Cерия Springboard Руководство для ИТ-специалистов

Технический уровень: 100

 

Использование решения Microsoft® Desktop Optimization Pack for Software Assurance и модели оптимизации инфраструктуры Для удовлетворения нужд пользователей ИТ-инфраструктура компании должна постоянно подстраиваться под новые приложения и задачи. По мере роста сложности этой системы все больше времени и сил ИТ-служб уходит на поддержание безопасности компьютеров и контроля над ними. Решение Microsoft Desktop Optimization Pack Software Assurance позволяет

Больший контроль над рабочей средой

Поиск Обзор

Решение Microsoft Desktop Optimization Pack (MDOP) позволяет ИТ-специалистам повысить степень контроля над рабочими станциями. MDOP — это комплексный набор инструментов, благодаря которому уровень инфраструктуры управления рабочими станциями можно повысить с самого базового до полностью автоматизиро-ванной динамической системы. В этом документе содержится краткий технический обзор средств, входящих в состав решения MDOP. Для каждого средства приводится описание того, каким образом оно позволяет оптимизировать вашу инфраструктуру. Эти сведения пригодятся менеджерам и ИТ-специалистам в понимании того, какую роль MDOP может сыграть для организации в целом.

Пилотная эксплу-атация

Разверты‐вание 

оптимизировать и надежнее защитить эту базовую инфраструктуру, применяя технологии интегрирован-ного управления и различных решений безопасности. Они помогут быстрее отвечать на нужды бизнеса и конечных пользователей, а так же улучшить защиту компьютерных систем. Что такое оптимизация инфраструктуры? Модель оптимизации инфраструктуры описывает различные уровни развития информационной среды.

Эту модель можно использовать при выработке плана использования инструментов, предлагаемых корпо-рацией Майкрософт, для облегчения управления компьютерными системами (рис. 1).

Базовый

Несогласованная инфраструктура,

управляемая вручную

Стандартизованный

Управляемая инфра-структура с некоторой

автоматизацией

Рационализированный

Управляемая и консоли-дированная информаци-онная инфра структура

Динамический

Полностью автоматизированное

управление, динамическое использование ресурсов

Центр издержек Эффективный центр издержек

Преимущество бизнеса Стратегический актив

Рисунок 1. Обзор модели оптимизации инфраструктуры

Cерия Springboard

Преимущества для ИТ-специалистов Модель оптимизации инфраструктуры можно использовать при переходе от ИТ-процессов, выполняемых вручную, к динамическим. Такой переход для ИТ-специалистов — непростая и интересная задача . Вспомните cколько различ-ных различных параметров нужно учесть при установке новой операционной системы или при развертывании приложения целой группе поль-зователей, а главное сколько это займет вашего времени. Один из столпов оптимизации инфраструктуры — автоматизация простейших повседневных задач, съедающих ваше время. Как техническому специалисту своей компании, вам, может-быть, и не интересно «повышение динамичности бизнеса». А как насчет разверты-вания нового приложения к моменту, когда вы закончите с утренним кофе? Что вы скажете о спокойной установке той программы, о которой вас просил весь отдел бухгалтерии, за один-единственный вечер? Не потратив даже минуты вы выполнили все их пожелания. То есть, у вас «повысилась динамичность». Оптимизация инфраструктуры повышает способ-ность к быстрому решению задач. Если кто-то спросит, как сократить время на развертывание приложения, вы будете знать, что ему ответить и посоветовать. И самое главное, можно будет забыть о рутинных процессах и сфокусироваться на автоматизированных и быстрых решениях. Вместо того, чтобы переходить от компьютера к компьютеру с установочным диском, можно будет использовать соответсвующий скрипт, либо создать пакет установки, настраивающий себя сам.

Диалог с лицами, принимающими решения Диалог с вашими коллегами ориентированными на бизнеса не менее важен для вашей техни-ческой эффективности. В состав средств MDOP входят инструменты для решения и этой задачи.

Пока вы размышляете на какой версии RAID построить новое хранилище данных, ваш финансовый отдел наверняка заботит только, будет ли у них после этого гарантированный доступ к жизненно необхо-димой для бизнеса службе. Деловые пользователи и лица, принимающие решения, могут относиться к ИТ как к источнику затрат и требовать четкого обоснования каждого задуманного проекта.И вы можете знать, какая технология вам нужна, но не суметь донести этого до начальства. В рамках модели оптимизации инфраструктуры можно связать деловые цели и технические. Ее можно использовать для диа-лога о важности внедрения технологий пакета MDOP. Пакет Microsoft Desktop Optimization Pack Пакет MDOP — это набор средств, разработанных для рационализации всех аспектов управления настольными рабочими средами. Они помогут повы-сить динамичность вашей ИТ-среды. В их составе: • Microsoft Application Virtualization (App-V)

Виртуализация приложений • Diagnostics and Recovery Toolset (DaRT) Набор

средств диагностики и восстановления ПК • Asset Inventory Service (AIS)

Служба инвентаризации ПО • Advanced Group Policy Management (AGPM)

Расширенное управление групповыми политиками

• Microsoft Enterprise Desktop Virtualization

(Med-V) Виртуализация рабочих станций • Microsoft BitLocker Administration and

Monitoring (MBAM) Управление и мониторинг систем Bitlocker

Далее в тексте каждый компонент будет рас-смотрен подробно: как он может продвинуть среду предприятия вперед по уровням опти-мизации инфраструктуры, и каков его вес для умов ваших руководящих сослуживцев.

Cерия Springboard

Microsoft Application Virtualization

Многие ИТ-специалисты знакомы с полной виртуали-зацией операционной системы, когда архитектура компьютера эмулируется программными средствами.

Многие ИТ-специалисты знакомы с полной Application Virtualization — это отдельная виртуальная среда для каждого приложения, которая включает виртуальный реестр, DLL-файлы, COM-объекты, шрифты, службы, INI-файлы и тому подобное. На рис. 2 пока-зано, как это работает.

Рисунок 2. Использование технологии Application Virtualization Главное, что необходимо понимать, — каждая виртуальная среда изолирована от остальных и от операционной системы. Система не подвер-гается влиянию приложений, а локальные и виртуальные программы могут без конфликтов сосуществовать в рамках одной ОС. Компоненты Microsoft Application Virtualization Решение Application Virtualization состоит из трех следующих компонентов (лицензия на все три входит в стоимость MDOP).

• Сервер Microsoft Application Virtualization Management Server. Выполняет роль главного интерфейса управления виртуальными приложениями. Позволяет настраивать публикацию, клиенты App-V и осуществляет потоковую доставку приложений.

• Сервер Microsoft Application Virtualization Streaming Server. Облегченный сервер потоковой доставки, не требующий Microsoft SQL Server® или Active Directory®. Может работать самосто-ятельно или в связке с возможностями по публикации сервера Management Server.

• Клиент Microsoft Application Virtualization Client. Выполняет роль интерфейса между виртуа-лизированным приложением и операционной системой. Управляет кэшем виртуальных приложений в локальной системе.

• Средство Microsoft Application Virtualization Sequencer. Упаковывает приложения для виртуализации.

Cерия Springboard

П реимущества Microsoft Application Virtualization Изоляция приложений Application Virtualization, позволяет по-новому взглянуть на управление вашими приложениями. Л окальный запуск приложений без установки Элементы виртуальных приложений никогда не устанавливаются на операционную систему. Записи реестра, службы и DLL-библиотеки хранятся в виртуальной среде. В результате приложения работают так, словно были установлены и запущены локально, в то время как на деле локальная система осталась неизменной. Работа с несколькими версиями дного приложения о Благодаря тем способам, которыми программы изолируются друг от друга, можно запускать разные версии одной и той же программы на одном компью-тере. Например, можно запустить копию Microsoft Office Access® 2000 или даже Access 97 на компьютере, где установлен Office Access 2007. Поскольку каждое приложение обращается к своему собственному реестру и виртуальной файловой системе, нет нужды беспокоиться о затирании записей реестра и файлов, что обычно происходит, когда более новая версия устанавливается поверх старой. Потоковое развертывание приложений

Технология Application Virtualization позволяет доставлять приложения методом потоковой доставки. В рамках этого метода приложение разбивается на два функциональных блока. Первый блок содержит код, необходимый для запуска приложения. Этот код хранится в файле кэша на клиенте. Второй блок содержит остальные составляющие приложения. По мере того, как пользователь обращается к различным функциям приложения, они по мере необходимости

Пользователи переносных компьютеров или удаленные пользователи, у которых может не оказаться нужной пропускной способности сети для доставки приложений, могут воспользо-ваться функцией предварительной загрузки, когда все виртуальное приложение передается на компьютер целиком. Возможность использования перемещаемых профилей и разных компьютеров Сервер Application Virtualization Management Server можно использовать для создания связей между приложениями и группами Active Directory. Каждый раз, когда пользователь входит в сис-тему, клиент Application Virtualization Client проверяет на этом сервере, какие приложения назначены пользователю. Если доступа к какому-либо приложению на компьютере нет, его ярлык не будет отображаться. Если разрешенное поль-зователю приложение еще не помещено в локальный кэш, оно будет получено с сервера Application Virtualization Management Server при первой попытке обращения. Другой вариант - Application Virtualization Streaming Server. Это облегченная версия сервера Management Server, включающая только возможности по потоковой доставке, но не предъявляющая тех требований к окружаю-щей инфраструктуре, что имеет Management Server. С ее помощью можно организовывать поддержку серверов в филиалах, где лишние проверки не нужны, а виртуальные приложения реплицируются и размещаются для доступа по локальной сети. При использовании в связке с Management Server настройки виртуальных приложений контролируются централизованно, но доставляются по локальной сети филиала. За счет этого вы можете задать, какие прило-жения должны быть доступны пользователям, а также обеспечить прозрачную фоновую доставку тех частей приложения, что еще не были кэшированы клиентом.

Cерия Springboard

С технологией Application Virtualization все может значительно ускориться. Поскольку каждое приложение исполняется в собственной вирту-альной среде, нет нужды беспокоиться о том, что обновление одной программы затронет другие. Тестирование обновлений операционной системы так же не затронет работу устновленных прог-рамм. А если какое-либо приложение все-таки не работает, его можно исправить и протестировать индивидуально, не беспокоясь о дальнейшей совместимости. Любое такое исправление не затронет других приложений, так что проверять все будет не нужно.

Такую среду можно легко превратить в узел аварийного восстановления на случай поломки рабочего ПК. В его состав будут входить сер-веры Application Virtualization, приложения, реплицированные в хранилище содержимого сервера, и компьютеры, поставляемые с клиен-том Application Virtualization Client. Пользователю будет достаточно войти в любую рабочую сис-тему, и все нужные приложения станут доступны автоматически. В средах с несколькими типами пользователей (например, в отделе обслуживания, или для менеджеров, использующих несколко ПК) появляется способ единообразно и последо-вательно разрешать определенным пользо-вателям доступ к нужным им приложениям. Настройки, сделанные в приложениях, сохра-няются в файлах, прикрепленных к перемеща-емым профилям. То есть, если пользователь настроил под себя панель инструментов в Microsoft Office Word, эта настройка будет следовать за ним от компьютера к компьютеру. Автономный режим. Развертывание виртуальных приложений с помощью имеющейся системы ESD ибо через съемные диски л Бывает так, что на предприятии уже есть система электронного распределения ПО (Electronic Software Distribution, ESD), которую можно использовать для распространения вир-туальных приложений. Автономный режим позво-ляет развертывать виртуальное приложение с помощью существующей системы ESD посред-ством MSI-пакетов, которые можно создавать на этапе виртуализации приложения. Благодаря этому становится возможным использовать любую систему ESD, умеющую работать с форматом MSI. Поскольку для автономного режима не требуется дополнительной инфраструктуры, то же самое виртуальное приложение можно отправить от-ключенному от сети пользователю на съемном носителе. Оно будет добавлено в систему с помощью мастера MSI и будет готово к использованию без обращения к серверу.

Улучшение поддержки приложений Как ИТ-специалист, вы наверняка знаете о неприятностях, которые может породить неверно настроенное приложение. Выявление причин подобных проблем порой занимает больше времени, чем простая переустановка приложения. Плюс все эти дополнительные настройки, внесение изменений в INI-файлы и т.д... Что, если можно было бы просто сбросить приложение к начальной конфигурации? Технология Application Virtualization открывает такую возможность. Можно указать клиенту Application Virtualization Client удалить измене-ния, внесенные с момента начальной доставки приложения, что вернет его к корректной настройке. Для устранения любых проблем пользователю надо будет просто перезагрузить программу. Значительное сокращение возвратного тестирования совместимости приложений Возвратное тестирование — неизбежное зло жизненного цикла управления приложениями на предприятии. Каждый раз при обновлении операционной системы или установления нового приложения необходимо проверять, что осталь-ные компоненты компьютера продолжают работать как раньше. Обычно такой процесс подразумевает установку обновленного ПО, а затем установку всех остальных пакетов программ, имевшихся ранее, и их последующую долгую проверку. Это может занять многие часы, и если одно из приложений вызовет неполадку, придется повторять весь процесс с начала после установки специального обновления.

Cерия Springboard

Упрощение и ускорение миграции на другие ОС и приложения Технология Application Virtualization проводит грань между приложениями и операционной системой. Одно из преимуществ этого состоит в том, что об-разы операционных систем можно делать гораздо меньшими по размеру. В них просто не надо включать стандартный пакет приложений. Образ, содержа-щий лишь несколько приложений, называется тонким образом. Тонкие образы отлично подходят для развертывания операционных систем семейства Windows®, поскольку обычно устанавливаются гораздо быстрее. Тестирование приложений сводится к проверке того, что виртуальные приложения работают на тонком образе. Microsoft Application Virtualization. Общая картина Технология Microsoft Application Virtualization позво-ляет быстро и без хлопот с совместимостью программ заставить новое приложение работать в вашей ра-бочей среде. Это повышает скорость реакции на нужды организации по развертыванию и поддержке

приложений, позволяет реализовывать новые бизнес-процессы и автоматизировать уже име-ющиеся, а также способствует росту общей продуктивности. В терминах модели оптими-зации инфраструктуры, технология Application Virtualization позволяет перейти к рационали-зированному или динамическому уровню развития среды. В разговоре с человеком, не знакомым с техническими тонкостями, можно делать акцент на том, что Application Virtualization — это развертывание новых приложений за счи-танные дни, а не недели или месяцы. Набор средств диагностики и восстановления (DaRT) Возвращение вышедшего из строя компьютера в рабочее состояние – бесспорно одна из наиболее трудоемких задач, встающая перед ИТ-специалистом. Часто оказывается проще переустановить систему, чем пытаться понять, что с ней не так, но сделать так можно далеко не всегда. Средство DaRT (рис.3) - это комплекс-ный набор программ для быстрой диагностики системы и приведения ее в рабочее состояние.

Рисунок 3. Набор средств диагностики и восстановления (MSDaRT 6.0)

Cерия Springboard

Среда восстановления Windows (Windows RE) В основе DaRT лежит среда восстановления Windows (Windows Recovery Environment, Windows RE). Загрузочный диск MS-DOS долгое время помогал решать проблемы с нерабочим компьютером. Однако теперь, с широким распространением операционных систем на основе ядра Microsoft Windows NT® и повсеместным использованием файловой системы NTFS, DOS-диски перестали подходить для своих задач. Windows RE – совре-менная загрузочная среда, которую можно запустить по сети или с помощью загрузочного компакт-диска или накопителя USB. В ее состав входит ряд базовых средств диагностики, исполь-зуемых при исправлении автозагрузки, восстанов-лении системных файлов и полном восстановлении компьютера из образа. Также там можно найти средство диагностики памяти и доступ к командной

строке. DaRT — это более мощный набор инстру-ментов, дополняющих базовые средства, вклю-ченные в состав Windows RE. Компоненты DaRT Средства набора DaRT делятся на три категории: административные, сетевые и системные. Административные средства нужны для выпол-нения стандартных задач в неспособной к загрузке системе. Это очень полезно при анализе ущерба, нанесенного шпионским ПО или пакетом rootkit. Сетевые средства позволяют подключить компь-ютер к сети, чтобы загрузить исправления или получить доступ к резервным копиям системы, хранящимся в общих сетевых папках. Системные средства используются для поиска проблем в системе и устранения их.

Taблица1. Компоненты набора средств диагностики и восстановления

Анализатор сбоев (Crash Analyzer) Анализатор сбоев — одно из самых интересных

и полезных средств в наборе DaRT. Раньше, если происходила фатальная ошибка Windows и создавался дамп памяти, требовалось обра-щаться в поддержку Майкрософт для анализа DMP-файла и определения причин сбоя. Анализатор сбоев - это инструмент, способный самостоятельно решить эту задачу. Анализатор сбоев анализирует DMP-файл, выявляет часть операционной системы, где возникла неполадка, и, самое главное, дает рекомендации по ее нейтрализации. Создание отчета с помощью этого инструмента занимает всего несколько секунд.

Управление компьютером (Computer Management)

Это средство содержит большинство функцио-нальных возможностей, с которыми вы знакомы по консоли управления (MMC). В их состав входит автономный доступ к журналам событий и управлению диском. Есть возможность задать список программ, запускающихся при загрузке Windows или при входе пользователя в систему, а так же включить или отключить тот или иной драйвер.

Cерия Springboard

Редактор реестра ERD (ERD Registry Editor) Используется для редактирования реестра

отключенной системы.

Удаление установленных исправлений (Hot x Uninstall)

С помощью этого средства можно удалить обновление, из-за которого компьютер перестал загружаться.

Средство Locksmith используется для сброса пароля локальной учетной записи компьютера. Оно может пригодиться, если вы забыли пароль локального администратора на компьютере или сервере, входящем в рабочую группу.

Locksmith

SFC Scan Средство SFC Scan проверяет системные файлы Windows на предмет повреждений и ошибок, а также устраняет обнаруженные проблемы.

Disk Commander Средство Disk Commander позволяет восстано-вить потерянные загрузочные разделы. В этом оно похоже на средство восстановления при загрузке Windows, но включает дополнитель-ную функцию поиска потерянных или повреж-денных разделов и возобновления доступа к ним.

Как и проводник Windows, представляет графический интерфейс файловой системы, позволяет перемещать их, копировать на USB-накопитель или внешний жесткий диск.

Проводник (Explorer)

Автономное средство проверки системы (Standalone System Sweeper)

Автономное средство проверки системы явля-ется технологией по борьбе с вредоносным ПО. С его помощью можно просканировать нерабочую систему. Это особенно полезно в борьбе с шпионским ПО, которое обнаруживает попытки удалить себя из работающего компь-ютера и противостоит им, и вредоносным ПО, которое уходит от обнаружения с помощью пакета rootkit.

Очистка диска (Disk Wipe) Невозможно переоценить важность очистки жестких дисков списываемых компьютеров, которые раньше содержали закрытую инфор-мацию предприятия или частные данные клиентов. Средство очистки диска отвечает стандарту министерства обороны США 5220.22-M по 4- проходному удалению данных.

Это средство используется для настройки параметров протокола TCP/IP среды DaRT. Благодаря ему можно подключаться к общим сетевым папкам и обращаться к данным на сетевых дисках.

Настройка протокола TCP/IP (TCP/IP Config)

Мастер решений (Solution Wizard) В форме вопросов и ответов позволяет подобрать нужный инструмент.

Cерия Springboard

Диск аварийного восстановления Таким образом среда Windows RE, объединенная с инструментами DaRT, образует средство, которое и является вашим новым диском восстановления системы. Загружаться можно с USB-накопителя или компакт-диска. Можно и по сети, создав загрузочный образ в службах развертывания Windows. Среда DaRT позволяет подключать USB-диски. Это пригодится при восстановлении системы из резервной копии, хранимой на внешнем жестком диске, а также если будет нужно скопировать файлы из компьютера и перенести их на новый ПК. Если жесткий диск был зашифрован с помощью BitLocker™, среда DaRT позволяет ввести ключ восстановления и получить доступ к жесткому диску. DaRT — это комплексный набор средств, позволяю-щий ИТ- специалистам восстанавливать компьютеры, с которыми случились самые разные неприятности, например заражение вредоносным ПО или сбой работы драйвера. Преимущества DaRT • Автономная работа. Доступ к критической

системной информации и данным обеспечивается без загрузки локальной операционной системы компьютера. Это очень полезно при работе с системами, потенциально зараженными вредо-носным ПО. Среда, обеспечивающая этот доступ, понятна и проста в использовании.

• Восстановление данных. Автоматизированные средства восстановления информации на жестких дисках, файлов и точек восстановления Windows. Они просты в использо-вании и позволяют проводить многоступенчатый процесс восстановления данных.

• Восстановление компьютеров без удаления и переустановки ОС. Часто восстановление компьютера с помощью DaRT занимает намного меньше времени, чем переустановка операци-онной системы. Средства расширенной диаг-ностики, например анализатор сбоев и мастер решений, позволяют быстрее определять при-чины неисправностей. На выяснение тратится меньше времени, а требуемое решение воплощается быстрее.

• Снижение затрат на службу поддержки.

Теперь у специалистов службы поддержки есть все инструменты для быстрого выяв-ления проблем. Это сокращает время, тре-буемое на починку компьютеров, и повы-шает эффективность работы ИТ-службы.

• Автономное средство удаления вредоносного ПО. В состав DaRT 6.0 теперь входит средство автономного удаления вредоносного ПО.

Это исключительно полезный инструмент для борьбы с резидентным ПО, которое повторно заражает компьютер при загрузке, обходит попытки удаления или использует пакеты rootkit. Автономный анализатор позволяет удалить такое ПО, не позволив ему восстановиться. Сигнатуры вредонос-ного ПО можно загрузить при создании диска DaRT и обновлять через Интернет или USB-привод.

Поддержка разных платформ Набор DaRT выпускается в двух версиях. DaRT 6.0 поддерживает операционные системы Windows 7 и Windows Server® 2008. Автономное средство проверки системы из набора версии 6.0 будет также поддерживать Windows XP. DaRT 5.0 поддерживает ОС Windows 2000, Windows XP и Windows Server 2003. В пакет MDOP включены обе версии. DaRT. Общая картина Инструменты набора DaRT позволяют быстро выявлять критические проблемы инфраструктуры

Cерия Springboard

н

Благодаря средствам расширенной диагностики, автоматизирующим многие трудоемкие шаги процесса устранения неполадок, этот процесс становится хорошо документированным. Это позволяет поднять уровень зрелости информа-ционной среды с базового до стандартизиро-ванного в терминах модели оптимизации инфраструктуры. Беседуя с руководящими сотрудниками, объясните, как DaRT помогает сократить время на диагностику и, возможно, починку неисправного компьютера.

Служба инвентаризации ПО (AIS)

Невозможно переоценить уверенность в том, что происходит в среде вашего предприятия. Для выполнения любой задачи может потребоваться компьютер, и нужно знать, что уже установлено или только будет установлено на этих ПК.

Нужно также обеспечивать соответствие условиям лицензионных соглашений. Многие организации были застигнуты врасплох свидетельствами того, что программа, лицензированная для небольшой группы пользователей, расползлась на куда боль-шее число компьютеров. Чтобы избежать подоб-ных неприятных сюрпризов, нужно использовать инвентаризационную программу, отслеживающую программное обеспечение, устанавливаемое в рамках организационной среды. Служба инвентаризации ПО (AIS) — это веб-служба, собирающая информацию и создающая отчеты об используемом на предприятии прог-раммном обеспечении. Она работает за счет агентов, которые развертываются на компью-терах, подлежащих инвентаризации. Агенты отправляют отчеты об установленном ПО в базу данных AIS, используя защищенный канал подключения (рис. 4).

Рисунок 4. Служба инвентаризации ПО управляется с помощью веб-консоли Как работает AIS В основе работы службы AIS лежит развертывание заранее настроенного клиента на конечных компью-терах. Администратор может задать желаемые вре-менные интервалы для сбора данных. Клиент можно загрузить и установить и вручную, но обычно развер-тывание проходит автоматизированно, например через политику установки ПО объекта GPO или систему электронного распределения ПО.

Получение и развертывание клиента — задача крайне простая. Нужно подтвердить соглашение о приобретении MDOP и активи ровать службу инвентаризации в разделе «Службы» веб-узла MVLS (рис. 5), который и откроет доступ к веб-узлу AIS.

Cерия Springboard

Там можно будет загрузить агент и развернуть его наиболее удобным для вас способом. Это нужно будет делать лишь один раз, после установки агент будет самостоятельно выполнять служебные задачи (обновление, установка новой версии, удаление), обращаясь к своей службе. После развертывания агент проведет начальное сканирование и отправит собранные данные с минимальной нагрузкой как на компьютер, так и на сеть. В зависимости от размеров организации результат может быть виден уже через несколько минут после развертывания, а подробные отчеты так же станут доступны уже через весьма непродолжительное время.

Сами отчеты достаточно подробны и позволяют сортировать данные об установленных приложе-ниях по издателю, по названию программы, по настраиваемым группам (например, отделам вашей организации) или по категориям. (Данные о категориях — одно из наиболее ярких преиму-ществ службы AIS.) Служба самостоятельно обработает собранную информацию, определит точные названия ПО и удалит из отчетов дублиру-ющиеся наименования (которые могут появляться в случае минимальных отличий в метаданных, например различных вариантах написания названия издателя ПО). Регистрация.

Служба активируется на веб-узле MVLS

Клиенты. Задание расписания и отправка

данных службе

Развертывание агента наиболее удобным

способом

Просмотр отчетов. Веб-отчеты об

используемом ПО

Загрузка агента (MSI-пакет)

Вход. Вход с помощью паспорта

Рисунок 5. Шаги по активации службы инвентаризации ПО

Cерия Springboard

Как обеспечивается конфиденциальность Корпорация Майкрософт уделяет очень большое вни-мание обеспечению безопасности базы данных службы инвентаризации ПО и поддержанию корректности данных в ней. Это реализуется путем отделения имен компьютеров и названий предприятий от собираемой информации. Статистика по приложениям собирается корпорацией Майкрософт для обеспечения ее корректности и конфиденциальности. Любые собираемые данные анонимны, и нет способа связать их с названиями организаций или именами пользователей. Все серверы, на которых размещена служба инвента-ризации и связанные с ней компоненты, находятся в высокозащищенном вычислительном центре и имеют резервные копии. Все данные передаются исключи-тельно по безопасному каналу подключения. Все эти меры подвергаются регулярной проверке и оценке ведущими независимыми компаниями по обеспечению конфиденциальности. Преимущества службы инвентаризации ПО Служба инвентаризации ПО реализована посредством Интернет, благодаря чему она становится доступна практически из любой точки мира. Доступ к отчетам будет легко доступен и для других менеджеров предприятия, даже если они не очень разбираются в компьютерах. Эффективное управление перечнем используемого ПО позволяет сохранить его единооб-разие и оптимизировать структуру издержек. Служба инвентаризации позволяет выявлять приложения и установки, вступающие в противоречие с корпоратив-ными политиками, и создает отчеты с детализацией вплоть до отдельного компьютера и последнего поль-зователя, пользовавшегося им, что помогает своевре-менно исправить проблемную ситуацию. Так же AIS можно использовать и для анализа программного обеспечения в целях прогнозирования будущих нужд предприятия. • Простота развертывания. Являясь размещаемой

службой, AIS очень легка в развертывании. Нужно лишь загрузить MSI-файл размером 1,5 МБ с веб-службы и развернуть его наиболее удобным способом. Не требуется ни устанавливать, ни поддерживать сопутствующую инфраструктуру. Не будет проблем

с организацией доступа к отчетам для других менеджеров предприятия, даже если они не очень разбираются в компьютерах, как, например, финансисты, завхозы и т.п. Все, что им потребуется, — Windows Live ID.

• Скорые результаты. Первые результаты появятся уже через несколько минут после развертывания, а полные отчеты станут доступны спустя некоторое время. Кроме того, в любом момент можно запросить у системы обновленную информацию, на основе которой все данные инвентаризации будут перестроены в течение суток.

• Низкие затраты. Служба инвентаризации — один из компонентов решения MDOP. Единственные издержки, которые связаны с ней, — издержки на лицензирование этого решения. Лицензия предусматривает,

что все серверы и базы данных будут поддерживаться корпорацией Майкрософт.

• Удаленные пользователи и сотрудники.

Многие мобильные пользователи нечасто подключаются к сети компании, но у них наверняка есть доступ в Интернет, а этого достаточно, чтобы данные инвентаризации были собраны и с их компьютеров. Как вы наверняка знаете, только полная инвента-ризация может принести реальную пользу.

• Работа с филиалами. Многие предприятия уже используют ту или иную форму инвента-ризации, однако филиалы, как правило, из нее исключаются, поскольку организация сбора удаленных данных оказывается слишком тру-доемкой. Благодаря службе инвентаризации сбор данных с филиалов осуществляется так же просто, как и с компьютеров локально сети. Другой интересный сценарий использования AIS – быстрая инвентаризация ПО компьютеров недавно присоединившейся к вам компании, IT-инфраструктура которой вам неизвестна и, скорее всего, не до конца совместима с при-вычными вам инструментами управления

• Мощные возможности по классификации и интеллектуальный анализ. Служба инвента-ризации оптимизирует собранные сведения, находя точные названия марок ПО и удаляя дублирующуюся информацию из отчетов.

Cерия Springboard

Эти отчеты позволяют просматривать данные об установленных приложениях по издателю, по названию программы, по настраиваемым группам (например, отделам компании) или даже по категориям (типу использования ПО – почтовые клиенты, браузеры и т.д.). Данные о категориях — одно из дополнительных преимуществ службы инвентаризации. Они исключительно полезны в понимании общей картины происходящего и принятии верных решений.

• Постоянная актуальность. Любая новая функциональная возможность службы будет немедленно становиться доступной для использования AIS.

• Легкий экспорт. Многие предприятия уже используют различные системы инвентаризации. Для интеграции с ними служба AIS позволяет экспортировать данные в файлы разных форматов.

Служба инвентаризации ПО. Общая картина. Знания о программном обеспечении вашего предпри-ятия помогут вам лучше понять текущие потребности вашей IT-среды, а так же спрогнозировать ее будущие нужды. Сотрудники, принимающие решения и ответ-ственные за развитие компании, всегда будут иметь под рукой верные данные. Обеспечивая создание актуальных, глубоких отчетов, служба инвентаризации держит вас в курсе происходящего и позволяет достичь рационализированного уровня зрелости ИТ-среды. Расширенное управление групповыми политиками (AGPM)

Групповая политика — один из наиболее часто используемых инструментов в управлении поль-зовательскими и серверными средами. По мере того, как предприятие становится более рассре-доточенным географически, появляются все новые и новые группы администраторов, которым разре-шено вносить изменения в групповую политику. Даже в рамках одного расположения управление ею может оказаться непростой задачей, если имеется более одного домена или администратора пред-приятия. Многие администраторы считают

нежелательным внесение изменений непосред-ственно в производственную среду и затрачивают немалые усилия, чтобы этого избежать, — например, организуют дорогостоящие тестовые среды для проверки намеченных изменений. Вот где в дело вступает AGPM. Как работает AGPM Advanced Group Policy Management подразумевает копирование объектов GPO предприятия в авто-номную (т.е. не включенную в рабочую среду), архивную среду (рис. 6). Простой подключаемый модуль для знакомой консоли GPMC является пользовательским интерфейсом этой среды. Он позволяет указать, какие объекты из произ-водственной среды должны управляться с помощью AGPM, задать параметры безопасности, создать и упорядочить шаблоны групповых политик, а так же восстанавливать удаленные GPO. Клиент расши-ренного управления групповыми политиками (сам интерфейс) можно запускать и на том же компьютере, где запущен AGPM- сервер, и на любом другом сервере или клиенте, у которого есть доступ к такому серверу. Теперь есть возможность закрывать доступ к редактированию тех GPO, над которыми вы работаете в данный момент сами, извлекать и изменять эти объекты в уже знакомом редакторе, сравнивать их друг с другом, создавать подробный отчет об объекте или восстановить определенную версию GPO в рабочей среде. Человек без прямого доступа к групповым политикам может отправить запрос на создание GPO, в результате чего адми-нистратор AGPM получит уведомление о необхо-димости утвердить или отклонить внесенные вами изменения. Вдобавок ко всему этому, в рамках Advanced Group Policy Management ведется история изменений каждого объекта GPO, что позволяет вести аудит (на предмет авторства изменений), а также возвращать в работу предыдущие версии объектов GPO, т.е., фактически, откатывать ошибочные развертывания групповых политик.

Cерия Sp

ringboard

AGPM-сервер Копия GPO 2

Копия GPO 1 Прямая

связь

Прямая связь

Контроллер домена

Рисунок 6. Администраторы групповых политик управляют объектами GPO на AGPM-сервере, а не в Active Directory

Преимущества Advanced Group Policy Management AGPM — это комплексное решение проблем, со-путствующих управлению групповыми политиками. Слой службы AGPM находится между админист-раторами и контроллером домена. Она вносит в процесс управления групповыми политиками следующие улучшения. • Контроль изменений. Одна из наиболее

захватывающих функциональных возмож-ностей AGPM — механизм контроля изменений. Объект GPO можно «извлечь» (check out) на время редактирования, чтобы другие не смогли внести в него изменения в то же самое время. Для каждого объекта GPO служба AGPM ведет полный учет всех изменений и их авторов.

• Делегирование и утверждение. Объекты GPO можно делегировать различ-ным группам, а сам процесс введения их в работу можно построить на необходимости утверждать внесенные изменения или отправлять уведомления о них.

• Автономное редактирование. Копию объекта GPO можно изменить в автономном режиме, что не окажет влияния на рабочую среду. Благодаря этому можно избежать введения в дей-ствие случайных изменений.

• Откаты. Администратор может быстро откатить измененный объект GPO к предыдущей версии. Сопутствующая возможность - восстановление случайно удаленных объектов GPO.

• Отчеты. Расширенное управление групповыми политиками включает создание подробных отчетов об отличиях в объектах GPO, что позволяет быстро определить, какие именно изменения были сделаны.

AGPM. Общая картина Расширенное управление групповыми политиками — это гибкое решение по управлению групповыми политиками в сложных производственных средах. Взяв на вооружение эту технологию, можно повысить скорость реакции на нужды организации по введению новых или изменению старых групповых политик. Она позволит устранить часто встречающуюся проблему, когда группе администраторов настольных ПК не уда-ется организовать управление компьютерами через групповую политику, если серверные объекты GPO на-ходятся в ведении группы администраторов сервера.

Cерия Springboard

Уровень развития среды при ее использовании повышается со стандартизированного до рацио-нализированного. С помощью расширенного управления групповыми политиками снижается вероятность возникновения ошибок в рабочей среде, что упростит повсеместное развертывание объектов групповых политик. Microsoft Enterprise Desktop Virtualization Прежде чем переходить на новую версию Windows, компаниям необходимо провести инвентаризацию и тестирование специализированных бизнес-приложений для новой операционной системы. Может оказаться, что ваш поставщик еще не наладил официальную поддержку некоторых из них, а другие, несмотря на все усилия, просто не работают. Проверка и исправление приложений, внедрение новых версий, совместимых с Windows 7, или поиск альтернативных решений могут занять изрядный срок. Все это время пользователи будут лишены преимуществ новой ОС, а планы ИТ-отделов по обновлению системы повиснут в воздухе. Средство Microsoft Enterprise Desktop Virtualization (MED-V) поможет избежать такой неприятной ситуации. Основные сценарии использования MED-V Приложение MED-V, предоставляя возможность запускать приложения в среде Windows Virtual PC, в которой выполняется операционная система Windows XP с пакетом обновления 3 (SP3), устра-няет препятствия на пути к обновлению опера-ционной системы и позволяет администраторам тестировать приложения и решать проблемы несов-местимости, возникшие в результате этого обновления.

Эти приложения отображаются в стандартном меню Пуск на рабочем столе среди приложений, установленных в исходной среде. С точки зрения пользователя между приложениями, выполняю-щимися в разных средах, нет большой разницы.

Поддержание непрерывной работы компании MED-V устраняет препятствия на пути к переходу на новую версию Windows: разрешает вопросы несовместимости приложений с Windows 7 и предоставляет доступ к приложениям через

совместимое с ними рабочее пространство на основе Windows XP. Благодаря MED-V ИТ-отделы смогут выполнять обновления по расписанию, а сотрудники компании получат в распоряжение преимущества Windows 7, не ожидая, пока спе-циалисты разберутся с несовместимостью нужных приложений.

Простота в обращении

MED-V позволяет пользователям беспрепятст-венно запускать устаревшие приложения через меню «Пуск» ОС Windows. Ни внешний вид, ни работа приложений не изменяются, как будто они по-прежнему физически установлены на ПК — их даже можно закреплять на панели задач Windows 7. В MED-V 2.0 устаревшим приложениям предоставляется беспрепятственный доступ к пользовательским документам, сетевым прин-терам и даже USB-устройствам, например флэш-накопителям и устройствам чтения смарт-карт.

Упрощенное ИТ-управление Средство MED-V отличается легким разверты-ванием и управлением. Простота и масштабируе-мость развертывания этого решения обуслов-лены тем, что MED-V 2.0 интегрируется с уже установленными системами управления и развертывания, например System Center Configuration Manager. Использование контрольного списка MED-V Приложение MED-V может оказаться полезным в одной из описанных ниже ситуаций.

• Крупная организация (500 пользователей

или больше) заключила с корпорацией Майкрософт Соглашение Enterprise и планирует провести обновление до Windows 7.

• В результате тестирования оказалось,

что часть бизнес-приложений несовместима с операционной системой Windows 7.

• Для части этих проблемных приложений

проблемы совместимости разрешены путем их обновления или использования оболочки совместимости, предоставленной корпора-цией Майкрософт, например комплекта Application Compatibility Toolkit (ACT). Однако для некоторых приложений проблемы сов-местимости остались неразрешенными.

Cерия Springboard

• После рассмотрения возможности уста-

новки приложения App-V для обеспечения работы несовместимых приложений сде-лан вывод, что даже после развертывания App-V останутся проблемы совместимости приложений и операционной системы, требующие решения.

• Было установлено, что режим Windows XP

Mode не является эффективным решением ввиду необходимости централизованного управления виртуальными средами в масштабах всей организации, либо ввиду технический ограничений XP Mode.

• Было установлено, что экономически

намного выгоднее и полезнее выполнить обновление до Windows 7 как можно скорее. Принято решение отложить устранение проблем совместимости остальных прило-жений с учетом того, что решение доступно в рамках приложения MED-V.

Преимущества MED-V по сравнению с App-V

• MED-V и App-V — две совсем разные технологии,

которые способны легко взаимодействовать при решении проблем совместимости при-ложений с операционной системой. При применении App-V для каждого приложения создаются индивидуальные пакеты, каждый из которых можно хранить отдельно от других. После этого каждое виртуальное приложение можно сразу же предоставить в распоряжение пользователя, что значительно повышает эффективность стратегии развертывания Windows 7.

• MED-V не обрабатывает каждое приложение по отдельности. Вместо этого на том же компьютере, на котором выполняется Windows 7, создается дополнительный экземпляр Windows XP. В э том виртуальном образе можно установить необходимое количество приложений. Управление этим образом осуществляется так же, как и любым другим компьютером в организации.

• Кроме того, приложения MED-V и App-V можно использовать совместно. В таком подходе установка и публикация виртуаль-ных приложений, виртуализированных с помощью App-V, а также управление этими приложениями, осуществляется с помощью MED-V.

Microsoft BitLocker Administration and Monitoring

Сегодня организации по всему миру ис-пользуют технологию шифрования дисков BitLocker и BitLocker To Go для защиты данных на компьютерах и портативных носителях под управлением ОС Windows 7. Чтобы упростить управление использова-нием BitLocker в крупных организациях, разработано средство Microsoft® BitLocker® Administration and Monitoring (MBAM).

Средство MBAM, которое вскоре войдет в состав пакета Microsoft Desktop Optimization Pack для участников программы Software Assurance, повышает эффективность при-менения BitLocker, обеспечивая упрощение развертывания и восстановления ключей, централизацию подготовки BitLocker к использованию, мониторинга и создания отчетов о шифровании съемных и несъем-ных дисков, а также существенное сокра-щение затрат на поддержку.

Cерия Springboard

Упрощение процессов подготовки и развертывания BitLocker

Microsoft BitLocker Administration and Monitoring позволяет выбрать сценарий развертывания, наиболее подходящий для вашей компании. Так, можно подготовить BitLocker в составе обновления Windows 7, а можно выбрать наст-ройки, запускающие развертывание BitLocker после установки операционной системы. Расши-ренные возможности управления групповыми политиками в средстве MBAM позволяют ИТ-персоналу упростить подготовку BitLocker и адап-тировать ее к потребностям конкретной компании. Элементы управления проверяются через опре-деленные промежутки времени, задаваемые ИТ-администратором, и все обнаруженные изменения незамедлительно применяются. Кроме того, с помощью функции аппаратной блокировки можно определить, какие компьютеры поддерживают BitLocker, а какие нет, и исключить оборудование, которое не требует шифрования. Строгое соответствие нормативным требованиям Отчеты, генерируемые средством MBAM, содержат подробные сведения о соответ-ствии устройств установленным в компании политикам использования BitLocker (причем сведения предоставляются как по органи-зации в целом, так и по конкретным устрой-ствам), а также позволяют с легкостью определить, зашифрованы ли данные на устройстве, если оно утеряно или украдено. Кроме того, ИТ-персонал может произвольно изменять форму отчета с помощью встро-енных служб отчетов SQL Server, чтобы

вывести только необходимую в данный момент информацию. MBAM также позво-ляет сохранять ключи восстановления BitLocker в зашифрованной базе данных с использованием детализированных элементов управления доступом и создает журнал аудита, где регистрируется поль-зовательская информация о ключах вос-становления. Тем самым обеспечивается защита информации о ключах и гарантия, что доступ к ней получит только разрешен-ный круг лиц в организации.

Сокращение затрат на поддержку

Сокращая нагрузку на ИТ-персонал и упрощая процедуры поддержки конечных пользователей, средство MBAM помогает снизить затраты на поддержку и обеспечить быстрое устранение неполадок. С помощью безопасного веб-портала для восстановле-ния ключей авторизованные специалисты службы поддержки могут с легкостью вос-становить данные на компьютере сотруд-ника, защищенном технологией BitLocker. Кроме того, MBAM автоматизирует этапы настройки перед включением BitLocker и упрощает для пользователей выполнение основных задач — так, пользователь может запускать процесс шифрования и управлять личным ПИН-кодом BitLocker, не имея прав администратора. Это позволяет ИТ-персоналу уделять больше времени внедрению и под-держке важных для бизнеса технологий, не отвлекаясь на решение стандартных пользовательских задач.

Cерия Springboard

Использование Windows и MDOP для повышения динамичности

В состав решения MDOP входит несколько отличных инструментов, позволяющих предприятию и его информационной среде продвинуться вперед по модели оптимизации инфраструктуры.

Помните, что главная цель всех мероприятий по оптимизации рабочих мест — это снижение затрат и сокращение числа повторяющихся операций, связанных с управлением ими. Достижение этой цели позволяет сфокусироваться на других вещах и продвигать дело вперед. Подводя итог, можно разбить все ключевые преимущества MDOP на несколько областей: • улучшенное управление приложениями; • продуктивность пользователей; • оперативность отдела ИТ; • управление активами; • оперативность службы поддержки и снижение затрат. Подробнее об этом и других вопросах, связанных с внедрением Windows 7, см. Серия Springboard: Windows Client для IT-профессионалов (http://microsoft.com/springboard)

Cерия Springboard

Информация, приведенная в этом документе, соответствует позиции корпорации Майкрософт в отношении описываемых задач на момент публикации документа. Из‐за необходимости соответствовать изменяющимся рыночным условиям сведения в этом документе не должны расцениваться как обязательства корпорации Майкрософт. Точность представленной информации не гарантируется. Настоящий документ носит исключительно информационный характер. В НАСТОЯЩЕМ ДОКУМЕНТЕ КОРПОРАЦИЕЙ МАЙКРОСОФТ НЕ ДАЕТСЯ НИКАКИХ ПРЯМЫХ ИЛИ КОСВЕННЫХ ОБЯЗАТЕЛЬСТВ.  На материалы, содержащиеся в документе, может распространяться действие патентов, рассматриваемых заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Настоящий документ не предоставляет читателю никаких разрешений на использование патентов, товарных знаков, авторских прав или иных форм интеллектуальной собственности, за исключением случаев, когда эти права предоставляются явным образом на основании письменного лицензионного соглашения с корпорацией Майкрософт.  Корпорация Майкрософт не дает никаких заверений и гарантий касательно спецификаций, изложенных в настоящем документе, а также любых продуктов и изделий, разработанных на основе настоящего документа. Корпорация Майкрософт отказывается от любых явных и подразумеваемых гарантий, в том числе, без ограничения, от подразумеваемых гарантий пригодности для продажи, годности к применению для какой‐либо определенной цели, а также ненарушения права собственности и прав на интеллектуальную собственность. Без ограничения универсального характера вышеуказанных условий корпорация  Майкрософт не предоставляет никаких гарантий относительно ненарушения какими бы то ни было изделиями, разработанными на основе данных специификаций или любой части спецификации, авторских прав, патентных прав, коммерческой тайны или любого иного права на интеллектуальную собственность вне зависимости от того, какому лицу или организации и в какой стране эти права принадлежат. Поиск лицензий, позволяющих соблюсти такие права на интеллектуальную собственность, в случаях, где они применимы, входит в обязанности читателя. Корпорация Майкрософт не несет ответствен‐ности за любой ущерб, нанесенный вследствие или в связи с применением данных спецификаций, в том числе за упущенную прибыль, простой производ‐ственных мощностей и любые другие виды ущерба. В некоторых штатах, где исключение или ограничение ответственности за косвенные или случайные убытки запрещено, вышеуказанные ограничения могут не действовать.  Microsoft, Access, Active Directory, BitLocker, SQL Server, Windows, логотип Windows, Windows NT, Windows Server и Windows 7 являются либо зарегист‐рированными товарными знаками, либо товарными знаками в США и/или других странах.  © Корпорация Майкрософт, 2011. Все права защищены.