Информационные технологииStfw.Ru 🔍

Развертывание программного обеспечения с использованием групповых политик

🕛 21.01.2009, 20:32
После создания файла инсталлятора Windows вы можете развертывать приложения, используя групповые политики Active Directory Windows Server 2003. Групповые политики обеспечивают средства, позволяющие публиковать приложение или делать его доступным для инсталляции на рабочих станциях. После конфигурации соответствующей групповой политики при последующей загрузке компьютера или входе пользователя в систему на компьютере появится извещение о новом пакете программ, и затем приложение может быть установлено.

Прежде чем вы сможете опубликовать приложение для пользователей сети, нужно скопировать инсталляционные файлы программ, включая .msi-файл, на доступный сетевой ресурс. Необходима гарантия того, что все пользователи или компьютеры имеют соответствующий доступ к ресурсу. Если вы назначаете приложение для компьютеров, компьютерные учетные записи должны иметь доступ Read (Чтение). Если вы назначаете или публикуете приложение для пользователей, то пользователи должны иметь доступ Read. (Смотрите следующий раздел для сравнения деталей назначения приложений и публикации приложений.)

Развертывание приложений

После создания сетевого ресурса и копирования на него инсталляционных файлов вы готовы к реализации объектов групповой политики GPO, которые будут публиковать приложение для клиентов. Вы можете создать новый объект GPO или изменить существующий. При конфигурировании GPO вы должны сначала определить, необходимо ли публиковать приложение для компьютеров или пользователей. Используйте контейнер Computer Configuration\Software Settings в Group Policy Object Editor (Редактор объектов групповой политики), и приложение будет установлено на рабочей станции, когда она перезагрузится в следующий раз. Если вы решите публиковать приложение для пользователей, используйте контейнер User Conf iguration\Sof tware Settings в редакторе объектов групповой политики, и приложение будет доступно пользователю при его следующем входе в систему.

Примечание. В главе 11 была представлена консоль управления групповыми политиками Microsoft Group Policy Management Console (GPMC), являющаяся мощным инструментом для управления всеми конфигурациями групповых политик целой организации. Поскольку консоль разработана как отдельный инструмент, предназначенный для управления групповой политикой, то ее пользовательский интерфейс сильно отличается от интерфейса, используемого в других инструментах администрирования Active Directory. Однако поскольку GPMC-консоль не является обязательным дополнением, то информация, данная в главах 11, 12 и 13, базируется на использовании только тех инструментов администрирования и оснасток, которые поставляются как часть инсталляционного компакт-диска Windows Server 2003.

Когда вы используете групповую политику для инсталляции приложений, у вас имеется два варианта извещения о приложении для клиента. Первый вариант состоит в назначении приложения, которое может адресоваться или компьютеру, или пользователю. Второй вариант состоит в публикации приложения, которая делает его доступным, но только для учетных записей пользователей.

Когда вы назначаете приложение компьютеру, оно будет полностью установлено при следующей загрузке компьютера, что означает, что приложение будет установлено для всех пользователей компьютера, когда они в следующий раз войдут в систему.

Когда вы назначаете приложение пользователю, оно будет опубликовано, когда пользователь в следующий раз войдет в сеть. Можно сконфигурировать то, каким образом это будет происходить, но обычно приложение добавляется к меню Start (Пуск). Приложение будет также добавлено к списку опубликованных приложений в панели управления Add Or Remove Programs (Добавление или удаление программ). По умолчанию приложение устанавливается не при входе пользователя в систему, а при активации из меню Start или через панель Add Or Remove Programs. Можно сконфигурировать такую логику установки, что приложение установится, когда пользователь попытается открыть файл с расширением, которое ассоциировано с данным приложением. Например, приложение Microsoft Word отсутствует на компьютере пользователя. Если он щелкнет два раза на файле с расширением .doc, то Word будет автоматически установлен. Этот процесс часто называют активацией расширений (extension activation).

Одна из новых функций в Active Directory Windows Server 2003, отсутствующая в Active Directory Windows 2000, - возможность полной установки программного приложения при входе пользователя в систему вместо установки его в результате активации файла. Выбор этой опции означает, что процесс входа в систему займет больше времени, поскольку произойдет установка приложения, но затем приложение будет доступно клиенту для использования. Эта опция доступна только в том случае, когда приложение назначено пользователю. Опубликованные

приложения не будут установлены полностью, пока они не инсталлируются через панель Add Or Remove Programs или через активацию расширения. Эта опция не используется, если приложение назначено компьютеру, потому что приложение полностью устанавливается только при перезагрузке компьютера.

Когда вы публикуете приложение для пользователей, оно извещает о себе при следующем входе пользователя в сеть. В этом случае приложение появляется только в панели управления Add Or Remove Programs. Чтобы установить приложение, пользователь должен выбрать его в этой панели. По умолчанию опубликованные приложения устанавливаются также через активацию расширения.

В большинстве случаев публикация приложения является наилучшим вариантом, если данное приложение требуется только некоторым пользователям. Например, имеется графическое приложение типа Microsoft Visio, которое постоянно используют только сетевые архитекторы. Однако некоторым другим пользователям также может потребоваться Visio. Публикуя приложение для пользователей, вы не устанавливаете его на их рабочих столах и не добавляете его к их ярлыкам, а делаете его доступным для тех, кто в нем нуждается.

Для публикации приложения с помощью групповой политики используйте следующую процедуру.
1. Скопируйте инсталляционные файлы программы на сетевой ресурс. Сконфигурируйте разрешения на доступ к ресурсу, гарантируя, что все нужные пользователи и компьютеры имеют доступ Read (Чтение) для чтения инсталляционных файлов. 2. Найдите контейнер: сайт, домен или организационную единицу (OU), в котором вы хотите опубликовать приложение, и обратитесь к свойствам контейнера. Щелкните на вкладке Group Policy (Групповая политика). Создайте новый объект GPO или щелкните на кнопке Edit (Правка) для изменения свойств существующего объекта GPO. 3. Если вы публикуете приложение для учетных записей пользователей, раскройте контейнер User Conf iguration\Sof tware Settings (Конфигурирование пользователей\Параметры настройки программ) в редакторе объектов групповых политик, щелкните правой кнопкой мыши на кнопке Software Installation (Инсталляция программ), выберите New (Новый), а затем выберите Package (Пакет). Если вы публикуете приложение для компьютерных учетных записей, то раскройте контейнер Computer Configuration\Software Settings (Конфигурирование компьютеров\Параметры настройки программ) в редакторе GPO, щелкните правой кнопкой мыши на кнопке Software Installation (Инсталляция программ), выберите New (Новый), а затем выберите Package (Пакет). 4. Найдите место в сети или напечатайте сетевой путь к месту расположения инсталляционных файлов. Вы должны использовать место в сети, а не локальное имя диска на сервере, потому что для клиентских компьютеров публикуется место в сети. Выберите соответствующий файл .msi.

Примечание. Если вы выберете неправильное сетевое место или измените его после развертывания, нужно обновить пакет программ. Нет никаких средств, позволяющих изменить инсталляционный путь для пакета программ.
5. При выборе файла .msi вы можете указать способ, которым вы хотите публиковать пакет программ. На рисунке 12-1 показаны способы публикации приложения для учетных записей пользователя. Если вы публикуете приложение для, компьютеров, можно только назначать приложение.

Рис. 12-1. Опции для публикации пакета программ
6. Если вы хотите назначить или опубликовать приложение, щелкните на кнопке ОК. Если вы выберете опцию Advanced (Дополнительно), появится окно свойств данного пакета Properties, опции которого обсуждаются в разделе «Конфигурирование свойств пакета программ» далее в этой главе.

Как только объект GPO сконфигурирован, приложение будет опубликовано для всех клиентов контейнерного объекта. По умолчанию программный инсталляционный компонент групповой политики применяется только при входе пользователя в систему (если политика применяется к учетным записям пользователей) или при перезагрузке компьютера (если политика применяется к компьютерным учетным записям). Инструмент командной строки GPUpdate, который имеется на всех компьютерах с системами Windows XP Professional и Windows Server 2003, может вызвать принудительный выход из системы или перезагрузку на рабочей станции как часть обновления, связанного с групповой политикой. Чтобы вызвать выход из системы или перезагрузку, используйте команду gpupdate /logoff или gpupdate /reboot.

Распределение программного обеспечения и пропускная способность сети

Один из наиболее трудных аспектов управления распределением программного обеспечения с помощью групповых политик состоит в управлении использованием сети. Если вы назначите большое приложение размером в несколько мегабайт на большую группу пользователей, и все они начнут устанавливать его одновременно, эта установка займет часы из-за существенного увеличения объема сетевого трафика. Есть множество опций, позволяющих управлять сетевой пропускной способностью. Одна из опций состоит в назначении приложения на компьютеры с просьбой к пользователям перезагрузить компьютеры в конце дня. Вы можете также вынуждать перезагрузку рабочей станции, используя команду GPUpdate. Если вы примените эту команду одновременно лишь к нескольким рабочим станциям, влияние на сеть может быть сведено к минимуму. Другая опция состоит в назначении приложения маленькой группе пользователей за один раз. В большинстве случаев старайтесь избежать назначения приложений, которые будут полностью устанавливаться при входе пользователя в систему. Если вы публикуете приложение, но позволяете пользователю инициировать инсталляцию, появится возможность, по крайней мере, растянуть инсталляцию программного обеспечения на некоторое время. Хотя ни одна из этих опций не является идеальной, их можно использовать, чтобы до некоторой степени управлять пропускной способностью сети.

Другой способ управлять использованием сети для нескольких сайтов состоит в том, чтобы применить распределенную файловую систему (Distributed File System - DFS). С помощью DFS можно создать структуру логического каталога, не зависящую от того, в каком месте сети фактически хранятся файлы. Например, можно создать корень DFS с именем \\serverl\softinst, а затем для всех приложений создать подкаталоги ниже этой общей точки. С помощью системы D*FS можно найти подкаталоги на нескольких серверах и сконфигурировать физические связи к одним и тем же логическим каталогам. Если вы используете интегрированную систему DFS, можно сконфигурировать автоматическую репликацию содержания папки между копиями одного и того же каталога. Система DFS является приложением, учитывающим наличие сайтов, т.е. если у вас имеется несколько сайтов, то компьютеры клиентов будут всегда подключаться к копии DFS папки, расположенной в их собственном сайте, вместо того чтобы пересекать глобальную сеть WAN для обращения к папке, расположенной в другом сайте.

Трудно предсказать, каким будет эффект сетевой инсталляции. Одно из преимуществ использования групповых политик для установки программного обеспечения состоит в том, что можно легко выполнить тестирование, чтобы увидеть ожидаемый эффект. Например, можно сконфигурировать объект GPO, который включает пакет программ, но не

связан ни с какой OU, затем создать временную OU, добавить несколько пользовательских или компьютерных учетных записей и связать GPO-объект с OU. Эта конфигурация может использоваться для проверки того, сколько времени потребуется для установки приложения в маленькой группе пользователей. Можно также запустить программное распределение, связав объект GPO с производственной OU, используя фильтрацию группы для ограничения количества пользователей или компьютеров, к которым применяется GPO-объект.

Независимо от количества усилий, предпринятых вами для минимизации влияния на сеть, развертывание объемного приложения для большого количества пользователей всегда оказывает воздействие на сеть, поэтому нужно запланировать выполнение инсталляции в течение несколько дней.

Использование групповых политик для распределения приложений с помощью инсталлятора, не принадлежащего платформе Windows

В некоторых случаях вы можете не создавать файла .msi для установки приложения, а использовать групповые политики для его распределения. Например, простое приложение должно быть установлено на нескольких рабочих станциях, оно не требует никакой настройки и модернизации. Можно создать и использовать файл параметров настройки инсталляции программы (.zap) для установки этого приложения.

Файл . zap является текстовым файлом, который содержит команды, предназначенные для установки приложения. В большинстве случаев .zap-файл будет содержать только следующие строки:

[Application]

FriendlyName = "applicationname"

SetupCommand = "\\servername\sharename\installapplication.exe""

Значение FriendlyName является именем, отображаемым в панели управления Add Or Remove Programs на компьютере клиента. Значение SetupCommand ~ путь к инсталляционному файлу для приложения. Можно использовать UNC-путь или отображенный диск для значения SetupCommand. Если приложение обеспечивает средства для настройки инсталляции с использованием параметров установки, можно включить эти параметры в значение SetupCommand, указывая его вслед за параметром, определяющим путь установки, заключенным в двойные кавычки. Например:

SetupCommand = "\\servername\sharename\se\up.exe" /parameter

Обратите внимание, если командная строка включает параметр, то путь установки использует одинарный набор двойных кавычек вместо двойного набора двойных кавычек, которые требовались в предыдущем примере.

После создания файла .zap и копирования инсталляционных файлов приложения на сетевой ресурс можно опубликовать приложение для пользователей. Приложение добавляется к списку доступных приложений в панели управления Add Or Remove Programs, и пользователи могут выбрать его для установки. Приложения, которые распределяются через файлы .zap, не могут быть назначены ни компьютерам, ни пользователям, их нельзя устанавливать с помощью активации расширения.

Использование файла .zap имеет несколько важных ограничений по сравнению с использованием файлов инсталлятора Windows. Во-первых, инсталляция приложения с помощью файла .zap запускает нормальную инсталляционную программу для приложения, т.е. нельзя настраивать инсталляцию, если приложение не обеспечивает параметры установки для этого. Далее, инсталляция приложения с помощью файла .zap не может выполняться с разрешениями, включенными в процессе инсталляции, т.е. для установки приложения пользователь должен быть местным администратором. Приложения, которые были установлены с помощью файла .zap, не могут самовосстанавливаться. Если приложение перестанет работать из-за порчи или удаления файла, пользователю придется снова выполнить первоначальную инсталляционную процедуру вручную для повторной установки приложения. Кроме того, приложение, которое было установлено с помощью файла .zap, не может быть легко модернизировано или исправлено. Из-за перечисленных недостатков технология инсталляции программ имеет ограниченную пригодность и должна использоваться только тогда, когда вы устанавливаете простое приложение, которое вряд ли будет обновляться.

Active Directory Windows 2003   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉