Всегда на связи
В своих письмах читатели часто затрагивают вопрос управления постоянно растущей армией мобильных пользователей. К ним требуется особое отношение: обычные задачи информационной защиты и модернизации могут перерасти в целую проблему, и администратору приходится брать на себя неблагодарный труд по настройке коммутируемых соединений и подключению к сети сотрудников, лишь изредка посещающих родное предприятие. Часто дополнительные трудности возникают из-за необходимости поручать мобильным пользователям задачи, которые обычно выполняет администратор.
В таком случае требуется срочно подготовить административные процедуры для эффективного управления мобильными пользователями. Рекомендуется выполнить основные операции по настройке перед раздачей портативных компьютеров пользователям и собирать компьютеры для централизованной модернизации и важных изменений конфигурации. Одновременно следует дать мобильным пользователям ясные, подробные инструкции по работе с шифрованной файловой системой Encrypting File System (EFS) и автономными файлами (Offline Files), настройке коммутируемых соединений, оформлению запросов на сертификаты и установке модулей исправлений. Умение ясно изложить требования к пользователям в данном случае становится главным условием успешного администрирования.
Использование NTFS и EFS
Основным приоритетом при управлении мобильными пользователями должна быть безопасность. Портативные компьютеры чаще, чем настольные, становятся объектами кражи, поэтому возрастает опасность утраты данных. Один из способов снижения риска - применить технологию шифрования данных Windows 2000.
Прежде чем выдавать машины сотрудникам, следует установить на всех принадлежащих компании ноутбуках Windows 2000 файловую систему NTFS и активизировать EFS (встроенный механизм операционной системы для шифрования файлов NTFS). Пользователям нужно вручить документацию с разъяснением принципов работы EFS и списком обязательных процедур для защиты документов, временных папок и других важных файлов (например, баз данных компании). В инструкциях нужно неустанно подчеркивать, что пренебрежение безопасностью портативных компьютеров может иметь печальные последствия. Можно познакомить сотрудников с многочисленными статьями о потерянных (украденных) ноутбуках с секретной или конфиденциальной информацией.
Настройка коммутируемых соединений
Если пользователи портативных компьютеров регистрируются в сети через коммутируемое соединение, то лучше всего организовать соединение заранее, прежде чем машина будет передана сотруднику. Если этого сделать нельзя, то пользователю нужно дать ясные и подробные инструкции (подразумевается типичная ситуация - пользователи устанавливают соединение с RAS- или RRAS-сервером, находящимся в сети компании).
Нужно выбрать пункты Settings, Network and Dial-up Connections и дважды щелкнуть мышью на кнопке Make New Connection, чтобы запустить мастер Network Connection Wizard. Затем следует выбрать соответствующую функцию (обычно Dial-up to private network - коммутируемое соединение с частной сетью) и щелкнуть на кнопке Next. Теперь нужно ввести номер телефона сети, к которой будут подключаться пользователи. На этом же экране расположена функция Use dialing rules. Данные правила дают дополнительную информацию о коммутируемом соединении: например, код города или дополнительную цифру, которую нужно набрать для доступа к внешней линии из отеля или офиса. В зависимости от обстоятельств, пользователям, возможно, придется применять правила или изменять их по ходу дела, поэтому в любой инструкции для владельцев ноутбуков необходимо разъяснить правила организации коммутируемых соединений.
Мастер спрашивает, следует сделать соединение доступным для всех пользователей компьютера или Only for myself (т. е. для пользователя, зарегистрированного в данный момент). Соединение мобильного пользователя, очевидно, нужно сделать доступным для всех. Кроме того, во многих портативных компьютерах предусмотрена очередность смены пользователей, членов группы, поэтому в инструкциях для сотрудников, ответственных за соединение, обязательно следует напомнить о пункте For all users.
И, наконец, требуется ввести имя соединения. Можно указать название компании, такое имя, как HomeOffice, или любое другое, указывающее, что соединение предназначено для связи с корпоративной сетью. Мастер предлагает поместить ярлык на рабочий стол. Это стоит сделать, так как Windows 2000 помещает объект нового соединения в папку Network and Dial-up Connections (подпапку панели управления в My Computer и Windows Explorer). Пользователи Windows 9x привыкли, что объект соединения находится в папке Dial-up Networking в My Computer, поэтому им бывает трудно отыскать его в Windows 2000.
По щелчку на кнопке Finish автоматически открывается новое соединение; теперь его можно проверить или настроить свойства. Давая пользователям рекомендации по организации связи, следует напомнить им о необходимости сбросить флажок Save Password в диалоговом окне соединения. Слишком опасно сохранять пароль на мобильных компьютерах, владельцы которых часто бывают в общественных местах, где всегда существует вероятность кражи. В качестве дополнительной меры предосторожности можно отредактировать реестр, отключив функцию Save Password (для записей в телефонной книге) перед раздачей мобильных компьютеров сотрудникам. Для этого нужно открыть редактор реестра, перейти в раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesRasManParameters и добавить элемент DisableSavePassword (типа REG_DWORD) со значением 1.
Чтобы изменить конфигурацию, следует щелкнуть на кнопке Properties в диалоговом окне соединения и открыть диалоговое окно. Выбор параметров зависит от особенностей сети (например, режима безопасности) и отражает специфическую для пользователя и места информацию. Самые важные параметры конфигурации приведены на закладке Security.
Если компания использует сертификаты для аутентификации, безопасного обмена данными (или и того и другого), то необходимо внести соответст-вующие изменения в конфигурацию соединения. В инструкции по организации коммутируемого соединения необходимо объяснить, как пользоваться мастером Certificate Request Wizard оснастки Certificates консоли управления Microsoft Management Console (MMC), чтобы запросить сертификат при первой попытке регистрации через новое соединение. Кроме того, пользователю нужно рассказать, как создать коммутируемое соединение для работы с новым сертификатом.
Чтобы облегчить задачу таких пользователей, следует заранее загрузить оснастку Certificates на все корпоративные компьютеры перед раздачей сотрудникам. Для этого нужно выбрать пункт Run из меню Start и ввести команду
mmc
В результате будет открыта новая консоль. Следует выбрать пункты Console, Add/Remove Snap-in из панели меню консоли (или нажать Ctrl+M), а затем щелкнуть на кнопке Add в диалоговом окне Add/Remove Snap-in. В диалоговом окне Add Standalone Snap-in нужно выбрать пункт Certificates, а затем щелкнуть на кнопке Add. В результате на экране появится диалоговое окно Certificates snap-in, где перечислены три объекта, которыми можно управлять через данную оснастку: My user account, Service account и Computer account. В зависимости от политики безопасности компании, следует выбрать учетную запись My user account или Computer account и щелкнуть на кнопке Finish. Затем нужно последовательно нажать Close в окне Add Standalone Snap-in и OK в окне Add/Remove Snap-in. Теперь оснастка Certificates загружена в MMC.
Затем следует развернуть объект Certificates и выбрать подходящую категорию сертификата в панели консоли (левой). Чтобы увидеть подробную информацию, настроить свойства или скопировать сертификат в файл, необходимо дважды щелкнуть на нужном сертификате в правой панели. В зависимости от типа выбранного сертификата и доступных параметров настройки, следует завершить процесс конфигурирования и сохранить консоль.
Если мобильным сотрудникам нужно обеспечить высокий уровень безопасности, рекомендуется использовать смарт-карты.
Модернизация мобильных компьютеров
Завершив операции по настройке перед сдачей машин в эксплуатацию, необходимо продумать способы развертывания обновленных версий операционных систем, пакетов исправлений и прикладных программ на портативных компьютерах в масштабах всей компании. Модернизацию настольных клиентов можно провести через общие папки, но данный метод для удаленных пользователей не годится. Такой способ установки рискованно проводить даже по широкополосным каналам связи. Мне приходилось сталкиваться с проблемами связи как на серверной, так и на клиентской стороне, с ошибками клиентов, которые нелегко обнаружить и устранить в дистанционном режиме, а также с другими трудностями.
Лучший (и самый надежный) способ - изъять компьютеры у сотрудников и выполнить модернизацию в отделе ИТ. В этом случае можно использовать компакт-диск или сетевую папку общего доступа. Второй приемлемый метод - подготовить набор специальных установочных файлов, записать их на компакт-диск и отправить диски мобильным пользователям. В данной ситуации следует придерживаться корректных процедур установки Windows 2000 и записать на компакт-диск как можно больше информации, чтобы свести к минимуму возможные вопросы со стороны пользователей. В частности, потребуется файл READ-ME с простыми и конкретными инструкциями. Следует подготовить персонал службы поддержки к общению с пользователями, которым может понадобиться помощь в модернизации, и предоставить техникам доступ к базе данных с подробной информацией (например, о компонентах и программном обеспечении) для каждого портативного компьютера.
Модули исправлений, как правило, представляют собой небольшие файлы, при работе с которыми пользователю редко приходится отвечать на вопросы или принимать решения. Поэтому можно разрешить пользователям загружать и устанавливать эти файлы через корпоративную сеть VPN, FTP-узел или сетевую папку общего доступа. Следует дать пользователям конкретные инструкции по электронной почте, с помощью файла README на FTP-узле или в папке общего доступа. Многие сотрудники не могут выполнить такие операции без помощи специалиста, но более квалифицированным пользователям достаточно послать электронное сообщение, указав, какой модуль нужно установить и где его найти на сайте Microsoft. В любом случае пользователям необходимо сообщить точное имя файла, а не туманные указания загрузить «исправление, которое устраняет сбой с зеленой иконкой».
Использование Offline Files
Еще один инструмент, который можно рекомендовать мобильным пользователям, - функция Offline Files в Windows 2000, которая обеспечивает доставку последних версий любых файлов, хранящихся в сети компании. С помощью этой функции можно загрузить файл или папку и определить ее в качестве автономного объекта. Вновь подключившись к сети, пользователь может синхронизировать автономный экземпляр (в котором учтены сделанные пользователем изменения) с сетевой копией.
Мастер упрощает процедуру установки и конфигурирования Offline Files. Пользователям следует дать ясные инструкции о мастере и список папок, с которыми разрешено (запрещено) работать в автономном режиме. Например, едва ли целесообразно предостав-лять автономный доступ к сетевым папкам, в которых хранятся материалы и планы исследовательских подразделений компании. Администратор может подстраховаться, запретив автономную работу с такой папкой. Для этого следует открыть диалоговое окно Properties папки, перейти к закладке Sharing, щелкнуть на кнопке Caching, а затем снять флажок, разрешающий кэширование файлов. Или просто закрыть доступ к папке, изменив полномочия мобильных пользователей либо переместив папку в защищенное сетевое хранилище.
Обслуживание пользователей на рабочем месте
Даже мобильные пользователи иногда появляются в офисе своей компании. У администратора есть несколько вариантов прямого подключения такого сотрудника к сети. Самые распространенные способы - применение док-станций, сетевых адаптеров PC Card и беспроводных адаптеров.
Док-станции оснащены сетевыми адаптерами и другими компонентами, с помощью которых можно без труда напрямую подключиться к полноразмерному монитору, клавиатуре и мыши. Пользователь просто соединяет ноутбук и док-станцию через кабель, а затем включает портативный компьютер. Раньше для работы с док-станцией на портативном компьютере приходилось создавать несколько аппаратных профилей, и администратор должен был объяснить пользователю, как загрузить нужный профиль при включении ноутбука. Поскольку функция Windows 2000 Plug-and-Play распознает док-станцию автоматически, в большинстве случаев этот шаг не нужен. Однако обладателям старых ноутбуков, возможно, придется загрузить аппаратный профиль. Чтобы построить профиль, следует щелкнуть правой кнопкой мыши на пиктограмме My Computer и выбрать из контекстного меню пункт Properties. Затем необходимо перейти к закладке Hardware и щелкнуть на Hardware Profiles. Нажав Copy, нужно скопировать текущий профиль и дать новому профилю имя Docking (или иное, столь же понятное). Затем следует отключить и активизировать устройства в соответствии с требованиями к новому профилю.
Для портативных компьютеров удобно применять сетевые адаптеры PC Card, так как пользователи могут просто подключить машину к любому свободному гнезду RJ-45 и войти в сеть. Но стоят такие адаптеры дорого, а число потерянных карт просто поражает. В своем офисе я прикрепляю карты к кабелю, связанному с гнездом, поэтому они остаются в офисе, а не в разъеме ноутбука. Для крепления карты на кабеле я использую изоляционную ленту.
Беспроводные сетевые платы становятся чрезвычайно популярными, а их стоимость такая же, как у PC Card. Лучшая технология - радиочастотная (RF). Обычно она мощнее и надежнее инфракрасной (IR). Сначала нужно инсталлировать узел доступа, который будет играть роль моста между узлами беспроводной и проводной сетей. Затем можно выдать беспроводной адаптер каждому мобильному пользователю, посетившему родной офис.
Бесперебойная связь
Качество обслуживания мобильных пользователей зависит от двух важных факторов: информации и связи. Необходимо составить подробные описания каждого портативного компьютера компании. Следует указать как элементарные данные (модель и серийный номер), так и подробные сведения о компонентах и установленных программах. Мобильным пользователям необходимо дать исчерпывающие инструкции. Пользователь должен иметь представление об обязательных процедурах (например, мерах безопасности) и запрещенных действиях (например, обращение к файлам, закрытым для работы в автономном режиме). Это избавит системного администратора от многих проблем, связанных с мобильным управлением.
Кэти Ивенс - редактор Windows & .NET Magazine, ivens@winnetmag.com.