Компьютерщик на все руки: Предпочтения групповых политик для тех, у кого их нет

Существуют другие способы управления параметрами выполнения требований в диспетчере конфигурации Microsoft System Center 2012, если вам недоступны групповые политики.

Грэг Шилдс

Практически все ИТ-организации планируют обновление до Microsoft System Center Configuration Manager 2012, поэтому мне пришлось много поработать на ниве обучения работе с System Center. Это разумно. Но неразумно то, что многие администраторы Microsoft System Center Configuration Manager говорят мне, что руководство их компаний не позволяет им использовать групповые политики или предпочтения групповых политик (GPP).

Причина всегда одинакова: групповыми политиками управляет серверная команда. В некоторых случаях это бывает команда, управляющая Active Directory. Администраторы говорят: «Они просто не разрешают нам использовать их». Размер или специализация компании не играет роли. В области ИТ войны за сферы влияния — кто отвечает за персональные компьютеры пользователей, а кто за серверы — не позволят ответственным за ПК в полной мере использовать свои средства управления компьютерами.

Если не результат, то хоть можно понять причину.  Групповые политики и GPP обычно считаются частью Active Directory. А Active Directory это классическая серверная технология. Но к несчастью конфигурации, которые можно менять с применением этих средств, больше подходят для персоналок, чем серверов.

Один из моих слушателей задал вопрос: «Я хочу отключить автоматическое обновление Adobe Reader. Я знаю, какие параметры в реестре нужно поменять, но как мне распространить изменения в реестре на все свои компьютеры?»

Я сразу ответил, что самое быстрое — воспользоваться GPP. Для распространения такого изменения реестра требуется десяток щелчков мышью. Ответ был прост, но слушатель полагал, что ему никто не позволит сделать это. Так как повлиять на умы ответственных за Active Directory представлялось невозможным, мы обратились, к более реалистичным возможностям. Одна из них — Configuration Manager 2012, особенно его новый и улучшенный раздел Compliance Settings.

Управление требуемыми конфигурациями

Отслеживать параметры соответствия для Configuration Manager давно не в новинку. Вообще говоря, эта функциональность была реализована в предыдущей версии как управление требуемыми конфигурациями DCM (Desired Configuration Management). В своей исходной форме функция DCM позволяла отслеживать отклонения от базовой конфигурации, но не умела исправлять ситуацию. Configuration Manager 2007 DCM могла сказать, какие компьютеры не укладываются в базовую конфигурацию, но думать, как исправить ситуацию приходилось самостоятельно.

В Configuration Manager 2012 появилась функциональность исправления ситуации. Это очень нужная функциональность, позволяющая выполнять массовое администрирование без использования групповых политик. Вот как это работает.

Параметр, управляющий автоматическим обновлением Adobe Reader X, находится в ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Adobe\Adobe ARM\1.0\ARM. Присвоение DWORD-параметру iCheck значения «3» заставляет средство обновления Adobe автоматически загружать и устанавливать обновления. А значение «0» отключает средство обновления Adobe.

Определение этого параметра и правильных его значений — наверное, самая сложная часть процесса. Можно поискать решение в Интернете. Другой способ заключается в использовании средства сканирования реестра для определения, что в нем меняется при изменении того или иного параметра в программе. Вооружившись знанием правильного пути, имени и значения параметра реестра, можно сделать остальное в консоли Configuration Manager 2012.

В узле Assets and Compliance консоли щелкните Compliance Settings. Здесь вы найдете место, где настраиваются базовые конфигурации и элементы конфигурации (CI). Базовые конфигурации содержат элементы CI. Начните с создания базовой конфигурации. В данном случае я назвал свою «Adobe Reader X» (рис. 1). Это оставляет мне свободу использовать базовую конфигурацию в дальнейшем для исправления других конфигураций.

Рис. 1. Можно создавать базовые конфигурации и использовать их для создания конфигураций в будущем

После создания базовой конфигурации создайте CI для параметра реестра и его значения. Give the CI a name and specify Windows as the type of CI you want to create. Затем установите флажок, говорящий о том, что CI содержит параметры приложения (рис. 2). При желании можно также назначить категорию.

Рис. 2. Элементам CI можно назначать самые разные параметры

CI-элементы в Configuration Manager 2012 могут принимать значения, задаваемые в установщике Microsoft (MSI) или пользовательском сценарии, определяющем статус установки (рис. 3). Эта проверка позволяет гарантировать применение базовой конфигурации к компьютерам, на которых уже установлено приложение. В общем случае хорошо, когда метрики соответствия не загрязняются данными от компьютеров, на которых не установлен приложение.

Рис. 3. CI-элементы могут проверять статус установки приложения

Нужно помнить, что используются данные, собранные MSI при установке приложения, а не данные самого приложения.  В некоторых случаях MSI обернуты в EXE, поэтому предварительно придется «вытащить» MSI. Стандартный прием выполнения этой задачи — запуск, но не продолжение процесса установки. После запуска установщика перейдите в папку %Temp% компьютера. Очень часто нужный MSI-файл размещается в корне или в одной из подпапок папки %Temp%.

Получив всю нужную информацию, щелкните Next. На третьей странице мастера указаны параметры приложения. Щелкните New, чтобы создать новый параметр (Setting), относящийся к приложению. Существует десять типов параметров: запрос Active Directory, сборка, файловая система, метабаза IIS, ветка реестра, параметр реестра, сценарий, запрос SQL, запрос WMI (Windows Management Instrumentation) на языке WQL и запрос XPath.

Решение задачи заключается в проверке присвоения определенного значения параметру реестра типа DWORD. Если это не так, нужно исправить ситуацию путем назначения правильного значения. Для этого выберите значение Registry, а в полях Setting type и Data type выберите значение Integer. Щелкните кнопку Browse, чтобы найти нужную ветку и параметр реестра (рис. 4).

Рис. 4. Нужно найти нужную ветку и параметр реестра

По завершении шага создается правило, которое потом надо будет сконфигурировать на вкладке Compliance Rules. В данном процессе создается правило для Adobe Reader X (рис. 5). Установите флажок Remediate noncompliant rules when supported, чтобы конфигурация клиентов автоматически исправлялась при несоответствии базовой.

Рис. 5. В результате этих операций создается правило для Adobe Reader X

Пройдите остальные страницы мастера, указав операционные системы, на которых должно оцениваться правило. Затем создайте элемент CI и добавьте его в базовую конфигурацию. Можно щелкнуть базовую конфигурацию правой кнопкой и выбрать Show Members, чтобы убедиться, что CI добавлен в базовую конфигурацию.

Чтобы базовые конфигурации в Configuration Manager 2012 оценивались, их нужно добавить в набор (Collection). Щелкните правой кнопкой базовую конфигурацию и щелчком Deploy запустите мастер развертывания базовой конфигурации (рис. 6). Нужно указать, какую базовую конфигурацию нужно развернуть, а также набор, по отношению к которому одна должна оцениваться.

Рис. 6. Готовую базовую конфигурацию можно развернуть

Установите флажок Remediate noncompliant rules when supported, чтобы Configuration Manager автоматически исправлял не соответствующие конфигурации параметры. Задайте график и определите, нужно ли рассылать уведомления о завершении развертывания. По умолчанию базовые конфигурации оцениваются каждую неделю. График можно поменять в соответствии со своими предпочтениями.

Хотя базовые конфигурации Configuration Manager не обеспечивают такого же уровня управления параметрами, как предпочтения групповых политик, они могут служить хорошим средством управления конфигурациями, которые должны удовлетворять определенным требованиям. При наличии полнофункционального экземпляра Configuration Manager 2012 управлять параметрами почти так же легко, как настраивать предпочтения групповых политик. Но лучше всего то, что базовые конфигурации находятся за пределами «групповых политик как функции Active Directory», что делает последние недоступными большинству.

Грег Шилдс (Greg Shields) — носит звание MVP и является партнером в компании Concentrated Technology. Другие советы и подсказки Грега из рубрики «Компьютерщик на все руки» вы найдете на сайте ConcentratedTech.com.