Эффективное администрирование средних и крупных локальных сетей с помощью Hyena 8.0
Сергей «grinder» Яремчук (grinder@synack.ru)
Централизованное управление настройками систем снимает с админа множество проблем, и главное — упрощает сам процесс, ведь все операции производятся из одного места. Готовых решений, в том числе предлагаемых Microsoft, сегодня более чем достаточно, каждое имеет свою фишку, которая выделяет продукт среди прочих и привлекает сторонников. Но Hyena занимает в этом ряду особое место.
Содержание:
- Возможности Hyena
- Первоначальные настройки
- Основное конфигурирование
- Настройка STRCM
- Добавление собственных утилит
- Заключение
- Боковые выносы
Начинающие сисадмины считают, что настраивать компы в локалке проще при помощи удаленного рабочего стола. В Windows уже встроена такая функция, кроме того, есть множество программ от сторонних разработчиков — Radmin, pcAnywhere, Netop, UltraVNC и так далее. Отчасти это так. Но если систем много, чтобы изменить хотя бы одну настройку, придется подключаться к рабочему столу каждого компьютера, шустрить мышкой, проверять установки. Более опытные админы используют средства «массового» управления, такие как WinRM, PowerShell и SCCM. Популярны и групповые политики (GPO), позволяющие одним щелчком мышки выполнить нужную установку на всех системах. Хотя GPO не очень наглядны, и в сетях большого размера с несколькими доменами весьма непросто отслеживать все настройки и быть уверенным, что тот или иной компьютер находится в требуемом состоянии.
Программа централизованного управления подчиненными системами Hyena по своим возможностям находится где-то посередине между всеми этими инструментами, позволяя отдавать команды, а при необходимости и подключаться к рабочему столу удаленной системы. Разработчики из поставили своей целью создать простой в использовании и понятный продукт, который позволял бы управлять компьютерами в сети любого размера и не требовал от админа каких-либо особых знаний или обучения. И судя по тому, что Hyena пользуется популярностью у десятков тысяч администраторов во всем мире, им это удалось.
Для выполнения любых операций приложение использует пользовательский интерфейс в стиле виндового Проводника, с удобным всплывающим контекстным меню и горячими клавишами. Hyena сочетает в себе функции стандартных средств администрирования WinNT — User Manager, Server Manager и File Manager/Explorer, а также и большую часть возможностей, заложенных в консоли управления MMC. Но теперь не придется лазать по разным меню, все это доступно в одном окне. Конечно же, реализованы все стандартные операции по управлению — учетными записями пользователей и групп (локальными и домена), правами, компьютерами, устройствами, печатью. По сравнению с MMC, все действия более наглядны, кроме этого, легко переключиться сразу на другую систему, например для сравнения результата. Выбрав в списке любой компьютер, можно просмотреть список процессов, открытых файлов, сетевых соединений и многое другое. При наличии домена Hyena тесно интегрируется в его структуру, позволяя управлять основными настройками. Параметры и отчеты при необходимости экспортируются в файлы MS Access и Excel. Кроме стандартной версии, предлагается еще и Enterprise вариант, в котором добавлены возможности по управлению сервером терминалов и сессиями пользователей (в стандарте она тоже есть, но работает только 30 дней), почтовыми ящиками Exchange Server 5.5/2000/2003, плюс реализована интеграция с инструментарием WMI.
Hyena может быть использована для управления компьютерами, работающими с любой версией Windows на ядре NT от 2000 и выше. В восьмом релизе добавлена поддержка Win7 и Win2k8R2. Также именно с этого релиза появилась поддержка x64 платформ, объектов политик паролей (PSO, Password Settings Objects), которые стали доступны в Win2k8 и позволяют устанавливать несколько политик паролей в домене.
До версии 8.х для удаленных соединений по RDP и VNC приходилось использовать еще и сторонний продукт, что было весьма не удобно. Теперь в этом уже нет необходимости, так как одно из главных нововведений в восьмерке — возможность подключения к удаленному компьютеру по этим протоколам. Чтобы такая функция была доступна, во время установки следует отметить дополнительный компонент (STRCM, его можно скачать отдельно, распространяется как freeware).
Нельзя оставить без внимания еще один немаловажный момент: лицензирование Hyena производится в зависимости от количества администраторов, которые будут активно использовать продукт. Количество рабочих станций и серверов, управляемых с его помощью, на стоимость лицензии не влияет. На сайте доступна полнофункциональная демка, которая будет работать в течение 30 дней. В этот период предлагается и бесплатная поддержка продукта.
Установка стандартна, несколько раз нажимаем Next и все. Вообще, возможны два варианта использования Hyena. Обычно прогу ставят на рабочем месте админа, откуда он управляет всеми настройками систем, входящих в один или несколько доменов. Но возможен вариант установки Hyena в качестве сервиса на сервере. К нему уже нужно будет подключаться при помощи одной из программ удаленного доступа и далее управлять как самим локальным сервером, на котором установлена Hyena, так и остальными системами сети. Учитывая, что сервер обычно включен в режиме 24/7, соответственно, и Hyena будет всегда доступна.
Теперь познакомимся с некоторыми особенностями программы.
При первом запуске программа собирает все данные о локальной системе и подключается к домену, в который входит компьютер, откуда автоматом импортируется информация обо всех объектах (учетные данные, группы и пользователи, сервисы, устройства и так далее). Возможно, некоторое время придется подождать, по окончании все найденные объекты будут выведены в окне программы в виде дерева. Если доменная структура не используется, остальные системы можно найти, зайдя во вкладку Enterprise и выбрав один из подпунктов — сеть Windows Network (SMB) или службы терминалов Windows.
В том случае, когда в локальной сети работает несколько доменов, настройками которых нужно управлять, остальные следует добавить в список Hyena вручную. Это можно сделать через File — Add Domain, в появившемся окне вводим название домена. Автоматический поиск, активируемый через Find All Domain, упрощает работу — все найденные домены затем будут автоматически добавлены в список. Для уточнения настроек обычно сразу вызывается конфигуратор объектов Object Manager Configuration, в котором при необходимости редактируем объекты. Добавить домен в список можно вызвав конфигуратор напрямую: File — Manage Object View, заполняем все поля внизу вкладки Objects, нажимаем Add и выбираем в списке Windows Domain. При помощи этого же меню подключаем и многие другие объекты, которые не были найдены программой автоматически — компьютеры, OU, группы, принтеры, URL, ветки реестра и т.д.
Рис. 1. Подключаем новый объект
При щелчке на любом объекте отображаются все доступные свойства и параметры, которые можно просмотреть и изменить. Для сортировки элементов в таблицах просто щелкаем по заголовку. Например, выбрав группу или пользователей, мы можем выполнять практически любые административные операции — создавать, удалять, копировать в локальную и удаленную систему, просматривать и редактировать свойства учетных записей и групп (локальной системы и домена). Все действия упрощаются тем, что во всех настройках помогает визард, в окне которого надо лишь заполнять несколько параметров. Кроме этого, выбранному пользователю можно отправить сообщение, сбросить пароль, отключить или разблокировать учетную запись. Практически все подобные действия можно произвести и в отношении групп. Отдельные пункты меню позволяют отслеживать активность пользователей (доступна информация о регистрации и подключениях), поэтому мы всегда можем узнать, кто, когда пришел на работу и где лазил в локалке.
Найденные прогой принтеры (как локальные, так и сетевые) отображаются в меню Printers. Выбрав в списке нужный, мы можем получить все сведения о заданиях, доступности, подключиться к нему, изменить свойства и приостановить/продолжить отдельное или все задания.
Следующие интересные возможности: полноценное управление локальными и сетевыми каталогами и файлами. Открыв нужный ресурс, мы можем увидеть содержимое, отредактировать параметры доступа (сетевого и NTFS), просмотреть текущие подключения и сбросить любое при необходимости.
Админу периодически нужно контролировать наличие свободного места на харде. В Hyena это выполнить проще простого. Для разделов жесткого диска выбранного компа выводится информация о типе файловой системы, свободное/занятое место и так далее. При использовании распределенной файловой системы DFS (Distributed File System) в одноименной вкладке мы увидим все доступные ресурсы и сможем к ним быстро подключиться.
Управление сервисами — просмотр списка (с детальным описанием), вывод зависимостей, запуск/перезапуск, остановка, изменение режима запуска — это еще одна полезная возможность Hyena. Службы, отмеченные зеленым значком, выполняются, красным — остановлены. Причем программа позволяет одновременно управлять сервисами на нескольких компьютерах. Аналогично сервисам показываются и все устройства, драйвера и обновления, установленные на выбранной системе.
Администратор контролирует работу сервисов на основе собранных журналов — событий. Для их просмотра переходим во вкладку Events. Для удобства отбора в Hyena реализован фильтр событий Filter Events по типу, дате, времени, учетным данным и т.д. Из контекстного меню вызывается стандартный просмотрщик событий Windows, тут же можно сохранить резервную копию журнала или очистить список событий.
Рис. 2. Системные события по категориям
Рис. 3. Фильтр позволяет быстро отобрать интересующие события
Хотя Hyena предлагает еще один из вариантов: быстро выбрать определенные события и данные при помощи двух пунктов контекстного меню — Account Policy и Audit Policy. Вызываем нужный и в появившемся окне указываем критерии аудита — срок действия пароля, длина пароля, заблокированные учетные записи, доступ к сессиям и многое другое. По умолчанию отслеживаются не все события, поэтому идем в Audit Properties и флажками активируем нужные.
Так же просто получить доступ к записям реестра локальной и удаленной системы, просматривать содержимое, добавлять и удалять записи, редактировать настройки, копировать и сохранить ветку реестра в файл.
В Hyena используется собственная система мониторинга ресурсов компьютера, позволяющая собрать данные о производительности системы. Во вкладке Perfomance находим 7 подпунктов, которые расскажут все о работе процессов, запущенных в системе, сети, CPU, памяти, дисков и сервера в целом. Можно самостоятельно создавать собственные запросы и редактировать текущие настройки.
Рис. 4. Hyena позволяет оценить производительность разных подсистем
Для тех, кто разобрался с WMI, вероятно, будет полезна возможность выполнить определенный запрос или метод. Здесь предложено два способа, ты можешь выбрать более удобный: либо воспользоваться контекстным меню WMI — Execute Query и в окне заполнить WMI Query Template Properties, либо сразу выбрать нужный класс в меню WMI раскрытого дерева параметров конкретной системы. Результат выполнения запроса выводится в панели справа. Кстати, при помощи WMI из контекстного меню можно запустить любой процесс на выбранной системе (WMI — Create Proccess).
Рис. 5. Формируем WMI запрос
Все данные, собранные программой (системы, учетные записи, группы, сервисы и т.д.), легко экспортируются в текстовый файл или отправляются на принтер. При наличии MS Access становится доступной функция создания отчетов практически с неограниченными возможностями. Для этого переходим в Settings — Reporting, указываем путь к исполняемому файлу Access (либо Excel) и запускаем мастер создания отчетов: Tools — Generate Report.
Как уже упоминалось выше, Hyena может быть использована для организации подключения к удаленной системе. RDP соединение выполняется при помощи штатной утилиты mstsc.exe, вызываемой с необходимыми параметрами. Чтобы использовать VNC, задействуется Remote Control Manager (STRCM), и теоретически здесь можно указать любой VNC-клиент. К слову, STRCM распространяется свободно, а код доступен по лицензии GNU GPL.
Собственно процесс подключения прост: выбираем систему и в контекстном меню пункт Remote Control. Настройки каждого подключения хранятся в отдельном RCM файле, все они находятся в каталоге, где установлена Hyena. По сути, это текстовые ini файлы, которые можно редактировать напрямую при помощи Блокнота. После установки таких файлов пять: два из них — rd.rcm и rd_admin.rcm — отвечают за RDP соединения, а vnc*.rcm — представляют собой шаблоны для VNC.
Этот список доступен и в меню Tools — Settings — Remote dialog, где выбрав нужную конфигурацию и нажав кнопку Edit, также можно приступить к настройкам. Файл имеет простую структуру:
# Описывается подключение [General] # Тип подключения: RDP или VNC SoftwareType=VNC # Выводить в меню Enabled=1 # Название MenuName=TightVNC # Автозапуск AutoExecute=0 # Список команд и параметров [View] # Команда для подключения ViewerCommand=vncviewer.exe %computer% # Для RDP # ViewerCommand=mstsc.exe
Файл может содержать специфические установки (размер экрана, количество цветов, порт подключения и т.п.) для каждой утилиты.
Удобно, что RCM файл после редактирования можно просто скопировать на другие системы и не возиться с настройками на каждой из них. Но Hyena поддерживает и сетевые ресурсы, на которых размещаются такие файлы. Их следует указать в настройках при помощи ".RCM file configuration directory path", после чего требуется перезапустить Hyena.
Рис. 6. Настройка удаленного управления
При знакомстве с возможностями Hyena бросается в глаза пустой пункт Custom Tools. Разработчики не стали ограничивать админа стандартными решениями и оставили возможность добавить любой инструмент, который можно быстро вызвать из контекстного меню или при помощи комбинации Ctrl-F[1-9]. Настройки утилит производятся в панели Tools — Settings — Tools, вся введенная информация сохраняется в файле tool_cmds.dat, который также можно переносить между компьютерами, чтобы не повторять настройки. Для удобства использования инструменты можно разделить на группы (субменю), которые создаются при помощи New — Submenu. При добавлении инструмента указываем его название и вводим команду, которая будет выполнена при щелчке на пункте. В командной строке поддерживается ряд специальных символов:
-
%S% — имя текущего сервера, с которого выполняется запрос. Некоторые команды требуют наличия обратного двойного слэша «\\», в таком случае в команду запуска его следует добавить самостоятельно;
- %E% — подстановка текста из активного окна, которое появится при выборе объекта;
- %G% — группа, в которую входит пользователь, выполнивший запрос;
-
%HOSTNAME% — возвращает NETBIOS или DNS имя компьютера (необходимо установить флажок Tools — Settings — Active Directory — Use DNS computer paths);
-
%Px% — параметры пользователя, всего 3: %P1% — первый, %P2% — второй, %P3% — третий;
%Px:prompt% — параметр пользователя, вводимый по запросу; - %Px:prompt/PWD% — то же, только с вводом пароля.
Как видишь, возможностей у Hyena очень много, и они покрывают все потребности среднестатистического админа. Это понятный и хорошо продуманный инструмент, позволяющий централизованно и без лишних усилий управлять системами в локальной сети.
INFO
-
Об основных способах удаленного управления и выполнения команд читай в ][ 03.2010 в статье «Незримое присутствие».
-
Для работы с AD Hyena использует некоторые инструменты из RSAT (Remote Server Administration Tools) или AdminPak (Microsoft Administration Tools).
-
Отдельные пункты меню позволяют отслеживать активность пользователей (доступна информация о регистрации и подключениях), поэтому мы всегда можем узнать, кто, когда пришел на работу и где лазил в локалке.
WWW
- Сайт проекта —
WARNING
-
Чтобы иметь возможность подключаться к удаленной системе по RDP/VNC, следует во время установки отметить Remote Control Manager.
Статья опубликована в июльском номере журнала «Xakep» за 2010 год.