Страницы: 1 .. 11 12 13 14 15 16

Глава 12. Использование групповых политик для управления программным обеспечением
В главе 11 был сделан краткий обзор основных функций групповых политик и способов развертывания и управления групповыми политиками в Adive Directory Microsoft Windows Server 2003. В этой главе обсуждается использование групповых политик для управления программным обеспечением на компьютерах клиентов, в главе 13 — пути управления рабочими столами пользователей.
Управление программным обеспечением на компьютерах клиентов - это одна из наиболее важных задач, которую вы будете выполнять при управлении корпоративной сетью. Программное обеспечение, установленное на компьютерах клиентов, включает инструментальные средства пользователей для выполнения своей работы. Во многих компаниях компьютеры пользователей содержат стандартный набор офисных приложений, таких как Microsoft Office, и других приложений, специфичных для их бизнеса. Стандартному клиентскому компьютеру требуются также приложения для сжатия файлов и антивирусное программное обеспечение.
Управление программным обеспечением на пользовательских рабочих столах может стать очень трудоемкой задачей, если администратор будет посещать каждый рабочий стол всякий раз при установке или модернизации нового пакета программ. В большой компании только для решения проблем, связанных с ошибками приложений, может потребоваться несколько администраторов на полный рабочий днеь. В некоторых случаях обновления программ должны выполняться ежедневно или еженедельно, по крайней мере, для антивирусного программного обеспечения.
Использование групповых политик для управления программным обеспечением может значительно уменьшить усилия, которые требуются для управления пользовательскими рабочими столами. Фактически серьезное уменьшение затрат, получаемое от развертывания службы каталога Active Directory и групповых политик, находится в области управления программным обеспечением.
Управление программным обеспечением в корпоративной среде предполагает гораздо больше дел, чем его простое развертывание. Многие компании имеют четко определенный процесс управления жизненным циклом программ, который включает покупку (или создание) и испытание приложения в маленькой группе пользователей, затем крупномасштабное развертывание приложения, его обслуживание и, наконец, удаление. Групповые политики в Active Directory решают эти задачи более эффективно.
Технология инсталлятора Windows
В большинстве случаев управление программным обеспечением через групповые политики полагается на технологию инсталлятора Windows от Microsoft. Технология инсталлятора Windows используется для установки, управления и удаления программного обеспечения на рабочих станциях Windows. Она включает два компонента.

• Пакетный файл установки программ (.msi-файл). Пакетный файл .msi состоит из информационной базы данных, которая содержит все команды, необходимые для установки и удаления приложений.
• Служба инсталлятора Windows (Msiexec. exe). Эта служба управляет фактической инсталляцией программного обеспечения на рабочей станции. Служба использует файл библиотеки динамической компоновки (DLL) с именем Msi.dll для чтения файлов пакета .msi. В зависимости от содержимого пакетного файла инсталляции программ служба копирует файлы приложений на локальный жесткий диск, создает ярлыки, изменяет записи системного реестра и выполняет все задачи, перечисленные в файле msi.

Использование технологии инсталлятора Windows имеет множество преимуществ. Одно из наиболее важных состоит в том, что любое приложение может самовосстанавливаться. Поскольку файл .тэЛюдержит всю информацию, необходимую для установки приложения, то он может также использоваться для восстановления приложения, которое вышло из строя. Например, если приложение перестало работать из-за удаления критического файла, то оно не сможет запуститься в следующий раз, когда пользователь выберет это приложение. Если приложение было установлено с помощью инсталлятора Windows, то файл .msi, который использовался для установки приложения, будет использоваться для его восстановления путем повторной установки отсутствующего файла. Файл .msi файл также допускает очистку путем деинсталляции приложений.
Примечание. Технология инсталлятора Windows не является специфичной для систем Windows Server 2003, Microsoft Windows XP Professional или Microsoft Windows 2000, хотя служба инсталлятора Windows в этих операционных системах установлена по умолчанию. Используя технологию инсталлятора Windows, приложения могут быть установлены на других компьютерах. Вы можете установить службу инсталлятора Windows на компьютерах с системами Microsoft Windows NT, Windows 95 и Windows 98. Однако использовать групповые политики для распределения программного обеспечения можно только на компьютерах с системами Windows Server 2003, Windows XP Professional и Windows 2000.
Сейчас производители программного обеспечения поставляют пакетный файл .msi для инсталляции программ со всеми новыми программными продуктами. Он известен как файл «родного» (native) инсталлятора Windows.                            t
Создание файла .msi
В некоторых случаях файл «родного» инсталлятора Windows может от-сутстврвать, например, у более старого приложения. Если необходимо использовать технологию инсталлятора Windows для развертывания приложений, можно создать файл .msi для распределения программного обеспечения.
Чтобы создать файл .msi, выполните следующие действия.

• Выполните чистую инсталляцию операционной системы там, где вы собираетесь создавать пакетный файл инсталляции программ. В этой операционной системе не должно быть установлено никакого дополнительного программного обеспечения. Операционная система на этом компьютере должна быть той же самой, что и на компьютере, где вы устанавливаете приложение. Если устанавливаете приложение в системах Windows 2000 и Windows XP, то создаются два отдельных файла .msi.
• Используйте инструмент для упаковки программного обеспечения, чтобы зафиксировать состояние операционной системы, прежде чем вы установите программное обеспечение. Существует несколько таких инструментов (например, Wise).
• Установите приложение на рабочей станции. Обычно используется «родной» процесс инсталляции программ.
• После того как вы установили приложение, настройте его по вашему желанию. Например, можно создать или удалить ярлыки, добавить шаблоны или настроить инструментальную панель приложения. В некоторых случаях нужно хотя бы раз открыть приложение, чтобы полностью установить все компоненты.
• Используйте инструменты для упаковки программного обеспечения, чтобы во второй раз зафиксировать состояние операционной системы рабочей станции. Этот процесс создает упаковочный файл инсталляции программ .msi.

Как только вы создали .msi файл, используйте процесс Group Policy Software Installation (Инсталляция программного обеспечения с помощью групповых политик) для распределения программного обеспечения на рабочие станции.
Развертывание программного обеспечения с использованием групповых политик
После создания файла инсталлятора Windows вы можете развертывать приложения, используя групповые политики Active Directory Windows Server 2003. Групповые политики обеспечивают средства, позволяющие публиковать приложение или делать его доступным для инсталляции на рабочих станциях. После конфигурации соответствующей групповой политики при последующей загрузке компьютера или входе пользователя в систему на компьютере появится извещение о новом пакете программ, и затем приложение может быть установлено.
Прежде чем вы сможете опубликовать приложение для пользователей сети, нужно скопировать инсталляционные файлы программ, включая .msi-файл, на доступный сетевой ресурс. Необходима гарантия того, что все пользователи или компьютеры имеют соответствующий доступ к ресурсу. Если вы назначаете приложение для компьютеров, компьютерные учетные записи должны иметь доступ Read (Чтение). Если вы назначаете или публикуете приложение для пользователей, то пользователи должны иметь доступ Read. (Смотрите следующий раздел для сравнения деталей назначения приложений и публикации приложений.)
Развертывание приложений
После создания сетевого ресурса и копирования на него инсталляционных файлов вы готовы к реализации объектов групповой политики GPO, которые будут публиковать приложение для клиентов. Вы можете создать новый объект GPO или изменить существующий. При конфигурировании GPO вы должны сначала определить, необходимо ли публиковать приложение для компьютеров или пользователей. Используйте контейнер Computer Configuration\Software Settings в Group Policy Object Editor (Редактор объектов групповой политики), и приложение будет установлено на рабочей станции, когда она перезагрузится в следующий раз. Если вы решите публиковать приложение для пользователей, используйте контейнер User Conf iguration\Sof tware Settings в редакторе объектов групповой политики, и приложение будет доступно пользователю при его следующем входе в систему.
Примечание. В главе 11 была представлена консоль управления групповыми политиками Microsoft Group Policy Management Console (GPMC), являющаяся мощным инструментом для управления всеми конфигурациями групповых политик целой организации. Поскольку консоль разработана как отдельный инструмент, предназначенный для управления групповой политикой, то ее пользовательский интерфейс сильно отличается от интерфейса, используемого в других инструментах администрирования Active Directory. Однако поскольку GPMC-консоль не является обязательным дополнением, то информация, данная в главах 11, 12 и 13, базируется на использовании только тех инструментов администрирования и оснасток, которые поставляются как часть инсталляционного компакт-диска Windows Server 2003.
Когда вы используете групповую политику для инсталляции приложений, у вас имеется два варианта извещения о приложении для клиента. Первый вариант состоит в назначении приложения, которое может адресоваться или компьютеру, или пользователю. Второй вариант состоит в публикации приложения, которая делает его доступным, но только для учетных записей пользователей.
Когда вы назначаете приложение компьютеру, оно будет полностью установлено при следующей загрузке компьютера, что означает, что приложение будет установлено для всех пользователей компьютера, когда они в следующий раз войдут в систему.
Когда вы назначаете приложение пользователю, оно будет опубликовано, когда пользователь в следующий раз войдет в сеть. Можно сконфигурировать то, каким образом это будет происходить, но обычно приложение добавляется к меню Start (Пуск). Приложение будет также добавлено к списку опубликованных приложений в панели управления Add Or Remove Programs (Добавление или удаление программ). По умолчанию приложение устанавливается не при входе пользователя в систему, а при активации из меню Start или через панель Add Or Remove Programs. Можно сконфигурировать такую логику установки, что приложение установится, когда пользователь попытается открыть файл с расширением, которое ассоциировано с данным приложением. Например, приложение Microsoft Word отсутствует на компьютере пользователя. Если он щелкнет два раза на файле с расширением .doc, то Word будет автоматически установлен. Этот процесс часто называют активацией расширений (extension activation).
Одна из новых функций в Active Directory Windows Server 2003, отсутствующая в Active Directory Windows 2000, — возможность полной установки программного приложения при входе пользователя в систему вместо установки его в результате активации файла. Выбор этой опции означает, что процесс входа в систему займет больше времени, поскольку произойдет установка приложения, но затем приложение будет доступно клиенту для использования. Эта опция доступна только в том случае, когда приложение назначено пользователю. Опубликованные
приложения не будут установлены полностью, пока они не инсталлируются через панель Add Or Remove Programs или через активацию расширения. Эта опция не используется, если приложение назначено компьютеру, потому что приложение полностью устанавливается только при перезагрузке компьютера.
Когда вы публикуете приложение для пользователей, оно извещает о себе при следующем входе пользователя в сеть. В этом случае приложение появляется только в панели управления Add Or Remove Programs. Чтобы установить приложение, пользователь должен выбрать его в этой панели. По умолчанию опубликованные приложения устанавливаются также через активацию расширения.
В большинстве случаев публикация приложения является наилучшим вариантом, если данное приложение требуется только некоторым пользователям. Например, имеется графическое приложение типа Microsoft Visio, которое постоянно используют только сетевые архитекторы. Однако некоторым другим пользователям также может потребоваться Visio. Публикуя приложение для пользователей, вы не устанавливаете его на их рабочих столах и не добавляете его к их ярлыкам, а делаете его доступным для тех, кто в нем нуждается.
Для публикации приложения с помощью групповой политики используйте следующую процедуру.

1. Скопируйте инсталляционные файлы программы на сетевой ресурс. Сконфигурируйте разрешения на доступ к ресурсу, гарантируя, что все нужные пользователи и компьютеры имеют доступ Read (Чтение) для чтения инсталляционных файлов.
2. Найдите контейнер: сайт, домен или организационную единицу (OU), в котором вы хотите опубликовать приложение, и обратитесь к свойствам контейнера. Щелкните на вкладке Group Policy (Групповая политика). Создайте новый объект GPO или щелкните на кнопке Edit (Правка) для изменения свойств существующего объекта GPO.
3. Если вы публикуете приложение для учетных записей пользователей, раскройте контейнер User Conf iguration\Sof tware Settings (Конфигурирование пользователей\Параметры настройки программ) в редакторе объектов групповых политик, щелкните правой кнопкой мыши на кнопке Software Installation (Инсталляция программ), выберите New (Новый), а затем выберите Package (Пакет). Если вы публикуете приложение для компьютерных учетных записей, то раскройте контейнер Computer Configuration\Software Settings (Конфигурирование компьютеров\Параметры настройки программ) в редакторе GPO, щелкните правой кнопкой мыши на кнопке Software Installation (Инсталляция программ), выберите New (Новый), а затем выберите Package (Пакет).
4. Найдите место в сети или напечатайте сетевой путь к месту расположения инсталляционных файлов. Вы должны использовать место в сети, а не локальное имя диска на сервере, потому что для клиентских компьютеров публикуется место в сети. Выберите соответствующий файл .msi.

Примечание. Если вы выберете неправильное сетевое место или измените его после развертывания, нужно обновить пакет программ. Нет никаких средств, позволяющих изменить инсталляционный путь для пакета программ.

5. При выборе файла .msi вы можете указать способ, которым вы хотите публиковать пакет программ. На рисунке 12-1 показаны способы публикации приложения для учетных записей пользователя. Если вы публикуете приложение для, компьютеров, можно только назначать приложение.

Рис. 12-1. Опции для публикации пакета программ

6. Если вы хотите назначить или опубликовать приложение, щелкните на кнопке ОК. Если вы выберете опцию Advanced (Дополнительно), появится окно свойств данного пакета Properties, опции которого обсуждаются в разделе «Конфигурирование свойств пакета программ» далее в этой главе.

Как только объект GPO сконфигурирован, приложение будет опубликовано для всех клиентов контейнерного объекта. По умолчанию программный инсталляционный компонент групповой политики применяется только при входе пользователя в систему (если политика применяется к учетным записям пользователей) или при перезагрузке компьютера (если политика применяется к компьютерным учетным записям). Инструмент командной строки GPUpdate, который имеется на всех компьютерах с системами Windows XP Professional и Windows Server 2003, может вызвать принудительный выход из системы или перезагрузку на рабочей станции как часть обновления, связанного с групповой политикой. Чтобы вызвать выход из системы или перезагрузку, используйте команду gpupdate /logoffили gpupdate /reboot.
Распределение программного обеспечения и пропускная способность сети
Один из наиболее трудных аспектов управления распределением программного обеспечения с помощью групповых политик состоит в управлении использованием сети. Если вы назначите большое приложение размером в несколько мегабайт на большую группу пользователей, и все они начнут устанавливать его одновременно, эта установка займет часы из-за существенного увеличения объема сетевого трафика. Есть множество опций, позволяющих управлять сетевой пропускной способностью. Одна из опций состоит в назначении приложения на компьютеры с просьбой к пользователям перезагрузить компьютеры в конце дня. Вы можете также вынуждать перезагрузку рабочей станции, используя команду GPUpdate. Если вы примените эту команду одновременно лишь к нескольким рабочим станциям, влияние на сеть может быть сведено к минимуму. Другая опция состоит в назначении приложения маленькой группе пользователей за один раз. В большинстве случаев старайтесь избежать назначения приложений, которые будут полностью устанавливаться при входе пользователя в систему. Если вы публикуете приложение, но позволяете пользователю инициировать инсталляцию, появится возможность, по крайней мере, растянуть инсталляцию программного обеспечения на некоторое время. Хотя ни одна из этих опций не является идеальной, их можно использовать, чтобы до некоторой степени управлять пропускной способностью сети.
Другой способ управлять использованием сети для нескольких сайтов состоит в том, чтобы применить распределенную файловую систему (Distributed File System - DFS). С помощью DFS можно создать структуру логического каталога, не зависящую от того, в каком месте сети фактически хранятся файлы. Например, можно создать корень DFS с именем \\serverl\softinst, а затем для всех приложений создать подкаталоги ниже этой общей точки. С помощью системы D*FS можно найти подкаталоги на нескольких серверах и сконфигурировать физические связи к одним и тем же логическим каталогам. Если вы используете интегрированную систему DFS, можно сконфигурировать автоматическую репликацию содержания папки между копиями одного и того же каталога. Система DFS является приложением, учитывающим наличие сайтов, т.е. если у вас имеется несколько сайтов, то компьютеры клиентов будут всегда подключаться к копии DFS папки, расположенной в их собственном сайте, вместо того чтобы пересекать глобальную сеть WAN для обращения к папке, расположенной в другом сайте.
Трудно предсказать, каким будет эффект сетевой инсталляции. Одно из преимуществ использования групповых политик для установки программного обеспечения состоит в том, что можно легко выполнить тестирование, чтобы увидеть ожидаемый эффект. Например, можно сконфигурировать объект GPO, который включает пакет программ, но не
связан ни с какой OU, затем создать временную OU, добавить несколько пользовательских или компьютерных учетных записей и связать GPO-объект с OU. Эта конфигурация может использоваться для проверки того, сколько времени потребуется для установки приложения в маленькой группе пользователей. Можно также запустить программное распределение, связав объект GPO с производственной OU, используя фильтрацию группы для ограничения количества пользователей или компьютеров, к которым применяется GPO-объект.
Независимо от количества усилий, предпринятых вами для минимизации влияния на сеть, развертывание объемного приложения для большого количества пользователей всегда оказывает воздействие на сеть, поэтому нужно запланировать выполнение инсталляции в течение несколько дней.
Использование групповых политик для распределения приложений с помощью инсталлятора, не принадлежащего платформе Windows
В некоторых случаях вы можете не создавать файла .msi для установки приложения, а использовать групповые политики для его распределения. Например, простое приложение должно быть установлено на нескольких рабочих станциях, оно не требует никакой настройки и модернизации. Можно создать и использовать файл параметров настройки инсталляции программы (.zap) для установки этого приложения.
Файл . zap является текстовым файлом, который содержит команды, предназначенные для установки приложения. В большинстве случаев .zap-файл будет содержать только следующие строки:
[Application]
FriendlyName = "applicationname"
SetupCommand = "\\servername\sharename\installapplication.exe""
Значение FriendlyNameявляется именем, отображаемым в панели управления Add Or Remove Programs на компьютере клиента. Значение SetupCommand ~ путь к инсталляционному файлу для приложения. Можно использовать UNC-путь или отображенный диск для значения SetupCommand. Если приложение обеспечивает средства для настройки инсталляции с использованием параметров установки, можно включить эти параметры в значение SetupCommand, указывая его вслед за параметром, определяющим путь установки, заключенным в двойные кавычки. Например:
SetupCommand = "\\servername\sharename\se\up.exe" /parameter
Обратите внимание, если командная строка включает параметр, то путь установки использует одинарный набор двойных кавычек вместо двойного набора двойных кавычек, которые требовались в предыдущем примере.
После создания файла .zap и копирования инсталляционных файлов приложения на сетевой ресурс можно опубликовать приложение для пользователей. Приложение добавляется к списку доступных приложений в панели управления Add Or Remove Programs, и пользователи могут выбрать его для установки. Приложения, которые распределяются через файлы .zap, не могут быть назначены ни компьютерам, ни пользователям, их нельзя устанавливать с помощью активации расширения.
Использование файла .zap имеет несколько важных ограничений по сравнению с использованием файлов инсталлятора Windows. Во-первых, инсталляция приложения с помощью файла .zap запускает нормальную инсталляционную программу для приложения, т.е. нельзя настраивать инсталляцию, если приложение не обеспечивает параметры установки для этого. Далее, инсталляция приложения с помощью файла .zap не может выполняться с разрешениями, включенными в процессе инсталляции, т.е. для установки приложения пользователь должен быть местным администратором. Приложения, которые были установлены с помощью файла .zap, не могут самовосстанавливаться. Если приложение перестанет работать из-за порчи или удаления файла, пользователю придется снова выполнить первоначальную инсталляционную процедуру вручную для повторной установки приложения. Кроме того, приложение, которое было установлено с помощью файла .zap, не может быть легко модернизировано или исправлено. Из-за перечисленных недостатков технология инсталляции программ имеет ограниченную пригодность и должна использоваться только тогда, когда вы устанавливаете простое приложение, которое вряд ли будет обновляться.
Конфигурирование свойств пакета программ
После создания пакета программ можно изменись его свойства. Для этого щелкните правой кнопкой мыши на пакете и выберите Properties. На рисунке 12-2 показана вкладка Deployment (Развертывание). В таблице 12-1 описаны опции окна Properties.
Табл. 12-1. Опции развертывания для пакета программ

Рис. 12-2. Изменение свойств развертывания для пакета программ

Рис. 12-3. Использование окна Advanced Deployment Options (Дополнительные опции развертывания) для конфигурации групповой политики, предназначенной для инсталляции программного обеспечения
Установка заданных по умолчанию свойств процесса инсталляции программ
Когда вы готовитесь установить программное обеспечение, используя групповые политики, можно сконфигурировать параметры, заданные по умолчанию для всех пакетов программ, развертываемых с помощью оп-
ределенного объекта GPO. Откройте соответствующее окно, щелкнув правой кнопкой мыши на контейнере Software Installation (Инсталляция программ) и выбрав Properties (Свойства) (см. рис. 12-4).

Рис. 12-4. Конфигурирование заданных по умолчанию параметров настройки, используемых при инсталляции программ
Вы можете использовать эту процедуру для установки опций, отображаемых при создании нового пакета программ с данным объектом GPO. Можно установить заданное по умолчанию место расположения инсталляционных файлов и сконфигурировать параметры настройки инсталляционного интерфейса пользователя.
Установка настраиваемых пакетов программ
Иногда компании может понадобиться настройка инсталляции пакета программ, даже если он поставляется с «родным» пакетом инсталлятора Windows. Например, требуется создать настроенную инсталляцию своего приложения, предназначенного для обработки текстов, чтобы включить в него собственные словари или шаблоны. Или настроить инсталляцию приложения Microsoft Office, чтобы на каждом рабочем столе устанавливались только Microsoft Word и Microsoft Excel, а полный пакет развертывался лишь для определенных пользователей. Если вы работаете в международной компании, вам потребуется развернуть одно и то же приложение на нескольких языках.
Вы можете настроить инсталляцию пакета программ, создавая файл преобразования (.mst). В дополнение к файлу .msi файл преобразования содержит команды настройки инсталляции. Самый легкий способ созда-
ния файла .mst состоит в использовании специально предназначенных для этого инструментов, если они предоставлены изготовителем программы. Например, Microsoft включает Custom Installation Wizard (Мастер выборочной инсталляции) в комплекты ресурсов MicrosoftOffice 2000 ResourceKitи MicrosoftOfficeXPResourceKit. После запуска мастера нужно выбрать файл .msi, имя и место расположения файла .mst. Тогда мастер представляет все опции, предназначенные для настройки заданной по умолчанию инсталляции программного обеспечения. Вы можете настроить практически каждый аспект инсталляции, включая удаление предыдущих версий Microsoft Office, выбор устанавливаемых компонент и место установки компонентов. Можно переносить пользовательские параметры настройки, если инсталляция представляет собой обновление существующего программного обеспечения, или выборочно сконфигурировать персональные параметры настройки и параметры настройки защиты. Можно добавлять дополнительные файлы к инсталляции (например, собственные шаблоны), Создавать или удалять ключи системного реестра, добавлять или удалять ярлыки к приложениям Microsoft Office и конфигурировать параметры настройки электронной почты клиента.
После создания файла преобразования нужно создать новый пакет программ для развертывания выборочной инсталляции. Для этого при выборе метода развертывания выберите опцию Advanced (Дополнительно) для добавления файла преобразования, прежде чем создание пакета будет закончено. В окне Properties (Свойства) пакета программ выберите вкладку Modifications (Модификации), а затем добавьте файлы преобразования. На рисунке 12-5 показана вкладка Modifications.

Рис. 12-5. Добавление файлов преобразования к пакету программ
Когда вы применяете к пакету программ файл преобразования, все клиенты, инсталлирующие приложение в пределах объекта GPO, установят настроенную версию. С пакетом программ можно включать несколько файлов преобразования. В этом случае файлы преобразования применяются, начиная с вершины списка, т.е. те файлы, которые применяются в инсталляционном процессе позже, могут записываться поверх более ранних модификаций.

Обновление существующего пакета программ
Еще одна полезная функция, доступная при использовании групповых политик для установки программного обеспечения, предназначена для обновления существующего пакета программ. Имеется два способа обновления: внесение исправлений (заплаток) или установка сервисного пакета (service pack) на существующее приложение и обновление приложения до новой версии. Если у вас работает Microsoft Office 2000, то установка пакета Service Release I for Office 2000 является примером первого типа модификации, а инсталляция программы Office XP дает пример второго типа.
Эти методы обновления программного обеспечения требуют применения различных процедур. Если вы применяете заплатки (patch file) или сервисный пакет к существующему приложению, сначала нужно получить файл .msi или patch-файл (.msp) для обновленного приложения. (В идеальном случае этот файл поставляется изготовителем программы, но вы можете создать свой собственный.) Скопируйте новый файл .msi и другие инсталляционные файлы в ту же самую папку, в которой находится оригинальный файл .msi, записывая любые дублированные файлы поверх старых. Затем повторно разверните приложение. Чтобы это сделать, щелкните правой кнопкой мыши на пакете программ в редакторе объектов групповой политики, выделите All Tasks (Все задачи), а затем выберите Redeploy Application (Повторно развернуть приложение). Пакет программ будет повторно развернут для всех пользователей и компьютеров, находящихся под управлением этой групповой политики. При обновлении существующего приложения до новой версии программного обеспечения вам потребуется другой подход. Нужно будет создать новый пакет программ для развертывания приложения. Затем можно обратиться к свойствам пакета программ нового приложения и выбрать вкладку Upgrades (Обновления). Используя параметры настройки, представленные на этой вкладке, создайте ссылку на существующий пакет в новом пакете распределения программного обеспечения. Щелкнув на кнопке Add (Добавить) во вкладке Upgrades, выберите пакет программ, который будет модернизирован с помощью нового пакета. Вы сможете также сконфигурировать, должно ли старое приложение деинсталлироваться, прежде чем будет установлено новое приложение. На рисунке 12-6 показан пример обновления приложения Office 2000.

Рис. 12-6. Обновление существующего пакета программ
Когда связь с обновлением создана, вкладка Upgrades показывает новую информацию (см. рис. 12-7). С помощью вкладки Upgrades можно сделать это обновление обязательным. В этом случае все программное обеспечение, распределенное предыдущим объектом GPO, будет обновлено во время следующей перезагрузки компьютера или при следующем входе пользователя в систему. Если обновление не сделать обязательным, пользователь сможет выбирать время установки нового приложения, активизируя приложение в меню Start (Пуск) или через панель управления Add Or Remove Programs (Установка и удаление программ). Если для пакета обновления программного обеспечения и для начального приложения вы используете один и тот же объект GPO, то первоначальный пакет программ покажет, что новый пакет его модернизирует.
Планирование. Тот факт, что модернизировать приложение, используя групповые политики, очень просто, не означает, что обновление пройдет легко. Перед развертыванием обновления вы должны его протестировать для гарантии того, что оно не создаст проблем при взаимодействии с существующими приложениями. Нужно протестировать процесс обновления и удостовериться, что он будет работать гладко в вашей организации. Когда вы убедитесь в этом, нужно будет управлять развертыванием. Если приложение, которое вы модернизируете, было развернуто для нескольких тысяч пользователей, и вы решите сделать это обновление обязательным, то пользователям, возможно, придется ждать много времени, пока инсталляция будет закончена. Нужно управлять развертыванием обновления, чтобы свести к минимуму воздействие на пропускную способность сети.

Рис. 12-7. Вкладка Upgrades в окне Properties (Свойства) пакета программ
Управление категориями программного обеспечения
В большой организации можно развернуть множество приложений, используя групповые политики. Если вы захотите опубликовать большинство этих приложений на верхнем уровне в иерархии домена, где объект GPO применяется к большинству пользователей, то пользователи будут видеть длинный список доступных приложений, открывая панель управления Add Or Remove Programs, что может привести к замешательству. Чтобы свести его к минимуму, используйте программные категории, дающие пользователям более простое представление о тех приложениях, которые они могут установить.
С помощью программных категорий можно представлять пользователю сгруппированные списки приложений. Например, на рисунке 12-8 показано, что вы можете создать категорию для каждой группы деловых приложений. Если пользователь находится в подразделении Administration (Администрация), он может выбрать категорию Administration и брать оттуда приложения для инсталляции.
Active Directory Windows Server 2003 поставляется без каких-либо предопределенных программных категорий, так что можно создать любые. Чтобы создать категорию, откройте любой существующий объект GPO, щелкните правой кнопкой мыши на Software Installation (Инсталляция программного обеспечения) в разделе Computer Configuration или User Configuration, выберите Properties, а затем выберите вкладку Categories (Категории) (см. рис. 12-9). Программные категории применя-
ются не к индивидуальным GPO-объектам, а ко всем GPO-объектам в домене. После создания программных категорий вы можете связывать каждый из пакетов развертывания программного обеспечения с соответствующей категорией.

Рис. 12-8. Отображение программных категорий в панели Add Or Remove Programs

Рис. 12-9. Конфигурирование программных категорий на GPO-объектах
Конфигурирование активации расширения файла
Одним из средств, с помощью которых пользователь может начать инсталляцию приложения, является активация расширения файла. В большинстве случаев с каждым определенным расширением файла связано только одно приложение. Однако в некоторых случаях можно иметь более одного приложения. Например, обновить Word 2000 до Word XP и в течение нескольких месяцев держать обе версии программного обеспечения доступными для инсталляции. В этом случае можно сконфигурировать, какая из двух версий приложения будет устанавливаться, когда пользователь начнет его установку через активацию расширения файла. Для этого в редакторе Group Policy Object Editor обратитесь к окну Software Installation Properties (рвойства инсталляционных программ) в разделе Computer Configuration или User Configuration. Выберите вкладку File Extensions (Расширения файла) (см. рис. 12-10). При активизации расширения файла будет установлено приложение, которое указано первым в списке.

Рис. 12-10. Конфигурирование активизации расширения файла
Удаление программного обеспечения через групповые политики
Групповая политика может использоваться не только для установки приложения, но и для его удаления. Имеются три опции удаления программного обеспечения с помощью групповой политики.

1. Удаление программного обеспечения в качестве предварительного шага перед установкой более новой версии того же программного обеспечения.
2. Удаление программного обеспечения, когда пользователь или компьютер выведены за пределы области управления.
3. Удаление программное обеспечение при удалении пакета программ.

Первые две опции обсуждались ранее в этой главе. Последняя опция требует некоторого объяснения. Когда вы удаляете пакет программ из объекта GPO, существует возможность выбора способа управления программным обеспечением, установленным под управлением этого объекта GPO. Щелкните правой кнопкой мыши на пакете программ, находящемся в списке в Software Installation (Инсталляция программ), выберите All Tasks (Все задачи), а затем выберите Remove (Удалить). На рисунке 12-11 показано диалоговое окно, которое появляется при выборе удаления инсталляционного пакета. Если будет выбрана опция Immediately Uninstall The Software From Users And Computers (Деинсталлировать программное обеспечение у пользователей и на компьютерах), то программное обеспечение будет деинсталлироваться при следующей перезагрузке компьютера или при следующем входе пользователя в систему. Если будет выбрана опция Allow Users To Continue To Use The Software, But Prevent New Installations (Разрешить пользователям продолжать использование программного обеспечения, но предотвратить новые инсталляции), приложение не будет удалено с рабочих станций, но пользователи больше не смогут установить приложение, используя этот GPO-объект.

Рис. 12-11. Конфигурирование удаления программного обеспечения при удалении пакета программ
Использование групповых политик для конфигурирования инсталлятора Windows
Поскольку большинство приложений, которые вы будете устанавливать с помощью групповых политик, будут использовать технологию инсталлятора Windows, вам, возможно, понадобится сконфигурировать установку приложений, имеющих Windows Installer. Active Directory Windows Server 2003 имеет несколько опций, предназначенных для этого. Большинство параметров настройки можно сконфигурировать, открыв объект GPO в редакторе объектов групповой политики и развернув Computer Configuration (Конфигурация компьютера). Далее выберите Administrative Templates (Административные шаблоны), потом выберите Windows Components (Компоненты Windows), затем - Windows Installer (Инсталлятор Windows) (см. рис. 12-12). Некоторые параметры настройки расположены в другом месте: User Configuration\ Administrative Templates\Windows Components\Windows Installer. В таблице 12-2 объясняется назначение этих опций.

Рис. 12-12. Конфигурирование параметров настройки инсталлятора Windows для компьютерных объектов
Табл. 12-2. Опции параметров настройки групповой политики для инсталлятора Windows

Планирование распределения программ через групповые политики
Использование групповых политик для управления программным обеспечением может уменьшить усилия, необходимые для распределения и обслуживания программного обеспечения на компьютерах клиента. Однако извлечение выгоды от применения этого инструмента усложняется
для большой компании с несколькими различными программными конфигурациями пользовательских рабочих столов. Развертывание групповых политик для наиболее эффективного управления программным обеспечением требует осторожного планирования. Этот раздел посвящен тому, что вы должны учитывать при выполнении этого планирования.
Один из факторов, который вы должны учитывать при развертывании приложений, - необходимость публикации приложения пользователям или компьютерам. Если большинство компьютеров являются общедоступными и каждый пользователь требует специфического пакета программ, то вы должны назначить политику на компьютеры. При назначении политики программное обеспечение полностью установится на рабочую станцию при ее следующей перезагрузке и будет доступно всем пользователям. Назначение пакета программ на компьютеры обеспечивает больше опций для управления пропускной способностью сети. Используя эту опцию, можно сконфигурировать групповую политику в течение дня, а затем попросить пользователей (или использовать удаленный инструмент), чтобы они перезагрузили рабочие станции в конце обычного рабочего времени.
Если какой-либо пакет программ требуется только нескольким пользователям, то более эффективным является назначение или публикация приложения для учетных записей пользователей. В некоторых случаях пакет программ должен быть распределен пользователям, принадлежащим нескольким OU. Наилучшим способом для этого является назначение групповой политики на высшем уровне иерархии Active Directory с последующей фильтрацией применения объекта GPO с помощью групп защиты.
Другое важное решение, которое надо принять при планировании распределения программ состоит в том, сколько объектов GPO следует использовать. Одна из крайностей состоит в том, что можно использовать один объект GPO для распределения всего программного обеспечения в пределах определенного контейнера, это улучшит выполнение входа в систему клиента, но может создать сложные конфигурации GPO-объектов. Другая крайность состоит в использовании множества GPO-объектов, каждый из которых распределяет единственное приложение. Это может оказать влияние на процесс входа в систему клиентов, потому что компьютер должен читать множество объектов GPO. Компании используют разнообразные подходы для решения этой проблемы. Типичный подход состоит в том, чтобы создать один объект GPO для установки стандартного набора приложений, в которых каждый нуждается, и которые редко изменяются. Дополнительные объекты GPO создаются для приложений, которые часто обновляются (типа антивирусного программного обеспечения), и для приложений, которые используются маленькими группами пользователей.
Возможно, что вам придется планировать распределение программного обеспечения по сети с низкой пропускной способностью. Во многих компаниях имеются удаленные офисы или удаленные пользователи, которые подключаются к Active Directory, используя медленные сетевые подключения. По умолчанию компонент групповой политики, предназначенный для распределения программного обеспечения, не применяется, если клиент соединяется через сетевое подключение со скоростью передачи меньше 500 Кб/с. Если рабочие станции вашей сети обычно подключены к локальной сети (LAN) и только иногда соединяются через медленное сетевое подключение, это заданное по умолчанию значение приемлемо. Однако если ваши сетевые клиенты соединяются через медленное сетевое подключение, их нужно подготовить, выполнив дополнительное конфигурирование.
Одна из опций оставляет заданное по умолчанию распределение программного обеспечения таким, как оно есть, инициируя полную инсталляцию программного обеспечения, когда пользователь соединяется с LAN. Используйте эту опцию, если клиенты изредка соединяются с вашей LAN. Если клиенты никогда не соединяются с LAN, для распределения программного обеспечения используйте средства вне Active Directory. Например, используя сменные носители информации или через безопасный веб-сайт, если у клиентов есть быстрое подключение к интернету.
У большинства крупных компаний есть способы автоматизировать процесс, предназначенный для компоновки рабочих станций. Компании используют технологии клонирования диска или службу удаленной инсталляции (RIS — Remote Installation Services) для быстрой компоновки стандартного рабочего стола пользователей. Можно использовать эту технологию в комбинации с групповыми политиками, чтобы оптимизировать распределение программного обеспечения. Например, если вы используете инструмент клонирования диска для компоновки рабочих станций клиентов, скомпонуйте компьютер клиента, а затем используйте групповую политику для установки стандартного набора приложений на рабочей станции. Когда это изображение будет развернуто на рабочих станциях, ими можно управлять с помощью групповых политик. Если вы используете RIS для инсталляции программ на клиентских компьютерах, включите управляемое приложение в RIS-изображение для каждого отдела.
Наиболее важный шаг в подготовке к использованию групповой политики для развертывания программного обеспечения состоит в тщательном тестировании каждого программного распределения перед его развертыванием. Большинство компаний поддерживают лабораторию для тестирования распределений, которая содержит рабочие станции, представляющие аналоги тех рабочих станций, которые имеются в производственной среде. Вы можете создать испытательную OU в Active Directory и переместить сюда учетные записи этих компьютеров и некоторые тестируемые учетные записи пользователей. Используйте эту испытательную среду для проверки каждого программного распределения.
Службы обновления программного обеспечения - альтернатива обновлению компьютеров.
Одной из критических задач, выполняемых сетевым администратором, является обслуживание заплат на уровне операционной системы для всех компьютеров в сети. Из-за масштаба необходимых для этого усилий некоторые компании вообще не обновляют настольные компьютеры или применяют только наиболее критические модификации. Они обычно обновляют все серверы, но для защиты рабочих станций полагаются на брандмауэр интернета и антивирусное программное обеспечение. Некоторые компании применяют другой подход и конфигурируют все компьютеры своих клиентов на использование сайта Windows Update (Обновление Windows) для загрузки заплат. Эти компании, возможно, даже позволяют обычным деловым пользователям самим управлять применением заплат. Использование групповых политик может облегчить управление заплатами, но оно не решит проблему. Компания Microsoft создает .msi файлы только для существенных модификаций типа сервисных пакетов, так что управление заплатами по-прежнему связано с большим количеством работы. Поэтому компания Microsoft создала службу обновления программного обеспечения (Software Update Service — SUS) как альтернативное средство, предназначенное для развертывания обновлений на рабочих станциях.
Служба SUS состоит из серверного компонента и компонента клиента. Чтобы включить службу SUS, вы должны установить серверный компонент на компьютере с системой Windows 2000 или Windows Server 2003. Затем сконфигурируйте серверный компонент службы для загрузки всех критических модификаций с сайта Windows Update. Эта загрузка может быть автоматической или ручной. Как только модификации будут загружены и проверены, можно сконфигурировать службу для распределения модификаций всем клиентам. Клиентский компонент службы SUS можно устанавливать на компьютерах с системами Windows 2000 Professional и Server (с Service Pack 2 или более поздним), Windows XP Professional или Windows Server 2003. Системы Windows 2000 Service Pack 3 и Windows XP Professional Service Pack 1 включают клиентский SUS-компонент. Компьютер клиента использует клиентский компонент службы SUS для соединения с серверным компонентом службы SUS, чтобы загрузить и установить заплаты.
Служба SUS может управляться с помощью групповых политик. В редакторе объектов групповой политики используйте параметры настройки, расположенные в разделе Computer Configuration, выберите Administrative Templates, далее выберите Windows Components, а затем — Windows Update для конфигурирования управления автоматическими модификациями на рабочих станциях (см. рис. 12-13). Вы можете использовать групповые политики для определения того, с каким SUS-сервером будут соединяться рабочие станции.

Рис. 12-13. Конфигурирование клиентского компонента для автоматических модификаций
Чтобы узнать больше об использовании службы SUS и ее интеграции с групповой политикой, загрузите с веб-сайта Microsoft статью, расположенную по адресу http://www.microsoft.com/windows2000/ windowsupdate/sus/susoverview.asp.
Ограничения на использование групповых политик для управления программным обеспечением
Хотя групповые политики обеспечивают мощные механизмы управления программным обеспечением на компьютерах клиентов, у этой технологии имеются некоторые ограничения. Эти ограничения очевидны при сравнении групповых политик с инструментами управления программным обеспечением Microsoft Systems Management Server (SMS) или LANDesk от Intel.
Одно из ограничений для многих компаний состоит в том, что групповые политики могут использоваться только для распределения программного обеспечения на клиентские компьютеры с системами Windows 2000 или Windows XP Professional. Хотя большинство компаний перешло на самые последние операционные системы, многие все еще используют системы Windows NT Workstation, Windows 95 или Windows 98 на клиентских компьютерах. Если такие компании захотят использовать
групповые политики для распределения программного обеспечения клиентам с более новыми системами, они все равно будут поддерживать альтернативный метод для более старых клиентов.
Более существенное ограничение состоит в недостатке гибкости групповых политик при назначении графика инсталляции программного обеспечения. Приложения не публикуются на рабочей станции до тех пор, пока пользователь не сделает новый вход в систему или пока не произойдет перезагрузка компьютера. Инструментальные средства распределения программ, обладающие полным набором функций, такие как SMS, имеют и другие опции. Например, вы можете сконфигурировать SMS или LANDesk для запуска компьютера в течение ночи, используя технологию wake-on-LAN, устанавливающую программное обеспечение с последующим выключением компьютера. Распределение программного обеспечений может быть намечено на любое время в течение дня, пользователю не обязательно даже выходить из системы, он может и не знать, что идет распределение программного обеспечения.
Еще одно ограничение, связанное с использованием групповой политики, состоит в том, что она не поддерживает возможностей мультиве-щания в сети. Большая часть сетевого трафика представляет собой однонаправленный трафик, то есть трафик, который течет между двумя определенными компьютерами. При мультивещании сервер выпускает один поток сетевого трафика, а несколько клиентских компьютеров получают одни и те же данные. Поскольку каждое распределение программы инициируется действием клиента, то оно не может использовать мультивещание. Использование мультивещания сохраняет высокую пропускную способность сети. Например, если в вашей компании имеется несколько тысяч клиентов, и нужно распределить срочную антивирусную модификацию, используя решение с однонаправленной передачей данных, тем самым снизится пропускная способность даже самой быстрой сети. При использовании мультивещания все сетевые клиенты получат модификацию, хотя пакет программ посылается только один раз.
И еще одно ограничение состоит в недостаточном количестве функций, сообщающих о результатах. Служба Active Directory не позволяет определить, успешно ли установлено программное обеспечение на рабочей станции или нет, она не сообщает об успехах или отказах инсталляции.
При использовании групповой политики для распределения программного обеспечения нельзя указать, какие именно клиенты должны получить пакет программ иным способом, кроме как через назначение объекта GPO на контейнерном уровне или через фильтрацию, основанную на группах. Более полнофункциональные инструменты распределения программного обеспечения (например, SMS и LANDesk) создают опись всех клиентских компьютеров. Она включает также такие компьютерные атрибуты, как объем пространства жесткого диска, характеристики процессора и оперативной памяти, а также список программно-
го обеспечения, установленного на компьютерах. Используйте эту опись для указания того, какие клиентские компьютеры получат определенный пакет программ. Например, вы могли бы устанавливать самую последнюю версию приложения Office только на рабочих станциях, имеющих необходимое пространство на жестком диске и достаточный объем оперативной памяти.
Проблемы, связанные с распределением программ, возникают также при наличии «отсоединенных» клиентов. В некоторых компаниях имеется много клиентских компьютеров, соединяющихся с корпоративной сетью только иногда и только через модемную связь или VPN-подключение. Полнофункциональный инструмент распределения программного обеспечения осуществляет многостороннюю поддержку таких клиентов. Одна из опций состоит в обеспечении веб-сайта, который используется для установки программного обеспечения и управления им после инсталляции. Другая опция — разумное управление распределением программ, когда клиент находится на связи. Например, можно распределять программное обеспечение всем клиентам с модемной связью, но строго ограничивать объем пропускной способности сети, которую использует этот процесс. Процесс распределения программ может также обнаруживать нарушения сетевого подключения и при следующем соединении пользователя с сетью запускать распределение программ с того места, в котором подключение было нарушено.
Таким образом, использование групповых политик для управления программным обеспечением не поддерживает желаемый набор функций. Однако для маленьких компаний и компаний среднего размера, у которых на большинстве компьютеров установлены системы Windows 2000 или Windows XP Professional, групповые политики могут решить многие проблемы, связанных с распределением программного обеспечения. И цена использования групповых политик безусловно оправдана, если сравнить ее с довольно дорогими затратами по лицензированию клиентов при использовании других инструментальных средств.
Резюме
Групповые политики в Active Directory Windows Server 2003 обеспечивают мощные инструментальные средства для развертывания и управления программным обеспечением на рабочих станциях. Используя групповые политики и технологию инсталлятора Windows, вы можете развертывать программное обеспечение на рабочих станциях, а затем управлять этим программным обеспечением в течение всего жизненного цикла программы. В этой главе рассмотрены вопросы, касающиеся использования групповых политик для развертывания программного обеспечения и управления им.

1 .. 11 12 13 14 15 16