Возможно ли использовать Linux Desktop в Windows инфраструктуре?

  • Tutorial
Всем привет! На Хабре неоднократно поднимались вопросы о том, как подготовить дистрибутив Linux для ввода в Active Directory, а также для интеграции с некоторыми другими серверами Windows. При этом, до сих пор не было написано статьи о том, стоит ли вообще этим заниматься, и будет ли конечный результат стоить потраченных времени и усилий.

Почему возник этот вопрос? Меня попросили настроить Linux для ребят, которые утомились от обновлений и прожорливости Windows 10 (особенно на компьютере без SSD и с оперативной памятью DDR2). Кроме того, одним из неоспоримых плюсов Linux (и его признают даже его ярые противники) является его открытость бесплатность. Это тоже значимый аргумент.

Обычный пользователь в среднестатистической компании, компьютер использует для Word и Excel, браузера, плюс в редких случаях, работает с каким-либо удаленным приложением, например через RDP. Необычный пользователь, типа целого программиста, без значительных сложностей может попросить админов найти требуемую IDE, Jenkins, git, и что там еще нужно программистам? Мессенджеры, на отсутствие которых в Linux в соседней статье жалуются, в дистрибутиве имеются во всевозможном изобилии. Skype, Viber, ICQ, даже заблокированный в РФ клиент, полностью в наличии на официальных сайтах, прекрасно поддерживаются и в полной мере идентичны по UI с клиентами предназначенными для Windows.

Итак, смотришь на требования пользователей к системе, сравнишь их с возможностями Linux и думаешь, сплошные плюсы, а еще и экономия четко прослеживается. Почему же возникают какие-либо возражения к такой прекрасной идее как перевод пользователя с Windows, на Linux? Только лишь вредные привычки?

Я совсем не крутой пользователь открытых операционных систем, но некоторым минимальным практическим опытом который я получил (при переводе пользователей с Windows на Linux) хочу поделиться.

Искренне надеюсь, что опытные пользователи хабра надают по рукам т.е. подскажут, где мои действия можно было бы улучшить, а где, возможно, переделать заново.

Ведь вполне может быть, что я не вижу каких-либо подводных камней, которые известны старшим и более опытным товарищам, буду искренне благодарен, если на такие, проблемы у обычного пользователя мне укажут. Искренне надеюсь, что изложенная мной информация получится воспроизводимой.

Подготовка локального репозитория


Linux (по крайней мере Ubuntu), как и Windows полностью поддерживает сетевую/локальную установку. Вполне можно было бы опустить этот шаг, так как linux прекрасно устанавливается и из интернета. Но учитывая, что установка системы, задача довольно часто повторяемая, мы попытаемся ее автоматизировать, а чтобы избежать ненужных проблем с внешним репозиторием, который мы не контролируем, подготовим виртуальную машину, с локальным репозиторием, на котором будут расположены установочные файлы системы, файл ответов, (а заодно, весь необходимый нам софт, а также будущие обновления).

Файлы установки и все дополнительное ПО, для LTS версии Ubuntu 20.04 Focal Fossa, занимают примерно 80 Гб.

В качестве ОС для виртуальной машины — я использовал Ubuntu Server 20.04 Это стабильный релиз, который будет полностью поддерживаться до 2025 года.

После окончания установки, задаем человеко-понятное имя нашему компьютеру

sudo nano /etc/hostname  
#печатаем желаемое имя ПК в открывшемся файле,
# затем перезагружаем ПК

Устанавливаем пакет для клонирования репозитория

sudo apt install apt-mirror 

sudo nano /etc/apt/mirror.list 
#настраиваем конфигурационный файл зеркала

/etc/apt/mirror.list


############# config ##################
set base_path    /repo  
set mirror_path  $base_path/mirror
set skel_path    $base_path/skel
set var_path     $base_path/var
set cleanscript $var_path/clean.sh
set postmirror_script $var_path/postmirror.sh
set run_postmirror 0
set limit_rate 2000000
set nthreads   20
set _tilde 0
############# end config ##############
#------------------------------------------------------------------------------#
#                            OFFICIAL UBUNTU REPOS                               #
#------------------------------------------------------------------------------#
###### Ubuntu Main Repos
# 18.04 mirroring
deb http://archive.ubuntu.com/ubuntu focal main main/debian-installer restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu focal-updates main main/debian-installer restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu focal-proposed main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu focal-backports main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu focal-security main main/debian-installer restricted universe multiverse

clean http://archive.ubuntu.com/ubuntu

#------------------------------------------------------------------------------#
#                           UNOFFICIAL UBUNTU REPOS                            #
#------------------------------------------------------------------------------#
###### 3rd Party Binary Repos
deb [arch=amd64] http://dl.google.com/linux/chrome/deb/ stable main

Хочу отметить, что в этой конфигурации показывается возможность управления количеством потоков и скоростью закачки файлов при клонировании репозитория, а также демонстрируется возможность клонировать внешние репозитории, не принадлежащие Canonical. Например, Google Chrome.

Также, заслуживает внимания, что, дополнительно в конфигурации необходимо прописать ветку main/debian-installer, хотя она и является дочерней по отношению к ветке main, Это не было очевидным для меня, я не нашел чтобы об этом писалось раньше, и поначалу не мог понять в чем дело.

sudo apt-mirror 
#запускаем настроенный пакет (осторожно, большой объем >= 80 Gb) 

Необходимо выполнять команду sudo apt-mirror например, еженедельно, для обновления нашего репозитория — «сервера» обновлений клиентских компов.

Пример настройки автообновления репозитория с записью логов о обновлении

sudo nano /etc/crontab
30 02     * * 0   admin      /usr/bin/apt-mirror > /path/to/your.log
#каждое воскресенье в 02:30
#Немного подробнее о планировщике можно прочитать по ссылке #https://crontab.guru/examples.html

Установка веб-сервера (для раздачи файлов нашим будущим клиентам)


sudo apt install apache2  
ln –s /repo/mirror/archive.ubuntu.com/ /var/www/html/ubuntu 
#(символическая ссылка на наш репозиторий отправленная в вебсервер)
sudo systemctl restart apache2 
# (перезапуск веб-сервера).

Для проверки, что все получилось как задумывалось, необходимо попытаться зайти на наш ip через браузер. В результате мы должны увидеть файлы репозитория.

Установка tftpd для установки ubuntu по сети


sudo apt install tftpd-hpa  
sudo nano /etc/default/tftpd-hpa 


# /etc/default/tftpd-hpa
TFTP_USERNAME="tftp"   
TFTP_DIRECTORY="/tftpboot"
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="--secure -l -v -m /etc/tftpd.remap"


#В свою очередь /etc/tftpd.remap должен содержать следующую строчку
rg \\/

sudo mkdir /tftpboot  
#(создаем директорию в корне)
sudo chmod -R 755 /tftpboot
cd /tftpboot


#Скачиваем систему syslinux
wget https://www.kernel.org/pub/linux/utils/boot/syslinux/4.xx/syslinux-4.07.tar.gz 

Разархивируем и рекурсивно копируем все найденные файлы библиотек .c32 из syslinux в /tftpboot любым удобным вам способом, а также создаем в /tftpboot папки pxelinux.cfg и папку linux

В /tftpboot/pxelinux.cfg будет находится меню загрузчика (файл с именем default)

default

ui vesamenu.c32
ALLOWOPTIONS 0 
PROMPT 0
menu title Microsoft SCCM Enterprice Endpoint :-)
MENU WIDTH 77
MENU MARGIN 10
MENU PASSWORDMARGIN 3
MENU ROWS 12
MENU TABMSGROW 18
MENU CMDLINEROW 18
MENU ENDROW 24
MENU PASSWORDROW 11
MENU TIMEOUTROW 60
NOESCAPE 0
MENU COLOR SCREEN 44;30 #00FFFFFF #00000000
MENU COLOR BORDER 44;30 #FFFFFFFF #FF000000
MENU COLOR TITLE 1;44;30 #FFFFFFFF #FF000000
MENU COLOR SCROLLBAR 44;30
MENU COLOR HOTKEY 44;30 #FFFFFF00 #FF000000
MENU COLOR UNSEL 44;30 #FFFFFFFF #FF000000
MENU COLOR HOTSEL 1;30 #FFFFFFFF #FF333333
MENU COLOR SEL 7;44;30 #FFFFFF00 #FF333333
MENU COLOR CMDMARK 44;30
MENU COLOR CMDLINE 44;30
MENU COLOR TABMSG 44;30
MENU COLOR DISABLED 44;30
MENU COLOR HELP 44;30
MENU COLOR PWDBORDER 44;30 #FF187CCA #FFFFFFFF
MENU COLOR PWDHEADER 1;44;30 #FF187CCA #FFFFFFFF
MENU COLOR PWDENTRY 5;44;30 #FF187CCA #FFFFFFFF
TIMEOUT 120
LABEL HDD
MENU LABEL Boot from first HDD
KERNEL chain.c32
APPEND hd0 0
ENDTEXT
LABEL TEST
MENU LABEL Install Ubuntu 20.04
KERNEL linux/linux
IPAPPEND 1
APPEND initrd=linux/initrd.gz url=http://server.local/preseed/ubuntu2.cfg auto=true priority=critical debian-installer/locale=en_US keyboard-configuration/layoutcode=us languagechooser/language-name=en_US countrychooser/shortlist=US localechooser/supported-locales multiselect en_US splash noprompt noshell ---
ENDTEXT


В /tftpboot/linux должны находиться следующие файлы:

-файл ответов ubuntu2.cfg, загрузчик initrd.gz, файл ядра linux

Ниже пример preseed файла (файла ответов).

Дополнять его можно бесконечно, но с предложенной настройкой без единого нажатия клавиши система полностью автоматически устанавливается. (правда, должен признаться, что в файле ответов предназначен пользователь и его пароль, таким образом система будет установлена запароленной

ubuntu2.cfg

https://github.com/drumit/ubuntu_config/blob/master/ubuntu2.cfg

Ядро и загрузчик были получены по этому адресу:

archive.ubuntu.com/ubuntu/dists/focal/main/installer-amd64/20101020ubuntu614/legacy-images/netboot/ubuntu-installer/amd64

Файл ответов позволяет автоматически выбрать язык системы, язык установки системы, задать требуемое разбиение и форматирование диска и даже задать хэши паролей на загрузчик и локального администратора (на момент установки — единственного пользователя ПК).

При предварительно настроенном DHCP (опции 66 и 67) включающих загрузочный файл и IP адрес tftp сервера после загрузки и выбора строчки «Install Ubuntu 20.04» Все остальное будет сделано без нашего вмешательства. (Система будет устанавливаться около 25-30 минут).

После ввода логина и пароля, в подавляющем большинстве случаев система будет полностью готова к работе с документами, картинками, аудио и видео файлами, интернетом, без каких-либо сложностей.

Установка занимает около 25-30 минут. и проходит полностью автоматически. Для обычного пользователя этого достаточно.

Но мы ведь говорим о работе Ubuntu в корпоративной среде, а значит речь пойдет об интеграции с Active Directory, Exchange, DFS и т.д. Может быть где-то на пути поиска взаимодействия с этими службами возникнут неполадки? Может быть что-то из изложенного выше уже на данном этапе сделано неправильно? В следующей части статьи напишу о моем пути интеграции Linux систему в корпоративную Windows инфраструктуру.

Для управления удаленными компьютерами и их настройки необходимо установить на «сервер» операционную систему с репозиторием систему управления конфигурациями Ansible

Установка и настройка Ansible (для авто настройки и администрирования Ubuntu)


sudo apt install ansible
sudo nano /etc/ansible/hosts 
#это инвентори файл, в нем должны быть все управляемые компьютеры, по их hostname. либо  IP
#Синтаксис простой, в левой части произвольное имя, для нашего удобства, в правой части hostname или IP адрес.

После заполнения инвентори файла мы должны соединить клиентскую машину с сервером.
ssh-keygen #(на сервере создаем пару приватный/публичный ключ) 


сd /home/localadm/.ssh/
ssh-copy-id localadm@192.168.*.*
#копируем публичный ключ с сервера на локальный компьютер (Затем, вводим пароль #локального администратора для локального ПК

Для проверки успешности настроек введем команду.

ansible  all –m ping   

Если мы видим ответ от клиентского ПК наши настройки выполнены верно.

После успешной проверки настроек, необходимо запустить скрипт для доустановки необходимых пакетов и введения ПК в домен.

Для управления поведением компьютера в Ansible обычно создаются роли, но так как у нас тривиальная задача просто установить, удалить, настроить и ввести в домен компьютер c Ubuntu воспользуемся простым скриптиком (в терминогогии Ansible плэйбуком).

Прежде чем запустить плэйбук крайне важно зашифровать логин и пароль под которыми мы будем вводить компьютер в домен, в идеале это должна быть сервисная учетная запись, и средствами ансибла она должна быть зашифрована.

ansible-vault encrypt playbook3.yaml
#(введите пароль для зашифровки).

Для запуска скрипта после приведения скрипта к рабочему виду:

1. ansible-playbook playbook3.yaml –ask-vault-pass
2. вводим пароль локального администратора удаленного ПК
3.  вводим пароль шифрования

При запуске скрипта компьютер несколько раз должен быть перезагружен. После перезапуска скрипта вручную с сервера, после перезагрузки клиента, скрипт продолжит выполнение с того момента, на котором остановился (предварительно проиндексировав предыдущие шаги). Действие скрипта (вместе с перезагрузками) займет не более 10 минут.

Вот этот скрипт:

playbook3.yaml

https://github.com/drumit/ubuntu_config/blob/master/playbook3.yaml


Скрипт Ansible ссылается на несколько дополнительных скриптов конфигурирующих kerberos, sssd, samba и еще некоторые важные файлы

krb5.conf.j2

https://github.com/drumit/ubuntu_config/commits/master/krb5.conf

sssd.conf.j2

https://github.com/drumit/ubuntu_config/blob/master/sssd.conf.j2


samba.conf.j2

https://github.com/drumit/ubuntu_config/blob/master/samba.conf.j2


nsswitch.conf.j2
  
https://github.com/drumit/ubuntu_config/blob/master/nsswitch.conf.j2


common-auth.j2

https://github.com/drumit/ubuntu_config/blob/master/common-auth.j2

common-account.j2

https://github.com/drumit/ubuntu_config/blob/master/common-account.j2

common-password.j2

https://github.com/drumit/ubuntu_config/blob/master/common-password.j2

common-session.j2

https://github.com/drumit/ubuntu_config/blob/master/common-session.j2

common-session-noninteractive.j2

https://github.com/drumit/ubuntu_config/blob/master/common-session-noninteractive.j2


P.S. Упустил возможность написать выше о замечательном продукте Evolution который совместно с плагином Evolution-ews успешно взаимодействует по протоколу EWS с Exchange сервером, «отдавая» не только почту, но и вполне приемлемо взаимодействуя с календарем.

Отдельно отмечу, что все настройки упомянутые выше делаются 1 раз. Затем полностью установка и настройка системы занимает не более 1 часа.

Так чем же плох Linux и подходит ли он для обычного пользователя? А для пользователя в корпоративной среде?
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 58

    –2
    .
      +2
      уже исправили.
      –1
      .
        +3
        Приношу извинения, из-за неверного тега, в публикации статью сильно обрезало. Исправил.
          0
          Тут не поменяли на 20.04
          ###### Ubuntu Main Repos
          # 18.04 mirroring

          Ещё опечатка
          ssh-keyhen
            +1
            Название playbook3.yaml не информативно, желательно переименовать.
            В плэйбуке ссылки на файлы в директории templates (например src: «templates/krb5.conf.j2), на github эти файлы лежат рядом с плэйбуком, лучше их перенести в templates.
              +6
              sudo nano /etc/hostname
              #и перезагружаемся

              Можно чуть иначе и без перезагрузки:
              hostnamectl set-hostname NewName
                +1

                Старый вариант тоже работает:


                hostname -F /etc/hostname
                +3
                1) У вас нет windows окружения, добавьте SfB, Onedrive(on premise) и шарепойнт.
                2) Управлять парком из 1000+ разноплановых арм можно и ансиблем, вы надеюсь документируете каждый свой шаг, ну чтобы следующий человек после вас не потратил N дней/месяцев/лет раскапывая залежи плейбуков?
                3) Стоимость windows desktop включая все сервисы майков и cal укладываются в $1000, мое мнение это невеликие деньги в масштабах средней-крупной компании и использовать их просто и удобно, как минимум проще и удобней linux.
                  0
                  Стоимость windows desktop включая все сервисы майков и cal укладываются в $1000, мое мнение это невеликие деньги в масштабах средней-крупной компании и использовать их просто и удобно, как минимум проще и удобней linux

                  Всё дело исключительно привычки.
                  В $1000
                  — эта сумма уходит примерно раз в 3 года по новой.
                  К тому же в таких компаниях часто бывает очень много мест, где всё перекрыто и можно запускать только несколько рабочих программ. Умное руководство (если есть) умеет считать деньги. Да и обслуживать парк таких Линукс машин статистически меньше времени (меньше поломок типа «регистр сдох на ровном месте» или «обновление безопасности приводящее к .....»).

                  Подытожу мысль — не панацея, но в многих сценариях может сэкономить.
                    +3
                    Это «дело привычки» работает в обе стороны, например, посадить веб разработчика можно и на винду, все там работает — просто не так как привычно.

                    Мой личный опыт показывает, что экономия на спичках как правило ведет к снижению производительности труда, возьмем простой пример, средняя компания по продаже «очень клевых штук — все по 10$!!!!» — средний заработок пусть будет 70к в год + затраты на офис, парковку, бенефиты, воду в кофеварке, бумагу в толчке итп. На этом фоне $1000/y (2к на приличный комп с заменой раз в 3 года+1к на софт) вообще мало играющий фактор — несмотря на то что в строке баланса может быть весомая сумма — в общем итоге это мизер. Особенно учитывая то, что многие сервисы доступные, например, разработчику в крупной компании где окружение на linux (и воспринимаемые фоном как само собой разумеющиеся), тоже зачастую сильно не бесплатные.

                    И да — поломки реестра на ровном месте и обновления приводящие к… бывают далеко не у всех, у нас например таких проблем нет (и я понимаю, что когда закрываю глаза темно становится не всем) — вопрос к эксплуатирующим.

                  +5
                  Скажу честно. У самого не раз в голове возникали безумные идеи перевести организацию на открытое ПО. Даже в тестовой среде тестили. Ведь по сути хочется повторить, то что наработали microsoft. Это например GPO, WSUS, WDS по впн и доступ к терминальным столам (TSG) — как ни крути, а сделали удобно и среднестатистический админ сможет это настроить. По Linux системам может проходить все не так гладко (тема для холиваров), поэтому тут выбор каждого. А если руководство умеет считать, также как и считает зарплаты обслуживающего персонала, то иногда проще купить винду. В рамках бюджетных учреждений, где есть много филиалов и безграничные средства, то да — можно перейти на открытое по, но тут появляется ФЗ-44 и все идет еще веселее.
                  В моем случае внедрение linux остановилось на тонких клиентах работающих на платформе с малиновым названием для подключения к терминалу, ну и моя работающая станция с попыткой перенести часто используемое ПО.
                  Поэтому вывод один — все зависит от требований к рабочему месту, если необходим только браузер — то вполне подойдет популярный бесплатный дистрибутив на основе ядра linux. Если есть специализированное ПО, то не стоит зря терять время и использовать то, что рекомендуют.
                    +1
                    В рамках бюджетного учреждения $1000 = 71000 рублей = зарплата за квартал. Поэтому одновременно стоят две цели: потратить как можно меньше денег на ПО и потратить как можно меньше денег на сотрудников. Следовательно, будет контрафактное ПО из-за дешевизны ПО и windows из-за дешевизны сотрудников, а в итоге будет контрафактный windows.

                    Переход на открытое ПО упирается в то, что не удаётся дёшево нанимать сотрудников, которые смогут этим заниматься, и не удаётся дёшево покупать для них оборудование.
                      +1
                      Поэтому одновременно стоят две цели: потратить как можно меньше денег на ПО и потратить как можно меньше денег на сотрудников.


                      КМК, в бюджетных заведениях задачи ставятся иначе. На ПО нужно потратить ВСЕ выделенные на это деньги. А фонд оплаты труда — это отдельная тумбочка. Если на ПО не тратиться — зарплату все равно никому не повысят, ибо нецелевое использование средств, суд, Сибирь.
                        0
                        На ПО нужно потратить ВСЕ выделенные на это деньги, однако денег на это не выделено нисколько. Вот такое вот иначе.
                          +1
                          То есть в бюджете конторы на 2021 год на оборудование N рабочих мест выделено 0 денег? Странно, это такая же статья расходов, как и мебель.
                            +2
                            На мебель тоже ноль, потому что ещё не сломалась прежняя, которая была куплена в 1974 году.
                              +1
                              Это не так работает. Либо в бюджете на 2021 год будет запланировано N денег на мебель, либо нет. Если денег не запланировано — даже если мебель сломалась вся, купить новую будет очень непросто. Приносите из дома табуретку, покупайте за свои, передавайте привет насяльнике. Если денег запланировано — их нужно потратить, даже если мебель 1974 года и до сих пор в прекрасном состоянии.
                              В любом случае бюджет известен сильно заранее.
                                +1
                                Конечно, не запланировано. Денег-то нету.
                                  +2
                                  Ну, тогда держитесь там ;)
                    +2

                    А есть решение для случаев, когда корпоративные политики вынуждают использовать Intune Company Portal?

                      +2
                      Очень интересна вот эта часть:
                      прожорливости Windows 10 (особенно наполненной политиками GPO)

                      Могли бы вы чуть подробнее рассказать про эти прожорливые политики?
                        –2
                        Нет, обратите внимание, речь именно о торможении Windows 10, а не о политиках. Но и разница при работе в Windows 10 где-нибудь дома, и в компании все-таки есть. Если это не так, напишите пожалуйста вы об этом подробнее.
                          +2
                          Вот вы сейчас как Никита Михалков — «если я что-то сказал, а вы не согласны, то вы это и опровергайте».
                          Мне интересен конкретный пример «торможения под политикой», с учетом того, что 95% политик это установка значения в реестре, которая просто по определению не может тормозить, а в 5% — копирование ярлыков и монтирование недоступных дисков и принтеров, которое будет тормозить как под Windows, так и в скрипте под Linux.
                            0
                            Попробую еще раз объяснить, эта статья не про групповые политики или Windows (sic!) Статья о Linux. Вы прицепились к фразе имеющей самое небольшое отношение к теме Linux, в хабе о настройках Linux. При этом, судя по всему мой предыдущий ответ вам отчего-то не понравился. Вдаваться в подробности, я не намерен, потому что-то это явный офф-топ. Удачи с собеседниками одного с вами мировозрения
                              +1
                              Тогда аргумент про политики, высосанный из пальца.
                          +2
                          Сколько ни ставил Windows 10 на разные аггрегаты — даже топовые от HP за много денег — без SSD тормозит, особенно на старте (пока не прогрузятся службы). Да и потом запуск приложений некоторых на пару-тройку секунд тормозит.
                          С SSD диском картина координально меняется, все по скорости устраивает.
                            +1
                            Сложно в 2020 представить топовые НР за много денег с HDD :) На последнем подходящем под определение лично я работал года 4 назад, это был Z820 Workstation с SAS HDD и ничего не тормозило. Впрочем на бюджетных компах с hdd линукс, по крайней мере который видел я (SLED, RHEL, Mint) были довольно задумчивы.
                              0
                              Когда речь идёт о федеральных бюджета и тендерах — может быть что угодно. Проталкивают своё ТЗ — и вот тебе 6к станций HP с HDD на 500… очень задумчивых и неторопливых.
                          +1

                          Ну мы кассы перевели (большую часть) на дебиан… "Золотой образ" + ansible и все почти хорошо. Нюансы есть в реализациях файловых блокировок posix/samba/smb от windows. Больше вроде ничего не наелись — сканеры и кассы хорошо прибиваются к нужным портам по dbus и едут в wine, где работает древняя кассовая программа. В общем если это действительно чем-то мотивировано (в нашем случае большое количество идентичных кассовых рабочих мест + экономия на лицензиях) то вполне подъемный опыт.

                            –4
                            Кроме того, одним из неоспоримых плюсов Linux (и его признают даже его ярые противники) является его открытость бесплатность.
                            Линукс открыт, но не безплатен — нужен работник/работники для его поддержки. Безплатен линукс будет если есть какой-нибуть мальчик, приходящий по первому щелчку пальцев и безплатно настраивающий то, что нужно. Но качество его работы может огорчить.

                            Переводить только часть пользовательских машин на линукс и этим ограничиваться — глупо, выгода будет при более полном переходе.

                            Необходимо выполнять команду sudo apt-mirror например, еженедельно, для обновления нашего репозитория — «сервера» обновлений клиентских компов.
                            Лучше несколько раз в день.

                            M$ — это не только настольная винда, но и серверная + офис + иногда Аутлук + MSSQL + антивирус + сетевая защита + много чего ещё. Цена сильно зависит от потребностей предприятия.
                              +7
                              Линукс открыт, но не безплатен — нужен работник/работники для его поддержки. Безплатен линукс будет если есть какой-нибуть мальчик, приходящий по первому щелчку пальцев и безплатно настраивающий то, что нужно. Но качество его работы может огорчить.

                              С MS разве не так же? Или Windows сам себя обслуживает через ИИ?
                              Наверное орда эникеев в компаниях случайно появляется.

                                +1
                                Человек, который умеет поддерживать Windows, дешевле.
                                  +3
                                  s/умеет/якобы умеет/
                                    0
                                    На практике равноценно, особенно если проверять некому.
                                +1

                                Про серверную шутка была? Или это в популярных дистрах Linux основное отличие сервера от десктопах, если оно вообще есть — лицензия и средства её технического контроля, чтоб не дай бог кто-то не использовал десктоп как сервер?
                                MSSQL, кстати, портирована на lunux

                                +1

                                Странно, вначале даны требования, а потом про них ничего… Outlook через костыли с видом привет из 90х, офис в браузере ну прямо очень "удобно" и при этом ещё все равно нужна подписка 365. Sharepoint и Onedrive тоже мимо, режим скачивания по требованию не работает, как я понимаю, а без него я лично не представляю как работать.

                                  +8
                                  В 2009 устроился в контору. Гендир услышал что Linux бесплатный и так-как у меня уже был опыт внедрения Linux, ИТ-директор дал отмашку. А сам прикрывал нас от директоров других отделов.
                                  Перевёл все десктопы в центральном офисе и на всех гипермаркетах на кастомный Ubuntu и Thinstation. Всего не больше 500 машин.
                                  Сделал внутренний wiki. Помогал новичкам эникеям.
                                  Потом ушёл через 4 года в другую контору.
                                  Что случилось с Linux?
                                  Через год узнал, его назад заменили на Windows. Нет на рынке столько Linux-эникеев.
                                    +1
                                    Нет на рынке столько Linux-эникеев.


                                    Вы их с собой всех забрали? Или лично 500 машин тащили 4 года? ;)
                                      +1
                                      Проблем с ОС на машинах не было. Просто со временем выходили из строя и их заменяли на новые. Никто не заморачивался установкой Linux. Плюс текучка эникеев.
                                    +1
                                    Вы описали только процесс установки. Вот например типичные действия которые делаются Администратором Windows после установки, т.е. не надо забывать и про них. Насколько они будут сложнее или легче в Linux? ну и там выше заметили — каковы требования к человеку который может это делать
                                    • Perform post-installation configuration•
                                    • configure Edge and Internet Explorer•
                                    • configure mobility settings•
                                    • configure sign-in options•
                                    • manage local groups•manage local users
                                    • configure shared permissions
                                    • Configure devices by using local policies
                                    • implement local policy
                                    • troubleshoot group policies on devices
                                    • configure user account control (UAC)
                                    • configure Windows Defender Firewall
                                    • implement encryption
                                    • Configure remote connectivity
                                    • Manage updates
                                    • troubleshoot updates
                                    • manage performance
                                      +6

                                      Так и не увидел ответа на поставленный во введении вопрос


                                      При этом, до сих пор не было написано статьи о том, стоит ли вообще этим заниматься, и будет ли конечный результат стоить потраченных времени и усилий.

                                      статья отвечает на вопрос о том, как массово развернуть линукс на предприятии, но никакого сравнения по стоимости сопровождения, поддержки, подводным камням, и так далее, нет.


                                      Я думаю, было бы неплохо дополнить статью, описав долгосрочный опыт использования Ubuntu вместо Windows на среднем\крупном предприятии.

                                        +1
                                        Почему именно Ubuntu?
                                          0
                                          Наиболее удобная (и не требовательная к ресурсам) Debian-подобная платформа. Против Centos никаких возражений лично у меня нет. Мне еще в качестве варианта Manjaro предлагали, сейчас этот вариант также на рассмотрении.
                                            0
                                            На Debian unstable ядре. Без KDE обычно.
                                            Ну да, ну да.
                                            Ubuntu просто больше на слуху. Линуксов разных ну очень много.
                                              +1
                                              Почему же unstable? Ubuntu относится к ветке testing. Вместе с тем, вручную можно выбрать вообще любое ядро. Я всегда использую LTS версию (и ubuntu, и ядра). KDE последнее время, к слову, радуют. Раньше они были не в пример тяжелее.
                                          0
                                          На самом деле я ожидал, что коллеги подскажут с ответом на этот (риторический) вопрос. Вроде как работает все (с моей колокольни) и минимальным потребностям удовлетворяет. Лично я уговаривал бы своих пользователей принять этот вариант, чтобы в течении года (например) обновить «железо» на сэкономленные деньги. А там, может быть и понравится.
                                          +4

                                          у меня приличный опыт по переводу небольших контор с винды на линукс, и всегда одна и та же песня:
                                          первые полгода/год — "аа, как этим пользоваться, что за гумно, верните как было"
                                          через год — "вот мой домашний ноут/комп поставьте мне линукс"


                                          и да на линукс нормально не завёдешь тот же onedrive, но как показывает практика — у его аналогов плюсов больше чем минусов (просто один из примеров)

                                            +1

                                            В моем случае, тонкие клиенты на Linux появились как попытка заменить hpt5520/TONK/итд.


                                            Попробовали, взлетело и сейчас так плотно интегрировалось в инфраструктуру, что печём тонкие практически из любых списанных ПК. Правда началось это очень давно, соответственно никаких шефов и ансиблов. Собственный велосипед, который с годами заматерел и превратился во вполне себе проект. Тонкие клиенты – в AD, авторизация в домене, доступ к устройствам и общим ресурсам – прозрачен. Ну и «пиленный» freerdp, без этого никак.


                                            В основном используются как терминальные клиенты, но параллельно выполняют много чего другого. И даже антивирус установлен!


                                            Так что, Линукс в таком виде вполне себе и ничего.

                                              0

                                              И в чем смысл такого решения? Какие преимущества, кроме терминального сервера вы получили, внедрив его? По сути у вас как и прежде винда, которая все так же требует покупки лицензий, экономия минимальна

                                                +1
                                                1. Клиентское оборудование (тонкий клиент на порядки менее требователен к железу, можно Raspberry Pi)
                                                2. Обслуживание клиентского оборудования, в том числе удаленная (пере)установка с нуля
                                                3. Клиентская лицензия Windows Prof
                                                4. Каналы связи (периодические full upgrade W10 в сёлах с каналом в 512Кбит/сек)
                                                5. Защищенность (стоп холивар)

                                                Это фундаментальная экономия сразу.


                                                А дальше — специфика инфраструктуры. В качестве примера приведу пример реализации у нас поточного сканирования документов: когда МФУ настроены на сканирование в общий ресурс, который стабильно работает только с анонимным доступом. Тонкий клиент предоставляет такой ресурс, далее по необходимости отсканированные документы медленно автоматически утекают в центральный офис.

                                              +1
                                              1. Зачем использовать шаблоны (*.j2), если вы там ничего не параметризируете? Чем не устроил обычный files?
                                              2. В apt можно сразу передавать список, он так быстрее работает
                                              Вместо
                                              - name: Install SSSD, KRB5, ADCLI, SAMBA, WINBIND, USBGUARD, CIFS packages and dependenses 
                                                  apt: 
                                                    name={{ item }} state=latest 
                                                  loop:
                                                    - krb5-user
                                                    - samba
                                                    - winbind
                                                    - libpam-krb5
                                                    - libpam-winbind
                                                    ...
                                              

                                              Использовать что-то типа
                                              - name: Install prerequisite packages
                                                  apt: 
                                                    name: "{{ ubuntu20_prerequisite_packages }}"
                                                    state: latest 
                                              

                                              Сам список ubuntu20_prerequisite_packages вынести в vars/main.yaml либо group_vars/all

                                              P.S.
                                              state: latest не всегда хорошее решение, точно так же в WSUS сделали возможность установки только нужных версий KB/драйверов, чтобы избежать массовых проблем в случае кривого пакета
                                                +1
                                                Интересно как сами пользователи отнеслись к такому пересаживанию?
                                                  +1
                                                  Молодец, но мне кажется что это шаг не совсем логичен… хотя кому то видней… ставить линукс, чтобы потом на нем с помощью костылей ставить майкрософтовские программы? Да и активатор на винду проще найти мегасисьадминам чем ото разбираться с костылями… в каком то году начальник сказал мне а давай переведем на линукс офис, ну действительно некоторым пользователям нужен был только браузер «котиков лайкать» А как началось… бухгалтерия, мерчендайзеры, менеджеры, разрабы,… у каждого купленное ПО кот. разработано под винду… сколько было времени потрачено, прежде чем пришли к выводу, что это путь вникуда… я рад за тех людей которые рвут рубашки на себе со словами «сейчас на линуксе можно запустить любую программу» — вот только как оно будет работать? И сколько на это времени уйдет… Ок допустим говорите есть либра офис вместо майкрософт — но когда я первый раз столкнулся с этой программой пришлось с нуля осваивать эту программу:)
                                                  п.с. Линукс для сервера -маст хев!
                                                  Десктоп для пользователей — как не печально но винда…
                                                  Всем добра!
                                                    +2
                                                    у каждого купленное ПО кот. разработано под винду… сколько было времени потрачено, прежде чем пришли к выводу, что это путь вникуда


                                                    А аудит софта проводить сначала?
                                                      +1
                                                      Начальник сказал переводить и не волнует:)
                                                        +1
                                                        «Засем ругаеся насяльнике?»
                                                      +2

                                                      sudo apt install apt-mirror


                                                      Лучше apt-cacher-ng. Не надо держать и синхронизировать здоровенное зеркало всех пакетов, не надо трогать конфигурацию всех репозиториев — достаточно один настроить proxy для apt.

                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                      Самое читаемое