Sunday, November 19th, 2017

Рекомендации по внедрению приложений, с помощью групповой политики

Published on Февраль 18, 2009 by   ·   Комментариев нет

В данной статье я хочу поделиться некоторыми методиками для успешного внедрения приложений с помощью групповой политики.

Заранее скажу, что не каждое приложение может быть успешно внедрено с помощью установок групповой политики. Даже если приложение разработано таким образом, что оно может быть внедрено посредством групповой политики, существует большое количество факторов, мешающих этому. В данной статье я хочу поделиться некоторыми методиками для успешного внедрения приложений с помощью групповой политики.

Расширенная подготовка

Первый мой совет: до того, как прописать или опубликовать приложение, которое вы собираетесь внедрять, подготовьте его. Т.е., если вы собираетесь вносить изменения в пакет установки Windows installer, вы должны провести эти изменения до публикации или прописывания приложения. В ином случае, все ваши изменения игнорируются. Если ваш измененный пакет игнорируется, вам придется удалить приложение и его публикации, а затем заново опубликовать или прописать измененную версию. Если вы случайно установили приложение до внесения изменений в установщик, в некоторых случаях, вместо полного удаления приложения, установленного случайно, вы сможете отделаться только установкой измененного приложения, «выдав» Windows это приложение, как изменение его начальной версии.

Использование MSI-файлов вместо ZAP-файлов

При внедрении приложений с помощью групповой политики, в редакторе групповой политики нужно указать имя установочного пакета приложения. Существует два различных типа пакетов: MSI и ZAP.

MSI-пакеты предпочтительней, чем ZAP-пакеты. MSI-пакеты (Microsoft Software Installer –установщик программного обеспечения от Microsoft) являются MSI-файлами, которые включены во все последние приложения от Microsoft. Также эти файлы используются приложениями сторонних производителей. MSI-файлы – это предпочтительный способ внедрения приложений, но, в силу того, что не все приложения поставляются с MSI-файлами, компания Microsoft позволяет использовать ZAP-файлы.

ZAP-файлы – это обычные текстовые файла, которые вы можете создать для установки приложения, для которого нет MSI-пакета. Конечно же, есть причины тому, что использование файлов MSI, как я уже сказал, предпочтительней использования ZAP-файлов. Во многих случаях прописанное приложение, которое внедряется посредством групповой политики и устанавливается через MSI-файл, может быть самовосстанавливающимся. Это означает, что если один из установочных файлов приложения случайно удален с компьютера пользователя, часто его легко восстановить автоматически. Если приложение установлено с помощью ZAP-пакета, механизм автоматического обновления не действует.

При установке приложения с помощью ZAP-пакета существуют некоторые ограничения. Приложения, установленные с помощью ZAP-файлов, нельзя деинсталировать; фоновая установка не поддерживается.

Вы можете поинтересоваться, зачем я отнимаю у вас время на все эти объяснения. Часто при отсутствии MSI-файла многие пытаются создать ZAP-файл. Причина, по которой я объясняю вам, что использование MSI-файлов предпочтительней, в том, что вы можете создавать собственные MSI-файлы. Обычно, если вы не являетесь разработчиком, MSI-файлы достаточно трудно создать, однако, существует несколько приложений сторонних производителей для создания MSI-файлов с помощью сравнения. Идея состоит в том, что вы устанавливаете чистую копию Windows на компьютер, а затем делаете снимок жесткого диска этого компьютера. Далее, вы устанавливаете приложение, для которого вы хотите создать MSI-файл, и делаете другой снимок вашего винчестера. Два снимка сравниваются на различия, на основе которых и создается MSI-файл.

Если у вас в компании есть команда разработчиков, то вам повезло. Вам следует стимулировать их на создание MSI-файлов ко всем разрабатываемым ими приложениям.

Прописывание или публикация в организациях

Одна из самых сложных проблем при работе с групповыми политиками в средних и больших организациях состоит в наличии в таких организациях строгой иерархии. Отдельные объекты групповой политики для организации групповой политики могут быть приписаны к локальному компьютеру, домену, сайту и уровню организационной единицы в Active Directory. Еще более сложным эту проблему делает тот факт, что объекты групповой политики могут быть применены к пользователям или компьютерам на любом из указанных уровней. Это значит, что групповая политика состоит из большого количества отдельных кусочков, наличие которых ведет к беспорядочным, перекрывающимся и противоречащим друг другу политикам.

Необходимо определить политики внедрения программного обеспечения так, чтобы вы могли отследить, на какие компьютеры или каким пользователям какие приложения установлены. Также важно определить политики таким образом, чтобы они не перекрывали друг друга.

Этот совет подходит не ко всем организациям, однако, полезно придерживаться публикации или назначения приложения либо пользователю, либо компьютеру, но не обоим. При публикации приложения для пользователя и компьютера одновременно могут возникнуть проблемы. Обычно я назначаю приложения пользователям. В этом случае не нужно беспокоиться о том, что то же самое приложение будет назначено и на уровне компьютера. Конечно, нет поводов для того, чтобы не публиковать приложения и для пользователей, и для компьютеров, просто в этом случае нужно действовать аккуратно.

Другой способ, который поможет вам избежать неразберихи, — это публикация приложений в верхней части иерархии групповой политики. Элементы групповой политики вначале применяются на уровне компьютера, а затем на уровне домена, сайта и организационной единицы. В случае противоречия, установки более высокого уровня политики перекрывают установки более низкого уровня. Например, если установки применяются на уровне домена, а противоречащая установка применена на уровне организационной единицы, то последняя превзойдет установки на уровне домена.

Еще один способ получить преимущество от работы групповых политик и избежать беспорядка: публикация приложений только на одном уровне внутри Active Directory (предпочтительно использовать организационную единицу). Тут, конечно, встает вопрос о контроле пользователей и компьютеров, на которых устанавливаются приложения при использовании только одного уровня внутри Active Directory для определения относящихся к приложению политик.

Я не рекомендую использовать данный способ для других типов установок групповой политики, но для приложений он работает достаточно хорошо. Многие не осознают того, что элементы групповой политики обладают списками контроля доступа, связанного с ними. Вы можете использовать данные списки контроля доступа для контроля тех, кому доступно или недоступно приложение. Например, представьте, что вы опубликовали приложение на уровне организационной единицы, и, вследствие этого, данное приложение стало доступно всем. Представим, что у вас недостаточно лицензий для установки данной программы всем пользователям, и поэтому вам нужно запретить использование данного приложения в бухгалтерии. Для этого вы можете щелкнуть по нему правой кнопкой и из контекстного меню выбрать пункт Properties (Свойства). На вкладке Security (Безопасность) используйте Access Control List (Список контроля доступа) для запрещения использования приложения в бухгалтерии.

Список контроля доступа для элемента групповой политики на самом деле не контролирует доступ к приложению. Он отвечает за тех, кто может читать и изменять данный элемент групповой политики. Поэтому, если вы удалите разрешение на чтение (Read) для группы бухгалтерии, то эта группа не сможет прочесть элемент политики, публикующий приложение, и поэтому приложение не будет доступно членам данной группы.

Заключение

Как вы видите, использование групповых политик может сэкономить уйму времени при внедрении приложений. Но все равно, нужно быть очень осторожным при разработке групповых политик для того, чтобы избежать противоречия или перекрывания политик, что может повлечь различные сетевых проблемы.

www.windowsnetworking.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]