорее всего, просто придумала название, которое почти совпало с городом. Хотя, местоположение города для конкуренции за рудник, подходит идеально.
Поэтому маловероятно, чтобы пришедшие спустя 35 лет люди, даже если они начнут копать места где зарыты именно остатки рыжего леса, получат дозы большие, чем получили люди в 1986-м, когда этот лес зазакапывали.
Беспочвенное утверждение
Когда этот лес закапывали, это делали профи в костюмах химзащиты, со счетчиками гейгера, на тяжёлой технике, при получении дозы люди менялись. Главное они ЗНАЛИ что такое радиация и как от неё защититься.
Когда в этом лесу копали окопы, это были люди, которые копали лопатой, без костюмов, без счётчиков, без понимания что такое радиация.
Заражение крайне неравномерно, достаточно выкопать такой очаг, раз вдохнуть пыли с хорошей дозой и до свидания.
Что именно не может быть правдой: что заражение крайне не равномерно, что они не могли копать окопы или что они при этом не дышали?
Апплодирую стоя автору! Тоже давно размышляю в подобном ключе, здесь также стоит упомянуть первую заповедь радиотехники(не крути две ручки сразу!), не забывая о том, что время все равно крутит свою ручку. На ум приходят диаграммы состояния с линиями солидуса и ликвидуса, только многомерные.
Но спрошу автора: не кажется ли вам, что все описанное выше, есть только тень от истинного объекта, брошенная на разные поверхности и не думал ли автор о том, что он без конца читает таблицы Брадиса, в то время, как где-то совсем рядом есть та самая формула синуса?!
2. Именно, загрузчик и меню, «грузить просто меню» я сказал, чтобы сосредоточить внимание на том, что образ линукс не грузится.
в opsi реализован вариант «при включении, OPSI выдаёт клиентскому компу меню, в котором дефолтным стоит безагентная инвентаризация; после завершения инвентаризации ПК перезагружается;»
«после linux'а передаётся управление загрузчику windows» — на текущей архитектуре, насколько я знаю, это технически невозможно.
«У вас же pxe везде используется, но как основная грузится операционка с локального диска» да, вектор атаки есть, об этом я и говорю. Если вы считаете риск подобного критически высоким, стоит прописать правила брандмауэра на маршрутизаторах, запретив исходящий 69 порт udp на всех других портах сети, кроме нужного. Эта схема внедрена на всех без исключения провадерах интернета.
3. Совпадение маков где и где?
4. У нас ежемесячная инвентаризация с серийниками плюс акты приема-передачи. Я говорил с адвокатом и выбрал именно такую систему. Никому не навязываю.
5. «Silent — это в фоновом (для пользователя) режиме» — да, значок в трее, работать можно.
software-on-demand — установка сразу после нажатия кнопки «установить» пользователем, комп не блокируется.
6. «Не, не думает.» — профнепригодность. Остальное просто безудержное зло какое-то, честное слово.
7. «Да, что-то тут я тупанул. Действительно, ещё на этапе ввода в домен будет ошибка. И будет он так стоять с ошибкой, пока кто-нибудь к нему не подойдёт… И хорошо, если это будет не vip-юзер.» Вы ищете уязвимости, как в рассказе про хакера с солонкой. В тексте описаны конкретные условия — есть пустой кабинет, админ и 100 компов. Если придумываете vip-юзера, то почему так скучно? Придумайте космическую частицу, которая перепишет программу на моем компе так, что та случайно взломает по уязвимости атомную станцию, взорвав её и задайте вопрос, как я от ядерного конца света защищён.
8. «А можно это меню поменять?» — я пока не разбирался с этим, но вообще это открытый софт, конечно можно, вопрос только в усилиях для этого. «Лог растёт, а польза от него — нет.» вы реально ставите в претензию рост текстового файла?
9. «А, ну значит сам агент в образ не внедрить» это не так. Я не разбирался с этим, так как надобности не было, но подозреваю, что с гибкостью opsi возможно и это.
11. Значит в opsi можно добавить интерпретатор того скриптового языка и собирать так пакет. Либо работать сразу с setup.exe и wizard'ом.
14. «Как только админ в консоли OPSI нажал кнопку «Применить» — на клиентские машины сразу начинается установка пакета?» — если вы в консоли выбрали все клиентские машины, то на все клиентские машины начнется установка пакета, если вы выбрали некоторые клиентские машины, то на некоторые. «А распределение нагрузки есть?» — на установках более 3000 машин есть возможность приобрести модуль для этого www.uib.de/en/opsi-cofunding/scalability-1
15. Встроенных отчётов нет, я для себя без труда написал отчёты, которые нравятся мне. Кроме того в opsi есть фишка выбора компов по железячным и любым параметрам — можно выбрать с любым уровнем гибкости, например где установлен windirstat, при этом свободного места осталось менее 10 гб и проц амд(пример выдуманный). «А смысл тогда внедрять такую инвентаризацию, если потом самому пилить отчёты? В этом плюсы опенсорса?» — именно, в этом и плюс опенсорса, в том, чтобы разобраться за небольшое время и запилить отчёты, которые нужны именно тебе, а не дефолтные, которые вроде выглядят ок, но не подходят толком никому. Впрочем, я не навязываю свое видение, лично мне именно это реально удобно.
p.s. при всём уважении, ваши вопросы не похожи на сравнение возможностей SCCM и OPSI, вы если решили сравнить, задайте вопросы вида «вот в SCCM есть такая функция, работает так, у opsi такое есть?» и тогда сравним, а делать неверные предположения вида «А, ну значит сам агент в образ не внедрить» — больше похоже на предвзятое негативное отношение, отвечать на подобные упреки неприятно.
И если вы имели дело с SCCM, поправьте меня, если я ошибаюсь: разница в цене лицензий на 100 клиентских компьютеров составит: стоимость лицензии винды — 71928 + лицензия SCCM standard 27933 + 100 клиентских лицензий по 1435 = 243361р. Я не пользовался SCCM, наверное, это продукт, который стоит своих денег, но мои потребности opsi покрывает с легкостью в бесплатном варианте, как и потребности большинства небольших сетей. Озвучьте, какие дополнительные фичи есть у SCCM, которых нет в opsi, чтобы было понятно, за что именно стоит платить деньги.
2. «все ПК грузят образ opsi boot menu по сети, в котором уже можно выбрать загрузку с HDD.» — нет, это не так, они грузят просто меню, за секунду, в котором по умолчанию стоит пункт продолжить грузить систему с локального дикса и задержка 1 секунда, для пользователей это не вносит сильной задержки. Для безагентной инвентаризации просто выставляете для нужных клиентов «Всегда» в netboot инвентаризации(безагентной) и они каждый раз при загрузке будут инвентаризироваться, а потом будет загружаться система. К компу вообще можно не подходить, всё делается само. Система защищена ровно так же, как и протокол PXE, то есть если злоумышленник поднимет в этой сети свой DHCP+TFTP то у него все шансы на успех.
3. В реальной работе у одного компа прописан один агент и в нем есть и opsihost и macaddress, можно загрузить и винду с агентом и по pxe. В базе НЕ появится клон с другим id, так как сама opsi агентов себе не создаёт. Там достаточно большое меню, можно загрузить установку почти всех популярных систем, а для обычных компов из полезного есть wipedisk, memtest, безагентная инвентаризация.
4. Я делаю инвентаризацию при каждой загрузке, но не через opsi, а через повершелл, github.com/valmont2k/powershellinventory так как был случай, когда понадобилось доказать, что это-наши компы, из наших комплектующих, через запись серийников в базу git. Конечно, ваш выбор по поводу инвентаризации, но что помешает пользователю забрать планку памяти себе? Вот сейчас около сотни компов забрали люди домой работать, а у меня записано всё о них, объёмы, серийники всего, включая мониторы. Без инвентаризации я бы просто поверил им, сейчас у меня есть возможность проверить, это важно для меня. Вскрытие корпуса конечно хорошо, но оно не дает никакой информации кроме того, что корпус был вскрыт. Сможете подать заявление в милицию на пользователя за вскрытие корпуса? А я смогу подать за кражу такой-то памяти, такого-то объема с таким-то серийником.
5. Есть еще silent установка пакетов, но я как-то пока не настроил. " OPSI умеет делать rollback?" — нет, она просто покажет, что установка не удалась и почему(с клиентов на сервер отсылаются подробные логи всего происходящего).
6. Нет, накатили образ — перезагрузка1 — переименовали машину — удалился файл с паролем локального админа — перезагрузка2 — ввели в домен — удалился файл с админом домена — перезагрузка3 — установили агента opsi — перезагрузка4. «загрузиться с флешки и считать пароли» — если можно загрузиться с флешки, то можно просто посмотреть пароли, не знаю как в windows 10, но в семерке пароли можно было смотреть спец софтом. Если есть возможность загрузиться с флешки, то это уже дает все права в компе. «в файле createtesk.txt светится пароль локального администратора» — только это мой выдуманный пароль, если человек ставит в этот файл свой пароль, он наверное думает куда этот файл деть?
7. В OPSI никак, просто комп не заведётся в домен. Потом ручками комп перезавести и всё.
8. Нет, функции заведения клиентов автоматически, нет насколько я знаю. OPSI грузит на неизвестные машины свое boot menu из которого можно запустить стандарный образ linux. OPSI умеет как оказалось будить компы, в том числе и по планировщику.
9. Я не устанавливал агент в образ, не могу ничего сказать про это. OPSI никак не реагирует на переименование компа после установки агента, потому что однажды создает его равным имени компа и оставляет таким, не связывая его с именем компа в домене больше. При желании можно переименовать. У меня работает скрипт, который в описание клиента пишет имя компа из домена. В дополнение можно посмотреть сессию под каким пользователем сейчас комп.
11. А на чем был скрипт-то? на cmd? Думаю, в виде скрипта с файлами или установщика запихнуть их в пакет opsi не составит большого труда.
12. Свой формат, файл с расширением .opsi. Вручную запустить нельзя. Скачать только ручками. При обновлении оригинального дистрибутива надо заново создавать пакет. Есть software-on-demand — это когда вы назначаете, какие пакеты пользователи могут ставить сами, тогда юзер может запустить из программ software-on-demand-клиент, выбрать в нем программы из opsi и установить их.
14. Новый софт ставится также по нажатию в opsi-configed кнопки «применить», сразу, но я этот момент не описывал, так как это не автоматическая функция, а я старался именно автоматическую часть отработать. Можно при желании сделать для всех клиентов сделать автоустановку софта ночью, чтобы не мешать работать и тогда всё будет происходить точно как вы описываете с SCCM.
Спасибо за хороший вопрос!
1. Безагентная инвентаризация-просто прикольная фишка, которой я не встречал нигде. Не могу с ходу придумать хорошего примера, но думаю, есть ситуации, когда именно такой вариант решает. Тут ньюанс ещё и в том, что полученный формат данных безагентной инвентаризации совпадает с форматом данных агентной инвентаризации, что позволяет использовать единую базу инвентаризации. У opsi платный агент и возможно не покупать его, а проводить безагентную инвентаризацию на линукс и любом зоопарке(freebsd, Linux, hackintosh, os/2, VMWare, dos...)
2.Да, как раз opsi boot menu табличка на синем фоне и задержкой в 1 секунду и есть это дополнительное меню. Кстати, здесь можно выбрать другой пункт(а не по умолчанию первый-продолжить загрузку с диска) и загрузить по сети образ Linux с opsi.
3. В режиме pxe boot идентификатор-Mac адрес устройства, в агентом режиме идентификатор- opsiHost(имя агента) и opsiHostKey(пароль). Если из железа у имеющегося агента поменять сетевушку, то он при первой загрузке пропишет мак адрес новой сетевушки и будет жить дальше. Если же поменять сетевушку и сразу загрузиться по pxe, то opsi не будет знать этого агента и загрузит дефолтное opsi boot menu. Чтобы смена сетевухи прошла как надо, надо просто загрузиться один раз в агент режим и жить дальше.
4.Пока не знаю, у меня около 150 клиентов и от opsi только самые лучшие впечатления. Иногда бывают проблемы, но они все понятные и решаемые, а те функции, что есть в opsi работают надёжно. Нагрузочного тестирования я не устраивал, если вы займётесь-напишите о результатах. Кроме того, 300 клиентов можно использовать совершенно по разному. Если каждый день при загрузке ставить soft+Hard инвентаризацию, то это одна нагрузка, а если раз в месяц раскатывать мессенджеры на всю сеть, то это другая нагрузка, раз в 50 меньше. При моём режиме использования(он ближе ко второму) я не думаю, что на 300 клиентах будут тормоза.
5. Без расширения установка происходит с сетевой шары, без скачивания. По умолчанию, на загрузке комп блокируется и opsi ставит свои пакеты. Ограничения скорости я не видел, в базовой системе её нет. Отложенный установки так же нет. Проверка целостности есть при раскатке по depot'ам, при раскатке на клиенты её нет(так как ставится прямо из шары). По дефолт у вы и имеете ситуацию «все Компы обновляются», чтобы сгладить её, нужно выставлять обновление части компов, ещё можно использовать установку при выключении( install on shutdown).
6. Да, пароль локального админам в скриптах, вернее в образе системы и он удаляется ещё до первого входа пользователя. Сразу после установки нет файла с паролем и вы не сможете его прочитать.
7. Согласен, плохая идея, но нам надо быстро! При этом вероятность коллизии около нуля, проблемы от коллизии локальны и рашаемы.
8. Пляски с tcpdump нужны, когда у вас сто собранных компов и надо собрать их мак-адреса. Выставить установку с образа можно только созданному в opsi клиенту, а чтобы его создать, нужен мак-адрес. Поэтому мы один раз загружаем все компьютеры, не загружая на них ничего по сети, цель этого- получить мак адреса компов в сети и из них создать клиентов opsi. Со второй загрузки у уже созданных клиентов можно ставить систему для клиентов opsi, у которых уже прописан мак-адрес. Opsi не помню, умеет ли будить компы(вроде умеет), а ethrewake нужен, чтобы делать это автоматически, ночью, когда вы спите, а системы разливаются.
9. Не лучшая практика, можно ставить агент прямо в образ, можно ставить агент при автоматической установке Windows, можно использовать https://github.com/opsi-org/opsi-deploy-client-agent, можно делать как я — в этом и плюс opsi, можно выбрать вариант, который вам понравится.
10. Да, неработоспособен, по умолчанию он ещё сам перезагружает машину, входя в рабочий режим.
11. После сравнения снапшотов вы получите несколько файлов и дифф реестра, совсем без написания кода создать пакет вряд ли получится, придётся написать куда копировать файлы и как менять реестр, хотя бы на powershell. Можно найти подходящий похожий пакет opsi и списать с него. А есть инструмент который позволит сделать это совсем без написания кода? Чтобы я знал, на что вы ориентируетесь?
А если диск зашифрован veracrypt с файлом ключа на usb, то можно хитрым способом ловко выкрасть флешку, да?
окей, если вы не бот и реально не понимаете, я объясню: в Беларуси пытают и убивают людей, изощрённо, с удовольствием. Протасевич попал в эти тиски и говорить про него "тапки переобул" - значит очернять истину. Практически любой человек на его месте сломался бы, здесь не стоит преувеличивать способность выстоять против пыток. Не завидую ему и никому не рекомендую оказываться на его месте. Человек огрёб за правду, за правильные дела и говорить про него "переобулся" - это оскорбительно. Фу таким быть
Обычно у таких рейдов есть cli утилита, вывод которой приходится парсить. Решение не огонь, зато можно подстроиться под любую железку
Не увидел в статье итоговых цифр, с ними было бы интереснее, скажем себестоимость упала на 5%
Да, действительно жаль, что не описано как дальше с такими логами жить: например искать через aws Athena для авс или как-то ещё построить удобную схему работы и поиска по логам, чтобы прямо удобно было хотя бы дебажить проблему или взаимодействия микросервисов
Тогда мне тоже нужен, заверните два!
Итоговое изделие из металла, сплавленое из порошка разве не будет более хрупким, чем например, пломба после затвердевания? В части прочности металл разве не будет проигрывать? Стоит ли игра свеч?
Не то, что Академик Кадыров, правда?
Да? А что случилось?
Вряд ли она знает про город КашИн, скорее всего, просто придумала название, которое почти совпало с городом. Хотя, местоположение города для конкуренции за рудник, подходит идеально.
Нет детей - нет угроз
Почитайте статью про Литвиненко в вики: доза 10е-11 кг (0.01 мкг), острая лучевая болезнь. Что из этого нельзя накопать в Чернобыле?
Беспочвенное утверждение
Когда этот лес закапывали, это делали профи в костюмах химзащиты, со счетчиками гейгера, на тяжёлой технике, при получении дозы люди менялись. Главное они ЗНАЛИ что такое радиация и как от неё защититься.
Когда в этом лесу копали окопы, это были люди, которые копали лопатой, без костюмов, без счётчиков, без понимания что такое радиация.
Заражение крайне неравномерно, достаточно выкопать такой очаг, раз вдохнуть пыли с хорошей дозой и до свидания.
Что именно не может быть правдой: что заражение крайне не равномерно, что они не могли копать окопы или что они при этом не дышали?
Апплодирую стоя автору!
Тоже давно размышляю в подобном ключе, здесь также стоит упомянуть первую заповедь радиотехники(не крути две ручки сразу!), не забывая о том, что время все равно крутит свою ручку. На ум приходят диаграммы состояния с линиями солидуса и ликвидуса, только многомерные.
Но спрошу автора: не кажется ли вам, что все описанное выше, есть только тень от истинного объекта, брошенная на разные поверхности и не думал ли автор о том, что он без конца читает таблицы Брадиса, в то время, как где-то совсем рядом есть та самая формула синуса?!
в opsi реализован вариант «при включении, OPSI выдаёт клиентскому компу меню, в котором дефолтным стоит безагентная инвентаризация; после завершения инвентаризации ПК перезагружается;»
«после linux'а передаётся управление загрузчику windows» — на текущей архитектуре, насколько я знаю, это технически невозможно.
«У вас же pxe везде используется, но как основная грузится операционка с локального диска» да, вектор атаки есть, об этом я и говорю. Если вы считаете риск подобного критически высоким, стоит прописать правила брандмауэра на маршрутизаторах, запретив исходящий 69 порт udp на всех других портах сети, кроме нужного. Эта схема внедрена на всех без исключения провадерах интернета.
3. Совпадение маков где и где?
4. У нас ежемесячная инвентаризация с серийниками плюс акты приема-передачи. Я говорил с адвокатом и выбрал именно такую систему. Никому не навязываю.
5. «Silent — это в фоновом (для пользователя) режиме» — да, значок в трее, работать можно.
software-on-demand — установка сразу после нажатия кнопки «установить» пользователем, комп не блокируется.
6. «Не, не думает.» — профнепригодность. Остальное просто безудержное зло какое-то, честное слово.
7. «Да, что-то тут я тупанул. Действительно, ещё на этапе ввода в домен будет ошибка. И будет он так стоять с ошибкой, пока кто-нибудь к нему не подойдёт… И хорошо, если это будет не vip-юзер.» Вы ищете уязвимости, как в рассказе про хакера с солонкой. В тексте описаны конкретные условия — есть пустой кабинет, админ и 100 компов. Если придумываете vip-юзера, то почему так скучно? Придумайте космическую частицу, которая перепишет программу на моем компе так, что та случайно взломает по уязвимости атомную станцию, взорвав её и задайте вопрос, как я от ядерного конца света защищён.
8. «А можно это меню поменять?» — я пока не разбирался с этим, но вообще это открытый софт, конечно можно, вопрос только в усилиях для этого. «Лог растёт, а польза от него — нет.» вы реально ставите в претензию рост текстового файла?
9. «А, ну значит сам агент в образ не внедрить» это не так. Я не разбирался с этим, так как надобности не было, но подозреваю, что с гибкостью opsi возможно и это.
11. Значит в opsi можно добавить интерпретатор того скриптового языка и собирать так пакет. Либо работать сразу с setup.exe и wizard'ом.
14. «Как только админ в консоли OPSI нажал кнопку «Применить» — на клиентские машины сразу начинается установка пакета?» — если вы в консоли выбрали все клиентские машины, то на все клиентские машины начнется установка пакета, если вы выбрали некоторые клиентские машины, то на некоторые. «А распределение нагрузки есть?» — на установках более 3000 машин есть возможность приобрести модуль для этого www.uib.de/en/opsi-cofunding/scalability-1
15. Встроенных отчётов нет, я для себя без труда написал отчёты, которые нравятся мне. Кроме того в opsi есть фишка выбора компов по железячным и любым параметрам — можно выбрать с любым уровнем гибкости, например где установлен windirstat, при этом свободного места осталось менее 10 гб и проц амд(пример выдуманный). «А смысл тогда внедрять такую инвентаризацию, если потом самому пилить отчёты? В этом плюсы опенсорса?» — именно, в этом и плюс опенсорса, в том, чтобы разобраться за небольшое время и запилить отчёты, которые нужны именно тебе, а не дефолтные, которые вроде выглядят ок, но не подходят толком никому. Впрочем, я не навязываю свое видение, лично мне именно это реально удобно.
p.s. при всём уважении, ваши вопросы не похожи на сравнение возможностей SCCM и OPSI, вы если решили сравнить, задайте вопросы вида «вот в SCCM есть такая функция, работает так, у opsi такое есть?» и тогда сравним, а делать неверные предположения вида «А, ну значит сам агент в образ не внедрить» — больше похоже на предвзятое негативное отношение, отвечать на подобные упреки неприятно.
И если вы имели дело с SCCM, поправьте меня, если я ошибаюсь: разница в цене лицензий на 100 клиентских компьютеров составит: стоимость лицензии винды — 71928 + лицензия SCCM standard 27933 + 100 клиентских лицензий по 1435 = 243361р. Я не пользовался SCCM, наверное, это продукт, который стоит своих денег, но мои потребности opsi покрывает с легкостью в бесплатном варианте, как и потребности большинства небольших сетей. Озвучьте, какие дополнительные фичи есть у SCCM, которых нет в opsi, чтобы было понятно, за что именно стоит платить деньги.
2. «все ПК грузят образ opsi boot menu по сети, в котором уже можно выбрать загрузку с HDD.» — нет, это не так, они грузят просто меню, за секунду, в котором по умолчанию стоит пункт продолжить грузить систему с локального дикса и задержка 1 секунда, для пользователей это не вносит сильной задержки. Для безагентной инвентаризации просто выставляете для нужных клиентов «Всегда» в netboot инвентаризации(безагентной) и они каждый раз при загрузке будут инвентаризироваться, а потом будет загружаться система. К компу вообще можно не подходить, всё делается само. Система защищена ровно так же, как и протокол PXE, то есть если злоумышленник поднимет в этой сети свой DHCP+TFTP то у него все шансы на успех.
3. В реальной работе у одного компа прописан один агент и в нем есть и opsihost и macaddress, можно загрузить и винду с агентом и по pxe. В базе НЕ появится клон с другим id, так как сама opsi агентов себе не создаёт. Там достаточно большое меню, можно загрузить установку почти всех популярных систем, а для обычных компов из полезного есть wipedisk, memtest, безагентная инвентаризация.
4. Я делаю инвентаризацию при каждой загрузке, но не через opsi, а через повершелл, github.com/valmont2k/powershellinventory так как был случай, когда понадобилось доказать, что это-наши компы, из наших комплектующих, через запись серийников в базу git. Конечно, ваш выбор по поводу инвентаризации, но что помешает пользователю забрать планку памяти себе? Вот сейчас около сотни компов забрали люди домой работать, а у меня записано всё о них, объёмы, серийники всего, включая мониторы. Без инвентаризации я бы просто поверил им, сейчас у меня есть возможность проверить, это важно для меня. Вскрытие корпуса конечно хорошо, но оно не дает никакой информации кроме того, что корпус был вскрыт. Сможете подать заявление в милицию на пользователя за вскрытие корпуса? А я смогу подать за кражу такой-то памяти, такого-то объема с таким-то серийником.
5. Есть еще silent установка пакетов, но я как-то пока не настроил. " OPSI умеет делать rollback?" — нет, она просто покажет, что установка не удалась и почему(с клиентов на сервер отсылаются подробные логи всего происходящего).
6. Нет, накатили образ — перезагрузка1 — переименовали машину — удалился файл с паролем локального админа — перезагрузка2 — ввели в домен — удалился файл с админом домена — перезагрузка3 — установили агента opsi — перезагрузка4. «загрузиться с флешки и считать пароли» — если можно загрузиться с флешки, то можно просто посмотреть пароли, не знаю как в windows 10, но в семерке пароли можно было смотреть спец софтом. Если есть возможность загрузиться с флешки, то это уже дает все права в компе. «в файле createtesk.txt светится пароль локального администратора» — только это мой выдуманный пароль, если человек ставит в этот файл свой пароль, он наверное думает куда этот файл деть?
7. В OPSI никак, просто комп не заведётся в домен. Потом ручками комп перезавести и всё.
8. Нет, функции заведения клиентов автоматически, нет насколько я знаю. OPSI грузит на неизвестные машины свое boot menu из которого можно запустить стандарный образ linux. OPSI умеет как оказалось будить компы, в том числе и по планировщику.
9. Я не устанавливал агент в образ, не могу ничего сказать про это. OPSI никак не реагирует на переименование компа после установки агента, потому что однажды создает его равным имени компа и оставляет таким, не связывая его с именем компа в домене больше. При желании можно переименовать. У меня работает скрипт, который в описание клиента пишет имя компа из домена. В дополнение можно посмотреть сессию под каким пользователем сейчас комп.
11. А на чем был скрипт-то? на cmd? Думаю, в виде скрипта с файлами или установщика запихнуть их в пакет opsi не составит большого труда.
12. Свой формат, файл с расширением .opsi. Вручную запустить нельзя. Скачать только ручками. При обновлении оригинального дистрибутива надо заново создавать пакет. Есть software-on-demand — это когда вы назначаете, какие пакеты пользователи могут ставить сами, тогда юзер может запустить из программ software-on-demand-клиент, выбрать в нем программы из opsi и установить их.
14. Новый софт ставится также по нажатию в opsi-configed кнопки «применить», сразу, но я этот момент не описывал, так как это не автоматическая функция, а я старался именно автоматическую часть отработать. Можно при желании сделать для всех клиентов сделать автоустановку софта ночью, чтобы не мешать работать и тогда всё будет происходить точно как вы описываете с SCCM.