Наверное, у каждого администратора, работавшего с групповыми политиками, есть в запасе, по меньшей мере, одна «страшная история» о том, как произошел сбой установленных настроек. Правда, ветеран ИТ с 10-летним стажем Майк Фостер утверждает, что в его практике подобных происшествий не случалось, даже в ситуации, когда групповые политики использовались для установки разработанной корпорацией Sun Microsystems среды Java Runtime Environment (JRE) на 800 компьютерах. Успех этого предприятия в немалой степени объяснялся проведенной Майком подготовительной работой. Сейчас Майк Фостер является администратором локальной сети в государственной организации США, занимающейся проблемами здравоохранения, но свой опыт работы с групповыми политиками он приобрел в качестве сертифицированного преподавателя Microsoft по проблемам Active Directory (AD). Тему использования групповых политик при установке среды JRE я и редактор Windows IT Pro Энн Грабб затронули в ходе беседы с Майком Фостером. Кроме того, мы расспрашивали Майка о том, где искать ресурсы, посвященные групповым политикам. Он даже поведал нам «почти страшную» историю о связанной с групповыми политиками проблеме, возникшей во время развертывания программных средств на удаленных узлах.
Расскажите, пожалуйста, о вашей сети.
В нашей организации 35 серверов. Они работают под управлением разных операционных систем, включая Windows NT 4.0 Server, Windows 2000 Server and Advanced Server, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition и Windows Server 2003 R2 Standard Edition. Кроме того, у нас эксплуатируется несколько систем AIX Unix и Linux. В сети имеется около 800 клиентских компьютеров и 1400 пользователей.
В штате нашего IT-подразделения 10 сотрудников. Отдел работает круглосуточно семь дней в неделю 365 дней в году. Оборудование размещается в кампусе площадью в 25 акров — в основном корпусе и в 12 отдельных строениях. Кроме того, имеется два удаленных узла (один рядом с основным, второй — на расстоянии 15 миль). Оба удаленных узла имеют WAN-подключения, а удаленные пользователи часто обращаются к важным данным на основном узле. Мы используем системы Windows 2000 Professional и Windows XP Professional, несколько версий комплекта Microsoft Office и десятки приложений от независимых поставщиков.
В вашей организации JRE была установлена на более чем 800 компьютерах. Как вы использовали групповые политики в этой ситуации?
При развертывании JRE особых сложностей не возникало. Для меня самым трудным этапом было извлечение файла .msi из исполняемого файла установки (.exe). Файл .msi необходим для установки на основе групповых политик. За справочной информацией, касающейся извлечения файла .msi и других аспектов развертывания JRE, я обращался к документации Sun, размещенной по адресу java.sun.com/j2 se/1.5.0/docs/guide/deployment/deployment-guide/upgrade-guide/deployment.html и java.com/en/download/help/5000011100.xml. После получения необходимого файла .msi я просто следовал рекомендациям: в редакторе групповых политик назначал приложение в узле Group Policy Computer Configuration/Software Settings/Software Installation, а также проверял, размещен ли нужный файл .msi в соответствующей разделяемой папке доступного сетевого ресурса и имеет ли эта папка все необходимые разрешения. В ходе установки нам не требовались ни сценарии, ни преобразование файлов, но мы использовали сценарии регистрации пользователя с групповыми политиками для настройки среды пользователя, в частности, для изменения значений реестра, запрашиваемых приложениями или пользователями. Кроме того, мы использовали в различных целях сценарии запуска компьютера с помощью групповой политики.Приходилось ли вам в процессе реализации этого проекта принимать какие-либо специальные меры для обеспечения бесперебойной работы?
Перед тем, как приступать к развертыванию в производственной сети, я провел тщательное тестирование на всех клиентских платформах. Кроме того, я заблаговременно оповестил о предстоящей установке всех пользователей, так как установка программных средств на основе групповых политик осуществляется в фазе загрузки компьютера, что приводит к задержкам. Мы заранее сообщили об этом нашим пользователям, чтобы свести к минимуму число обращений в службу поддержки в период установки.
Что бы вы посоветовали администраторам, которые собираются развертывать приложения с помощью групповых политик?
Прежде всего, я порекомендовал бы им заранее изучить соответствующие материалы, чтобы еще до начала работ они имели четкое представление обо всех требованиях. Стоит просмотреть информационные материалы и рекомендации по использованию групповых политик. Они размещаются на Web-узле Microsoft и на других ресурсах Internet. Кроме того, я рекомендую тщательно испытывать политики и развертывание в тестовой среде под управлением каждой клиентской операционной системы, используемой в производственной среде. Это позволит исключить вероятность возникновения проблем после развертывания на производственных машинах.
Должен ли администратор иметь большой опыт работы с групповыми политиками, чтобы выполнить такое развертывание?
Можно сказать, что мне повезло: когда я работал в качестве сертифицированного преподавателя Microsoft, мне часто приходилось иметь дело с функциями Active Directory (AD) во время бета-тестирования системы Windows 2000, а также в тот период, когда эта система была кандидатом на выпуск. С таким опытом мне было легко приступить к использованию групповых политик. Тем же, кто только начинает работать с групповыми политиками, хочу сказать, что в этом отношении AD заслуживает самой высокой оценки. Сегодня можно с уверенностью сказать, что это проверенная технология, история которой насчитывает уже немало лет. Сейчас накоплены такие объемы документации, что даже самый неискушенный сотрудник ИТ-подразделения может успешно применять в работе групповые политики без дополнительной подготовки.
Когда у меня возникают вопросы по любой из технологий Microsoft, я всегда первым делом отправляюсь на сайт этой корпорации. Еще один превосходный источник первоначальных сведений о том, как сетевой администратор может использовать групповые политики, — это справочный файл Windows Server.
Вы можете рассказать какую-нибудь «страшную историю» из своей практики, связанную с групповыми политиками?
Я бы не стал называть эту историю «страшной», но одна из самых серьезных проблем, связанных с групповыми политиками, возникла при установке программных средств на наших удаленных узлах и имела отношение к пропускной способности WAN-соединений. Я создал и настроил индивидуальные организационные единицы (OU) внутри нашего каталога AD так, чтобы компьютерам на удаленных узлах не пришлось получать огромные объемы данных при установке программных средств по каналам WAN. Надо сказать, что кое-какие не столь объемные пакеты мы все-таки устанавливали с использованием этих каналов — например, модуль коррекции, но в общем случае я рекомендую задействовать объекты групповых политик Group Policy Objects (GPO), каждый из которых должен иметь собственный локализованный исходный каталог программных средств. А в качестве целевых объектов для него должны быть указаны конкретные организационные единицы, отобранные по принципу географического положения. Можно поступать иначе — выполнять развертывание объемных программных пакетов вручную на каждом клиенте удаленных узлов (что мы и делали на небольших удаленных узлах, где развертывание программных средств с использованием групповых политик невозможно из-за недостаточно широкой полосы пропускания).
Наконец, в числе общих проблем, с которыми мне приходилось сталкиваться в прошлом при работе с групповыми политиками, были проблемы, связанные с ненадлежащими разрешениями, указанными на общих ресурсах, где хранился файл .msi, или на самих файлах. Однако я легко решал эти проблемы, следуя рекомендациям.
Что Вы думаете об оснастке Resultant Set of Policy (RSoP)?
Я пользовался оснасткой RSoP при диагностировании настроек групповых политик; кроме того, мне доводилось применять инструмент командной строки GPResult. Я вступил на поприще ИТ уже после изобретения графического пользовательского интерфейса, и поэтому предпочитаю работать с такими инструментами, как RSoP. Дело в том, что информацию, отображаемую средствами графического интерфейса, я воспринимаю легче, чем данные, отображаемые программами командной строки, такими, как GPResult. Одно из отмеченных мною достоинств RSoP состоит в том, что эта оснастка дает возможность просматривать существующие объекты групповых политик, применяемые к данному компьютеру и/или пользователю (режим регистрации), что очень полезно в тех случаях, когда приходится диагностировать настройки групповых политик. Кроме того, RSoP дает администратору возможность моделировать эффект применения объекта групповой политики (в режиме планирования) без фактического применения этой политики к целевому компьютеру и/или пользователю.
Какими инструментами Вы предпочитаете пользоваться при работе с групповыми политиками?
После выпуска системы Windows 2000 я довольно успешно использовал некоторые средства, поставлявшиеся на серверном компакт-диске, в том числе программу Veritas WinINSTALL LE, которая применяется для перекомпоновки старых приложений (установщика, использовавшегося до появления Windows) в пакеты, пригодные для распространения вместе с файлом установщика Windows (файлом .msi). Нахожу полезным и еще одно появившееся в те годы средство — разработанную фирмой FullArmor программу FAZAM 2000 Reduced Functionality (известную также под именем «FAZAM lite»). Она входит в состав пакета Microsoft Windows 2000 Resource Kit. FAZAM — это программа на базе графического интерфейса, предназначенная для управления объектами групповых политик предприятия. Сейчас, когда у меня возникает необходимость внести изменения в существующие файлы Windows Installer (файлы .msi), я использую средство для редактирования баз данных Orca. Эта программа является частью пакета Microsoft Windows Server 2003 SP1 Platform Software Development Kit (SDK).
Каролин Марвиц — помощник редактора в Windows IT Pro и SQL Server Magazine. cmarwitz@windowsitpro.com