Россия |
Сетевая установка программного обеспечения
Установка и обслуживание ПО с помощью Intellimirror и Active Directory
Intellimirror и применение групповых политик Active Directory для распространения ПО - это ключевые методы управления Windows Server 2003, и они превосходно подходят как технологии модернизации или обновления при использовании RIS в среде Windows Server 2003. Необходимые настройки содержатся в групповых политиках Active Directory, и они могут влиять на объекты лесов, доменов или сайтов. Название этой технологии имеет описательный характер, поскольку это средство Active Directory предназначено для отражения (mirror) настроек пользователя с одного компьютера на другой.
Intellimirror позволяет формировать настройки для компьютера или пользователя в соответствии с принятой групповой политикой. Дело в том, что это превосходный механизм распространения ПО, который автоматически обеспечивает соответствие стандартам и требованиям к ПО. Intellimirror также берет на себя постоянные административные затраты, связанные с управлением данными заказчиков и настройками конкретных пользователей, особенно в неустойчивых условиях, например, в центре обработки заказов, где заказчики могут использовать любой из доступных компьютеров. Имеются следующие ключевые компоненты управления в Intellimirror:
- User Data Management (Управление данными пользователей);
- User Settings Management (Управление настройками пользователей);
- Software Installation and Maintenance (Установка и обслуживание ПО).
Для поддержки Intellimirror и распространения ПО используется поддерживающая технология управления, основанная на средствах управления групповыми политиками в Active Directory. Поскольку это элемент, который очень важен, чтобы происходило распространение ПО с помощью Intellimirror или объекта GPO (Group Policy Object), Microsoft включила в состав Windows Server 2003 новую оснастку MMC под именем GPMC (Group Policy Management Console - Консоль управления групповыми политиками). Эта консоль предусматривает новую возможность - резервное копирование и восстановление объектов GPO, что оказывается крайне важным для переноса тестовых GPO из автономной установки Active Directory в эксплуатируемую среду. Кроме того, эта новая оснастка MMC позволяет управлять объектами GPO между лесами в случае доверительных отношений, то есть использовать новую возможность, включенную в Windows Server 2003, - транзитивные доверительные отношения между лесами. Это позволяет пользователям выполнять вход на компьютер в доверяющем лесу и получать политики из их собственного леса.
Сложности, которые возникают при задании нескольких GPO и последующей оценке их влияния на производительность пользователей, потребовали включения нового средства - RSOP (Resultant Set of Policy - Результирующий набор политики). Это позволяет моделировать несколько RSOP для реального просмотра политик, которые может "наследовать" клиент в виде нескольких GPO, действующих на уровне сайта, домена или организационной единицы (OU).
Intellimirror
Intellimirror реализуется с помощью групповой политики, позволяя управлять пользователями и компьютерами с конкретными настройками, доступными для шаблонов GPO, которые поставляются вместе с Windows 2003. Intellimirror реализуется через разделы Computer/Software/User групповых политик Active Directory, которые применяются в различных местах зон Active Directory. В эти зоны входят организационные единицы, сайты, домены и леса. Управление объектами GPO и другие элементы, из которых состоит Active Directory, подробно описываются в этом курсе, и мы не будем рассматривать их снова в этой лекции, а займемся описанием того, как приступить к работе с Intellimirror.
Intellimirror реализуется с помощью компонентов Windows Scripting или (обычно) с помощью задания шаблона политики в Active Directory или в оснастке GPMC (Group Policy Management Console). Настройки Intellimirror обычно отражают типичные деловые условия или потребности, такие как пользователи переносных компьютеров или мобильные пользователи, пользователи, которые часто меняют компьютеры и должны иметь при себе перемещаемые настройки, и развертывание новых пакетов ПО или ссылок (значков) для конкретных корпоративных приложений.
Каждый формируемый объект GPO позволяет создавать настройки, которые применяются к компьютеру или пользователю. Большинство настроек, относящихся к Intellimirror, обычно задаются в секции User оснастки Group Policy Object Editor и затем связываются с нужной организационной единицей.
Редакторы GPO (рис. 14.6) позволяют формировать групповые политики с настройками для Intellimirror с "нуля", или можно использовать заранее определенные шаблоны.
Управление данными пользователей (User Data Management)
К Intellimirror относятся разнообразные настройки, используемые для управления рабочими столами пользователей. Одной из ключевых функций является перенаправление пользовательских данных и других конкретных настроек рабочего стола. Уникальные свойства системы Windows XP определяются в настройках пользователей внутри папки Documents and Settings, которая обычно находится на корневом томе системы Windows XP. Intellimirror в сочетании с Active Directory и перемещаемыми профилями (Roaming Profiles) может перенаправлять любую часть определений пользователя, содержащихся в пользовательском профиле Documents and Settings, на любой другой компьютер. Это особенно важно для пользователей переносных компьютеров или мобильных пользователей, поскольку такой пользователь может, например, переходить с настольного компьютера на переносной, но ему будут нужны одинаковые данные на каждом компьютере.
Управление данными пользователей и перенаправление папок применяются к следующим частям.
- Application data (Данные приложений).
- Desktop (Рабочий стол).
- My Documents (Мои документы).
- Меню Start (Пуск).
Хотя эти части не относятся формально к установке сетевого ПО, они все же относятся к ней в некотором смысле, поскольку меню Start, Desktop и данные приложений могут, конечно, передаваться по линиям связи в соответствии с политикой Intellimirror, заданной для этих настроек. Хотя Active Directory играет большую роль в поддержке операций Intellimirror, сетевые домашние папки или разделяемые файловые ресурсы необходимы для каждого пользователя, поскольку они являются фактической точкой перенаправления. Windows 2003 использует эту возможность за счет того, что в GPO задается перенаправление в одно и то же место для всех пользователей, иногда в форме \\homeserver\user$, где вместо user в этом UNC-пути подставляется имя пользователя, или перенаправление задается в соответствии с группами безопасности, членом которых является данный пользователь. Таким образом, группа безопасности с именем Real Secure может перенаправлять всех клиентов в этот разделяемый ресурс. Это улучшение Windows 2003 GPO для точки \\realsecureserver\user$, поддерживающей Intellimirror.
Управление настройками пользователей (User Settings Management)
Управление настройками пользователей в технологиях Intellimirror предназначено для использования возможностей групповой политики, чтобы управлять ключевыми элементами из того, что может разрешается делать или не делать пользователю в сеансе Windows на платформе Windows 2000 или Windows XP либо на серверной платформе Windows 2003. Эти настройки применяются к пользователю или к компьютеру и могут охватывать широкий диапазон от цвета рабочего стола операционной системы до набора аплетов панели управления, доступных для изменений пользователем.
На рис. 14.6 показаны некоторые из доступных настроек. В "Служба RRAS (Routing and Remote Access Service)" дается подробное описание этих настроек и описываются существующие комбинации, используемые для создания нестандартных шаблонов групповых политик.
Установка и обслуживание ПО (Software Installation and Maintenance)
Software Installation and Maintenance - это основной компонент Intellimirror, которому уделяется внимание в этой лекции. Конфигурирование и управление установкой ПО происходит из окна Group Policy Editor в оснастке MMC Active Directory Users and Computers. Установки ПО могут применяться к компьютеру или сопровождать перемещающегося пользователя на нескольких компьютерах. В некоторых случаях главные корпоративные приложения, необходимые каждому пользователю данной компании, могут применяться в виде объекта GPO к компьютерам, и затем нестандартное ПО может применяться к любым OU, содержащим функциональные группы, или к конкретным пользователям, если это нестандартное ПО используется небольшим числом пользователей. Главное, как и во всех случаях развертывания объектов GPO, - это не перегружать пользователя применением слишком большого числа программ или объектов GPO, что делает вход медленным и проблематичным. Новое средство RSOP (Resultant Set of Policies) Windows 2003 позволяет администраторам моделировать возможные объекты GPO до начала их использования в эксплуатируемой среде. Это средство охватывает включающие политики GPO пользователя и помогает в оценке работы объектов GPO (см. рис. 14.7). Это средство может стать вашим инструментом проверки по умолчанию до использования объектов GPO, чтобы гарантировать работу групповых политик на момент входа и получать ожидаемый результат их применения.
Имеется несколько вопросов, касающихся установки ПО. При включении ПО для распространения с помощью объектов GPO нужно учесть следующие рекомендации.
- Источник ПО.(Это должен быть указываемый с помощью UNC-пути разделяемый файловый ресурс, который не изменяется. Очевидно, что в случае изменения UNC-пути, содержащегося в установке GPO, происходит нарушение распространяемого пакета.) Кроме того, для некоторых приложений в зависимости от структуры их MSI-пакетов требуется сначала установка в административном или сетевом разделяемом ресурсе. Примером является Office XP или Office 11.
- Точка, в которой устанавливается ПО.Это ключевой момент, если важна производительность. Использование GPO после установки с помощью RIS - это превосходный способ доставки ПО, поскольку в системе, возможно, еще нет никаких пользователей.
- Варианты распространения приложений.Устанавливаемые приложения доступны в двух вариантах: назначенные (assigned) или опубликованные (published). Отличие состоит в том, что опубликованные приложения доступны для установки пользователями, и эта настройка GPO может применяться только к пользователям, а назначенные приложения устанавливаются независимо от надобности.
Распространение ПО выполняется с помощью секции Software Installation (Установка ПО) внутри секции User или Computer окна Group Policy Editor. Пакеты ПО должны быть представлены в виде MSI-пакета (пакета для Microsoft Installer) в мастере Software Installation Wizard. Пакет MSI или приложение (если требуется) должен уже существовать в установленном виде в сетевой разделяемой точке, и должен быть доступен в диалоговом окне с помощью UNC-пути. При доступе к MSI-пакету должен появляться список опций, позволяющий принимать решения по настройкам GPO для этого пакета ПО, а также выбирать компьютеры или пользователей, которые получат этот пакет, согласно организационной единице (OU), в которой назначается этот GPO.
После привязки к нужному MSI-пакету выбираются варианты установки: публикация (published), назначение (assigned) или обращение к дополнительной секции для выбора других опций, таких как безопасность (вкладка Security), модернизация относительно уже установленного пакета (Upgrades), необходимые модификации с помощью некоторых файлов-трансформов из MSI-пакетов (Modifications) и опции развертывания (Deployment). На рис. 14.8 показаны некоторые опции, доступные из секции Advanced Options (Дополнительные опции) окна свойств пакета ПО.
Установки ПО, измененные с варианта published на вариант assigned, могут устанавливаться при входе.
В журнал событий Application клиентов, получающих установки ПО, записываются сведения об успешном или неудачном завершении установки распространяемых пакетов ПО. Распространение ПО - это не самая простая из операций Intellimirror, но она окупается, особенно в случае приложений, которые не требуют такого сложного уровня установки, как, например, Microsoft Office XP.
Набор технологий, образующих Intellimirror, предоставляет разнообразные возможности несопровождаемого управления для окружений, использующих службы и групповые политики Active Directory. В случае сетевой установки ПО компонент Intellimirror Software Installation and Maintenance позволяет распространять ПО несопровождаемым способом, предоставлять ПО пользователям выборочным образом и обеспечивать соответствие лицензионным требования путем применения объектов в организационных единицах, чтобы использовать счетчики установленных лицензий по компьютерам или пользователям.