Už několikrát jsem se zmínil o nástroji Admin center, který Microsoft vydal poměrně nedávno. Jde o naprosto skvělý nástroj, který slouží k centralizované správě Windows platformy ve firmě, u zákazníků či v rodině, stojící na PowerShellu. Celý systém je přístupný pomocí webového prohlížeče, konkrétně MS Edge či Google Chrome. Systém je vhodný pro doménová prostředí i Workgroup. V jednom Admincentru je možné spravovat PC, servery a clustery z více domén, nebo více workgroup, případně jejich kombinací. Mezi doménami nemusí být ani žádný vztah (ani jedna nemusí subdoménou druhé, nebo nemusí mít relationship). Z vlastní zkušenosti mohu říct, že není problém spravovat 150 zařízení. Rozhodně se ovšem nejedná o plnohodnotnou náhradu nástrojů rodiny Systém center.
Co potřebujeme? Systém, na kterém je instalovaný vlastní Admin Center, by měl být Windows server 1803 (resp. 2019), nebo může být Windows 10 verze 1803 a novější. Server, na který chceme instalovat Admin Center nesmí být v roli řadiče domény. Na všech spravovaných PC potřebujeme, aby jejich síťové připojení bylo jako privátní, doménové nebo pracovní, nikdy ne veřejné. Na cílových PC rovněž potřebujeme aktivní službu WinRM s patřičnými výjimka ve Firewallu, ideálně použijeme příkaz:
winrm qc -q
Rovněž nesmíme zapomenout na znalost účtu s oprávněním lokálního admina a právem vzdáleného přístupu. V doménovém prostředí je to jednoduché, prostě použijeme doménový servisní účet, který má práva lokálního administrátora a právo vzdáleného přístupu, nepoužíváme privilegované účty pro přístup ke stanicím, tyto účty jsou potřeba pouze k serverům a clusterům.
Co Admin Center stojí? Mnozí by řekli, že nic, ale to není tak docela pravda. Vlastní stažení, instalace a provoz Admin centeru jsou opravdu bezplatné, ale jejich používání je podmíněno licencemi Windows správně aktivovaných na všech zařízeních, která jsou Admin centerem spravována, rovněž tak na zařízení, kde je Admin center instalován.
Nyní již prakticky, podívejme se, jak pracovat s nástrojem Admin Center. Starší verze nalezneme na portu 6515, od verze 1904 již vše pracuje na standardním portu 443 (může využívat nadále port 6515). Při prvním spuštění je potřeba zvolit certifikát, který obstará šifrování pro spojení pomocí https protokolu. Ve výchozím stavu se nabízí selfsingth certifikát s platností 60 dní (v poslední aktualizaci na několik let). Následně odklikáme dialog s novinkami, ten je nám k ničemu. Na základní ploše máme přidaný počítač, na kterém je instalovaný Admin center a máme u něj přidaný účet, který provedl instalaci jako účet pro správu. Nové počítače přidáme pomocí tlačítka přidat, kde dále vybereme jednu ze skupin Windows zařízení, které je možné přidat.
Dále pak máme několik základních možností, jak dané zařízení přidat. Buť můžeme zadat jméno PC (v doménovém prostředí doporučuji zadat celé doménové jméno), nebo můžeme použít seznam PC ve formátu txt nebo csv (co počítač, to řádek). Přidání PC pomocí IP adresy je možné, ale nedoporučuji jej, protože místo názvu PC bude v seznamu vidět IP adresa a rovněž není vhodný, pokud PC nemá statickou IP adresu.
Pokud nebudete importovat seznam zařízení a podaří se navázat spojení s PC, můžete zadat uživatelský účet, který bude pro správu PC výchozím. Seznam počítačů jde filtrovat a řadit dle jednotlivých sloupců zobrazení seznamu. Pokud pracujeme v doménovém prostředí je možné rovněž přidat PC pomocí procházení Active Directory.
Vyhledávací filtr jde ještě nastavit zda má mezi řetězci být logická spojka A, NEBO či žádná logická spojka. Možnosti logických spojek zobrazíme kliknutím na ikonu filtru. Další zúžení seznamu zařízení je možné rovněž pomocí zobrazení jen jedné z kategorií zařízení, která jsme do Admin centeru přidávali.
Další a poslední možností nějakého přehledu a třídění zařízení jsou značky, což jsou vlastně štítky s popisky dle našeho uvážení.
Kliknutím na název PC dojde k vyvolání připojení k danému zařízení, pokud je puštěno. Stejného efektu dosáhneme vybráním počítače pomocí zaškrtávacího pole a následného kliknutí na tlačítko spravovat. Pokud potřebujete připojení vyvolat pod jiným účtem nežli je uveden, použijte tlačítko „spravovat jako“. Jen malá poznámka, pokud chcete spravovat počítače v rodině, musíte se hlásit pomocí účtu, který má zadané heslo, počítače pracující na účtech nevyžadující heslo pod tímto účtem spravovat nelze. Naopak díky volbě spravovat jako můžete jednu instanci Admin centru využít pro spravování PC ve více doménách, nebo pokud jej máte instalovaný na notebooku, tak např. PC doma i v práci a u partnerské firmy.
Po připojení k PC se nám otevře základní obrazovka, kde je sumář nejdůležitějších informací o PC. Z této základní obrazovky můžeme rovněž PC vypnout či restartovat.
Dle toho, zda se připojujeme k PC s Windows, Serveru, či clusteru se nám mění nástroje, které můžeme využívat k práci. Rovněž instalované komponenty systému Windows rozhodují o tom, zda některé nástroje uvidíme, či nikoliv (např.: Hyper-V, Kontejnery…). Další věc, která ovlivňuje výrazně naše možnosti jsou instalované doplňky a s tím souvisí i verze Admin Centeru. Největší vliv na to, co vše lze s pomocí Admin Centeru udělat mají doplňky u serverů, kde je díky ním možné spravovat např. Active Direcotry Domain Services, DNS či HDCP.
Dále se nyní pojďme zabývat osobními počítači s Windows, servery si nechme přeci jen na později. V nástrojích hned na druhém místě nalezme „Aplikace a funkce“, kde jak již název napovídá můžeme přidávat a odebírat funkce Windows a spravovat aplikace jak z MS Store, tak běžné x64 či x86 nainstalované aplikace. Následující obrázek ukazuje, jak odinstalovat univerzální aplikaci. Díky tomu, že aplikaci nejprve musíme vybrat je možné odinstalovat i více aplikací jedním příkazem.
Hned následující nástroj je velmi praktický, ale ne až tak skvělý, jak by se mohlo zdát. Jde o konzolu pro správu certifikátů, kde je možné spravovat certifikáty nainstalované v PC na úrovni počítače na účtu, pod kterým k PC přistupujeme. Velkou výhodou je možnost zobrazení jen těch certifikátů, kterým platnost skončila, nebo jiné zobrazení, kde nalezneme ty, kterým platnost brzy vyprší. Vyjímaje zmíněné pohledy je možné si do jednoho okna nechat vypsat všechny certifikáty a vyhledávat v nich, nebo procházet standardní strukturu uložiště certifikátů. Certifikáty je možné prohlížet, exportovat, mazat i přidávat.
Nástroje Firewall a Místní uživatelé a skupiny vezmeme jen opravdu rychle, protože k nim není moc co říct, v zásadě se chovají stejně jako snap-in v MMC konzoli. Jen u uživatelů není možné nastavovat adresář profilu a tímto nástrojem nelze přistoupit k Domain controleru.
Jako velmi zdařilý nástroj vnímám Naplánované úlohy, které jsou propracovány stran možností do posledního detailu a je možné zde opravdu kompletně spravovat jak běžně vytvořené úlohy, tak úlohy vytvořené v PowerShellu. Krom běžné správy je možné úlohu i spustit mimo její plán jedním kliknutím.
Pokud jste zvyklý ve správci úloh pro kontrolu a korekci chodu systému využívat záložku Podrobnosti, je nástroj Procesy ušit Vám přímo na míru. Na první pohled zobrazuje mnohem více informací o procesu, nežli výchozí zobrazení Správce úloh. I zde máme možnost si definovat, které sloupce budou zobrazeny a jako příjemný bonus máme k dispozici podrobné informace o procesu po kliknutí na něj. Z akcí, které máme k dispozici je možné proces ukončit a vytvořit z něj výpis, bohužel však není možné spustit novou úlohu.
Pokročilou ne však pravidelně využívanou možností je editace registru, kde ve srovnání s Windows 7 nechybí vůbec nic, ve srovnání s Windows 10 pak chybí textově zadávat adresy klíčů. Ani zde nechybí exporty či importy, mazání, oprava hodnot apod.
O poznání méně možností nabízí nástroj Síť, kde je možné pro jednotlivé adaptéry měnit IP konfiguraci (jak IPv4, tak IPv6), ale více nelze. Graficky změněný, ale jinak zcela plnohodnotný správce služeb se skrývá v nástroji Služby. Jednotlivé služby systému lze spouštět, vypínat či měnit jejich konfiguraci a to v plném rozsahu.
Plnohodnotný Prohlížeč událostí se pak nachází v nástroji události, kde je možné si jednotlivé události číst, exportovat a vyhledávat. Osobně dávám přednost exportu a následnému čtení v běžném Prohlížeči, ale je to jen otázkou preferencí a zvyků, osobně mám pocit, že v běžném prohlížeči událostí rychleji získám přehled o tom, co se dělo na PC v poslední době, celkově, nežli v této online verzi. Nicméně i přes mé drobné výhrady je prohlížení události nikterak neomezeno.
Obdobně jako v mnoha předešlých nástrojích i v případě Uložiště a Zařízení je zde úplná shoda s MMC konzolí, konkrétně se Správou disků a Správce zařízení. V nástroji Uložiště se ještě navíc nachází správa sdílených složek, kterou bychom normálně hledali ve Správě počítače.
V nástroji Nastavení pak nalezneme proměnné prostředí, nastavení vzdálené plochy a spíše pro informaci napájecí režimy.
Zcela záměrně jsem přeskočil 2 nástroje, jedním je Vzdálená plocha, která opravdu jen spustí RDP relaci na daný počítač.
Druhým záměrně přeskočeným nástrojem je pak PowerShell, který spustí vzdálenou relaci (automaticky provede příkaz enter-pssession doplněný o parametry), jen je nutné do něj znovu zadat heslo.
Nástroj PowerShell obsahuje plný PowerShell v závislosti na instalované verzi a moulech. Zároveň ovšem nepodporuje výstupy do okna, tedy např. get-hotfix | out-gridview skončí chybou. Pokud ovšem daný příkaz zavoláme s jiným výstupe (jen do daného okna, nebo do souboru), tak je vše v pořádku.
Tímto nástrojem ovšem voláme PowerShell jen na daném konkrétním PC či serveru. Další místo, kde nalezneme PowerShell, nalevo od zvonečku v pravé horní části. Tam je možné si zobrazit skripty, které pro svůj vlastní chod využívá Admin Center.
Jak jste jistě postřehli, na rozdíl od prvních verzí, již není možné spravovat Windows Update prostřednictvím Admin Center. Pro práci s Windows Update je nutné využívat PowerShell, kdy je možné příkazem get-hotfix vypsat informace o instalovaných aktualizacích, zjistit, zda je v zařízení určitá konkrétní aktualizace apod. Bohužel PowerShell sám o neobsahuje commandlety pro práci s Windows Update, takže je potřeba z Technet galerie doinstalovat modul PSWindowsUpdate, který není oficiálním Microsoftem vydaným modulem.
Pojďme se nyní podívat na nastavení vlastního Admin Centeru, nežli si ukážeme, jak je to se správou serverů, která do značné míry shodná se správou klientských stanic. V možnosti přizpůsobení volíme mezi světlým a tmavým vzhledem aplikace a v možnosti jazyk a oblast můžeme změnit jazykové preference, pokud mají být odlišné od OS, kde je aplikace instalována. Zajímavější je možnost upozornění, kde si nastavíme, jaká všechna upozornění se nám mají objevovat ve zvonečku a na vlastní stránce.
Možnost Upřesnit pak umožňuje nastavení logování a načtení našich neoficiálních doplňků, které si potřebujeme vyzkoušet před zadáním ke schválení MS, nebo je chceme prostě užívat jen sami. Možnost Rozšíření je pak alfou a omegou pohodlí a možností správy serverů. Zde nalezneme možnosti jako je modul pro DNS, kontejnery, IIS apod.
Poslední možností jsou nastavení související s integrací Azure služeb, které ostatně nalezneme na každém kroku.
Co jsem nezmínil a zmínil bych rád, tak je možnost správy virtualizace Hyper-V v plném rozsahu, která je k dispozici mezi nástroji, pokud je na cílovém zařízení aktivní Hyper-V. Nastavovat je možné virtuální síť, jednotlivé virtuální stoje a kontejnery, ale i technologii jako celek.
Nyní je již čas na to, abychom se podívali na možnosti správy Windows serveru. Pokud využíváme originální instalační obraz Windows Serveru, máme k dispozici rovněž nástroj Aktualizace, kde může spravovat instalaci aktualizací serveru službou Windows update.
Dále pak máme k dispozici správu nástroje pro migraci uložiště a nechybí ani role a funkce serveru. Na rozdíl od správce serveru si zde musíme sami hlídat, abychom měli k dispozici konzole a PowerShell moduly pro správu a konfiguraci nainstalované funkce.
S rolemi a funkce souvisí i dostupnost doplňků pro jednotlivé servery, pokud server např. nemá instalovanou roli DHCP, není v Admin Centru k dispozici ani nástroj pro jeho správu, což je rozdíl proti RSAT, kdy jsou instalovány všechny konzole jako jeden balík. Důvod je jednoduchý, doplněk pro svůj běh vyžaduje PowerShell modul dané funkcionality, kdy takový modul není detekován, není ani doplněk nabízen mezi nástroji.
Další výhodou výchozího instalačního image je možnost využívat soubory, kdy je možné manipulovat se soubory uloženými na jednotlivých volumes stejně, jako když bychom užívali Explorer.exe.
Možností zálohování se nedejte zmást, bez ohledu na konfiguraci s SW vybavení serveru jde výhradně o službu Azure Backup. Pokud není instalován klient Azure Backup a nemáte danou službu ve svém předplatném, tento nástroj je zcela nepoužitelný.
V nástroji nastavení je možné vybrat aktivní plán napájení a spravovat lokální proměnné (umístění Temp adresářů apod.). Možnost měnit plán napájení se zablokuje, pokud je výchozí plán napájení nastaven pomocí politik.
Jak jsem již zmínil, správa serverů a clusterů hodně závisí především na doplňcích. Dobrou správou v tomto směru jsou doplňky od Dellu, kdy je integrován OpenManage, Fujitsu či Lenova. Bohužel do konce října 2019 společnost hp stále žádný doplněk v základním kanálu Microsoftu pro doplňky Admin Centru nezveřejnila.
A co říct závěrem? Jde o skvělý nápad a dobrou technologii, která se rychle rozvíjí. Asi nejsilnější zbraní je to, že se jedná o technologii dostupnou prostřednictvím online prostředí, která nabízí adminům velké možnosti odkudkoli a kdykoliv. Další silnou stránkou je to, že se jedná o technologii, která je v ceně operačního systému jako volitelně stažitelná a instalovatelná součást. Jako velký klad mohu hodnotit i doménovou nezávislost, kdy je možné spravovat počítače a servery z více domén spolu s nedoménovými pohromadě. Ač jde o opravdu silnou a skvělou technologii, nejde o plnou náhradu dalších starších nástrojů společnosti Microsoft, protože např. editace politik či práce se základním integrovaným zálohováním zde zatím není možná. Běžné konzole dokáží stále nabídnout mnohem komplexnější možnosti, ale pevně věřím tomu, že formou doplňků přibydou nástroje pro správu všech rolí a funkcí serverů.