Планирование распределения программ через групповые политики
Использование групповых политик для управления программным обеспечением может уменьшить усилия, необходимые для распределения и обслуживания программного обеспечения на компьютерах клиента. Однако извлечение выгоды от применения этого инструмента усложняется
для большой компании с несколькими различными программными конфигурациями пользовательских рабочих столов. Развертывание групповых политик для наиболее эффективного управления программным обеспечением требует осторожного планирования. Этот раздел посвящен тому, что вы должны учитывать при выполнении этого планирования.
Один из факторов, который вы должны учитывать при развертывании приложений, - необходимость публикации приложения пользователям или компьютерам. Если большинство компьютеров являются общедоступными и каждый пользователь требует специфического пакета программ, то вы должны назначить политику на компьютеры. При назначении политики программное обеспечение полностью установится на рабочую станцию при ее следующей перезагрузке и будет доступно всем пользователям. Назначение пакета программ на компьютеры обеспечивает больше опций для управления пропускной способностью сети. Используя эту опцию, можно сконфигурировать групповую политику в течение дня, а затем попросить пользователей (или использовать удаленный инструмент), чтобы они перезагрузили рабочие станции в конце обычного рабочего времени.
Если какой-либо пакет программ требуется только нескольким пользователям, то более эффективным является назначение или публикация приложения для учетных записей пользователей. В некоторых случаях пакет программ должен быть распределен пользователям, принадлежащим нескольким OU. Наилучшим способом для этого является назначение групповой политики на высшем уровне иерархии Active Directory с последующей фильтрацией применения объекта GPO с помощью групп защиты.
Другое важное решение, которое надо принять при планировании распределения программ состоит в том, сколько объектов GPO следует использовать. Одна из крайностей состоит в том, что можно использовать один объект GPO для распределения всего программного обеспечения в пределах определенного контейнера, это улучшит выполнение входа в систему клиента, но может создать сложные конфигурации GPO-объектов. Другая крайность состоит в использовании множества GPO-объектов, каждый из которых распределяет единственное приложение. Это может оказать влияние на процесс входа в систему клиентов, потому что компьютер должен читать множество объектов GPO. Компании используют разнообразные подходы для решения этой проблемы. Типичный подход состоит в том, чтобы создать один объект GPO для установки стандартного набора приложений, в которых каждый нуждается, и которые редко изменяются. Дополнительные объекты GPO создаются для приложений, которые часто обновляются (типа антивирусного программного обеспечения), и для приложений, которые используются маленькими группами пользователей.
Возможно, что вам придется планировать распределение программного обеспечения по сети с низкой пропускной способностью. Во многих компаниях имеются удаленные офисы или удаленные пользователи, которые подключаются к Active Directory, используя медленные сетевые подключения. По умолчанию компонент групповой политики, предназначенный для распределения программного обеспечения, не применяется, если клиент соединяется через сетевое подключение со скоростью передачи меньше 500 Кб/с. Если рабочие станции вашей сети обычно подключены к локальной сети (LAN) и только иногда соединяются через медленное сетевое подключение, это заданное по умолчанию значение приемлемо. Однако если ваши сетевые клиенты соединяются через медленное сетевое подключение, их нужно подготовить, выполнив дополнительное конфигурирование.
Одна из опций оставляет заданное по умолчанию распределение программного обеспечения таким, как оно есть, инициируя полную инсталляцию программного обеспечения, когда пользователь соединяется с LAN. Используйте эту опцию, если клиенты изредка соединяются с вашей LAN. Если клиенты никогда не соединяются с LAN, для распределения программного обеспечения используйте средства вне Active Directory. Например, используя сменные носители информации или через безопасный веб-сайт, если у клиентов есть быстрое подключение к интернету.
У большинства крупных компаний есть способы автоматизировать процесс, предназначенный для компоновки рабочих станций. Компании используют технологии клонирования диска или службу удаленной инсталляции (RIS — Remote Installation Services) для быстрой компоновки стандартного рабочего стола пользователей. Можно использовать эту технологию в комбинации с групповыми политиками, чтобы оптимизировать распределение программного обеспечения. Например, если вы используете инструмент клонирования диска для компоновки рабочих станций клиентов, скомпонуйте компьютер клиента, а затем используйте групповую политику для установки стандартного набора приложений на рабочей станции. Когда это изображение будет развернуто на рабочих станциях, ими можно управлять с помощью групповых политик. Если вы используете RIS для инсталляции программ на клиентских компьютерах, включите управляемое приложение в RIS-изображение для каждого отдела.
Наиболее важный шаг в подготовке к использованию групповой политики для развертывания программного обеспечения состоит в тщательном тестировании каждого программного распределения перед его развертыванием. Большинство компаний поддерживают лабораторию для тестирования распределений, которая содержит рабочие станции, представляющие аналоги тех рабочих станций, которые имеются в производственной среде. Вы можете создать испытательную OU в Active Directory и переместить сюда учетные записи этих компьютеров и некоторые тестируемые учетные записи пользователей. Используйте эту испытательную среду для проверки каждого программного распределения.