【51CTO快译】每个人都熟悉十大排行榜。有十大最佳衣着排行榜、十大最差衣着排行榜、十大狗名排行榜、十大度假胜地排行榜等。不过,我们这里介绍的是七大排行榜,关注微软桌面优化包(简称MDOP)能为 IT 专业人员简化的七大难题。
1. 应用程序冲突、用户配置以及Windows部署
我们都知道将合适的应用程序提供给用户的机器面临重大挑战。你必须创建安装文件;在基本映像中测试,并与其他应用程序一道测试,确保它不会破坏任何东西;弄清楚谁需要该应用程序、用户使用哪些计算机作为主机器;确定把应用程序分发到什么机器上;安排在夜间进行分发,那样用户在工作时间不会受到影响;需要的话,重新启动,然后检查,确保应用程序成功安装,重新将应用程序分发到失败或疏忽的机器上。这一切需要在整个过程中投入大量的工作,确保一切运行正常。
别误会我的意思;这套方法已用了好多年。但如果你可以运用同样原则、整合步骤,为贵企业节省时间和金钱,将会怎么样?如果你可以大幅缩短从接到请求到用户可以投入运行的时间,同时让用户能够在需要时“获取”应用程序,将会怎么样?请继续读下去。
借助微软应用程序虚拟化技术(App-V),你只要将应用程序与操作系统分离出来,就可以在赋予IT人员所需的控制权与满足用户要求(要求灵活、任何地方都能获得应用程序)之间求得平衡。换句话说,每一个应用程序单独打包,与操作系统及其他应用程序隔离开来,但是仍可以彼此联系,充分利用系统资源。严格地说,每个应用程序各自都能看到系统文件和注册表的视图,因此该应用程序所作的变更都在其虚拟环境中得到控制,并不影响系统或其他应用程序。除此之外,由于应用程序不需要对系统进行变更,使用App-V时,你从来不用安装应用程序。这很棒,也大有助益。由于对基本操作系统没有什么变更,操作系统仍保持原始状态,应用程序相互之间的影响极小,大大减少了冲突。
还减少了部署软件和Windows的时间和成本。你的测试时间变短了,因为每个应用程序彼此隔离开来。一旦你为应用程序安排了顺序、赋予适当权限,并将其程序包放在服务器上,相应图标就会立即呈现在用户面前。用户不必等待应用程序安装,就可以启动应用程序,因为应用程序可以按照需要,进行流式下载。安装一台新的Windows 7计算机如同装入基本映像,让用户登录一样简单:App-V会完成其余工作。
由于应用程序从未安装,与应用程序故障排除有关的技术支持时间也缩短了。不必为应用程序排除故障,也不必卸载/重新安装应用程序。相反,只要执行还原或修复操作,你又可以正常运行了。
证明App-V功能之强大的另一个典例就是在一个桌面上运行两个版本的微软Office。如果你曾经尝试在同一台计算机上运行Office的两个不同版本,就知道这对大多数普通人来说几乎是不可能的。由于众多的共享和通用文件,两个版本会相互干扰。贵企业可能有用户或业务应用程序仍需要早期版本的 Excel、Access或Office的另一个组件,但是用户希望能够使用最新的Office版本来处理大部分工作,因为更新颖的Office版本提供了改进的功能,可以提高用户的工作效率。
你可以从图1看出,使用App-V做到这一点很简单,也很容易。由于Office 2007和Office 2010这两个版本都进行了虚拟化处理,并且彼此隔离,因而可以并行运行。
图1:多亏了App-V,Office 2007和Office 2010得以并行运行
如果你希望查看App-V或任何MDOP产品,可以通过订阅MSDN或TechNet来获得相关内容。如果你准备部署64 位Windows 7或Windows Server 2008 R2,可以从微软Connect下载App-V 4.6测试版(https://connect.microsoft.com/AppV46.aspx)。#p#
2. 应用程序与操作系统不兼容
IT专业人员面临的最头痛的难题之一就是,处理应用程序兼容性问题。这可能是企业内部编写的应用程序,只能在旧版操作系统上运行;也可能是从外面买来的软件包,但你根本没有时间在新操作系统上完成测试。
你可能已听说,Windows 7引入了Windows XP模式;该模式让无法在 Windows 7上运行的应用程序可以在虚拟Windows XP环境下运行,但是看起来就像它们仍正常安装在计算机上那样。虽然这对只有几台计算机的小企业来说是很好的解决方案,但是对大型企业来说很快就会变成一个管理难题。
这时我们可以使用MDOP这把瑞士军刀中的微软企业桌面虚拟化(MED-V)这个工具。
MED-V为你提供了XP模式的全部功能:可以在隐藏起来、用户看不见的本地XP虚拟机中运行应用程序;另外,借助MED-V,你拥有了IT专业人员部署虚拟Windows XP环境所需要的控制和管理功能。
MED-V有助于将IT人员管理的虚拟XP环境部署到最终用户面前。它可以对每一个环境进行定制。比如说,它可以使虚拟机的首次安装实现自动化,根据计算机设置来确定网络连接,为虚拟机赋予独特名称,并且将虚拟机加入到活动目录域。然后,它可以根据主机上的可用内存,调整计算机的虚拟内存。此外,MED-V可以帮助你为用户和用户组配置虚拟映像。你还能选择将来可以使用哪些特定的应用程序。这些应用程序从Windows 7开始菜单启动,可以在用户的Windows 7桌面上无缝运行。
MED-V的一种很好的使用场景是,当一些内部的Web应用程序与新的Internet Explorer无法顺畅地协同运行,但是仍需要Internet Explorer 6时。使用MED-V,你可以指定单个网站,那样用户试图访问这些网站时(通过在默认浏览器中输入URL),访问请求会自动由MED-V客户端自动重定向至虚拟XP环境,在Internet Explorer 6中运行。
最后,MED-V增加了监控和故障排除功能,确保部署到成百上千台计算机上的虚拟环境总体上运行状况良好。#p#
3. 恢复无法启动的计算机
为毫无反应或无法启动的计算机排除故障很费时间,而且常常得不到解决办法。因此,许多IT专业人员索性为计算机重新建立映像。在没有使用漫游配置文件的企业,这么做会导致设置丢失,还有可能导致存储在本地驱动器上的关键数据丢失。
你可以借助诊断和恢复工具集(DaRT)来解决这个问题,DaRT是MDOP的一部分。DaRT结合了14款用来处理计算机典型问题的工具。之前熟悉Winternals工具的那些人会认出属于DaRT核心的ERD Commander。但是DaRT还包括了新工具和改进之处。
使用崩溃分析器(Crash Analyzer),你很容易查明无法启动的计算机遇到了什么问题。像坏的热修复程序安装这些可以从DaRT里面来恢复原状;坏的驱动程序可以在重新启动前卸载和移除。你还可以编辑注册表、使用Computer Management等工具,或者将文件拷贝到USB驱动器或网络上。
如果你在贵企业内使用BitLocker,就可以借助DaRT,恢复从BitLocker加密的驱动器中丢失和删除的文件。
DaRT是你希望永远不必使用的工具之一,但是你的工具库最好有这个工具,以备不时之需。
图2:DaRT有保持桌面高效运行所需要的许多工具#p#
4. 移除rootkit软件及其他恶意软件
间谍软件、病毒和恶意软件变得越来越高明,利用rootkit软件等黑客技术将自己植入到内存中,然后隐藏起来,大多数检测机制检测不出来。
虽然实时反恶意软件扫描器非常有效,也是贵企业基础架构的一个重要部分,但还是有一些漏网之鱼,所以采取纵深防御策略很重要。如今市面上的许多反恶意软件引擎很难有效地移除rootkit软件,除了清除机器、重构系统外,常常几乎没有多少选择。
但是如果你使用DaRT,就有了一个好得多的选择:独立系统清道夫(Standalone System Sweeper),这是DaRT的14个工具之一。由于你能够从DaRT磁盘启动计算机,因此被感染的操作系统在脱机状态下处于非活动状态。由于基于硬驱的操作系统处于脱机状态,独立系统清道夫就能扫描所有文件和文件夹,rootkit软件和恶意代码就无处躲藏。由于它们现在暴露无遗,独立系统清道夫就能删除它们。要不是独立系统清道夫,许多人除了重新格式化有问题的计算机,然后统统重新安装一遍外,别无选择。
图3:作为DaRT的其中一款工具,独立系统清道夫很适合清除被感染机器上的恶意软件和rootkit软件。#p#
5. 监控错误趋势
你访问用户的机器、发现某个应用程序经常崩溃的频繁程度如何?当你询问用户时,最常见的回应是“机器一直崩溃不断”,但你从来没听说过这个问题。在所有应用程序和系统崩溃事件中,平均大约90%是用户没有报告的。用户只是叹口气,重新启动机器或重新运行应用程序,然后继续工作。大多数时候,发生这种情况时,用户可以选择借助 Windows错误报告(WER),自动报告应用程序崩溃方面的信息,而这种信息直接发送到微软。
在MDOP中,你会找到系统中心桌面错误监控(DEM)。DEM提供了系统中心操作管理器的一部分功能以监控桌面;尽管名称是这样,它不需要系统中心服务器或许可证。使用DEM,你可以建立SQL Server数据库和SQL Reporting Services报告,为你提供关于贵企业出现的所有应用程序崩溃和蓝屏错误的信息。虽然可以设置警报、以便立即采取操作,最好用它来运行定期报告,查看综合的错误信息。
许多IT专业人员忙于处理大量的日常请求,无暇积极主动地监控错误报告,但是不用担心:DEM可从两个方面来帮助你。它能够将错误报告发送到微软,一旦有了解决这个问题的知识库文章或补丁,它就会通知你。通过审查报告,并向用户发送补丁或更新的驱动程序,你可以花最少的精力,解决多个最终用户的问题。
DEM还让你可以更准确地对问题进行排查,因为你拥有关于问题严重性的实际统计数据,比如被感染用户的数量以及这个问题出现在他们机器上的频繁程度。有了这些数据,你可以集中精力去解决影响最多用户的问题。
DEM使用Windows错误报告(WER),这是最新一代的Watson。由于WER是操作系统的一项特性,应用程序的开发人员就没必要为它编写特殊代码。贵企业内部开发的应用程序发生的任何崩溃仍会报告给DEM服务器。
由于DEM被设为组策略对象(GPO),将DEM部署到整个企业的桌面上很简单,不需要安装客户端组件。只要在活动目录中设置GPO,下一次用户登录后,他们的计算机就会开始将所有错误直接报告给你。就这么简单。
图4:DEM在内置报告中提供了宝贵的数据,可以帮助你了解哪些应用程序和系统遇到的问题最多,按轻重缓急先后解决问题。#p#
6. 查明用户在使用什么软件、你需要什么软件
你是否曾经想知道贵企业的所有计算机上到底装了什么软件?你知道自己部署的基本映像中有什么软件,也知道自己安装了什么软件,但是知道用户添加的任何软件吗?可曾想过你是否果真需要购买的那套会计软件的那份可供5000个用户使用的许可证?
你猜到了,没错,MDOP为你提供了解决方案,它就叫资产清查服务(AIS)。AIS是一种在线服务,有助于提供贵企业桌面软件环境的综合信息。
借助AIS,你可以查明某一款软件部署了多少套、它们部署到了谁的机器上,以及是否需要向软件发布商增加或减少许可用户的数量。
你在计划迁移至Windows 7时,AIS可以提供一份示意图,表明在当前环境、甚至在你不常访问的远程站点运行着什么应用程序,从而帮助你摸清情况。利用这些数据,你就可以确定测试和部署时间表及计划的优先顺序。#p#
7. 管理组策略
组策略对象让你能够同时迅速管理许多计算机上的多个用户和桌面设置,从而在网络管理方面起到重大作用。对GPO只要进行一次更改,就能影响网络上的所有用户和计算机。
老话说得好:“能力越大,责任越大。”一旦你更新了GPO,变更就会开始影响数百台计算机。在你有机会全面测试更新版之前,更新版可能会干扰整个公司;要是没有变更控制系统,就无法轻松地恢复变更。如果你变更了多个策略,又不确定哪个变更引起了干扰,面临的难度就更大了。
借助MDOP中的高级组策略管理(AGPM),你就有了变更管理解决方案,它可以直接接入到你习惯使用的当前组策略管理控制台界面。
此外,虽然组策略提供了一种委托模型,但是编辑器角色拥有对工作环境进行变更的全部权限。由于一个GPO可能有多个编辑器,因而无法检测出谁进行了什么变更,或者无法在生效之前接受或拒绝变更。
借助AGPM,你可以建立一种非常适合贵企业的委托和工作流模型。使用其报告功能,你可以查明所要管理的任何GPO的变更历史记录;万一发生问题,可以恢复原状。你甚至可以生成报告,比较GPO的两个先前版本,不同部分用颜色标注出来,以便着重显示。
使用支持Windows 7的AGPM 4.0,你还可以获得搜索/过滤和多林/域支持。
使用搜索和过滤功能,你可以按GPO的任何属性来过滤贵企业的所有GPO。AGPM 可以帮助你更迅速地找到GPO,这样可以将时间花在更有意义的事情上,而不是将时间花在上下滚动、查找部署的大量组策略上,试图找到需要更新的某个策略。
新的多林支持功能让你可以将GPO从一个网络移到另一个网络,哪怕并不存在物理网络连接。你可以在测试环境中部署和测试GPO,然后等准备就绪后,可以将它们引入到你的生产环境林。AGPM会保留原始的元数据,并支持迁移表格。
图5:AGPM让你可以针对所有组策略对象实施变更控制、工作流和报告。
结束语
就是这样。MDOP好比是帮助IT专业人员应对难题的瑞士军刀。如果你在为贵企业考虑使用软件保证(Software Assurance)或平台企业协议,就要确保为软件包添加了MDOP。所有那些出色的工具只需要每年为每个桌面多花大约10 美元或更少。如果贵企业已经有了软件保证服务,但你不知道是否拥有MDOP,就应该与采购部联系一下,看看是否已经拥有可以部署MDOP的许可证。
【编辑推荐】