Cílem IT organizací je vytvoření jednotného a lehce spravovatelného prostředí počítačů pro koncové uživatele a tím snížit celkové náklady spojené s provozem celého IT prostředí.
Jako odpověď na tyto požadavky vydala společnost Microsoft na jaře tohoto roku novou verzi sady nástrojů Microsoft Desktop Optimization Pack (ve zkratce MDOP), které zlepšují správu počítačů, snižují nároky na správu prostředí a tím snižují celkové náklady na vlastnictví technologií provozovaných v organizacích (TCO)
V tomto článku vám představím jednotlivé produkty, které jsou součástí MDOPu a napovím, jak vám mohou napomoci ke zlepšení provozu vašeho IT prostředí. Jedná se pouze o krátké představení principu fungování jednotlivých nástrojů, detailní popis by vydal na rozsáhlý článek u každého nástroje.
Jednotlivé produkty v MDOP
Získejte kontrolu nad vaším prostředím! Díky možnostem, které jsou součástí nástrojů v MDOP máte možnost mnohem jednodušeji snižovat oprávnění přidělovaná jednotlivým uživatelům na koncových počítačích, zpřístupňovat aplikace uživatelům na vyžádání a tím zjednodušit instalace počítačů, centralizovat správu aplikací, delegovat administraci skupinových politik včetně schvalovacího procesu a další.
Advanced Group Policy Management
Již podle názvu je možné odvodit, že se jedná o nástroj pro administraci skupinových politik. Možná si říkáte: „Co znamená advanced, když tu již řadu let je Group Policy Management Console?“. Odpovědí na tuto otázku může být hned několik.
Advanced Group Policy Management (AGPM) přináší technologii klient/server do správy skupinových politik. A nejenom to! Díky využití Group Policy Management Consle (GPMC) dostává administrátor, či operátor IT prostředí do rukou nástroj, který již zná, ale je zároveň rozšířen o další funkcionalitu. Možná víte, že při správě skupinových politik pomocí GPMC nebylo možné sledovat změny, modifikovaná politika byla ihned uložena do Active Directory a tím byla ihned aplikována na počítače či uživatele. Tímto způsobem aplikace skupinové politiky docházelo často k nechtěné aplikaci politiky a případně i omezení uživatelů v jejich práci. Právě kvůli těmto omezením nebylo možné provést rychlou nápravu vzniklého problému a uvést situaci do předchozího, funkčního stavu.
AGPM přináší následující klíčové vlastnosti:
- Delegace administrace skupinových politik oddělená od Active Directory. Především robustní model delegací a administrace založené na rolích umožnuje administrátorům jednodušší správu skupinových politik, aniž by bylo sníženo zabezpečení doménových kontrolérů.
- Snížení rizika nechtěných chyb. Tohoto snížení je dosaženo především offline editací skupinových politik – před úpravou skupinové politiky je provedena kopie, která je editována a následně opět umístěna do produkčního prostředí. Také je možné reportovat jednotlivé změny v různých verzích skupinových politik, obnovovat smazané skupinové politiky a sledovat jaké změny provedl jaký správce.
- Zavedení procesu řízení změn, které rozděluje správu jednotlivých skupinových politik mezi administrátory, kteří budou upravovat skupinové politiky a jakési kontrolory, jenž provedou kontrolu správnosti skupinové politiky před jejím umístěním do produkčního prostředí. Součástí je i možnost zasílání emailových upozornění při změně skupinové politiky, případně provedení změny ke starší verzi dříve užívané skupinové politiky.
AGPM se skládá ze serverové části a klientské části. Na AGPM serveru je nainstalována komponenta, která je provozována jako standardní Windows služba. Tato služba běží pod účtem doménového administrátora, aby bylo možné spravovat všechny skupinové politiky. Delegace oprávnění uživatelům, resp. administrátorům skupinových politik je prováděna prostřednictvím AGPM.
Na počítači, kde jsou prováděny úpravy skupinových politik, je nainstalováno rozšíření pro Group Policy Management Console, a díky tomu je prostředí pro administrátory velice dobře známé.
Komunikace mezi klientem a serverem probíhá pomocí jediného TCP portu a je zabezpečená (SSL). Skupinové politiky, které se nacházejí v doméně, by měly být kompletně řízeny pomocí AGPM a je nutné zabránit jejich editaci mimo prostředí AGPM správným nastavením oprávněním pro účet, pod kterým je provozována služba AGPM. Ostatní uživatelé by neměli mít oprávnění k editaci skupinových politik a editace by měla být prováděna pouze prostřednictvím AGPM.
Aplikační Virtualizace Microsoft – App-V
Aplikační virtualizace se odlišuje od ostatních virtualizačních technologií jako například Virtual PC či Hyper-V nebo Remote desktop services tím, že nevyžaduje rozsáhlé investice do nového hardware ani změnu infrastruktury. Při využití virtualizace App-V je možné konvertovat aplikace, které jsou provozovány v prostředí Windows do virtuálních služeb, které jsou spravovány a nabízeny centrálně. Takové aplikace (služby) jsou následně spouštěny na koncových počítačích uživatelů na vyžádání.
Při spuštění virtualizované aplikace není na koncovou stanici uživatele tato aplikace instalována, ale je spouštěn balíček, který aplikaci obsahuje. Pomocí App-V agenta, který je jediný na koncovém počítači nainstalovaný, je možné z virtuální aplikace přistupovat k místnímu PC a využívat veškeré prostředky, jež jsou na koncové stanici k dispozici – souborový systém, různá zařízení jako tiskárny, zvuková karta, USB zařízení.
Jednotlivé aplikace jsou od sebe navzájem izolovány a proto je možné na jednom počítači používat zároveň aplikace, které nejsou navzájem kompatibilní – například z důvodu kolize různých knihoven.
Tradiční model provozu aplikací / Izolované virtuální aplikace
Pro přípravu aplikací je využito nástroje App-V Sequencer, který provede záznam instalace a spuštění aplikace podobně jako tomu je při tvorbě MSI balíčků. Takto připravená aplikace se umístí na App-V server, ze kterého jej následně klienti stahují a spouštějí. Při spouštění aplikace není kopírován na klientskou stanici celý balíček, ale vždy jen ta část, která je zapotřebí pro běh základní části aplikace. Balíček, který byl již na stanici spuštěn, zůstává uložen na disku pro další použití. Virtuální aplikace je také možné spouštět na počítačích, které nemají připojení na App-V server, a to distribucí balíčků do mezipaměti například pomocí USB. Pomocí technologie App-V lze také dosáhnout jednoduššího přechodu mezi jednotlivými verzemi operačních systémů, kdy není nutné všechny aplikace instalovat na všechny počítače a tím se i snižují náklady na přípravu instalačních sad pro instalace počítačů.
Technologii App-V je možné také integrovat se System Center Configuration Manager (2007 a vyšší), kde doručování App-V balíčků zajišťuje SCCM, nikoliv pak App-V server. App-V server neustále řídí přístup k virtuálním aplikacím a poskytuje například aktualizace virtuálních aplikací. App-V je možné s výhodou využít jako další metodu doručování aplikací na klasické počítače, ale stejně tak i do Remote Desktop Services nebo řešení VDI.
Microsoft Enterprise Desktop Virtualization – MED-V
Jedná se o technologii řešící distribuci a provoz virtuálních strojů s Windows 2000 resp Windows XP v prostředí Windows 7 (netýká se Windows 8). Je možné připravit virtuální počítač, kde v centrální konzoli je definováno, které aplikace jsou k dispozici ve virtuálním počítači, resp. které webové stránky se mají otevírat například v Internet Exploreru 6, který je součástí virtuálních Windows XP. Pomocí tohoto nástroje je možné řešit nekompatibilní aplikace, které není možné provozovat na Windows 7, a je nutné zachovat jejich provoz na Windows XP, včetně výše zmiňovaného Internet Exploreru. Pro webové stránky je možné definovat, které webové adresy se mají otevírat ve starším prohlížeči (např. http://intracenet). Pokud uživatel napíše do prohlížeče takovou adresu, je na pozadí spuštěn virtuální stroj, do prostředí operačního systému se přenáší pouze okno aplikace ve virtuálním stroji (v tomto případě prohlížeče) a uživatel může využívat aplikaci tak, jak tomu bylo ve Windows XP. Nevýhodou řešení je, že pokud aplikace otevírá, či ukládá soubory, jedná se o soubory z virtualizovaného operačního systému. Technologie MED-V využívá pro svůj běh Virtual PC, proto je určena pro Windows 7.
User Experience Virtualization (UE-V)
User Experience Virtualization je posledním přírůstkem do rodiny produktů MDOP. UE-V zajišťuje možnost přenášení uživatelského nastavení a souborů mezi různými instalacemi operačního systému. Možná si kladete otázku – toto přeci nabízí i roamingové profily. Zásadním rozdílem mezi roaming profily a UE-V je, že v rámci UE-V je možné přesně definovat, které soubory, která nastavení mají být přenášena, a není přenášen kompletní profil. Také je možné přenášet definované nastavení mezi různými verzemi Windows 7, Windows 8 a serverové edice Windows Server 2008 R2 a Windows Server 2012. Starší verze operačních systémů nejsou podporovány.
Uživatelské nastavení je pak ukládáno na centrálním síťovém úložišti, ze kterého může být přeneseno pomocí UE-V agenta na jakoukoliv jinou instanci operačního systémů. Využití UE-V nenajde pouze v „klasickém“ prostředí, tedy instalované operační systémy na fyzických počítačích, ale především pak v prostředí se službami Remote Desktop Services a VDI. Po implementaci UE-V je možné administrátorsky definovat, která nastavení mají být přenášena, přičemž UE-V již obsahuje předdefinované aplikace, mezi které patří Office, Internet Explorer a systémová nastavení. Celá infrastruktura pak může být spravována pomocí konzolí nebo pomocí PowerShell.
Microsoft Bitlocker Administration and Monitoring (MBAM)
Nástroj MBAM je perfektním doplňkem infrastruktury BitLocker – jedná se o centrální správu a konfiguraci šifrování disků pomocí BitLocker. Je nasnadě, že BitLocker je primárně konfigurovaný pomocí skupinových politik, nicméně bez využití nástroje MBAM není možné ukládat klíče pro obnovu v zabezpečeném úložišti (je možné pouze v AD), není možné vynucovat šifrování na koncových počítačích, stejně tak není možné reportovat stav šifrování na jednotlivých počítačích. MBAM se skládá z několika komponent. Centrální komponentou je webová služba, ke které se připojují jednotliví agenti, kteří jsou instalování na koncových počítačích a řídí BitLocker jako takový. Centrální data jsou ukládána v SQL serveru, kde minimálně pro databázi s recovery klíči je vyžadována edice Enterprise – celá databáze je šifrována. Konfigurační a report data jsou pak ukládána v běžné databázi. Celá práce probíhá pomocí webového prohlížeče, konfigurace koncového agenta na počítači pak pomocí skupinových politik, kde se provádí import administrační šablony pro komponentu MBAM. Reportování stavu – kompatibilita počítačů s technologií BitLocker, Stav šifrování na jednotlivých počítačích a další je prováděno opět pomocí webového prohlížeče, kde reporty jsou připraveny v SQL Reporting Services.
Pro získání klíčů pro obnovu je možné využít self service, případně odpovědným operátorům delegovat oprávnění pro získání těchto recovery klíčů. Celé řešení je možné vybudovat jako vysoce dostupné, tím tedy zajistit permanentní provoz pro poskytování recovery klíčů.
Zásadním přínosem MBAM pro prostředí se šifrováním BitLocker je vynucení šifrování na straně koncového počítače. MBAM agent zařídí většinu potřebných kroků (stále je nutné aktivovat TPM v BIOS), nicméně všechny ostatní konfigurační kroky jsou již v režii MBAM. Díky tomu je nasazení technologie BitLocker podstatně rychlejší a jednodušší.
Diagnostic and Recovery Toolset
Diagnostic and Recovery Toolset (DaRT) je sada nástrojů, umožňující správcům IT prostředí provést opravu systému, který není schopen korektně nastartovat. V dnešní době jsou velice časté jednoduché odpovědi „stačí znovu nainstalovat“. Některé počítače – typicky vedení firmy – jsou však kritické pro chod celé organizace. Při využití těchto nástrojů je možné například modifikovat registry, odinstalovat opravy systému, které způsobily chybu, analyzovat „crash dump“ soubory pro zjištění příčiny pádů systému, pomocí DiskCommander můžete obnovit smazané soubory či složky v operačním systému atd.
Jak nakoupit
Celý balík produktů MDOP je nabízen pouze pro zákazníky se Software Assurance pro desktopový operační systém jako roční předplatné, a to pouze za cca 7-10EUR na jednu stanici (přesná cena je dána konkrétním licenčním programem zákazníka). Licence je možné zakoupit i na část počítačů provozovaných ve firemním prostředí, není nutno licencovat všechny stanice. Jednotlivé části MDOP je pak možné využívat pouze na těchto licencovaných počítačích.
Odkazy
Další informace naleznete na webových stránkách věnovaných technologiím MDOP - http://www.microsoft.com/en-us/windows/enterprise/products-and-technologies/mdop/default.aspx
Ondřej Výšek, Solution Architect, Dell
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.
