2. «все ПК грузят образ opsi boot menu по сети, в котором уже можно выбрать загрузку с HDD.» — нет, это не так, они грузят просто меню, за секунду, в котором по умолчанию стоит пункт продолжить грузить систему с локального дикса и задержка 1 секунда, для пользователей это не вносит сильной задержки. Для безагентной инвентаризации просто выставляете для нужных клиентов «Всегда» в netboot инвентаризации(безагентной) и они каждый раз при загрузке будут инвентаризироваться, а потом будет загружаться система. К компу вообще можно не подходить, всё делается само. Система защищена ровно так же, как и протокол PXE, то есть если злоумышленник поднимет в этой сети свой DHCP+TFTP то у него все шансы на успех.
3. В реальной работе у одного компа прописан один агент и в нем есть и opsihost и macaddress, можно загрузить и винду с агентом и по pxe. В базе НЕ появится клон с другим id, так как сама opsi агентов себе не создаёт. Там достаточно большое меню, можно загрузить установку почти всех популярных систем, а для обычных компов из полезного есть wipedisk, memtest, безагентная инвентаризация.
4. Я делаю инвентаризацию при каждой загрузке, но не через opsi, а через повершелл, github.com/valmont2k/powershellinventory так как был случай, когда понадобилось доказать, что это-наши компы, из наших комплектующих, через запись серийников в базу git. Конечно, ваш выбор по поводу инвентаризации, но что помешает пользователю забрать планку памяти себе? Вот сейчас около сотни компов забрали люди домой работать, а у меня записано всё о них, объёмы, серийники всего, включая мониторы. Без инвентаризации я бы просто поверил им, сейчас у меня есть возможность проверить, это важно для меня. Вскрытие корпуса конечно хорошо, но оно не дает никакой информации кроме того, что корпус был вскрыт. Сможете подать заявление в милицию на пользователя за вскрытие корпуса? А я смогу подать за кражу такой-то памяти, такого-то объема с таким-то серийником.
5. Есть еще silent установка пакетов, но я как-то пока не настроил. " OPSI умеет делать rollback?" — нет, она просто покажет, что установка не удалась и почему(с клиентов на сервер отсылаются подробные логи всего происходящего).
6. Нет, накатили образ — перезагрузка1 — переименовали машину — удалился файл с паролем локального админа — перезагрузка2 — ввели в домен — удалился файл с админом домена — перезагрузка3 — установили агента opsi — перезагрузка4. «загрузиться с флешки и считать пароли» — если можно загрузиться с флешки, то можно просто посмотреть пароли, не знаю как в windows 10, но в семерке пароли можно было смотреть спец софтом. Если есть возможность загрузиться с флешки, то это уже дает все права в компе. «в файле createtesk.txt светится пароль локального администратора» — только это мой выдуманный пароль, если человек ставит в этот файл свой пароль, он наверное думает куда этот файл деть?
7. В OPSI никак, просто комп не заведётся в домен. Потом ручками комп перезавести и всё.
8. Нет, функции заведения клиентов автоматически, нет насколько я знаю. OPSI грузит на неизвестные машины свое boot menu из которого можно запустить стандарный образ linux. OPSI умеет как оказалось будить компы, в том числе и по планировщику.
9. Я не устанавливал агент в образ, не могу ничего сказать про это. OPSI никак не реагирует на переименование компа после установки агента, потому что однажды создает его равным имени компа и оставляет таким, не связывая его с именем компа в домене больше. При желании можно переименовать. У меня работает скрипт, который в описание клиента пишет имя компа из домена. В дополнение можно посмотреть сессию под каким пользователем сейчас комп.
11. А на чем был скрипт-то? на cmd? Думаю, в виде скрипта с файлами или установщика запихнуть их в пакет opsi не составит большого труда.
12. Свой формат, файл с расширением .opsi. Вручную запустить нельзя. Скачать только ручками. При обновлении оригинального дистрибутива надо заново создавать пакет. Есть software-on-demand — это когда вы назначаете, какие пакеты пользователи могут ставить сами, тогда юзер может запустить из программ software-on-demand-клиент, выбрать в нем программы из opsi и установить их.
14. Новый софт ставится также по нажатию в opsi-configed кнопки «применить», сразу, но я этот момент не описывал, так как это не автоматическая функция, а я старался именно автоматическую часть отработать. Можно при желании сделать для всех клиентов сделать автоустановку софта ночью, чтобы не мешать работать и тогда всё будет происходить точно как вы описываете с SCCM.
Спасибо за хороший вопрос!
1. Безагентная инвентаризация-просто прикольная фишка, которой я не встречал нигде. Не могу с ходу придумать хорошего примера, но думаю, есть ситуации, когда именно такой вариант решает. Тут ньюанс ещё и в том, что полученный формат данных безагентной инвентаризации совпадает с форматом данных агентной инвентаризации, что позволяет использовать единую базу инвентаризации. У opsi платный агент и возможно не покупать его, а проводить безагентную инвентаризацию на линукс и любом зоопарке(freebsd, Linux, hackintosh, os/2, VMWare, dos...)
2.Да, как раз opsi boot menu табличка на синем фоне и задержкой в 1 секунду и есть это дополнительное меню. Кстати, здесь можно выбрать другой пункт(а не по умолчанию первый-продолжить загрузку с диска) и загрузить по сети образ Linux с opsi.
3. В режиме pxe boot идентификатор-Mac адрес устройства, в агентом режиме идентификатор- opsiHost(имя агента) и opsiHostKey(пароль). Если из железа у имеющегося агента поменять сетевушку, то он при первой загрузке пропишет мак адрес новой сетевушки и будет жить дальше. Если же поменять сетевушку и сразу загрузиться по pxe, то opsi не будет знать этого агента и загрузит дефолтное opsi boot menu. Чтобы смена сетевухи прошла как надо, надо просто загрузиться один раз в агент режим и жить дальше.
4.Пока не знаю, у меня около 150 клиентов и от opsi только самые лучшие впечатления. Иногда бывают проблемы, но они все понятные и решаемые, а те функции, что есть в opsi работают надёжно. Нагрузочного тестирования я не устраивал, если вы займётесь-напишите о результатах. Кроме того, 300 клиентов можно использовать совершенно по разному. Если каждый день при загрузке ставить soft+Hard инвентаризацию, то это одна нагрузка, а если раз в месяц раскатывать мессенджеры на всю сеть, то это другая нагрузка, раз в 50 меньше. При моём режиме использования(он ближе ко второму) я не думаю, что на 300 клиентах будут тормоза.
5. Без расширения установка происходит с сетевой шары, без скачивания. По умолчанию, на загрузке комп блокируется и opsi ставит свои пакеты. Ограничения скорости я не видел, в базовой системе её нет. Отложенный установки так же нет. Проверка целостности есть при раскатке по depot'ам, при раскатке на клиенты её нет(так как ставится прямо из шары). По дефолт у вы и имеете ситуацию «все Компы обновляются», чтобы сгладить её, нужно выставлять обновление части компов, ещё можно использовать установку при выключении( install on shutdown).
6. Да, пароль локального админам в скриптах, вернее в образе системы и он удаляется ещё до первого входа пользователя. Сразу после установки нет файла с паролем и вы не сможете его прочитать.
7. Согласен, плохая идея, но нам надо быстро! При этом вероятность коллизии около нуля, проблемы от коллизии локальны и рашаемы.
8. Пляски с tcpdump нужны, когда у вас сто собранных компов и надо собрать их мак-адреса. Выставить установку с образа можно только созданному в opsi клиенту, а чтобы его создать, нужен мак-адрес. Поэтому мы один раз загружаем все компьютеры, не загружая на них ничего по сети, цель этого- получить мак адреса компов в сети и из них создать клиентов opsi. Со второй загрузки у уже созданных клиентов можно ставить систему для клиентов opsi, у которых уже прописан мак-адрес. Opsi не помню, умеет ли будить компы(вроде умеет), а ethrewake нужен, чтобы делать это автоматически, ночью, когда вы спите, а системы разливаются.
9. Не лучшая практика, можно ставить агент прямо в образ, можно ставить агент при автоматической установке Windows, можно использовать https://github.com/opsi-org/opsi-deploy-client-agent, можно делать как я — в этом и плюс opsi, можно выбрать вариант, который вам понравится.
10. Да, неработоспособен, по умолчанию он ещё сам перезагружает машину, входя в рабочий режим.
11. После сравнения снапшотов вы получите несколько файлов и дифф реестра, совсем без написания кода создать пакет вряд ли получится, придётся написать куда копировать файлы и как менять реестр, хотя бы на powershell. Можно найти подходящий похожий пакет opsi и списать с него. А есть инструмент который позволит сделать это совсем без написания кода? Чтобы я знал, на что вы ориентируетесь?
2. «все ПК грузят образ opsi boot menu по сети, в котором уже можно выбрать загрузку с HDD.» — нет, это не так, они грузят просто меню, за секунду, в котором по умолчанию стоит пункт продолжить грузить систему с локального дикса и задержка 1 секунда, для пользователей это не вносит сильной задержки. Для безагентной инвентаризации просто выставляете для нужных клиентов «Всегда» в netboot инвентаризации(безагентной) и они каждый раз при загрузке будут инвентаризироваться, а потом будет загружаться система. К компу вообще можно не подходить, всё делается само. Система защищена ровно так же, как и протокол PXE, то есть если злоумышленник поднимет в этой сети свой DHCP+TFTP то у него все шансы на успех.
3. В реальной работе у одного компа прописан один агент и в нем есть и opsihost и macaddress, можно загрузить и винду с агентом и по pxe. В базе НЕ появится клон с другим id, так как сама opsi агентов себе не создаёт. Там достаточно большое меню, можно загрузить установку почти всех популярных систем, а для обычных компов из полезного есть wipedisk, memtest, безагентная инвентаризация.
4. Я делаю инвентаризацию при каждой загрузке, но не через opsi, а через повершелл, github.com/valmont2k/powershellinventory так как был случай, когда понадобилось доказать, что это-наши компы, из наших комплектующих, через запись серийников в базу git. Конечно, ваш выбор по поводу инвентаризации, но что помешает пользователю забрать планку памяти себе? Вот сейчас около сотни компов забрали люди домой работать, а у меня записано всё о них, объёмы, серийники всего, включая мониторы. Без инвентаризации я бы просто поверил им, сейчас у меня есть возможность проверить, это важно для меня. Вскрытие корпуса конечно хорошо, но оно не дает никакой информации кроме того, что корпус был вскрыт. Сможете подать заявление в милицию на пользователя за вскрытие корпуса? А я смогу подать за кражу такой-то памяти, такого-то объема с таким-то серийником.
5. Есть еще silent установка пакетов, но я как-то пока не настроил. " OPSI умеет делать rollback?" — нет, она просто покажет, что установка не удалась и почему(с клиентов на сервер отсылаются подробные логи всего происходящего).
6. Нет, накатили образ — перезагрузка1 — переименовали машину — удалился файл с паролем локального админа — перезагрузка2 — ввели в домен — удалился файл с админом домена — перезагрузка3 — установили агента opsi — перезагрузка4. «загрузиться с флешки и считать пароли» — если можно загрузиться с флешки, то можно просто посмотреть пароли, не знаю как в windows 10, но в семерке пароли можно было смотреть спец софтом. Если есть возможность загрузиться с флешки, то это уже дает все права в компе. «в файле createtesk.txt светится пароль локального администратора» — только это мой выдуманный пароль, если человек ставит в этот файл свой пароль, он наверное думает куда этот файл деть?
7. В OPSI никак, просто комп не заведётся в домен. Потом ручками комп перезавести и всё.
8. Нет, функции заведения клиентов автоматически, нет насколько я знаю. OPSI грузит на неизвестные машины свое boot menu из которого можно запустить стандарный образ linux. OPSI умеет как оказалось будить компы, в том числе и по планировщику.
9. Я не устанавливал агент в образ, не могу ничего сказать про это. OPSI никак не реагирует на переименование компа после установки агента, потому что однажды создает его равным имени компа и оставляет таким, не связывая его с именем компа в домене больше. При желании можно переименовать. У меня работает скрипт, который в описание клиента пишет имя компа из домена. В дополнение можно посмотреть сессию под каким пользователем сейчас комп.
11. А на чем был скрипт-то? на cmd? Думаю, в виде скрипта с файлами или установщика запихнуть их в пакет opsi не составит большого труда.
12. Свой формат, файл с расширением .opsi. Вручную запустить нельзя. Скачать только ручками. При обновлении оригинального дистрибутива надо заново создавать пакет. Есть software-on-demand — это когда вы назначаете, какие пакеты пользователи могут ставить сами, тогда юзер может запустить из программ software-on-demand-клиент, выбрать в нем программы из opsi и установить их.
14. Новый софт ставится также по нажатию в opsi-configed кнопки «применить», сразу, но я этот момент не описывал, так как это не автоматическая функция, а я старался именно автоматическую часть отработать. Можно при желании сделать для всех клиентов сделать автоустановку софта ночью, чтобы не мешать работать и тогда всё будет происходить точно как вы описываете с SCCM.