微軟簡化IT專業人員的七大難題
譯文【51CTO快譯】每個人都熟悉十大排行榜。有十大最佳衣著排行榜、十大最差衣著排行榜、十大狗名排行榜、十大度假勝地排行榜等。不過,我們這里介紹的是七大排行榜,關注微軟桌面優化包(簡稱MDOP)能為 IT 專業人員簡化的七大難題。
1. 應用程序沖突、用戶配置以及Windows部署
我們都知道將合適的應用程序提供給用戶的機器面臨重大挑戰。你必須創建安裝文件;在基本映像中測試,并與其他應用程序一道測試,確保它不會破壞任何東西;弄清楚誰需要該應用程序、用戶使用哪些計算機作為主機器;確定把應用程序分發到什么機器上;安排在夜間進行分發,那樣用戶在工作時間不會受到影響;需要的話,重新啟動,然后檢查,確保應用程序成功安裝,重新將應用程序分發到失敗或疏忽的機器上。這一切需要在整個過程中投入大量的工作,確保一切運行正常。
別誤會我的意思;這套方法已用了好多年。但如果你可以運用同樣原則、整合步驟,為貴企業節省時間和金錢,將會怎么樣?如果你可以大幅縮短從接到請求到用戶可以投入運行的時間,同時讓用戶能夠在需要時“獲取”應用程序,將會怎么樣?請繼續讀下去。
借助微軟應用程序虛擬化技術(App-V),你只要將應用程序與操作系統分離出來,就可以在賦予IT人員所需的控制權與滿足用戶要求(要求靈活、任何地方都能獲得應用程序)之間求得平衡。換句話說,每一個應用程序單獨打包,與操作系統及其他應用程序隔離開來,但是仍可以彼此聯系,充分利用系統資源。嚴格地說,每個應用程序各自都能看到系統文件和注冊表的視圖,因此該應用程序所作的變更都在其虛擬環境中得到控制,并不影響系統或其他應用程序。除此之外,由于應用程序不需要對系統進行變更,使用App-V時,你從來不用安裝應用程序。這很棒,也大有助益。由于對基本操作系統沒有什么變更,操作系統仍保持原始狀態,應用程序相互之間的影響極小,大大減少了沖突。
還減少了部署軟件和Windows的時間和成本。你的測試時間變短了,因為每個應用程序彼此隔離開來。一旦你為應用程序安排了順序、賦予適當權限,并將其程序包放在服務器上,相應圖標就會立即呈現在用戶面前。用戶不必等待應用程序安裝,就可以啟動應用程序,因為應用程序可以按照需要,進行流式下載。安裝一臺新的Windows 7計算機如同裝入基本映像,讓用戶登錄一樣簡單:App-V會完成其余工作。
由于應用程序從未安裝,與應用程序故障排除有關的技術支持時間也縮短了。不必為應用程序排除故障,也不必卸載/重新安裝應用程序。相反,只要執行還原或修復操作,你又可以正常運行了。
證明App-V功能之強大的另一個典例就是在一個桌面上運行兩個版本的微軟Office。如果你曾經嘗試在同一臺計算機上運行Office的兩個不同版本,就知道這對大多數普通人來說幾乎是不可能的。由于眾多的共享和通用文件,兩個版本會相互干擾。貴企業可能有用戶或業務應用程序仍需要早期版本的 Excel、Access或Office的另一個組件,但是用戶希望能夠使用最新的Office版本來處理大部分工作,因為更新穎的Office版本提供了改進的功能,可以提高用戶的工作效率。
你可以從圖1看出,使用App-V做到這一點很簡單,也很容易。由于Office 2007和Office 2010這兩個版本都進行了虛擬化處理,并且彼此隔離,因而可以并行運行。
圖1:多虧了App-V,Office 2007和Office 2010得以并行運行
如果你希望查看App-V或任何MDOP產品,可以通過訂閱MSDN或TechNet來獲得相關內容。如果你準備部署64 位Windows 7或Windows Server 2008 R2,可以從微軟Connect下載App-V 4.6測試版(https://connect.microsoft.com/AppV46.aspx)。#p#
2. 應用程序與操作系統不兼容
IT專業人員面臨的最頭痛的難題之一就是,處理應用程序兼容性問題。這可能是企業內部編寫的應用程序,只能在舊版操作系統上運行;也可能是從外面買來的軟件包,但你根本沒有時間在新操作系統上完成測試。
你可能已聽說,Windows 7引入了Windows XP模式;該模式讓無法在 Windows 7上運行的應用程序可以在虛擬Windows XP環境下運行,但是看起來就像它們仍正常安裝在計算機上那樣。雖然這對只有幾臺計算機的小企業來說是很好的解決方案,但是對大型企業來說很快就會變成一個管理難題。
這時我們可以使用MDOP這把瑞士軍刀中的微軟企業桌面虛擬化(MED-V)這個工具。
MED-V為你提供了XP模式的全部功能:可以在隱藏起來、用戶看不見的本地XP虛擬機中運行應用程序;另外,借助MED-V,你擁有了IT專業人員部署虛擬Windows XP環境所需要的控制和管理功能。
MED-V有助于將IT人員管理的虛擬XP環境部署到最終用戶面前。它可以對每一個環境進行定制。比如說,它可以使虛擬機的首次安裝實現自動化,根據計算機設置來確定網絡連接,為虛擬機賦予獨特名稱,并且將虛擬機加入到活動目錄域。然后,它可以根據主機上的可用內存,調整計算機的虛擬內存。此外,MED-V可以幫助你為用戶和用戶組配置虛擬映像。你還能選擇將來可以使用哪些特定的應用程序。這些應用程序從Windows 7開始菜單啟動,可以在用戶的Windows 7桌面上無縫運行。
MED-V的一種很好的使用場景是,當一些內部的Web應用程序與新的Internet Explorer無法順暢地協同運行,但是仍需要Internet Explorer 6時。使用MED-V,你可以指定單個網站,那樣用戶試圖訪問這些網站時(通過在默認瀏覽器中輸入URL),訪問請求會自動由MED-V客戶端自動重定向至虛擬XP環境,在Internet Explorer 6中運行。
最后,MED-V增加了監控和故障排除功能,確保部署到成百上千臺計算機上的虛擬環境總體上運行狀況良好。#p#
3. 恢復無法啟動的計算機
為毫無反應或無法啟動的計算機排除故障很費時間,而且常常得不到解決辦法。因此,許多IT專業人員索性為計算機重新建立映像。在沒有使用漫游配置文件的企業,這么做會導致設置丟失,還有可能導致存儲在本地驅動器上的關鍵數據丟失。
你可以借助診斷和恢復工具集(DaRT)來解決這個問題,DaRT是MDOP的一部分。DaRT結合了14款用來處理計算機典型問題的工具。之前熟悉Winternals工具的那些人會認出屬于DaRT核心的ERD Commander。但是DaRT還包括了新工具和改進之處。
使用崩潰分析器(Crash Analyzer),你很容易查明無法啟動的計算機遇到了什么問題。像壞的熱修復程序安裝這些可以從DaRT里面來恢復原狀;壞的驅動程序可以在重新啟動前卸載和移除。你還可以編輯注冊表、使用Computer Management等工具,或者將文件拷貝到USB驅動器或網絡上。
如果你在貴企業內使用BitLocker,就可以借助DaRT,恢復從BitLocker加密的驅動器中丟失和刪除的文件。
DaRT是你希望永遠不必使用的工具之一,但是你的工具庫最好有這個工具,以備不時之需。
圖2:DaRT有保持桌面高效運行所需要的許多工具#p#
4. 移除rootkit軟件及其他惡意軟件
間諜軟件、病毒和惡意軟件變得越來越高明,利用rootkit軟件等黑客技術將自己植入到內存中,然后隱藏起來,大多數檢測機制檢測不出來。
雖然實時反惡意軟件掃描器非常有效,也是貴企業基礎架構的一個重要部分,但還是有一些漏網之魚,所以采取縱深防御策略很重要。如今市面上的許多反惡意軟件引擎很難有效地移除rootkit軟件,除了清除機器、重構系統外,常常幾乎沒有多少選擇。
但是如果你使用DaRT,就有了一個好得多的選擇:獨立系統清道夫(Standalone System Sweeper),這是DaRT的14個工具之一。由于你能夠從DaRT磁盤啟動計算機,因此被感染的操作系統在脫機狀態下處于非活動狀態。由于基于硬驅的操作系統處于脫機狀態,獨立系統清道夫就能掃描所有文件和文件夾,rootkit軟件和惡意代碼就無處躲藏。由于它們現在暴露無遺,獨立系統清道夫就能刪除它們。要不是獨立系統清道夫,許多人除了重新格式化有問題的計算機,然后統統重新安裝一遍外,別無選擇。
圖3:作為DaRT的其中一款工具,獨立系統清道夫很適合清除被感染機器上的惡意軟件和rootkit軟件。#p#
5. 監控錯誤趨勢
你訪問用戶的機器、發現某個應用程序經常崩潰的頻繁程度如何?當你詢問用戶時,最常見的回應是“機器一直崩潰不斷”,但你從來沒聽說過這個問題。在所有應用程序和系統崩潰事件中,平均大約90%是用戶沒有報告的。用戶只是嘆口氣,重新啟動機器或重新運行應用程序,然后繼續工作。大多數時候,發生這種情況時,用戶可以選擇借助 Windows錯誤報告(WER),自動報告應用程序崩潰方面的信息,而這種信息直接發送到微軟。
在MDOP中,你會找到系統中心桌面錯誤監控(DEM)。DEM提供了系統中心操作管理器的一部分功能以監控桌面;盡管名稱是這樣,它不需要系統中心服務器或許可證。使用DEM,你可以建立SQL Server數據庫和SQL Reporting Services報告,為你提供關于貴企業出現的所有應用程序崩潰和藍屏錯誤的信息。雖然可以設置警報、以便立即采取操作,最好用它來運行定期報告,查看綜合的錯誤信息。
許多IT專業人員忙于處理大量的日常請求,無暇積極主動地監控錯誤報告,但是不用擔心:DEM可從兩個方面來幫助你。它能夠將錯誤報告發送到微軟,一旦有了解決這個問題的知識庫文章或補丁,它就會通知你。通過審查報告,并向用戶發送補丁或更新的驅動程序,你可以花最少的精力,解決多個最終用戶的問題。
DEM還讓你可以更準確地對問題進行排查,因為你擁有關于問題嚴重性的實際統計數據,比如被感染用戶的數量以及這個問題出現在他們機器上的頻繁程度。有了這些數據,你可以集中精力去解決影響最多用戶的問題。
DEM使用Windows錯誤報告(WER),這是最新一代的Watson。由于WER是操作系統的一項特性,應用程序的開發人員就沒必要為它編寫特殊代碼。貴企業內部開發的應用程序發生的任何崩潰仍會報告給DEM服務器。
由于DEM被設為組策略對象(GPO),將DEM部署到整個企業的桌面上很簡單,不需要安裝客戶端組件。只要在活動目錄中設置GPO,下一次用戶登錄后,他們的計算機就會開始將所有錯誤直接報告給你。就這么簡單。
圖4:DEM在內置報告中提供了寶貴的數據,可以幫助你了解哪些應用程序和系統遇到的問題最多,按輕重緩急先后解決問題。#p#
6. 查明用戶在使用什么軟件、你需要什么軟件
你是否曾經想知道貴企業的所有計算機上到底裝了什么軟件?你知道自己部署的基本映像中有什么軟件,也知道自己安裝了什么軟件,但是知道用戶添加的任何軟件嗎?可曾想過你是否果真需要購買的那套會計軟件的那份可供5000個用戶使用的許可證?
你猜到了,沒錯,MDOP為你提供了解決方案,它就叫資產清查服務(AIS)。AIS是一種在線服務,有助于提供貴企業桌面軟件環境的綜合信息。
借助AIS,你可以查明某一款軟件部署了多少套、它們部署到了誰的機器上,以及是否需要向軟件發布商增加或減少許可用戶的數量。
你在計劃遷移至Windows 7時,AIS可以提供一份示意圖,表明在當前環境、甚至在你不常訪問的遠程站點運行著什么應用程序,從而幫助你摸清情況。利用這些數據,你就可以確定測試和部署時間表及計劃的優先順序。#p#
7. 管理組策略
組策略對象讓你能夠同時迅速管理許多計算機上的多個用戶和桌面設置,從而在網絡管理方面起到重大作用。對GPO只要進行一次更改,就能影響網絡上的所有用戶和計算機。
老話說得好:“能力越大,責任越大。”一旦你更新了GPO,變更就會開始影響數百臺計算機。在你有機會全面測試更新版之前,更新版可能會干擾整個公司;要是沒有變更控制系統,就無法輕松地恢復變更。如果你變更了多個策略,又不確定哪個變更引起了干擾,面臨的難度就更大了。
借助MDOP中的高級組策略管理(AGPM),你就有了變更管理解決方案,它可以直接接入到你習慣使用的當前組策略管理控制臺界面。
此外,雖然組策略提供了一種委托模型,但是編輯器角色擁有對工作環境進行變更的全部權限。由于一個GPO可能有多個編輯器,因而無法檢測出誰進行了什么變更,或者無法在生效之前接受或拒絕變更。
借助AGPM,你可以建立一種非常適合貴企業的委托和工作流模型。使用其報告功能,你可以查明所要管理的任何GPO的變更歷史記錄;萬一發生問題,可以恢復原狀。你甚至可以生成報告,比較GPO的兩個先前版本,不同部分用顏色標注出來,以便著重顯示。
使用支持Windows 7的AGPM 4.0,你還可以獲得搜索/過濾和多林/域支持。
使用搜索和過濾功能,你可以按GPO的任何屬性來過濾貴企業的所有GPO。AGPM 可以幫助你更迅速地找到GPO,這樣可以將時間花在更有意義的事情上,而不是將時間花在上下滾動、查找部署的大量組策略上,試圖找到需要更新的某個策略。
新的多林支持功能讓你可以將GPO從一個網絡移到另一個網絡,哪怕并不存在物理網絡連接。你可以在測試環境中部署和測試GPO,然后等準備就緒后,可以將它們引入到你的生產環境林。AGPM會保留原始的元數據,并支持遷移表格。
圖5:AGPM讓你可以針對所有組策略對象實施變更控制、工作流和報告。
結束語
就是這樣。MDOP好比是幫助IT專業人員應對難題的瑞士軍刀。如果你在為貴企業考慮使用軟件保證(Software Assurance)或平臺企業協議,就要確保為軟件包添加了MDOP。所有那些出色的工具只需要每年為每個桌面多花大約10 美元或更少。如果貴企業已經有了軟件保證服務,但你不知道是否擁有MDOP,就應該與采購部聯系一下,看看是否已經擁有可以部署MDOP的許可證。
【編輯推薦】
