Информационные технологииStfw.Ru 🔍

Планирование распределения программ через групповые политики

🕛 21.01.2009, 20:38
Использование групповых политик для управления программным обеспечением может уменьшить усилия, необходимые для распределения и обслуживания программного обеспечения на компьютерах клиента. Однако извлечение выгоды от применения этого инструмента усложняется

для большой компании с несколькими различными программными конфигурациями пользовательских рабочих столов. Развертывание групповых политик для наиболее эффективного управления программным обеспечением требует осторожного планирования. Этот раздел посвящен тому, что вы должны учитывать при выполнении этого планирования.

Один из факторов, который вы должны учитывать при развертывании приложений, - необходимость публикации приложения пользователям или компьютерам. Если большинство компьютеров являются общедоступными и каждый пользователь требует специфического пакета программ, то вы должны назначить политику на компьютеры. При назначении политики программное обеспечение полностью установится на рабочую станцию при ее следующей перезагрузке и будет доступно всем пользователям. Назначение пакета программ на компьютеры обеспечивает больше опций для управления пропускной способностью сети. Используя эту опцию, можно сконфигурировать групповую политику в течение дня, а затем попросить пользователей (или использовать удаленный инструмент), чтобы они перезагрузили рабочие станции в конце обычного рабочего времени.

Если какой-либо пакет программ требуется только нескольким пользователям, то более эффективным является назначение или публикация приложения для учетных записей пользователей. В некоторых случаях пакет программ должен быть распределен пользователям, принадлежащим нескольким OU. Наилучшим способом для этого является назначение групповой политики на высшем уровне иерархии Active Directory с последующей фильтрацией применения объекта GPO с помощью групп защиты.

Другое важное решение, которое надо принять при планировании распределения программ состоит в том, сколько объектов GPO следует использовать. Одна из крайностей состоит в том, что можно использовать один объект GPO для распределения всего программного обеспечения в пределах определенного контейнера, это улучшит выполнение входа в систему клиента, но может создать сложные конфигурации GPO-объектов. Другая крайность состоит в использовании множества GPO-объектов, каждый из которых распределяет единственное приложение. Это может оказать влияние на процесс входа в систему клиентов, потому что компьютер должен читать множество объектов GPO. Компании используют разнообразные подходы для решения этой проблемы. Типичный подход состоит в том, чтобы создать один объект GPO для установки стандартного набора приложений, в которых каждый нуждается, и которые редко изменяются. Дополнительные объекты GPO создаются для приложений, которые часто обновляются (типа антивирусного программного обеспечения), и для приложений, которые используются маленькими группами пользователей.

Возможно, что вам придется планировать распределение программного обеспечения по сети с низкой пропускной способностью. Во многих компаниях имеются удаленные офисы или удаленные пользователи, которые подключаются к Active Directory, используя медленные сетевые подключения. По умолчанию компонент групповой политики, предназначенный для распределения программного обеспечения, не применяется, если клиент соединяется через сетевое подключение со скоростью передачи меньше 500 Кб/с. Если рабочие станции вашей сети обычно подключены к локальной сети (LAN) и только иногда соединяются через медленное сетевое подключение, это заданное по умолчанию значение приемлемо. Однако если ваши сетевые клиенты соединяются через медленное сетевое подключение, их нужно подготовить, выполнив дополнительное конфигурирование.

Одна из опций оставляет заданное по умолчанию распределение программного обеспечения таким, как оно есть, инициируя полную инсталляцию программного обеспечения, когда пользователь соединяется с LAN. Используйте эту опцию, если клиенты изредка соединяются с вашей LAN. Если клиенты никогда не соединяются с LAN, для распределения программного обеспечения используйте средства вне Active Directory. Например, используя сменные носители информации или через безопасный веб-сайт, если у клиентов есть быстрое подключение к интернету.

У большинства крупных компаний есть способы автоматизировать процесс, предназначенный для компоновки рабочих станций. Компании используют технологии клонирования диска или службу удаленной инсталляции (RIS - Remote Installation Services) для быстрой компоновки стандартного рабочего стола пользователей. Можно использовать эту технологию в комбинации с групповыми политиками, чтобы оптимизировать распределение программного обеспечения. Например, если вы используете инструмент клонирования диска для компоновки рабочих станций клиентов, скомпонуйте компьютер клиента, а затем используйте групповую политику для установки стандартного набора приложений на рабочей станции. Когда это изображение будет развернуто на рабочих станциях, ими можно управлять с помощью групповых политик. Если вы используете RIS для инсталляции программ на клиентских компьютерах, включите управляемое приложение в RIS-изображение для каждого отдела.

Наиболее важный шаг в подготовке к использованию групповой политики для развертывания программного обеспечения состоит в тщательном тестировании каждого программного распределения перед его развертыванием. Большинство компаний поддерживают лабораторию для тестирования распределений, которая содержит рабочие станции, представляющие аналоги тех рабочих станций, которые имеются в производственной среде. Вы можете создать испытательную OU в Active Directory и переместить сюда учетные записи этих компьютеров и некоторые тестируемые учетные записи пользователей. Используйте эту испытательную среду для проверки каждого программного распределения.

Службы обновления программного обеспечения - альтернатива обновлению компьютеров.

Одной из критических задач, выполняемых сетевым администратором, является обслуживание заплат на уровне операционной системы для всех компьютеров в сети. Из-за масштаба необходимых для этого усилий некоторые компании вообще не обновляют настольные компьютеры или применяют только наиболее критические модификации. Они обычно обновляют все серверы, но для защиты рабочих станций полагаются на брандмауэр интернета и антивирусное программное обеспечение. Некоторые компании применяют другой подход и конфигурируют все компьютеры своих клиентов на использование сайта Windows Update (Обновление Windows) для загрузки заплат. Эти компании, возможно, даже позволяют обычным деловым пользователям самим управлять применением заплат. Использование групповых политик может облегчить управление заплатами, но оно не решит проблему. Компания Microsoft создает .msi файлы только для существенных модификаций типа сервисных пакетов, так что управление заплатами по-прежнему связано с большим количеством работы. Поэтому компания Microsoft создала службу обновления программного обеспечения (Software Update Service - SUS) как альтернативное средство, предназначенное для развертывания обновлений на рабочих станциях.

Служба SUS состоит из серверного компонента и компонента клиента. Чтобы включить службу SUS, вы должны установить серверный компонент на компьютере с системой Windows 2000 или Windows Server 2003. Затем сконфигурируйте серверный компонент службы для загрузки всех критических модификаций с сайта Windows Update. Эта загрузка может быть автоматической или ручной. Как только модификации будут загружены и проверены, можно сконфигурировать службу для распределения модификаций всем клиентам. Клиентский компонент службы SUS можно устанавливать на компьютерах с системами Windows 2000 Professional и Server (с Service Pack 2 или более поздним), Windows XP Professional или Windows Server 2003. Системы Windows 2000 Service Pack 3 и Windows XP Professional Service Pack 1 включают клиентский SUS-компонент. Компьютер клиента использует клиентский компонент службы SUS для соединения с серверным компонентом службы SUS, чтобы загрузить и установить заплаты.

Служба SUS может управляться с помощью групповых политик. В редакторе объектов групповой политики используйте параметры настройки, расположенные в разделе Computer Configuration, выберите Administrative Templates, далее выберите Windows Components, а затем - Windows Update для конфигурирования управления автоматическими модификациями на рабочих станциях (см. рис. 12-13). Вы можете использовать групповые политики для определения того, с каким SUS-сервером будут соединяться рабочие станции.

Рис. 12-13. Конфигурирование клиентского компонента для автоматических модификаций

Чтобы узнать больше об использовании службы SUS и ее интеграции с групповой политикой, загрузите с веб-сайта Microsoft статью, расположенную по адресу http://www.microsoft.com/windows2000/ windowsupdate/sus/susoverview.asp.

Ограничения на использование групповых политик для управления программным обеспечением

Хотя групповые политики обеспечивают мощные механизмы управления программным обеспечением на компьютерах клиентов, у этой технологии имеются некоторые ограничения. Эти ограничения очевидны при сравнении групповых политик с инструментами управления программным обеспечением Microsoft Systems Management Server (SMS) или LANDesk от Intel.

Одно из ограничений для многих компаний состоит в том, что групповые политики могут использоваться только для распределения программного обеспечения на клиентские компьютеры с системами Windows 2000 или Windows XP Professional. Хотя большинство компаний перешло на самые последние операционные системы, многие все еще используют системы Windows NT Workstation, Windows 95 или Windows 98 на клиентских компьютерах. Если такие компании захотят использовать

групповые политики для распределения программного обеспечения клиентам с более новыми системами, они все равно будут поддерживать альтернативный метод для более старых клиентов.

Более существенное ограничение состоит в недостатке гибкости групповых политик при назначении графика инсталляции программного обеспечения. Приложения не публикуются на рабочей станции до тех пор, пока пользователь не сделает новый вход в систему или пока не произойдет перезагрузка компьютера. Инструментальные средства распределения программ, обладающие полным набором функций, такие как SMS, имеют и другие опции. Например, вы можете сконфигурировать SMS или LANDesk для запуска компьютера в течение ночи, используя технологию wake-on-LAN, устанавливающую программное обеспечение с последующим выключением компьютера. Распределение программного обеспечений может быть намечено на любое время в течение дня, пользователю не обязательно даже выходить из системы, он может и не знать, что идет распределение программного обеспечения.

Еще одно ограничение, связанное с использованием групповой политики, состоит в том, что она не поддерживает возможностей мультиве-щания в сети. Большая часть сетевого трафика представляет собой однонаправленный трафик, то есть трафик, который течет между двумя определенными компьютерами. При мультивещании сервер выпускает один поток сетевого трафика, а несколько клиентских компьютеров получают одни и те же данные. Поскольку каждое распределение программы инициируется действием клиента, то оно не может использовать мультивещание. Использование мультивещания сохраняет высокую пропускную способность сети. Например, если в вашей компании имеется несколько тысяч клиентов, и нужно распределить срочную антивирусную модификацию, используя решение с однонаправленной передачей данных, тем самым снизится пропускная способность даже самой быстрой сети. При использовании мультивещания все сетевые клиенты получат модификацию, хотя пакет программ посылается только один раз.

И еще одно ограничение состоит в недостаточном количестве функций, сообщающих о результатах. Служба Active Directory не позволяет определить, успешно ли установлено программное обеспечение на рабочей станции или нет, она не сообщает об успехах или отказах инсталляции.

При использовании групповой политики для распределения программного обеспечения нельзя указать, какие именно клиенты должны получить пакет программ иным способом, кроме как через назначение объекта GPO на контейнерном уровне или через фильтрацию, основанную на группах. Более полнофункциональные инструменты распределения программного обеспечения (например, SMS и LANDesk) создают опись всех клиентских компьютеров. Она включает также такие компьютерные атрибуты, как объем пространства жесткого диска, характеристики процессора и оперативной памяти, а также список программно
го обеспечения, установленного на компьютерах. Используйте эту опись для указания того, какие клиентские компьютеры получат определенный пакет программ. Например, вы могли бы устанавливать самую последнюю версию приложения Office только на рабочих станциях, имеющих необходимое пространство на жестком диске и достаточный объем оперативной памяти.

Проблемы, связанные с распределением программ, возникают также при наличии «отсоединенных» клиентов. В некоторых компаниях имеется много клиентских компьютеров, соединяющихся с корпоративной сетью только иногда и только через модемную связь или VPN-подключение. Полнофункциональный инструмент распределения программного обеспечения осуществляет многостороннюю поддержку таких клиентов. Одна из опций состоит в обеспечении веб-сайта, который используется для установки программного обеспечения и управления им после инсталляции. Другая опция - разумное управление распределением программ, когда клиент находится на связи. Например, можно распределять программное обеспечение всем клиентам с модемной связью, но строго ограничивать объем пропускной способности сети, которую использует этот процесс. Процесс распределения программ может также обнаруживать нарушения сетевого подключения и при следующем соединении пользователя с сетью запускать распределение программ с того места, в котором подключение было нарушено.

Таким образом, использование групповых политик для управления программным обеспечением не поддерживает желаемый набор функций. Однако для маленьких компаний и компаний среднего размера, у которых на большинстве компьютеров установлены системы Windows 2000 или Windows XP Professional, групповые политики могут решить многие проблемы, связанных с распределением программного обеспечения. И цена использования групповых политик безусловно оправдана, если сравнить ее с довольно дорогими затратами по лицензированию клиентов при использовании других инструментальных средств.

Резюме

Групповые политики в Active Directory Windows Server 2003 обеспечивают мощные инструментальные средства для развертывания и управления программным обеспечением на рабочих станциях. Используя групповые политики и технологию инсталлятора Windows, вы можете развертывать программное обеспечение на рабочих станциях, а затем управлять этим программным обеспечением в течение всего жизненного цикла программы. В этой главе рассмотрены вопросы, касающиеся использования групповых политик для развертывания программного обеспечения и управления им.

Active Directory Windows 2003   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉