On-Line Библиотека www.XServer.ru - учебники, книги, статьи, документация, нормативная литература.
       Главная         В избранное         Контакты        Карта сайта   
    Навигация XServer.ru


Контроль доступа в Интернет: системы контроля и управления доступом. Проекты RFID.




 

IntelliMirror расширяет возможности управления

Даррен Мар-Элиа
Особенности управления рабочей станцией Windows 2000

Что, по вашему, самое сложное в поддержке вашей корпоративной инфраструктуры Windows NT? Варианты ответов:
(a) распространение программного обеспечения;
(b) управление конфигурацией;
(c) установка операционной системы;
(d) автоматическая настройка в случае, если пользователь меняет свое местонахождение;
(e) все перечисленное выше вместе взятое.

Если вы выбрали вариант (e), то вы не одиноки. Так думает большинство администраторов Windows. К счастью, до появления Windows 2000 (Win2K) осталось совсем немного, и эта ОС реализует технологию, которая может коренным образом изменить распространение программного обеспечения, управление конфигурацией, установку ОС и роуминг пользовательских профайлов. Я представляю, как вы скептически улыбаетесь, прочитав фразу 'изменит коренным образом'. Администраторы уже давно ждут появления новых возможностей управления, которые должна предложить Win2K. Хотя такие усовершенствования - это всего лишь начало, в данной статье я объясню, как именно эти усовершенствования кардинально меняют идеологию управления Windows.

За прошедший год специалисты Microsoft использовали разные термины для описания технологии управления, в том числе Zero Administration for Windows (ZAW), Change and Configuration Management и IntelliMirror. Последнее представляет собой подмножество решения Change and Configuration Management в Win2K. Что такое IntelliMirror? Чтобы ответить на этот вопрос, я расскажу о возможностях, которые реализует IntelliMirror, параллельно объясняя, почему эти возможности столь важны для управления вашей инфраструктурой Windows и покажу, как установить их в среде Win2K.

Название IntelliMirror указывает, что задача этой технологии состоит в разумном отражении опыта, накопленного пользователем, вне зависимости от выбора компьютера или статуса сетевого соединения. Основу такового отражения составляют три важные категории управления: управление документами пользователя, управление настройками пользователя и установка программного обеспечения. Объединяют эти категории и обеспечивают возможности управления две основные технологии Win2K - Active Directory (AD) и Group Policy. Рассказывая о каждой из категорий управления IntelliMirror я объясню, как AD и Group Policy помогут вам управлять своей средой.

Управление документами пользователя


Экран 1: Просмотр опций Group Policy Administrative Template.

Технология управления документами пользователя в IntelliMirror позволяет документам следовать за пользователями, когда те меняют свое местонахождение. Основу этой технологии составляет возможность использования автономных папок, ранее известная как кэширование на стороне клиента. С помощью автономных папок пользователи могут хранить размещенные на сервере файлы, папки и информационное наполнение Web локально на рабочей станции Win2K и при этом использовать или просматривать информацию не прибегая к сетевому соединению. Если вам известно, что такое My Briefcase в NT 4.0, то вы можете представлять себе автономные папки как более интеллектуальный и интегрированный My Briefcase.


Экран 2: Изменение местонахождения по умолчанию для My Documents.

Рассмотрим на примере, как работают автономные папки. Предположим, что домашний каталог пользователя находится на сетевом сервере, который отображается на диск H. Пользователи может просто щелкнуть правой клавишей мыши на папку с домашним каталогом и выбрать свойство Make Available Offline из контекстного меню для того, чтобы Win2K кэшировала информационное наполнение домашней папки на мобильный компьютер. После того, как пользователь отключает мобильный компьютер от сети и вновь загружает его, домашняя папка окажется на мобильном компьютере и для работы с ней не требуется поддерживать сетевое соединение. Если пользователь работает над документом в редакторе Microsoft Word, он может продолжить редактирование своего файл точно также, как если бы мобильный компьютер был по-прежнему подключен к сети. В следующий раз, когда пользователь подключается к сети, Win2K выполнит синхронизацию на уровне файлов, перенеся на сервер все изменения, сделанные пользователем в домашней папке на мобильном компьютере. Автономные папки поддерживают синхронизацию только на уровне целых файлов, а не на битовом уровне. Таким образом, если пользователь изменил всего лишь один бит в кэшированном файле, в следующий раз, когда пользователь подключится сети, Win2K скопирует весь файл целиком обратно на сервер. Если два пользователя автономно редактируют один и тот же файл, размещенный на сервере, при синхронизации файлов по сети Win2K реализует так называемый подход 'кто последний - тот и прав' (то есть, на сервере останется копия, которая была сделана последней).

Администратор может 'приказать' клиенту всегда кэшировать информационное наполнение данного разделяемого объекта или папки. С другой стороны, администратор может ограничить кэширование только документами или файлами приложений. С клиента пользователь может зафиксировать (то есть, выбрать) файл или папку (например, домашнюю) так, чтобы эта папка постоянно была доступна в автономном режиме.

Для управления синхронизацией в Win2K компания Microsoft предлагает инструментарий Windows Synchronization Manager. В меню Start выберите Programs, Accessories, а затем Synchronize. Вы можете настроить синхронизацию автономных папок так, чтобы она выполнялась отдельно для каждой сетевой платы, что позволяет менять сценарий синхронизации в зависимости от того, является ли сетевое соединение коммутируемым каналом или это локальная сеть. Для каждого сетевого соединения, которое вы определяете, вы можете указать, нужно ли выполнять синхронизацию при регистрации или во время выхода из сети, когда компьютер простаивает или делать это в строго определенное время.


Экран 3: Развертывание папок в Local Settings.

Для управления работой пользователей Win2K с автономными папками вы можете использовать шаблоны Group Policy Administrative Templates на базе AD, которые аналогичны правилам работы (системной политике) системы NT 4.0. На Экране 1 показаны некоторые из вариантов правил работы с автономными папками, которые вы вправе выбрать при использовании Administrative Templates.

Управление документами пользователя в IntelliMirror также предусматривает возможность работы с папкой My Documents. Папка My Documents - это часть пользовательского профайла в Win2K, который заменил личную папку в NT 4.0. Когда вы используете профайлы с автоматической настройкой в зависимости от местонахождения (роуминг), Win2K позволяет переадресовать местонахождение папки My Documents, чтобы предотвратить кэширование большой папки My Documents каждый раз, когда пользователь регистрируется на новой машине с Win2K. На Экране 2 показано, как использовать вкладку Target страницы My Documents Properties для того, чтобы изменить местонахождение по умолчанию для My Documents на другой адрес в вашей сети, такой как домашняя папка.

Наконец, управление документами пользователя включает в себя возможность определения дисковых ограничений или на уровне томов, или на уровне пользователей. Вы можете использовать дисковые ограничения Win2K для контроля уровня использования диска и ограничить объем памяти, которая принадлежит пользователю. Кроме того, Group Policy Administrative Templates позволяет указать ограничения для локальных дисков машин с Win2K.

Управление настройками пользователя

Основу управления настройками пользователя в IntelliMirror составляет усовершенствованный роуминг пользовательских профайлов в Win2K. Роуминг пользовательских профайлов существует с момента появления первых версий NT. В NT 4.0 к поддерживающим роуминг профайлам, где ранее содержались лишь настройки Registry, Microsoft добавила файлы и папки. Это добавления намного усложнило использование роуминга пользовательских профайлов. Microsoft внесла значительные изменения в роуминг пользовательских профайлов, стремясь сделать их более полезными для работы.

Первое изменение, которое следует отметить, - чисто внешнее. На рабочей станции при установке Win2K (но не при модернизации старых версий), пользовательский профайл, который кэшируется на локальной рабочей станции, размещается вне системной папки. (NT 4.0 хранит профайл пользователя в папке %systemroot%\profiles). Теперь он располагается в папке C:\Documents and Settings. В этой папке вы найдете все обычные папки NT 4.0, в том числе All Users и Default Users.

Microsoft назвала эту папку Documents and Settings потому, что пользовательский профайл содержит документы и настройки. Microsoft перенесла профайлы из %systemroot%, чтобы упростить защиту системной папки от любопытствующих пользователей. К сожалению, вместо того, чтобы просто назвать новую папку с профайлами Profiles, компания Microsoft попыталась сделать название этой папки более очевидной для пользователей, просматривающих файловую систему.


Экран 4: Публикация приложений с использованием Add/Remove Programs.

С помощью поддерживающих роуминг профайлов в Win2K вы можете определить, какие из отдельных компонентов профайлов не будут меняться с изменением местонахождения пользователя. На Экране 3 показана папка Local Settings в пользовательском профайле. При выходе пользователя из системы ОС не будет копировать на сервер профайлов все, что находится в папке Local Settings. Эта защита от копирования идеально подходит для тех данных, которые не должны 'путешествовать' вместе с пользователем, что позволит избавится от нерациональных затрат пространства на сервере профайлов. К примеру, как показано на Экране 3, Internet Explorer хранит временные кэшированные файлы в Local Settings, благодаря чему при роуминге эти файлы операционной системой копироваться не будут. С помощью Group Policy вы можете исключить из роуминга и другие папки. Благодаря этой расширенной защите от копирования пользователи могут менять свое местонахождение, сохраняя настройки рабочего стола и при этом им не придется ждать, пока во время регистрации скопируется информация из профайла, объем которой может достигать 50 Мбайт.

Еще одна особенность Win2K, связанная с производительностью при поддержке профайлов при роуминге - это возможность в административном порядке ограничивать размер пользовательского профайла. Благодаря Group Policy вы можете определить для пользователя размер дисковой памяти, который ограничивает размер его профайла. После того, как размер профайла достигает определенного уровня, вы можете уведомить пользователя о том, что ему следует 'почистить' свой профайл.


Экран 5: Просмотр свойств ярлыка для приложений Microsoft Project.

Роуминг пользовательских профайлов в Win2K в целом реализован замечательно, за исключением отдельных деталей. Если вы управляете большой средой с роумингом профайлов в NT 4.0, вы знаете, какого рода трудности могут возникнуть, если пользователи выберут ошибочную опцию профайла при регистрации после получения сообщения о том, что серверный профайл не доступен или доступен только по медленному каналу. Пользователи легко могут удалить свой хранимый профайл с профайлом по умолчанию, что вызовет панику сред сотрудников службы помощи, поскольку пользователь потерял все свои документы и установки. В Win2K Group Policy дает вам лучший контроль над профайлом 'путешествующих' пользователей в тех случаях, когда профайл или невозможно получить с сервера, или обратится к нему можно только по медленному каналу.

В том случае, если серверный профайл не доступен, вы можете просто удалить пользователя из системы и разрешить ему войти с временным профайлом. Win2K будет использовать локально кэшированную версию, когда она будет доступна. В противном случае пользователи получат временный профайл для этого сеанса работы. Если при последующей регистрации пользователя серверный профайл доступен, то Win2K заменит временный профайл и скопирует находящийся на сервере профайл как обычно. Для реализации такого контроля в Win2K внесены два значительных изменения, связанные с поддержкой серверных профайлов. Во-первых, пользователям не нужно реагировать на предупреждение или даже знать о том, что их серверный профайл не доступен. Во-вторых, благодаря использованию временных профайлов вам больше не нужно опасаться того, что пользователи 'затрут' серверный профайл его локально кэшированной версией.


Экран 6: Просмотр назначений в Group Policy Editor.

Кроме того, Microsoft улучшила работу с профайлами по медленным каналам. За счет использования Group Policy вы можете установить такие параметры, как время в миллисекундах или уровень скорости соединения , чтобы определить, когда серверное соединение осуществляется по медленному каналу. Вы можете предварительно настроить работу с профайлами так, чтобы всегда использовался локальный профайл или всегда загружался серверный профайл в тех случаях, когда выявлен медленный канал, поэтому пользователю самому не нужно принимать никакого решения. Подобный подход, предусматривающий заранее определенную стратегию работы с профайлами, дает особое преимущество мобильным пользователям, которым приходится подключаться к сети по медленным модемным каналам. Эти пользователи вряд ли захотят загружать серверный пройфайл, если у них под рукой есть его локально кэшированная версия.

Установка програ-ммного обеспечения

Технология инсталлятора Windows играет ключевую роль в управлении конфигурацией Win2K и NT 4.0. Это важный компонент IntelliMirror, поскольку пользователям необходим постоянный доступ к приложениями, вне зависимости от того, находится ли приложение на сервере или установлено локально. Чтобы обеспечить такой уровень готовности Win2K использует AD и Group Policy. С помощью инсталлятора Windows модуль Group Policy может предоставить приложение для установки пользователю или машине за счет публикации или назначения. Если вы готовы добавить приложение в Group Policy в рамках AD, вам необходимо решить, какой из режимов вы хотите использовать. Group Policy предоставляет опубликованные и назначенные приложения на настольной системе пользователя различными способами.

Опубликованное приложение - это необязательное приложение. При публикации приложения оно становится доступно для пользователей, но пользователи сами решают, будут ли они его устанавливать. Как показано на Экране 4, Win2K и NT предоставляют пользователям доступ к опубликованным приложениям из апплета Add/Remove Programs на Control Panel.

Назначение приложения отличается от публикации в том, что когда вы назначаете приложение, вы делаете шаг вперед к установке этого приложения на машине или указываете это приложение для пользователя. Когда вы назначаете приложение, вы обеспечиваете присутствие этого приложения в среде пользователя или внутри Windows Explorer. Компания Microsoft называет такое присутствие объявлением. В меню Start или на рабочем столе для такого приложения появится пиктограмма. Эта пиктограмма представляет собой специальный ярлык для быстрого доступа, который взаимодействует с оболочкой Win2K. Когда пользователь указывает на пиктограмму, ярлык взаимодействует с AD с тем, чтобы выяснить, где находится пакет установки этого приложения. После обнаружения пакета служба инсталлятора, работающая на рабочей станции, запускает пакет для установки приложения. На Экране 5 показан ярлык для назначенного приложения. Поле типа Target указывает, что приложение будет установлено при первом его использовании.

Group Policy также позволяет вам назначить установку программного обеспечения конкретной машине или пользователю. Если вы хотите указать приложение для определенной машины, вам необходимо это приложение назначить. Когда вы назначаете приложение машине, оно будет активизироваться при запуске системы. Для указания приложения для пользователя, вы можете или назначить, или опубликовать его. Если установка опубликованного или назначенного приложения по каким-либо причинам была прервана, то приложение вернется в предыдущее состояние (то есть останется не инсталлированным).

Чтобы воспользоваться преимуществами установки программного обеспечения в Win2K вы должны сначала выбрать приложение, которое имеет пакетный формат инсталлятора Windows (то есть файл типа .msi). Затем вам необходимо определить AD Group Policy Object (GPO) в домене, организационном подразделении (OU) или на узле. (Вы не можете установить приложение на локальном GPO) Чтобы назначить или опубликовать новое приложение, запустите подключаемый инструментарий Group Policy Editor (GPE) (то есть, gpedit.msc) для домена AD, OU или узла из Microsoft Management Console (MMC). Вы можете также назначить или опубликовать приложения из подключаемого инструментария AD Users and Computers. Выберите опцию Software Settings и щелкните правой клавишей мыши на Software Installation. Из контекстного меню выберите New, затем Package. Указываемый вами путь к пакету .msi, который хотите опубликовать или назначить, должен быть полным (абсолютным) путем. Другим словами, не указывайте путь к размеченному диску. Вместо этого используйте путь в формате Uniform Naming Convention (UNC), такой как \\myserver. mycompany.com\msishare\myapp.msi. Поскольку пользователи выполняют разметку дисков при регистрации в системе, ели вы укажите путь к диску, размеченному для пакета .msi с учетом настроек машины, разметка диска будет бессмысленной.

После того, как вы выбрали пакет .msi, вы можете определить, нужно ли назначать или публиковать приложение. Вы можете также изменить пакет или сконфигурировать свойства пакета, например указать, что приложение нужно деинсталлировать после того, как GPO не будет применятся к данному пользователю или компьютеру, или выполнить преобразование. На Экране 6 показан Word 97 с назначением развертывания, ориентированного на конкретного пользователя, внутри GPE. Прежде чем назначение отобразится в пользовательской оболочке, пользователю необходимо выйти из системы и зарегистрироваться снова. Опубликованные приложения работают также и появятся в апплете Add/Remove Programs после выхода и повторного входа пользователя в систему.

Иная технология установки программного обеспечения в Win2K - это сервисы Dfs. Впервые Microsoft представила Dfs в NT 4.0. Сервисы Dfs обеспечивают способ отделения ресурсов физической файловой системы от логической структуры каталогов. В NT 4.0 вы можете создать корень Dfs на сервере файлов, называемый \\servera\dfsroot. Под этим корнем вы можете создавать связи с любым числом совместно используемых серверных объектов. Пользователю необходимо указать только название диска (одну букву) для \\servera\dfsroot, чтобы получить доступ ко всем связанным разделяемым серверным объектам под корнем (предполагается, что пользователь имеет соответствующие привилегии доступа). В NT 4.0, если сервер отключается, корень и все связанные разделяемые объекты становятся недоступны.Win2K дает Dfs возможность создавать отказоустойчивые корневые каталоги в домене AD, поскольку корень - это часть AD. Вы обращаетесь к корню по имени домена (например, \\my.company.com\dsfroot), а не по имени сервера. Таким образом, вы можете иметь любое количество тиражированных серверов с идентичными данными, которые обеспечивают сервисы для реализации отказоустойчивого корневого каталога.

Dfs играет важную роль в установке и распространении программного обеспечения. Когда вы назначаете приложение домену или OU, пользователи могут быть разнесены географически. В идеале вы хотите, чтобы пользователи получили пакет .msi от сетевого сервера, который находится к ним ближе всего. Вы можете создать структуру Dfs, которая хранит все пакеты .msi, затем создать реплики этих пакетов на нескольких серверах, распределенных по вашей сети. В Win2K, когда клиент подключается к отказоустойчивому корню Dfs, который имеет реплики серверов, клиент всегда будет пытаться подключиться к реплике сервера в пределах своего локального узла. Назначенные приложения, использующие путь к корню Dfs, легко распространяют пакетные установки на серверы, локальные для клиента. Таким образом, Dfs позволяет вам распространять программное обеспечение, отказавшись от применения сложного инструментария распространения ПО.

Инструментарий для упрощения работы пользователей

Компания Microsoft разработала набор технологий IntelliMirror для того, чтобы предоставить пользователям удобные инструменты. Автономные папки гарантируют, что пользовательские данные и данные приложения доступны вне зависимости от состояния сетевого соединения. Роуминг пользовательских профайлов дает пользователям возможность поддерживать установки рабочего стола вне зависимости от машины, на которой они регистрируются. Dfs и возможность установки программного обеспечения гарантирует доступность приложений для пользователей, вне зависимости от того, где эти приложения размещаются. AD и Group Policy - это технологии, которые позволяют реализовать эти возможности управления в Win2K. Мощные инструментальные средства в IntelliMirror позволяют вам сделать первый шаг навстречу ZAW.

Об авторе

Даррен Мар-Элиа более 10 лет работает в области проектирования и администрирования сетей и систем. Он отвечает за архитектуру Windows NT в компании, которая помогает в развертывании основанных на Windows NT систем национального масштаба.



Литература по Windows 2000