问题[automation](server)

我们希望在将用户添加和删除到活动目录时执行一些自动任务。

添加用户时，我们希望运行一个 python 文件，将该用户添加到另一个服务，并通过电子邮件向他们发送他们的帐户信息（随机生成的密码）。

当用户被删除时，我们想运行一个不同的 python 文件并将它们从 3rd 方系统中删除。

ActiveDirectory 中是否有任何 ootb 解决方案？添加/删除用户时的某种触发器？

嗨，我运行了一些不同的 linux 发行版和架构，并且有一些来自服务器的速度太慢，以至于它们以 KB/s 更新，例如 ARM 上的 ubuntu。我正在学习自动化，我该怎么做

• 创建一个仅限本地的 linux 镜像/缓存
• 定期自动更新该镜像/缓存
• 使路由器自动唤醒文件服务器以更新该缓存并在完成后将其关闭
• 此外，如果可能，请在文件服务器更新后更新其他虚拟机/设备。

我也可以访问我的路由器来创建静态 DNS 条目，并且我有一个文件服务器，它在打开时会消耗大量电力，但它非常快（gzip 接近 1GB/s，这是 raid 的峰值性能）。仅保持开启就需要超过 200W 的功率，无论我做什么都无法将功率降低到 100W 以下，所以我决定让它以最大性能运行，只在需要时才打开它。

我将其中一个 ARM 板操作系统变砖，无法打开它来访问 SD 卡，因为其中一个 ubuntu 升级太慢以至于它超时并弄乱了固件更新作为示例。我想，因为我经常使用一些发行版，所以我不妨从本地缓存完成更新过程，作为学习 ansible 的练习。

我想帮助我学习如何做到这一点，或者在这里或链接到如何做我想做的事情的资源。

我有一个产品，我可以先安装它，然后更新它——这意味着为我的基础产品添加更多功能

我是第一次执行 MSI，然后进入添加\删除程序，选择产品时，您可以单击“更改”，安装向导将再次出现，允许您选择并安装产品中的附加功能

我为此任务创建了 2 个 ansible 角色和剧本第一个角色使用 ansible.windows.win_package 安装基础产品（参见下面的示例）

- name: Install Server.msi primary_appserver
  ansible.windows.win_package:
    path: C:\product.msi
    log_path: C:\InstallProduct.log
    arguments:
     ADDLOCAL=DB,Agent
    state: present
  become: true
  become_method: runas
  vars:
    ansible_become_user: "{{ ansible_user }}"
    ansible_become_password: "{{ ansible_password }}"
  when: "'primary_appservers' in group_names"

第二个角色再次使用 ansible.windows.win_package 和不同的 ADDLOCAL 参数（附加功能）：

- name: Install Engine primary_appserver
  ansible.windows.win_package:
    path: C:\product.msi
    log_path: C:\InstallEngine.log
    arguments:
     ADDLOCAL=Engine
    state: present
  become: true
  become_method: runas
  vars:
    ansible_become_user: "{{ ansible_user }}"
    ansible_become_password: "{{ ansible_password }}"
  when: "'primary_appservers' in group_names"

第一个角色工作正常并执行 msi 文件，第二个角色 - 不是

我的问题是我想保持 Python 应用程序运行，但它每 2-3 天停止一次。有没有办法在 .py 停止时自动重启它。有没有办法监控它？可能有，但我找不到。

谢谢您的帮助。

有时我想启动一个实例并在其上快速运行 aws cli 命令，但安装 aws cli 似乎有很大的延迟。有没有办法获得“最小”安装，省略自动部署/测试中不必要的许多文件，例如所有示例文件？或者甚至可能只包含一个命令的 cli 版本，例如s3or ec2？

请注意，这些实例未在 AWS EC2 中运行，并且我无法控制图像，或者我会使用预安装了 AWS CLI 的图像。另请注意，我需要使用的服务是 S3 和 CloudFront。

（推荐我从 SuperUser 搬到这里）十多年前我运行了几个基于 Windows 的实验室，过去几年我主要在 AWS 和 GCP 中管理 Mac 和系统。目前，该公司正在招聘许多想在 Windows 笔记本电脑上工作的财务人员。基本设置是我设置了一个本地管理员帐户，这样我们就可以随时重新进入机器，为新员工添加一个用户帐户，并安装 Google Chrome、Office、Zoom 等基本应用程序。没什么太花哨的。我们没有运行活动域控制，此时没有 SCCM。在这种情况下，我想知道是否有一种方法可以对类似于 MacOS 迁移助手的新笔记本电脑进行简单的自动安装，其中一台新笔记本电脑已经从工厂安装了新的 Windows 操作系统，我只想转移用户帐户和安装了其他应用程序。

所以我不想在 terraform 管理下导入应用程序负载均衡器，我设法添加了它的一些属性，如跨区域和删除保护、全局加速器等，我导入了，但我发现我忘记添加“配置" 属性，我如何将它包含在导入中（我已经这样做了）？terraform 说进行多次导入会导致未知行为，此外，如果我继续不添加“配置”，应用会导致删除该配置吗？另一件事，我在负载均衡器下有多个规则，我是否必须导入所有规则才能添加另一个具有特定优先级的规则？谢谢，

一些背景：

当我开始在我目前的工作地点（在服务器基础设施中）时，已经有一个 bash、perl 和 python 代码库用于在 linux 系统上远程执行作业，编写和维护这个代码库的人花了数年时间改进它，在我开始之前。

尽管现有的代码库可以做很多事情，但有时由于缺乏文档而很难使用。一些正在执行的脚本也已经过时了。我们非常依赖代码库的作者。（可以添加，只允许作者编辑涉及的脚本）

最近我一直在试验 Ansible 和配置 linux 环境、用户、组、防火墙、安装包和运行检查。我建议开始将基本任务转换为 Ansible，并随着时间的推移将其与 Tower 或 AWX 结合起来，以更好地了解工作及其成功。

今天，其他人对这个想法并不太热衷，尤其是代码库的作者。作者不迁移到 Ansible 的论点是它“太抽象”。

问题是：

我应该尝试推动迁移到 Ansible 吗？

优点，我的看法：

• 许多功能已经通过模块存在。
• 新同事应该更容易上手。
• 可以与前端一起使用，例如 Tower 或 AWX。
• （可能）总体上更安全，因为自定义脚本要求您编写自己的检查。
• 我想 Tower/AWX 可以用于我们组织的其他团队

缺点，我的看法：

• 学习曲线
• 将需要相当多的工作来实施。
• “另一个系统”来维护。

任何人都已经开始使用 Ansible，并且基础设施已经到位，这样做的利弊？

我可以补充一点，我不是工作场所的“最强声音”，代码库作者是我们所有人中“最资深的”。所以涉及到等级制度，我的建议必须有很好的动机才能被听到。

对此感到高兴。

PS。根据您的经验，Ansible 可以是任何自动化工具。我只是碰巧了解了 Ansible。

我在这方面花了很多时间，并聘请了一些我认识的 PowerShell 专家，但没有任何运气。它应该很简单，但这次肯定不是这样。

客观的：

1. 我想获取 OU 中的所有计算机（OU 中的计算机将发生变化 - 我愿意使用服务器列表，但它仍然需要每天运行以获取 OU 中的计算机并在继续之前更新 txt 文件到第二个任务 - 即将解释）。
2. 然后，我将使用在 OU 中找到的计算机来运行 gpupdate（不是强制，每天 X 时间只有一个策略被链接 - 这正在由另一组 PS 脚本成功处理）。我知道这可以为 OU 手动完成，这不是我们想要的方式。我们正在使用第三方工具按计划运行 PS 脚本。由于过去的管理问题，此计算机上未使用任务计划程序，但无论第三方工具都很好。问题是我无法退回 OU 中的计算机。

我可以使用以下方法返回域中的所有计算机及其基本属性：

Get-ADComputer -Filter *

但是，我使用“SearchBase”和任何过滤器运行成功为 0：

Get-ADComputer -SearchBase "OU=WVDTestEnvironment,DC=contoso,DC=com" -Filter "*"

我尝试将过滤器移到 SearchBase 之前，删除 * 周围的引号，使用单引号，省略过滤器并在提示为 * 时输入它，更改几乎每个单词的大小写，验证 OU 名称、域等，在OU 和 DC，将 OU 更改为 CN，确保模块已加载（它是）。

即使我让这部分工作，我的代码片段也会在管道之后继续执行 gpupdate，但我已经完全取消了它，因为我无法通过这个基本部分来收集计算机进行更新。

附加说明 - 这已在 Windows Server 2016 和 Windows Server 2019 上尝试过，分别为 16 gb 4 cpus、32 gb 8 cpus，只是为了显示马力 - 操作系统可能很重要，因为我在过去在 2012 年的服务器上，我发现大部分脚本的页面我相信是在 2012 R2 上运行的。

我试过运行：

Get-ADComputer -Filter 'DistinguishedName -like "CN=contoso,CN=com"'

以上不返回错误，但不返回任何结果。即使它也应该返回域中的所有计算机帐户。

尝试运行原始代码段时收到的错误： Get-ADComputer -SearchBase "OU=WVDTestEnvironment,DC=contoso,DC=com" -Filter "*" 如下： Powershell 代码和返回的错误

此 OU 也是子/子 OU，因此我也尝试在搜索库中包含顶级 OU，但错误相同（未显示）

Get-ADComputer -SearchBase "OU=TopLevelOUName,OU=WVDTestEnvironment,DC=contoso,DC=com" -Filter "*"

任何帮助或指示将不胜感激。我相信一旦我可以取回计算机的文本文件或保存在内存中的计算机并在同一 powershell 行上的管道之后使用该命令，我就不会遇到任何问题 GPUpdate 命令。我可以移除管道，添加新行，无论需要什么。我只需要返回这些计算机帐户，因为这个 OU 会随着时间的推移而波动很大。

最初在https://blog.thesysadmins.co.uk/group-policy-gpupdate-an-ou-of-computers.html找到这个 PowerShell 片段（参见方法 2）

我最近觉得有必要加密我的 esxi vms，并试图找到一些方法来使用 terraform，但在文档中找不到该选项，所以我查看了 ansible ，没有运气的厨师。所以我的问题是，无论如何我可以创建一个加密的虚拟机或使用除 vmware vsphere api 之外的自动化来加密现有的虚拟机，因为那是一团糟。