POD vorbereiten
Zum Verständnis wurde ein vereinfachtes Infrastrukur Schaubild erstellt, was zeigt, wie der "addy" (die admins-buddy.de Plattform) darauf wartet, bis der "POD" (das System in deinem internen Netzwerk), die abzuarbeitende Aufgaben abholt. Dadurch ist der POD ein essentieller Bestandteil der admins-buddy-Lösung. Der POD hat die Aufgabe PowerShell Skripts auszuführen und damit die entsprechende Aufgaben abzuarbeiten.
Auf dem System musst du (oder der Funktionsbenutzer) administrative Rechte besitzen und sicherlich das ein oder andere PowerShell-Modul installieren. Es ist erforderlich, dass der Zugriff auf admins-buddy.de funktioniert.
Für den POD kannst du ein Windows 10 Betriebssystem genauso verwenden, wie ein Windows Server 2012 R2, Windows Server 2016 oder Windows Server 2019.
Die Spezifikationen der Maschine sind je nach "Ressourcenhunger" der PowerShell-Skripte unterschiedlich, sollten aber nicht unter 2 vCPU und 4 GB RAM liegen. Empfohlen wird 2 vCPU und 8 GB RAM.
1. Erstelle deinen POD
Lege eine virtuelle Maschine mit einem aktuellen Windows Betriebssystem an.
Konfiguration:
CPU: min. 2 vCPU
RAM: 4 GB RAM,
Disk: 30 GB
Bitte entsprechend anpassen, da dies abhängig von den PowerShell Skripts ist, welche ausgeführt werden sollen).
Folgende Betriebssysteme werden unterstützt:
Windows 10
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Erstelle einen Benutzer (Active Directory Funktionsbenutzer) für deinen POD.
Trage den Benutzer in die Gruppe der lokalen Administratoren ein.
Ggf. muss die Execution Policy auf "unrestricted" gestellt werden.
Es muss eine Festplatte mit dem Laufwerksbuchstaben "C:" eingebunden sein.
2. Startup
Im internen Bereich von admins-buddy.de findest du eine auf deinen Account zugeschnittene "Startup-Datei". Hierbei handelt es sich um ein PowerShell Skript, was die Struktur unter "C:\addy" aufbaut, die entsprechenden Skripts vom addy (admins-buddy.de) nachlädt und anschließend ein "Heartbeat" sendet.
1. Lade die Startup Datei auf deinen POD und führe sie mit dem Funktionsbenutzer aus (denke an die Execution Policy). Die Startup-Datei findest du unter "settings" -> "startup"
2. Führe die Startup-Datei auf deinem POD aus.
3. Am Ende wird der Heartbeat gesendet. Der Heartbeat ist ein Skript, was nachgeladen wird
Das PowerShell Skript legt dir unter C:\ Ordner und die initialen Skripts an. Du kannst dir das Skript auch in Ruhe ansehen. Alle Skripts sind transparent und die Schritte nachvollziehbar bzw. entsprechend kommentiert.
Sobald das Startup Skript erfolgreich gelaufen ist, wird am Ende der heartbeat gestartet.
3. Heartbeat
Der Heartbeat, welcher am Ende des Startup Skripts gestartet wird, gibt zu diesem Zeitpunkt einen Fehler aus, da du diesem POD erst die Vertrauenseinstellung "trust" zuordnen musst.
Jedem POD muss zuerst vertraut werden, bevor ein Skript über die addy Plattform am POD ausgeführt werden kann.
Das Heartbeat Skript kannst du jederzeit beenden. Wenn das Skript beendet ist, muss du es selbst wieder starten. Eine Verknüpfung befindet sich auf deinem Desktop. Standard Pfad des Heartbeat Skripts: "C:\addy\scripts\heartbeat.v002.ps1".
Während dem Heartbeat Skript wird ein "filewatcher" gestartet. Mehr Informationen findest du dazu im entsprechenden Artikel.
Das gilt zu beachten
- Verwende für diesen POD einen Funktionsbenutzer (idealerweise einen Active Directory User)
- Der Funktionsbenutzer sollte so wenig Rechte haben wie nötig.
- Du kannst Skripts mit einem anderen Benutzer ausführen lassen (siehe "Resourcen Parameter") . Ob dein Funktionsbenutzer die entsprechende Berechtigung auf ein Endpunkt hat oder ob du einen anderen Funktionsbenutzer verwendest, in dessen Namen das Skript ausgeführt wird, musst du selbst wissen und abschätzen.
- Speichere auf diesem POD niemals Passwörter im Klartext. (Nutze "SecureString" und ändere die Passwörter entsprechend oft)
- Zugriff vom POD auf admins-buddy.de muss möglich sein.
- Installiere deine PowerShell Module, sobald du sie brauchst
- Teste deine Skripts am Besten von deinem POD aus.
- Du kannst mehrere PODs gleichzeitig betreiben (z.B. für unterschiedliche Aufgaben bzw. Module oder für den Einsatz in einer DMZ bzw. einem anderen Standort)
Es wurden diverse Sicherheitsvorkehrungen in die Entwicklung von addy implementiert. Dennoch solltest du als Administrator alles in deiner Macht stehende tun, um deinen Laden so sicher wie möglich zu halten.