Розгортання Office 2007 і керування мережами VPN за допомогою групової політики, MS Office, Програмні керівництва, статті

Минуло близько року з часу публікації моєї останньої статті про деякі типових недоліках групової політики, з якими мені доводилося стикатися. З тих пір деякі властивості групової політики змінилося, але багато чого залишилося колишнім. Компанія Microsoft випустила новий компонент Group Policy Preferences, завдяки якому значно розширилися можливості групової політики Windows Server 2008, Windows Vista, Windows Server 2003 і Windows XP. Однак адміністратори як і раніше незадоволені складністю груповий політики, хоча добре відгукуються про можливості. Розглянемо деякі вади груповий політики та шляхи їх усунення.

Розгортання Office 2007

Випускаючи Office 2007, компанія Microsoft, очевидно, проігнорувала інтереси тисяч ІТ-адміністраторів, що використовують компонент Group Policy Software Installation (GPSI) для розгортання Office на настільних комп’ютерах. У кращому випадку можливості групової політики для розгортання Office 2007значно скромніше, ніж для Microsoft Office 2003. В гіршому випадку GPSI для розгортання Office 2007абсолютно даремний. Що ж сталося і як подолати несподівану перешкоду?

Microsoft повністю змінила модель установки Office 2007. Компанія як і раніше надає необхідний для установки Office файл Windows Installer (. Msi), але відмовилася від підтримки найважливіших файлів перетворень. У колишніх версіях Office адміністратори використовували файли перетворень в процесі GPSI-установки для настройки способу розгортання примірників Office. За допомогою файлу перетворень можна ввести ліцензійні коди, вибрати встановлювані додатки і навіть налаштувати параметри додатків комплексу Office.

Однак Office 2007 не підтримує перетворень. Адміністратори можуть застосовувати MSP-файли Windows Installer для налаштування встановлюються примірників Office, але GPSI не може використовувати MSP-файли. Тому Microsoft надає файл config.xml, який можна використовувати разом з GPSI для настройки Office. Config.xml докладно описаний у статті Microsoft “Use Group Policy Software Installation to deploy the 2007 Office system “за адресою technet.microsoft.com/en-us/library/cc179214.aspx. Але за допомогою config.xml можна лише вказати, які програми Office слід встановити через GPSI. Для будь-яких інших налаштувань необхідно підготувати MSP-файли з використанням адміністративного інструментарію Office. І звичайно, не можна використовувати MSP-файли всередині GPSI. Чи існують інші виходи з ситуації, крім покупки продукту розгортання програмного забезпечення або відмови від розгортання Office 2007?

Альтернативний варіант – використовувати сценарій реєстрації групових політик для розгортання спеціального сценарію, в якому застосовується як програма установки Office, так і MSP-файли. Детальний опис цього підходу наведено в статті Microsoft “Use Group Policy to assign computer startup scripts for 2007 Office deployment” за адресою technet.microsoft.com / en-us / library/cc179134.aspx. Недолік сценарію реєстрації полягає в неможливості, на відміну від GPSI, керувати життєвим циклом додатків, в тому числі виправляти, оновлювати і видаляти програми за допомогою групової політики. Але підхід на основі сценарію реєстрації, принаймні, дозволяє розгорнути Office 2007з використанням групової політики без дорогого рішення щодо розгортання програмного забезпечення.

Групова політика в мережах VPN

Надходить багато питань від адміністраторів, які намагаються застосувати групову політику до мобільних користувачам. Часто їм потрібно послабити настройки групової політики, встановлені в корпоративному середовищі, для співробітників, що працюють поза офісом. На жаль, групова політика не дуже зручна для мобільних користувачів.

У першу чергу потрібно відзначити, що обробка групової політики виконується тільки в тому випадку, якщо комп’ютер встановив зв’язок з контролером (DC) в домені, до якого він належить. Тому якщо мобільний користувач працює вдома зі службовим ноутбуком, не підключеним до мережі компанії через VPN, групова політика не обробляється. Застосовуються параметри, отримані ноутбуком під час останнього сеансу зв’язку з мережею компанії. Наприклад, якщо користувач працював з proxy-сервером в мережі компанії, то він буде працювати з ним же і поза мережею.

Коли користувач підключається до мережі компанії через VPN, комп’ютер обробляє групову політику як завжди, хоч і через більш повільний канал зв’язку. Пам’ятайте, що фонова обробка проводиться кожні 90 хвилин, з урахуванням випадкового зсуву тривалістю 30 хвилин, на робочих станціях і автономних серверах, які є членами домену. На комп’ютерах з Vista є функція Network Location Awareness Refresh. Якщо автономний комп’ютер Vista невдало намагається оновити групову політику, вона оновлюється майже негайно після того, як DC знову стане доступним.

Необхідно враховувати, що, за винятком випадків, коли VPN-з’єднання надається зовнішнім пристроєм, а не робочою станцією, віддалений комп’ютер не зможе обробити політики певних видів. Наприклад, політики для окремих комп’ютерів, що виконуються тільки при запуску комп’ютера, такі як розгортання програм або сценарії реєстрації, не працюють, якщо VPN-з’єднання з DC недоступно в процесі завантаження операційної системи комп’ютера. Крім того, політики користувачів, які потребують процедури реєстрації (наприклад, розгортання спеціальних програм або сценарії реєстрації) не працюють, якщо тільки користувач не реєструється в Windows з використанням параметра Logon using dial-up connection на екрані реєстрації.

Нарешті, припустимо, що потрібно провести віддаленого користувача по процесу скасування деяких параметрів корпоративної політики. Логічно припустити, що користувач, змінивши локальний об’єкт групової політики (GPO), може тимчасово скасувати встановлені раніше параметри домену. Але це не так. Якщо у приєднаного до домену комп’ютера немає зв’язку з DC, Windows ігнорує будь-які зміни в налаштуваннях користувача, зроблені в локальному об’єкті GPO, так як обробка політики не виконується, коли комп’ютер функціонує в автономному режимі.

Обійти це прикре перешкоду дуже важко, але можна проявити творчий підхід. Можна задіяти об’єкти GPO, пов’язані з сайтами, застосувавши альтернативні настройки до комп’ютера або користувачеві, подключающегося до DC з IP-підмережі, виділеної для VPN-клієнтів. Проблема в тому, що пов’язані з сайтами об’єкти GPO знаходяться в ієрархії обробки нижче, ніж більш широко застосовуються користувачами об’єкти GPO, пов’язані з доменом та організаційної одиницею. Навіть якщо діють пов’язані з сайтами об’єкти GPO, що пом’якшують блокування, вони будуть скасовані іншими об’єктами GPO.

Проблему можна обійти, встановивши посилання на пов’язаному з сайтом об’єкті GPO в значення Enforced. Завдяки прапору Enforced параметри пов’язаного з сайтом об’єкта GPO мають пріоритет, навіть якщо нижчестоящі об’єкти GPO конфліктують з ним. Недолік використання Enforced полягає в труднощі управління пов’язаними з сайтом об’єктами GPO, так як сайти можуть охоплювати декілька доменів. Якщо управління пов’язаними з сайтом об’єктами GPO не викликає труднощів, то метод з прапором Enforced може виявитися вдалим.

Ще одне неординарне рішення – нові переваги групової політики Group Policy Preferences. За допомогою переваг групової політики можна визначити установки GPO, а потім у відповідності з методом, відомим як “вказівка ​​на рівні елемента”, використовувати різні деталізовані фільтри для застосування налаштувань до певних комп’ютерів. Зокрема, можна застосувати фільтр діапазону IP-адрес, показаний на екрані.

Фільтр діапазону IP-адреси

Виконуючи фільтрацію за діапазоном адрес, призначених VPN-клієнтам, в перевагах групової політики можна застосувати політики реєстру, які скасовують налаштування, зазначені в політиці адміністративних шаблонів. Оскільки розширення реєстру переваг групової політики запускається після розширення адміністративних шаблонів, даний підхід скасовує політику адміністративних шаблонів, коли комп’ютер або користувач підключений до підмережі VPN. На жаль, політику адміністративних шаблонів потрібно застосувати, коли користувач повернеться в мережу компанії, а цього не станеться, якщо не запускати політику адміністративних шаблонів примусово в кожному циклі поновлення групової політики.

Висновок: хоча єдиного рішення для управління безпекою мобільних користувачів не існує, є кілька творчих способів полегшити роботу таких користувачів, не від’єднуючи їх комп’ютери з домену AD.

Життя з груповою політикою

Групова політика – потужний інструмент управління конфігурацією настільного комп’ютера, корисний, проте не у всіх випадках. Іноді працювати з ним важко, як показано в наведених вище прикладах. Завдяки такому нововведенню, як переваги групової політики, адміністраторам надаються більш широкі можливості. Наступного разу при виникненні проблем з груповою політикою згадайте про те, що творчий підхід до застосування сценаріїв і переваг групової політики допоможе обійти проблеми і використати переваги цієї потужної технології, щоб встановити повний контроль над настільними комп’ютерами і серверами Windows.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*