Операционная система Windows 7 располагает богатым набором функций для управления не только настольными компьютерами. Предназначенная для крупных компаний версия Windows 7 Enterprise дополнена функциями подлинно корпоративного уровня, расширяющими возможности Windows 7 Professional. Среди них: DirectAccess, BranchCache, шифрование диска Windows BitLocker и BitLocker To Go, AppLocker и области поиска Enterprise Search Scopes. Использование всего потенциала этих функций приносит сотрудникам огромные преимущества в отношении удобства работы, а ИТ-подразделения могут повысить управляемость и безопасность информационной системы компании. В результате во многих компаниях удается упростить среду и сэкономить средства, избавляясь от сторонних надстроек.
. MDOP предоставляется по годовой подписке; цена зависит от количества компьютеров. Подписчиками могут стать участники программы Software Assurance или пользователи Windows Intune, нового «облачного» решения класса SaaS (программное обеспечение как служба) для управления компьютерами. Компании, использующие Windows 7 Enterprise, могут оформить подписку на MDOP примерно за 10 долл. в год для одного рабочего стола.
В 2006 году Microsoft приобрела компании Softricity и Winternals и объединила их продукты с решением Desktop Error Monitoring (DEM), составив первый пакет MDOP. Результатом приобретения компаний AssetMetrix, DesktopStandard и Kidaro, а также большой работы собственных специалистов стал пакет MDOP 2011 R2. В состав этой версии входит целый ряд инструментов оптимизации рабочего стола:
- Application Virtualization (App-V);
- Microsoft Enterprise Desktop Virtualization (MED-V);
- Asset Inventory Services (AIS);
- Advanced Group Policy Management (AGPM);
- Microsoft BitLocker Administration and Monitoring (MBAM);
- Diagnostics and Recovery Toolset (DaRT).
App-V
Специалисты многих компаний, которым приходилось слышать о MDOP, в первую очередь вспоминают об App-V. Это решение для виртуализации приложений обычно считается ведущим компонентом MDOP и, безусловно, используется чаще остальных.
С помощью App-V можно запускать приложения на экземпляре операционной системы, не устанавливая их. Запуск без установки достигается благодаря созданию виртуализованной версии приложения с помощью процедуры сериализации (sequencing).
В ходе виртуализации формируется «чистая» операционная среда, в которой запускается компонент App-V Sequencing. Этот компонент помещает все вносимые в ходе установки изменения файловой системы, реестра, COM, служб пользовательского режима, шрифтов и т. д. в виртуальные уровни, такие как виртуальная файловая система и виртуальный реестр, в двоичном потоке. Двоичный поток, содержащий уровни, в которых размещается установленная версия приложения, затем передается клиенту App-V в экземпляр виртуальной среды App-V.
Далее приложение выполняется в виртуальной среде. Его взаимодействие с локальной операционной системой происходит через виртуальные уровни. Приложение остается неизменным; оно считывает программные файлы как бы из памяти операционной системы, но в действительности они располагаются в виртуальном уровне. Этот же процесс применяется к таким компонентам, как реестр, пользовательские службы и шрифты.
Такой подход к запуску приложений без установки имеет несколько преимуществ.
- Устраняются все несовместимости между приложениями, вызванные любыми конфликтами (например, в библиотеках DLL и конфигурации). Каждое виртуальное приложение запускается в собственной виртуальной среде, которой не видны виртуальные среды других приложений.
- Существенно сокращается время ожидания новых приложений или обновлений приложений. В ходе тестирования более не требуется проверять множество комбинаций: работает ли программа A, если установлены программы B и C, так как приложения невидимы друг для друга.
- Операционная система остается более «чистой» и не засоряется с течением времени.
- Приложения доставляются пользователям почти мгновенно, по требованию. Установки не требуется, клиенту нужно передавать только содержимое потока и необходима только часть потока, используемая для начального запуска приложения (вероятно, только 20% всего размера потока); оставшаяся часть передается в фоновом режиме.
С помощью App-V можно виртуализовать большинство приложений. Если требуется, чтобы виртуализованные приложения обменивались данными друг с другом вне стандартных методов OLE, в App-V предусмотрена функция Dynamic Suite Composition (замысловатое название для возможности создавать ссылки между виртуальными приложениями, чтобы объединить виртуальную среду). Единственное ограничение App-V — нельзя виртуализовать драйверы, системные службы и компоненты операционной системы, в том числе Internet Explorer (IE). Но для браузера IE есть другое решение.
MED-V
MED-V — решение для приложений, несовместимых с Windows 7, но успешно работающих с Windows XP. В App-V приложение, по сути, выполняется в локальной операционной системе; если оно не запускается в Windows 7, то виртуализация приложения через App-V не поможет. MED-V скрыто запускает виртуальную машину XP с использованием Windows Virtual PC, где и устанавливаются приложения, непригодные для Windows 7, не имеющие совместимой с Windows 7 версии или приемлемой альтернативы.
Для пользователя механизм функционирует прозрачно. Как и в случае с App-V, работа приложений, предоставляемых через MED-V, практически не отличается от локально запускаемых приложений. Ярлыки приложений — часть меню «Пуск» в Windows 7, запущенное приложение безупречно отображается на рабочем столе, пиктограммы находятся на панели задач, драйверы и принтеры доступны. Единственный признак, по которому пользователь может заметить различия, — рамка приложения, а также диалоговые окна и облик приложения напоминают об XP.
Как уже отмечалось, с помощью App-V нельзя виртуализовать браузер IE, который считается частью операционной системы. Многим компаниям, переходящим на Windows 7, по-прежнему необходим доступ к IE 6 из-за того, что их компьютеры не работают с IE 9 или из-за больших затрат на модернизацию для поддержки IE 9. Помимо совместимости с XP, в состав которой входит IE 6, MED-V располагает и другой отличной функцией. В настройках MED-V можно определить URL-адреса таким образом, чтобы автоматически перенаправлять пользователя к экземпляру IE 6 в MED-V, если они запускают IE командой Run или пытаются обратиться к URL-адресам в IE 9. Таким образом, от конечных пользователей не требуется никаких особых усилий для доступа к сайтам, требующим IE 6.
Если вы отказались от предшествующих версий MED-V, заново оцените версию в составе нового пакета MDOP. Удалена прежде обязательная отдельная инфраструктура MED-V, а процесс развертывания выполняется с использованием пакетов установки, которые развертываются на клиентах с помощью стандартных механизмов или в составе образа Windows 7.
Как в App-V, так и в MED-V применяются превосходные технологии управления и доставки приложений, с помощью которых ИТ-подразделения могут усовершенствовать способы предоставления приложений и расширить традиционные решения. Но помните, что MED-V — компонент MDOP, не рекомендуемый для долгосрочного использования. При планировании развертывания Windows 7 не торопитесь с переходом, рассчитывая выполнять все программы в MED-V, пока они не будут протестированы в новой операционной системе. MED-V — для незаменимых приложений, которые не работают в Windows 7 и остановят миграцию, если не найти способа перенести их на рабочий стол Windows 7. Подыщите альтернативу этим приложениям, чтобы на каком-то этапе отказаться от MED-V.
AIS
AIS, компонент MDOP, предоставляющий подробные сведения как об аппаратной, так и о программной среде. Этот компонент предоставляется в качестве «облачной» службы, не требует инфраструктуры в локальной среде и обеспечивает быстрое развертывание. Единственное требование для установки — развернуть клиент AIS на компьютерах, инвентаризационные данные которых нужно собрать. Этот шаг можно выполнить с использованием групповой политики или другого решения для развертывания программ.
Работа AIS слегка отличается от традиционных решений инвентаризации, особенно в отношении инвентаризации программного обеспечения. Большинство решений инвентаризации программного обеспечения опрашивают Windows Management Instrumentation (WMI) и получают информацию на основе класса Win32_Product, которая также отображается в разделе Programs and Features в панели управления. В AIS используется эта информация, но рассматриваются и артефакты операционной системы, чтобы обнаружить программы, которые не отображаются в WMI, и собрать дополнительные сведения. Затем данные пересылаются в «облако» Microsoft и сопоставляются с динамическим, постоянно обновляемым каталогом. Этот метод помогает определить установленные программы и уточнить детали.
Собственно управление AIS происходит через веб-консоль, в которой можно просмотреть подробную инвентаризационную информацию обо всех компьютерах, а также составлять отчеты обо всех программах и оборудовании. Но в AIS сделан дополнительный шаг вперед: можно импортировать информацию о лицензиях и убедиться, что в компании соблюдены требования лицензий. Продуманная политика безопасности AIS гарантирует, что только сотрудники вашей компании могут видеть данные о лицензиях и инвентаризации и вся информация зашифрована. Это превосходный инструмент для компаний, желающих отслеживать лицензии и ресурсы.
Пользователям Microsoft System Center Configuration Manager (SCCM) уже предоставляются аналогичные возможности. С помощью функции Asset Intelligence можно подготовить такой же динамический каталог, который применяется в AIS для сбора подробных сведений о программном обеспечении, поэтому рекомендуется задействовать AIS только на компьютерах, не управляемых из SCCM.
AGPM
Вряд ли существует компания, в которой не применяется групповая политика. Взгляните на улучшения в функциональности групповой политики, появившиеся в Windows Server 2008 R2 и Windows Server 2008, в том числе предпочтения групповой политики, новые форматы XML, лучшее применение групповой политики в зависимости от характеристик сети и огромное количество параметров конфигурации: если вы еще не нашли широкого применения групповой политике, вам определенно следует заняться этим. Однако управление групповой политикой отстает от общего развития. Несмотря на улучшения, ряд ключевых функций по-прежнему отсутствует. Исправить положение (или хотя бы сберечь нервы администратора) можно с помощью компонента AGPM пакета MDOP.
AGPM дополнен возможностью извлекать объекты групповой политики (GPO) из нового хранилища Group Policy с блокировкой оригинала, чтобы изменения объектов не носили постоянный характер, и управлять изменениями при использовании GPO. AGPM также дополнен возможностью делегировать группам пользователей выполнение различных уровней модификации и развертывания GPO, предлагая встроенные роли для редакторов (имеющих право изменять объекты GPO), проверяющих (могут просматривать и сравнивать объекты GPO) и утверждающих (могут создавать и развертывать объекты GPO). Кроме того, AGPM интегрируется с электронной почтой для рассылки уведомлений для утверждающих, когда необходимо утверждение.
У AGPM есть небольшой серверный компонент, который можно установить на любом сервере или контроллерах домена (DC). Клиентский компонент легко интегрируется с существующей консолью управления групповой политикой (GPMC), в которую добавляется узел Change Control, как показано на экране 1. С помощью этого узла можно настроить объекты GPO как управляемые и получить доступ ко всей функциональности AGPM для управления объектами GPO.
Экран 1. Управляемые объекты групповой политики и вкладки настройки и делегирования в AGPM |
MBAM
Новейшее дополнение пакета MDOP — MBAM — обеспечивает управление корпоративного уровня компонентом BitLocker. В прошлом управление такого типа было ограничено набором групповых политик, с помощью которых можно назначить уровень шифрования и определить, требовать ли применения BitLocker To Go для съемных носителей и хранения ключей восстановления Active Directory (AD).
MBAM как предоставляет усовершенствованные функции управления, так и формирует более глубокий взгляд на состояние среды BitLocker. Это достигается благодаря встроенным отчетам, которые можно расширить стандартными методами служб SQL Server Reporting Services (SSRS).
Администраторы могут указывать, как использовать BitLocker на рабочих столах. Затем эта политика применяется принудительно. Например, можно указать, что тома подготовлены для BitLocker, но ввести исключения для оборудования, не соответствующего требованиям, или сотрудников с основательными причинами для отказа от BitLocker. Когда добавляются тома или пользователь отключает BitLocker, MBAM проводит пользователя по этапам первичного или повторного включения шифрования BitLocker, обеспечивая безопасность устройств.
Благодаря MBAM конечным пользователям гораздо удобнее работать с BitLocker. Обычные пользователи могут управлять своей средой BitLocker, запускать шифрование и настраивать BitLocker. В прошлом эти задачи были доступны только локальным администраторам. Другая функция будет очень кстати, когда возникают неполадки, и пользователям требуется ключ восстановления BitLocker. При активации BitLocker создается ключ восстановления. Этот ключ можно ввести вручную на экране восстановления BitLocker, чтобы иметь возможность загрузить операционную систему в случае обнаружения неисправностей.
Обычно пользователям выдается приглашение сохранить этот ключ на диске, распечатать или вытатуировать на руке, поскольку, потеряв его, можно лишиться всей информации на диске. Важное улучшение, которое появилось в схеме Server 2008 и может быть применено к Windows Server 2003, — возможность автоматически сохранить ключ восстановления в качестве дочернего объекта учетной записи компьютера в AD. Внесены некоторые изменения, благодаря которым сотрудники службы поддержки могут получить этот ключ и передать его пользователям. В MBAM эта процедура стала гораздо удобнее благодаря защищенному веб-порталу, через который можно выполнить передачу ключа пользователю. Когда используется ключ восстановления, автоматически создается новый ключ, а в журнал записывается полная информация для аудита с указанием, когда и кем ключ извлечен из базы данных. MBAM использует небольшую базу данных SQL Server для хранения и общего управления ключами восстановления. Защита ключей обеспечивается шифрованием Transparent Data Encryption (TDE). Пользователям BitLocker следует применять MBAM для оптимального управления, удобства использования и соответствия законодательным требованиям.
DaRT
Трудно найти специалиста, незнакомого с Sysinternals, поставщиком инструментов диагностики и администрирования Windows. У Sysinternals есть родственный коммерческий сайт, Winternals Software, на котором можно купить решения для управления компьютерами, в том числе превосходные инструменты для устранения неполадок на незагружающихся компьютерах, восстановления удаленных данных и изменения забытых паролей. После приобретения Winternals компанией Microsoft лучшие из этих программ вошли в состав DaRT, в который внесены дальнейшие усовершенствования. DaRT по-прежнему работает с компьютерами, оснащенными CD, DVD и USB-приводами, но теперь этот инструмент можно использовать удаленно через сеть, и техническим специалистам не обязательно лично подходить к восстанавливаемому компьютеру.
При загрузке компьютера в среде DaRT доступны все функции набора инструментов, как показано на экране 2. С их помощью можно решать разнообразные задачи:
- получить полный доступ как к реестру, так и файловой системе, чтобы восстановить удаленные файлы или надежно уничтожить данные на диске;
- изменить пароли локальных учетных записей, в том числе административных;
- изменить конфигурацию дисков, в частности исправить испорченные тома и загрузочные записи;
- просмотреть информацию о компьютере и изменить настройки, в том числе конфигурацию сети, службы, события, драйверы и автозапуск;
- отменить исправления;
- обнаружить и удалить опасные программы.
Экран 2. Инструментарий DaRT |
DaRT — один из инструментов, которые следует сохранить на миниатюрном USB-накопителе и постоянно иметь при себе. Этот набор инструментов относится к числу тех, которыми хотелось бы никогда не пользоваться, но когда потребуется, он должен быть под рукой. Важное замечание: применять DaRT необходимо с определенными версиями операционной системы. DaRT 7 работает с Windows 7 и Server 2008 R2 (DaRT 6.5 совместим с Windows 7); предыдущие версии рассчитаны на Windows Vista и Server 2008 (DaRT 6), а также XP и Windows 2003 (DaRT 5).
Тем, кто имел дело с MDOP в прошлом, вероятно, интересно узнать, что стало с программой DEM, с помощью которой можно было передавать на центральный внутренний сервер сведения об ошибках приложений, которые обычно пересылались напрямую компании Microsoft. Таким образом можно было отыскать ошибки в своей среде, а затем передать их Microsoft. Программа DEM удалена из MDOP, хотя по-прежнему обслуживается в соответствии с типовым временным графиком поддержки программных продуктов. Функциональность DEM перенесена в диспетчер System Center Operations Manager (SCOM).
Многие администраторы наверняка захотят использовать такие инструменты, как DaRT и AGPM, на серверах. Возникает вопрос, как лицензировать MDOP на серверах? Приобрести лицензию MDOP для серверов нельзя, да она и не нужна. Если все компьютеры компании охвачены MDOP, программы DaRT, AIS и AGPM можно использовать и на серверах. Еще одна приятная новость для желающих задействовать App-V на узлах для создания сеансов удаленных рабочих столов: App-V для сеансов удаленных рабочих столов охватывается типовой лицензией Remote Desktop Session, поэтому виртуальные приложения, созданные для рабочего стола App-V, можно использовать и в сеансе удаленных рабочих столов.
MDOP очень полезен для любых компаний, даже использующих лишь один компонент пакета. Благодаря ему вы сможете сделать дополнительный шаг вперед, выбирая оптимальную структуру рабочего стола.
Джон Сэвилл (jsavill@windowsitpro.com) — директор по технической инфраструктуре компании Geniant, имеет сертификаты CISSP, Security and Messaging MCSE для Windows Server 2003 и звание MVP