Использование групповой политики для развертывания XP

Рациональное обновление станций клиентов.

Обновление систем в корпоративной сети отнимает немало времени, особенно когда речь идет о развертывании на станциях клиентов новой операционной системы, такой как Windows XP. Этот процесс начинается с планирования и тестирования процедуры установки нового клиента. Этап планирования требует наибольших усилий, поскольку, скоре всего, вы ограничены в ресурсах и, следовательно, должны наиболее рационально распорядиться тем, что имеете. Выборочное обновление клиентов (например, по подразделениям) - разумное решение, особенно если процесс обновления удастся автоматизировать. В данной статье будет рассмотрено использование Group Policy как средства автоматизации обновления клиентской операционной системы до уровня Windows XP. Group Policy - это программный инструмент для управления, и он по праву считается превосходным инструментом для обновления станций Windows 2000 Professional до XP Professional Edition.

Использование Group Policy для развертывания программного обеспечения

Microsoft разрабатывала Group Policy как механизм для детального управления настройками групп пользователей и компьютеров. В результате оказалось, что Group Policy можно использовать для развертывания программных пакетов в рамках отдельных логических структур, например, Organizational Units (OU). С появлением Windows 2000 в Group Policy появилась возможность устанавливать программное обеспечение, управление настройками стало еще более сложным, причем обязательным условием стало наличие инфраструктуры Active Directory (AD).

Использование Group Policy для развертывания XP Pro кардинально упрощает стадии тестирования и установки программного обеспечения. В состав XP Pro включен файл Windows Installer (.msi), и для данной сети в него нужно внести очень незначительные изменения, если планируется использовать Group Policy для развертывания программ.

В Group Policy реализовано два типа установки программного обеспечения, применительно к пользователю и к компьютеру. Пакет установки программного обеспечения (Software Installation Package) пользователя может иметь или атрибут assign (назначить) или publish (опубликовать). Когда вы назначаете приложение, в меню Start пользователя появляется соответствующий ярлык, а в реестре прописываются сведения о приложении. После этого приложение устанавливается для первого использования. При опубликовании приложения видимые упоминания о нем отсутствуют, но когда пользователь щелкает Add New Programs в приложении Add/Remove Programs в Control Panel, оно оказывается в списке доступных для установки программ. Пакет установки программного обеспечения для компьютера имеет только один вариант- Assigned. Приложение устанавливается после следующей перезагрузки на всех компьютерах, попадающих под действие данной групповой политики. Собственно, это и может использоваться для развертывания программного обеспечения для пользователей и компьютеров по принципу принадлежности к рабочей группе или подразделению. Единственное ограничение - станция клиента должна работать под Windows 2000 Professional.

К примеру, Software Installation Package обладают свойством самовосстановления. Это означает, что если какой-то файл пакета окажется утерянным или испорченным, происходит самовосстановление пакета, а с помощью консоли Group Policy без проблем запускается процедура удаления неудачной установки. Group Policy предоставляет простой и рациональный способ развертывания XP, но при этом не удается задействовать все преимущества управляемого программного обеспечения. Например, при развертывании XP можно назначить установку программных пакетов XP только для компьютеров, но не для пользователей. Это очень досадное ограничение, так как пользователь может случайно щелкнуть меню Start и запустить установку Windows в самое неподходящее время. При выходе пользователя из системы пакеты User Software Installation Packages удаляются и снова устанавливаются на станции при следующей регистрации. По существу, приложение "следует" за пользователем. Устанавливать и удалять Windows всякий раз, когда пользователь выдает logon/logoff, невозможно. Имейте также в виду, что, в отличие от других приложений, удалить XP Software Package с помощью групповой политики нельзя. Чтобы деинсталлировать XP, требуется посетить каждую клиентскую станцию и вручную выполнить процедуру Uninstall.

Конечно, преимущества групповой политики перекрывают ее отдельные недостатки. Необходимо создать всего один пакет XP, который потом будет использоваться при установке во всей организации, в том числе и в целях тестирования. При наличии одного пакета развертывание системы становится простым: вы создаете тестовую OU, вносите в нее компьютеры, на которых хотите провести тестирование развертывания системы, а затем назначаете этот пакет для групповой политики OU. Убедившись, что тестовое развертывание прошло успешно, вы назначаете пакет поочередно в остальные Group Policy для других OU. Назначенный пакет обновит клиентские станции только в указанной OU. Когда вы почувствуете, что готовы выполнить обновление в более широких масштабах, делайте это постепенно, скажем, отдел за отделом.

После того, как произошло назначение пакета, на всех станциях OU при следующей перезагрузке начнется установка Windows. Речь идет о десятках или, возможно, о сотнях компьютеров, позже я покажу, как автоматизировать перезагрузку станций и запланировать эту задачу на нерабочие часы.

Создание Software Installation Package

На первом шаге необходимо создать сетевой ресурс общего доступа, к которому можно обратиться со всех рабочих станций. Следует убедиться, что группа Everyone имеет разрешение Read и Execute в файловой системе NTFS, и Read и Execute на ресурс общего доступа. Можно даже создать скрытый ресурс, чтобы пользователи случайно не подключались к нему. Скопируйте полностью содержимое компакт-диска с XP Pro на сетевой ресурс; если скопировать только часть оригинального дистрибутива, процедура работать не будет (я предполагаю, что у вас имеется Volume License Copy для XP).

Теперь необходимо отредактировать .msi-файл из дистрибутива XP. Для этого пнадобится редактор файлов .msi, например, Orca. Как получить и установить Orca, рассказано во врезке "Установка Orca".

Запустите редактор .msi и откройте winnt32.msi в сетевом каталоге дистрибутива XP. Нужно изменить некоторые действия, происходящие во время процедуры установки. Щелкните CustomAction, как показано на Экране 1, затем измените значение поля Target для RunSetupImmediate и RunSetup:

"winnt32" /s:"."

/unattend:"unattend.txt" /batch

Сохраните winnt32.msi в сетевом каталоге общего доступа.

Настройка Unattend.txt

Большое число организаций при развертывании программного обеспечения используют файлы unattend.txt. Этот файл нужен для указания параметров установки программ во время процесса инсталляции. Использование unattend.txt дает возможность не только устанавливать программное обеспечение без вмешательства оператора, но и гарантировать, что на всех станциях будут выставлены одни и те же настройки. Если в вашей организации файла unattend.txt не существует, его нужно создать. Убедитесь, что в нем указаны следующие записи:

• [Unattended]

• NTupgrade=yes

• [UserData]

• ProductID=(здесь нужно вставить Product Key)

Параметр NTupgrade сообщает о проведении обновления, ProductID указывает ключ продукта. Эти параметры дают возможность запустить процедуру обновления и закончить ее без вмешательства оператора.

Связь с пакетом Software Installation Package

Связывание XP Software Installation Package в групповой политике выполняется точно так же, как и в любом другом пакете установки для компьютера, предназначенного для развертывания в сети. Запустите оснастку Active Directory Users and Computers консоли Microsoft Management Console (MMC), откройте контекстное меню OU, на станциях которого намечаете запустить процедуру обновления, и выберите Properties. Щелкните вкладку Group Policy, выберите Edit (или New, если политика отсутствует). В Computer Configuration раскройте Software Settings. Откройте контекстное меню Software Installation, выберите New, Package. Укажите путь Universal Naming Convention (UNC) для файла winnt32.msi. В окне Deploy Software выберите Assigned, как показано на Экране 2 и щелкните ОК. Пакет встает в очередь на выполнение при следующей перезагрузке станции (см. Экран 3). После перезапуска Windows вызывает программу установки, параметры установки берутся из файла unattend.txt, и автоматическая установка начинается.

Перезапуск станций клиентов

Для перезапуска станций клиентов в наиболее подходящее время (например, после работы) можно воспользоваться подготовленным заранее сценарием. В сценарии, приведенном в Листинге 1, выполняется поиск OU, который указан для обновляемых компьютеров, затем создается .bat-файл, в котором прописана команда shutdown для каждой обновляемой машины. Теперь необходимо запланировать выполнение .bat-файла. Запустите Task Scheduler и создайте новую задачу. Выберите Add New Task. Укажите полный путь к созданному .bat-файлу и установите периодичность выполнения файла One Time Only.

На следующей странице следует указать, когда предполагается выполнить перезагрузку - я бы посоветовал назначить время на вечер того же дня, когда была установлена связь Group Policy и Software Installation Package. Таким образом, ни у одного пользователя не будет возможности, перезагрузившись, непреднамеренно запустить процедуру обновления. Введите имя и пароль учетной записи, в контексте которой будет работать задача. Проверьте, является ли учетная запись членом группы Domain Admins и Administrators в домене, а также убедитесь, что параметр Force shutdown from a remote system не установлен в политике домена или что на обе группы - Administrators и Domain Admins - распространяется указанное право. Теперь все готово, и XP начнет устанавливаться как обновление Windows на все компьютеры в указанном OU в то время, которое задано в Task Scheduler.

Использование Group Policy для обновления клиентских станций значительно экономит время IT-персонала. Процесс этот особенно эффективен для обновления систем, на которых операционная система XP не предустанавливается. Естественно, можно рассмотреть различные варианты, в том числе использование Microsoft Systems Management Server (SMS), клонирование дисков, но в этом случае потребуются весьма значительные дополнительные ресурсы, большая полоса пропускания сети и более сложное описание задачи.

Если в вашей компании много систем Windows 2000 Professional, которые решено перевести на XP, советую с большим вниманием отнестись к материалу данной статьи. Только не забудьте потренироваться в тестовом режиме, прежде чем начинать обновление станций клиентов во всей организации.

Джеймс Эделен - консультант по проектированию, развертыванию сетей и решений на базе Microsoft SharePoint Portal Server, MCP. С ним можно связаться по адресу: jj4@crosswinds.net.