Да не, ну это нереально, даже новое оборудование ломается согласно вероятностям, что говорить про старое, где вероятности неизвестны по сути. Правда есть поколение где-то в районе ddr2, которое 10 лет отдельные Компы служат и не ломаются, но это везение и Производительность у них беда
Что сказать то хотел? Терраформ имеет плюсы и минусы? Данные учётки могут утечь и даже от злонамеренного использования админами никто не застрахован? Ну так это решаемые вопросы в облаке. Ожидал примеров, сравнений вашего решения с путями решения через облако. Статья сыпет высокой логикой, которую можно понять и так и так. Возьмём к примеру, временные креденшлы. Мейнстрим этого решения - hashicorp vault. Можно хотя бы один пример превосходства платформы, о которой вы рассказываете над вольтом? Или разница в подходе. После прочтения статьи остаётся просто недоумение. Спасибо за статью, что потратили время, но обратная связь от меня вот такая.
Это как раз то, что я ожидал от статьи. Может напишете свою? Интересует именно построение своего облака из подуставшего оборудования для быстрого создания/удаления инстансов, в целях сборок, тестирования, задач, которые можно зафейлить и начать заново. Используя конечно терраформ и прочие автоматизаторы
окей, если вы не бот и реально не понимаете, я объясню: в Беларуси пытают и убивают людей, изощрённо, с удовольствием. Протасевич попал в эти тиски и говорить про него "тапки переобул" - значит очернять истину. Практически любой человек на его месте сломался бы, здесь не стоит преувеличивать способность выстоять против пыток. Не завидую ему и никому не рекомендую оказываться на его месте. Человек огрёб за правду, за правильные дела и говорить про него "переобулся" - это оскорбительно. Фу таким быть
Да, действительно жаль, что не описано как дальше с такими логами жить: например искать через aws Athena для авс или как-то ещё построить удобную схему работы и поиска по логам, чтобы прямо удобно было хотя бы дебажить проблему или взаимодействия микросервисов
Итоговое изделие из металла, сплавленое из порошка разве не будет более хрупким, чем например, пломба после затвердевания? В части прочности металл разве не будет проигрывать? Стоит ли игра свеч?
Вряд ли она знает про город КашИн, скорее всего, просто придумала название, которое почти совпало с городом. Хотя, местоположение города для конкуренции за рудник, подходит идеально.
Поэтому маловероятно, чтобы пришедшие спустя 35 лет люди, даже если они начнут копать места где зарыты именно остатки рыжего леса, получат дозы большие, чем получили люди в 1986-м, когда этот лес зазакапывали.
Беспочвенное утверждение
Когда этот лес закапывали, это делали профи в костюмах химзащиты, со счетчиками гейгера, на тяжёлой технике, при получении дозы люди менялись. Главное они ЗНАЛИ что такое радиация и как от неё защититься.
Когда в этом лесу копали окопы, это были люди, которые копали лопатой, без костюмов, без счётчиков, без понимания что такое радиация.
Заражение крайне неравномерно, достаточно выкопать такой очаг, раз вдохнуть пыли с хорошей дозой и до свидания.
Что именно не может быть правдой: что заражение крайне не равномерно, что они не могли копать окопы или что они при этом не дышали?
Апплодирую стоя автору! Тоже давно размышляю в подобном ключе, здесь также стоит упомянуть первую заповедь радиотехники(не крути две ручки сразу!), не забывая о том, что время все равно крутит свою ручку. На ум приходят диаграммы состояния с линиями солидуса и ликвидуса, только многомерные.
Но спрошу автора: не кажется ли вам, что все описанное выше, есть только тень от истинного объекта, брошенная на разные поверхности и не думал ли автор о том, что он без конца читает таблицы Брадиса, в то время, как где-то совсем рядом есть та самая формула синуса?!
2. Именно, загрузчик и меню, «грузить просто меню» я сказал, чтобы сосредоточить внимание на том, что образ линукс не грузится.
в opsi реализован вариант «при включении, OPSI выдаёт клиентскому компу меню, в котором дефолтным стоит безагентная инвентаризация; после завершения инвентаризации ПК перезагружается;»
«после linux'а передаётся управление загрузчику windows» — на текущей архитектуре, насколько я знаю, это технически невозможно.
«У вас же pxe везде используется, но как основная грузится операционка с локального диска» да, вектор атаки есть, об этом я и говорю. Если вы считаете риск подобного критически высоким, стоит прописать правила брандмауэра на маршрутизаторах, запретив исходящий 69 порт udp на всех других портах сети, кроме нужного. Эта схема внедрена на всех без исключения провадерах интернета.
3. Совпадение маков где и где?
4. У нас ежемесячная инвентаризация с серийниками плюс акты приема-передачи. Я говорил с адвокатом и выбрал именно такую систему. Никому не навязываю.
5. «Silent — это в фоновом (для пользователя) режиме» — да, значок в трее, работать можно.
software-on-demand — установка сразу после нажатия кнопки «установить» пользователем, комп не блокируется.
6. «Не, не думает.» — профнепригодность. Остальное просто безудержное зло какое-то, честное слово.
7. «Да, что-то тут я тупанул. Действительно, ещё на этапе ввода в домен будет ошибка. И будет он так стоять с ошибкой, пока кто-нибудь к нему не подойдёт… И хорошо, если это будет не vip-юзер.» Вы ищете уязвимости, как в рассказе про хакера с солонкой. В тексте описаны конкретные условия — есть пустой кабинет, админ и 100 компов. Если придумываете vip-юзера, то почему так скучно? Придумайте космическую частицу, которая перепишет программу на моем компе так, что та случайно взломает по уязвимости атомную станцию, взорвав её и задайте вопрос, как я от ядерного конца света защищён.
8. «А можно это меню поменять?» — я пока не разбирался с этим, но вообще это открытый софт, конечно можно, вопрос только в усилиях для этого. «Лог растёт, а польза от него — нет.» вы реально ставите в претензию рост текстового файла?
9. «А, ну значит сам агент в образ не внедрить» это не так. Я не разбирался с этим, так как надобности не было, но подозреваю, что с гибкостью opsi возможно и это.
11. Значит в opsi можно добавить интерпретатор того скриптового языка и собирать так пакет. Либо работать сразу с setup.exe и wizard'ом.
14. «Как только админ в консоли OPSI нажал кнопку «Применить» — на клиентские машины сразу начинается установка пакета?» — если вы в консоли выбрали все клиентские машины, то на все клиентские машины начнется установка пакета, если вы выбрали некоторые клиентские машины, то на некоторые. «А распределение нагрузки есть?» — на установках более 3000 машин есть возможность приобрести модуль для этого www.uib.de/en/opsi-cofunding/scalability-1
15. Встроенных отчётов нет, я для себя без труда написал отчёты, которые нравятся мне. Кроме того в opsi есть фишка выбора компов по железячным и любым параметрам — можно выбрать с любым уровнем гибкости, например где установлен windirstat, при этом свободного места осталось менее 10 гб и проц амд(пример выдуманный). «А смысл тогда внедрять такую инвентаризацию, если потом самому пилить отчёты? В этом плюсы опенсорса?» — именно, в этом и плюс опенсорса, в том, чтобы разобраться за небольшое время и запилить отчёты, которые нужны именно тебе, а не дефолтные, которые вроде выглядят ок, но не подходят толком никому. Впрочем, я не навязываю свое видение, лично мне именно это реально удобно.
p.s. при всём уважении, ваши вопросы не похожи на сравнение возможностей SCCM и OPSI, вы если решили сравнить, задайте вопросы вида «вот в SCCM есть такая функция, работает так, у opsi такое есть?» и тогда сравним, а делать неверные предположения вида «А, ну значит сам агент в образ не внедрить» — больше похоже на предвзятое негативное отношение, отвечать на подобные упреки неприятно.
И если вы имели дело с SCCM, поправьте меня, если я ошибаюсь: разница в цене лицензий на 100 клиентских компьютеров составит: стоимость лицензии винды — 71928 + лицензия SCCM standard 27933 + 100 клиентских лицензий по 1435 = 243361р. Я не пользовался SCCM, наверное, это продукт, который стоит своих денег, но мои потребности opsi покрывает с легкостью в бесплатном варианте, как и потребности большинства небольших сетей. Озвучьте, какие дополнительные фичи есть у SCCM, которых нет в opsi, чтобы было понятно, за что именно стоит платить деньги.
2. «все ПК грузят образ opsi boot menu по сети, в котором уже можно выбрать загрузку с HDD.» — нет, это не так, они грузят просто меню, за секунду, в котором по умолчанию стоит пункт продолжить грузить систему с локального дикса и задержка 1 секунда, для пользователей это не вносит сильной задержки. Для безагентной инвентаризации просто выставляете для нужных клиентов «Всегда» в netboot инвентаризации(безагентной) и они каждый раз при загрузке будут инвентаризироваться, а потом будет загружаться система. К компу вообще можно не подходить, всё делается само. Система защищена ровно так же, как и протокол PXE, то есть если злоумышленник поднимет в этой сети свой DHCP+TFTP то у него все шансы на успех.
3. В реальной работе у одного компа прописан один агент и в нем есть и opsihost и macaddress, можно загрузить и винду с агентом и по pxe. В базе НЕ появится клон с другим id, так как сама opsi агентов себе не создаёт. Там достаточно большое меню, можно загрузить установку почти всех популярных систем, а для обычных компов из полезного есть wipedisk, memtest, безагентная инвентаризация.
4. Я делаю инвентаризацию при каждой загрузке, но не через opsi, а через повершелл, github.com/valmont2k/powershellinventory так как был случай, когда понадобилось доказать, что это-наши компы, из наших комплектующих, через запись серийников в базу git. Конечно, ваш выбор по поводу инвентаризации, но что помешает пользователю забрать планку памяти себе? Вот сейчас около сотни компов забрали люди домой работать, а у меня записано всё о них, объёмы, серийники всего, включая мониторы. Без инвентаризации я бы просто поверил им, сейчас у меня есть возможность проверить, это важно для меня. Вскрытие корпуса конечно хорошо, но оно не дает никакой информации кроме того, что корпус был вскрыт. Сможете подать заявление в милицию на пользователя за вскрытие корпуса? А я смогу подать за кражу такой-то памяти, такого-то объема с таким-то серийником.
5. Есть еще silent установка пакетов, но я как-то пока не настроил. " OPSI умеет делать rollback?" — нет, она просто покажет, что установка не удалась и почему(с клиентов на сервер отсылаются подробные логи всего происходящего).
6. Нет, накатили образ — перезагрузка1 — переименовали машину — удалился файл с паролем локального админа — перезагрузка2 — ввели в домен — удалился файл с админом домена — перезагрузка3 — установили агента opsi — перезагрузка4. «загрузиться с флешки и считать пароли» — если можно загрузиться с флешки, то можно просто посмотреть пароли, не знаю как в windows 10, но в семерке пароли можно было смотреть спец софтом. Если есть возможность загрузиться с флешки, то это уже дает все права в компе. «в файле createtesk.txt светится пароль локального администратора» — только это мой выдуманный пароль, если человек ставит в этот файл свой пароль, он наверное думает куда этот файл деть?
7. В OPSI никак, просто комп не заведётся в домен. Потом ручками комп перезавести и всё.
8. Нет, функции заведения клиентов автоматически, нет насколько я знаю. OPSI грузит на неизвестные машины свое boot menu из которого можно запустить стандарный образ linux. OPSI умеет как оказалось будить компы, в том числе и по планировщику.
9. Я не устанавливал агент в образ, не могу ничего сказать про это. OPSI никак не реагирует на переименование компа после установки агента, потому что однажды создает его равным имени компа и оставляет таким, не связывая его с именем компа в домене больше. При желании можно переименовать. У меня работает скрипт, который в описание клиента пишет имя компа из домена. В дополнение можно посмотреть сессию под каким пользователем сейчас комп.
11. А на чем был скрипт-то? на cmd? Думаю, в виде скрипта с файлами или установщика запихнуть их в пакет opsi не составит большого труда.
12. Свой формат, файл с расширением .opsi. Вручную запустить нельзя. Скачать только ручками. При обновлении оригинального дистрибутива надо заново создавать пакет. Есть software-on-demand — это когда вы назначаете, какие пакеты пользователи могут ставить сами, тогда юзер может запустить из программ software-on-demand-клиент, выбрать в нем программы из opsi и установить их.
14. Новый софт ставится также по нажатию в opsi-configed кнопки «применить», сразу, но я этот момент не описывал, так как это не автоматическая функция, а я старался именно автоматическую часть отработать. Можно при желании сделать для всех клиентов сделать автоустановку софта ночью, чтобы не мешать работать и тогда всё будет происходить точно как вы описываете с SCCM.
Да не, ну это нереально, даже новое оборудование ломается согласно вероятностям, что говорить про старое, где вероятности неизвестны по сути. Правда есть поколение где-то в районе ddr2, которое 10 лет отдельные Компы служат и не ломаются, но это везение и Производительность у них беда
Что сказать то хотел? Терраформ имеет плюсы и минусы? Данные учётки могут утечь и даже от злонамеренного использования админами никто не застрахован? Ну так это решаемые вопросы в облаке. Ожидал примеров, сравнений вашего решения с путями решения через облако. Статья сыпет высокой логикой, которую можно понять и так и так. Возьмём к примеру, временные креденшлы. Мейнстрим этого решения - hashicorp vault. Можно хотя бы один пример превосходства платформы, о которой вы рассказываете над вольтом? Или разница в подходе. После прочтения статьи остаётся просто недоумение. Спасибо за статью, что потратили время, но обратная связь от меня вот такая.
Это как раз то, что я ожидал от статьи. Может напишете свою? Интересует именно построение своего облака из подуставшего оборудования для быстрого создания/удаления инстансов, в целях сборок, тестирования, задач, которые можно зафейлить и начать заново. Используя конечно терраформ и прочие автоматизаторы
А если диск зашифрован veracrypt с файлом ключа на usb, то можно хитрым способом ловко выкрасть флешку, да?
окей, если вы не бот и реально не понимаете, я объясню: в Беларуси пытают и убивают людей, изощрённо, с удовольствием. Протасевич попал в эти тиски и говорить про него "тапки переобул" - значит очернять истину. Практически любой человек на его месте сломался бы, здесь не стоит преувеличивать способность выстоять против пыток. Не завидую ему и никому не рекомендую оказываться на его месте. Человек огрёб за правду, за правильные дела и говорить про него "переобулся" - это оскорбительно. Фу таким быть
Обычно у таких рейдов есть cli утилита, вывод которой приходится парсить. Решение не огонь, зато можно подстроиться под любую железку
Не увидел в статье итоговых цифр, с ними было бы интереснее, скажем себестоимость упала на 5%
Да, действительно жаль, что не описано как дальше с такими логами жить: например искать через aws Athena для авс или как-то ещё построить удобную схему работы и поиска по логам, чтобы прямо удобно было хотя бы дебажить проблему или взаимодействия микросервисов
Тогда мне тоже нужен, заверните два!
Итоговое изделие из металла, сплавленое из порошка разве не будет более хрупким, чем например, пломба после затвердевания? В части прочности металл разве не будет проигрывать? Стоит ли игра свеч?
Не то, что Академик Кадыров, правда?
Да? А что случилось?
Вряд ли она знает про город КашИн, скорее всего, просто придумала название, которое почти совпало с городом. Хотя, местоположение города для конкуренции за рудник, подходит идеально.
Нет детей - нет угроз
Почитайте статью про Литвиненко в вики: доза 10е-11 кг (0.01 мкг), острая лучевая болезнь. Что из этого нельзя накопать в Чернобыле?
Беспочвенное утверждение
Когда этот лес закапывали, это делали профи в костюмах химзащиты, со счетчиками гейгера, на тяжёлой технике, при получении дозы люди менялись. Главное они ЗНАЛИ что такое радиация и как от неё защититься.
Когда в этом лесу копали окопы, это были люди, которые копали лопатой, без костюмов, без счётчиков, без понимания что такое радиация.
Заражение крайне неравномерно, достаточно выкопать такой очаг, раз вдохнуть пыли с хорошей дозой и до свидания.
Что именно не может быть правдой: что заражение крайне не равномерно, что они не могли копать окопы или что они при этом не дышали?
Апплодирую стоя автору!
Тоже давно размышляю в подобном ключе, здесь также стоит упомянуть первую заповедь радиотехники(не крути две ручки сразу!), не забывая о том, что время все равно крутит свою ручку. На ум приходят диаграммы состояния с линиями солидуса и ликвидуса, только многомерные.
Но спрошу автора: не кажется ли вам, что все описанное выше, есть только тень от истинного объекта, брошенная на разные поверхности и не думал ли автор о том, что он без конца читает таблицы Брадиса, в то время, как где-то совсем рядом есть та самая формула синуса?!
в opsi реализован вариант «при включении, OPSI выдаёт клиентскому компу меню, в котором дефолтным стоит безагентная инвентаризация; после завершения инвентаризации ПК перезагружается;»
«после linux'а передаётся управление загрузчику windows» — на текущей архитектуре, насколько я знаю, это технически невозможно.
«У вас же pxe везде используется, но как основная грузится операционка с локального диска» да, вектор атаки есть, об этом я и говорю. Если вы считаете риск подобного критически высоким, стоит прописать правила брандмауэра на маршрутизаторах, запретив исходящий 69 порт udp на всех других портах сети, кроме нужного. Эта схема внедрена на всех без исключения провадерах интернета.
3. Совпадение маков где и где?
4. У нас ежемесячная инвентаризация с серийниками плюс акты приема-передачи. Я говорил с адвокатом и выбрал именно такую систему. Никому не навязываю.
5. «Silent — это в фоновом (для пользователя) режиме» — да, значок в трее, работать можно.
software-on-demand — установка сразу после нажатия кнопки «установить» пользователем, комп не блокируется.
6. «Не, не думает.» — профнепригодность. Остальное просто безудержное зло какое-то, честное слово.
7. «Да, что-то тут я тупанул. Действительно, ещё на этапе ввода в домен будет ошибка. И будет он так стоять с ошибкой, пока кто-нибудь к нему не подойдёт… И хорошо, если это будет не vip-юзер.» Вы ищете уязвимости, как в рассказе про хакера с солонкой. В тексте описаны конкретные условия — есть пустой кабинет, админ и 100 компов. Если придумываете vip-юзера, то почему так скучно? Придумайте космическую частицу, которая перепишет программу на моем компе так, что та случайно взломает по уязвимости атомную станцию, взорвав её и задайте вопрос, как я от ядерного конца света защищён.
8. «А можно это меню поменять?» — я пока не разбирался с этим, но вообще это открытый софт, конечно можно, вопрос только в усилиях для этого. «Лог растёт, а польза от него — нет.» вы реально ставите в претензию рост текстового файла?
9. «А, ну значит сам агент в образ не внедрить» это не так. Я не разбирался с этим, так как надобности не было, но подозреваю, что с гибкостью opsi возможно и это.
11. Значит в opsi можно добавить интерпретатор того скриптового языка и собирать так пакет. Либо работать сразу с setup.exe и wizard'ом.
14. «Как только админ в консоли OPSI нажал кнопку «Применить» — на клиентские машины сразу начинается установка пакета?» — если вы в консоли выбрали все клиентские машины, то на все клиентские машины начнется установка пакета, если вы выбрали некоторые клиентские машины, то на некоторые. «А распределение нагрузки есть?» — на установках более 3000 машин есть возможность приобрести модуль для этого www.uib.de/en/opsi-cofunding/scalability-1
15. Встроенных отчётов нет, я для себя без труда написал отчёты, которые нравятся мне. Кроме того в opsi есть фишка выбора компов по железячным и любым параметрам — можно выбрать с любым уровнем гибкости, например где установлен windirstat, при этом свободного места осталось менее 10 гб и проц амд(пример выдуманный). «А смысл тогда внедрять такую инвентаризацию, если потом самому пилить отчёты? В этом плюсы опенсорса?» — именно, в этом и плюс опенсорса, в том, чтобы разобраться за небольшое время и запилить отчёты, которые нужны именно тебе, а не дефолтные, которые вроде выглядят ок, но не подходят толком никому. Впрочем, я не навязываю свое видение, лично мне именно это реально удобно.
p.s. при всём уважении, ваши вопросы не похожи на сравнение возможностей SCCM и OPSI, вы если решили сравнить, задайте вопросы вида «вот в SCCM есть такая функция, работает так, у opsi такое есть?» и тогда сравним, а делать неверные предположения вида «А, ну значит сам агент в образ не внедрить» — больше похоже на предвзятое негативное отношение, отвечать на подобные упреки неприятно.
И если вы имели дело с SCCM, поправьте меня, если я ошибаюсь: разница в цене лицензий на 100 клиентских компьютеров составит: стоимость лицензии винды — 71928 + лицензия SCCM standard 27933 + 100 клиентских лицензий по 1435 = 243361р. Я не пользовался SCCM, наверное, это продукт, который стоит своих денег, но мои потребности opsi покрывает с легкостью в бесплатном варианте, как и потребности большинства небольших сетей. Озвучьте, какие дополнительные фичи есть у SCCM, которых нет в opsi, чтобы было понятно, за что именно стоит платить деньги.
2. «все ПК грузят образ opsi boot menu по сети, в котором уже можно выбрать загрузку с HDD.» — нет, это не так, они грузят просто меню, за секунду, в котором по умолчанию стоит пункт продолжить грузить систему с локального дикса и задержка 1 секунда, для пользователей это не вносит сильной задержки. Для безагентной инвентаризации просто выставляете для нужных клиентов «Всегда» в netboot инвентаризации(безагентной) и они каждый раз при загрузке будут инвентаризироваться, а потом будет загружаться система. К компу вообще можно не подходить, всё делается само. Система защищена ровно так же, как и протокол PXE, то есть если злоумышленник поднимет в этой сети свой DHCP+TFTP то у него все шансы на успех.
3. В реальной работе у одного компа прописан один агент и в нем есть и opsihost и macaddress, можно загрузить и винду с агентом и по pxe. В базе НЕ появится клон с другим id, так как сама opsi агентов себе не создаёт. Там достаточно большое меню, можно загрузить установку почти всех популярных систем, а для обычных компов из полезного есть wipedisk, memtest, безагентная инвентаризация.
4. Я делаю инвентаризацию при каждой загрузке, но не через opsi, а через повершелл, github.com/valmont2k/powershellinventory так как был случай, когда понадобилось доказать, что это-наши компы, из наших комплектующих, через запись серийников в базу git. Конечно, ваш выбор по поводу инвентаризации, но что помешает пользователю забрать планку памяти себе? Вот сейчас около сотни компов забрали люди домой работать, а у меня записано всё о них, объёмы, серийники всего, включая мониторы. Без инвентаризации я бы просто поверил им, сейчас у меня есть возможность проверить, это важно для меня. Вскрытие корпуса конечно хорошо, но оно не дает никакой информации кроме того, что корпус был вскрыт. Сможете подать заявление в милицию на пользователя за вскрытие корпуса? А я смогу подать за кражу такой-то памяти, такого-то объема с таким-то серийником.
5. Есть еще silent установка пакетов, но я как-то пока не настроил. " OPSI умеет делать rollback?" — нет, она просто покажет, что установка не удалась и почему(с клиентов на сервер отсылаются подробные логи всего происходящего).
6. Нет, накатили образ — перезагрузка1 — переименовали машину — удалился файл с паролем локального админа — перезагрузка2 — ввели в домен — удалился файл с админом домена — перезагрузка3 — установили агента opsi — перезагрузка4. «загрузиться с флешки и считать пароли» — если можно загрузиться с флешки, то можно просто посмотреть пароли, не знаю как в windows 10, но в семерке пароли можно было смотреть спец софтом. Если есть возможность загрузиться с флешки, то это уже дает все права в компе. «в файле createtesk.txt светится пароль локального администратора» — только это мой выдуманный пароль, если человек ставит в этот файл свой пароль, он наверное думает куда этот файл деть?
7. В OPSI никак, просто комп не заведётся в домен. Потом ручками комп перезавести и всё.
8. Нет, функции заведения клиентов автоматически, нет насколько я знаю. OPSI грузит на неизвестные машины свое boot menu из которого можно запустить стандарный образ linux. OPSI умеет как оказалось будить компы, в том числе и по планировщику.
9. Я не устанавливал агент в образ, не могу ничего сказать про это. OPSI никак не реагирует на переименование компа после установки агента, потому что однажды создает его равным имени компа и оставляет таким, не связывая его с именем компа в домене больше. При желании можно переименовать. У меня работает скрипт, который в описание клиента пишет имя компа из домена. В дополнение можно посмотреть сессию под каким пользователем сейчас комп.
11. А на чем был скрипт-то? на cmd? Думаю, в виде скрипта с файлами или установщика запихнуть их в пакет opsi не составит большого труда.
12. Свой формат, файл с расширением .opsi. Вручную запустить нельзя. Скачать только ручками. При обновлении оригинального дистрибутива надо заново создавать пакет. Есть software-on-demand — это когда вы назначаете, какие пакеты пользователи могут ставить сами, тогда юзер может запустить из программ software-on-demand-клиент, выбрать в нем программы из opsi и установить их.
14. Новый софт ставится также по нажатию в opsi-configed кнопки «применить», сразу, но я этот момент не описывал, так как это не автоматическая функция, а я старался именно автоматическую часть отработать. Можно при желании сделать для всех клиентов сделать автоустановку софта ночью, чтобы не мешать работать и тогда всё будет происходить точно как вы описываете с SCCM.