IO 功能: 桌上型電腦、裝置與伺服器管理 - 標準化至合理化層級

  • 發行項
本頁內容

簡介 簡介
需求: 自動化作業系統發佈 需求: 自動化作業系統發佈
需求: 自動化追蹤桌上型電腦的軟硬體 需求: 自動化追蹤桌上型電腦的軟硬體
需求: 桌上型電腦上最新的兩種作業系統版本及 Service Pack 需求: 桌上型電腦上最新的兩種作業系統版本及 Service Pack
需求: 桌上型電腦上最新版本的 Microsoft Office 需求: 桌上型電腦上最新版本的 Microsoft Office
需求: 軟體發佈的相容性測試和憑證 需求: 軟體發佈的相容性測試和憑證
需求: 伺服器的修補程式管理 需求: 伺服器的修補程式管理
需求: 確保行動裝置的通訊安全 需求: 確保行動裝置的通訊安全
需求: 行動裝置使用 WAP 或 HTTP 以存取 Web 應用程式 需求: 行動裝置使用 WAP 或 HTTP 以存取 Web 應用程式
需求: 伺服器整合和虛擬化 需求: 伺服器整合和虛擬化
需求: 桌上型電腦的分層映像處理 需求: 桌上型電腦的分層映像處理

簡介

桌上型電腦、裝置與伺服器管理是第二個核心基礎結構最佳化功能。下表說明在桌上型電腦、裝置與伺服器管理中移至合理化層級的高層級挑戰、適用解決方案,以及優點。

挑戰

解決方案

優點

業務挑戰

針對未經授權之下存取行動網路的防護過少

行動電子郵件的安全性選項有限

無法委派標準行動力相關的支援事件給支援工程師

IT 挑戰

部署一部分為手動方式,電腦易遭受攻擊或病毒感染

桌上型電腦的測試、部署與支援未使用自動化工具

對軟硬體和桌上型電腦所知不正確,因而提高維護成本

用不同的安全性層級來保護有線或無線網路的伺服器、電腦與行動裝置

專案

自動化作業系統的發佈和安裝

自動化軟硬體的資產生命週期管理

安裝兩種最新作業系統版本到桌上型電腦

實作新軟體的標準相容性測試和憑證

延伸自動化修補程式管理到伺服器

確保行動裝置的通訊安全

透過 WAP 或 HTTP 存取 Web 應用程式

開始使用虛擬化來整合伺服器

實作以分層映像的方式部署桌上型電腦

業務效益

行動化、安全、集中管理的桌上型電腦環境

維護修補程式與作業系統更新,縮短使用者停機時間

拜應用程式測試所賜,使用者花在第一線支援上的時間減少

高度自動化的 IT 服務能降低成本,提高一致性

IT 優勢

自動化部署新桌上型電腦、桌上型電腦重建,及使用者移轉

更高效的桌上型電腦安全性

組織防火牆內外的桌上型電腦與行動環境有一致的安全性和穩定性

最佳化的合理化層級要求貴組織具備程序與工具,以提升桌上型電腦、伺服器和裝置管理工作的自動化與彈性,同時開始採用虛擬化和行動化的新技術。

需求: 自動化作業系統發佈

對象

如果您目前沒有針對作業系統 (OS) 部署的自動化軟體發佈解決方案,請閱讀本章節。

概觀

在《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》指南中,您閱讀了關於定義與部署桌上型電腦標準映像的說明。為了從標準化層級移至合理化層級,您必須把作業系統部署至組織中桌上型電腦的作業自動化。

階段 1: 評估

「評估」階段的目標在於,檢視組織中目前部署磁碟映像到桌上型電腦所用的程序。標準化層級假定已有工具和程序存在,可在目標電腦所需互動最少的情形下,執行完整功能映像部署至桌上型電腦和膝上型電腦,其中「完整功能」定義為部署程序中,安裝適當的應用程式、驅動程式、語言套件與更新,以及現有使用者狀態的移轉。如需更多詳細資訊,請參閱 Solution Accelerator for Business Desktop Deployment (BDD) 2007 Deployment Feature Team Guide (英文) 中精簡安裝 (LTI) 的概念。

階段 2: 識別

移往合理化層級的目標,在於使得現有的桌上型電腦部署程序完全自動化,啟用桌上型電腦映像的零接觸安裝 (ZTI)、角色型應用程式、所需驅動程式、語言套件、更新和移轉使用者狀態,完全無需在目標電腦進行互動。這個階段當中,您要識別在桌上型電腦環境中啟用 ZTI 時的所需項目。

BDD 2007 (英文) 是識別部署選項以及部署專案的端對端規劃之建議資源。BDD 2007 提供使用 Systems Management Server (SMS) 2003 (英文) 搭配 Operating System Deployment Feature Pack 進行零接觸安裝 (ZTI) (英文) 的指引。

階段 3: 評估與規劃

「評估與規劃」階段要求您在執行完整自動化部署之前,先把所需的步驟列入考量。零接觸部署的評估與規劃和其他大多數主題的不同點在於,所要求的許多行動項目一般會與「部署」階段有關。為了順利部署到桌上型電腦,在正式展開映像安裝之前,有許多必要的步驟必須完成。BDD 2007 把這些步驟簡要列為「功能團隊指南」;其中包括:

  • 應用程式相容性

  • 基礎結構修復

  • 應用程式管理

  • 電腦映像處理系統

  • 使用者狀態移轉

  • 保護桌上型電腦的安全

應用程式相容性

應用程式相容性經常是為經核准桌上型電腦部署專案所準備的初始行動。在應用程式相容性這個步驟中,您的組織應該:

  • 收集和分析組織中的應用程式清查以建置應用程式專案組合。

  • 測試移轉策略,以建立應用程式安全防護功能套件。

  • 解決明顯的相容性問題,以便向管理階層報告相容性移轉。

  • 隨著核心應用程式部署,又或者是在核心應用程式部署之後,部署相容性移轉套件。

如需更多詳細資訊,請參閱 BDD 2007 中的應用程式相容性功能團隊指南 (英文)。

基礎結構修復

瞭解網路環境始終都是部署專案的要務。在您的規劃與準備工作當中,必須要瞭解組織環境目前的狀態、識別可能影響專案的其他變更來源,並且在納入之前,先針對變更開發出降低風險的措施。在基礎結構修復這個步驟中,您的組織應該:

  • 清查硬體資產,以集中管理和研究所收集的資料。組織可考慮用 Systems Management Server 2003、Windows Vista Hardware Assessment 或 Application Compatibility Toolkit 來協助清查網路中用戶端的硬體與裝置。

  • 最佳化基礎結構,以部署新的作業系統和應用程式。

  • 運用技術,以提供正確並且適時的基礎結構管理資訊。

如需更多詳細資訊,請參閱 BDD 2007 中的 基礎結構修正功能團隊指南 (英文)。

應用程式管理

應用程式管理著重在封裝應用程式和啟用指令碼式安裝所需的工作。應用程式封裝產生的應用程式部署一致可靠,也更容易提供服務。依照 BDD 2007 所定義的應用程式管理步驟,您的組織應該:

  • 識別、清查核心與輔助性應用程式,並且排列優先順序。

  • 開發與測試部署套件。

  • 新增應用程式到部署序列。

如需更多詳細資訊,請參閱 BDD 2007 中的應用程式管理功能團隊指南 (英文)。

電腦映像處理系統

標準的桌上型電腦映像處理相關內容請見《核心基礎結構最佳化實作人員資源指南: 基本至標準化層級》。標準化層級假設您的組織已經運用標準以及通過測試的影像,來提供新使用者、升級作業系統,或重新整理損毀的電腦。合理化層級要求以採用小型作業系統映像的分層映像方式,在部署過程中新增驅動程式、更新、語言套件和應用程式。請參閱合理化層級中桌上型電腦的分層映像處理的需求。

使用者狀態移轉

使用者狀態移轉雖然是在實際映像部署之前應該先經過測試的部署準備步驟,卻是在部署過程中進行。使用者狀態是使用者的資料檔與其作業系統和應用程式設定的組合。設定包括的項目例如,螢幕保護程式的喜好設定、我的文件、網頁瀏覽器中我的最愛、Office Outlook 資料等等。移轉使用者的資料檔與設定這項工作旨在經過部署程序之後,使用者發生中斷的情況極少。在使用者狀態移轉這個步驟中,您的組織應該:

  • 擷取並儲存使用者資料與應用程式資訊。

  • 建置新的桌上型電腦,並安裝公司的標準映像。

  • 把使用者資料與應用程式資訊還原到新的桌上型電腦。

如需更多詳細資訊,請參閱 BDD 2007 中的使用者狀態移轉功能團隊指南 (英文)。

保護桌上型電腦的安全

對大多數的組織而言,保護運算環境的安全乃 IT 部門最高優先的要務。部署新的作業系統或電腦時,確定新部署的項目至少與目前的環境同等安全是非常重要的。事實上,部署新電腦的程序一律必須包含部署安全的系統。藉由使用持續更新的基準與映像,您可以維持環境的安全,同時仍可允許迅速部署新的工作站。保護部署的桌上型電腦安全時,您的組織應該:

  • 為桌上型電腦選擇並啟用安全性設定。

  • 管理安全性更新。

  • 維護桌上型電腦的安全性。

如需更多詳細資訊,請參閱 BDD 2007 的安全性功能團隊指南 (英文),或閱讀 Windows XP 安全性指南 (英文) 和 Windows Vista 安全性指南 (英文)。

階段 4: 部署

您的組織歷經部署前置作業所需要的一切步驟之後,就可以開始測試與部署桌上型電腦的映像。上述部署前置作業所需的一切步驟是精簡安裝 (LTI) 或零接觸安裝 (ZTI) 所必備。如需更多詳細資訊,請參閱 BDD 2007 的零接觸安裝指南 (英文)。下表重點摘述從精簡部署升級到零接觸部署時,您需要考量的差異點。

LTI 部署

使用 SMS 2003 的 ZTI 部署

提供目標電腦群組共同的設定。

提供每部目標電腦所需的全部設定。

需要的先期設定時間較短。

需要的先期設定時間較長。

可使用慢速連線,或沒有網路連線功能的實例。

需要高速的持續連線。

需要甚少或無需以基礎結構支援部署。

需要的基礎結構必須足以用 SMS 2003 OS Deployment (OSD) Feature Pack 部署作業系統映像。

支援透過網路或本機部署。

僅支援網路部署。

目標電腦無需受 SMS 2003 (或其他軟體管理工具) 管理。

目標電腦必須受 SMS 2003 管理。

支援禁止自動安裝軟體的安全性原則。

僅支援允許自動安裝軟體的安全性。

BDD 2007 零接觸安裝程序可執行下列工作:

  • 使用 SMS 2003 Service Pack 2 (SP2) 收集軟硬體清查資訊。

  • 以使用者狀態移轉工具 (USMT) 3.0 版移轉現有的使用者設定檔資訊。

  • 設定 Windows 部署服務,以啟動 Windows 預先安裝環境 (Windows PE)。

  • 以 SMS OSD Feature Pack 和 ZTI 的部署指令碼,把作業系統映像自動安裝到目標電腦。

  • 也可以選擇用 Microsoft Operations Manager (MOM) 2005 和零接觸安裝管理組件來監視部署程序。

  • 更換或重新整理電腦時,複製現有的使用者資料和喜好設定。

  • 可選擇把使用者電腦的備份映像建立到網路部署伺服器。

  • 於新使用者和更換的情形下使用時,可重新分割並格式化現有的主要硬碟。

  • 以動態方式安裝目標電腦特定的應用程式。

  • 自動安裝特定目標電腦使用者先前所封裝之軟體。

  • 更換或重新整理電腦時,還原使用者資料和喜好設定。

所有步驟和程序都要先在生產前的實驗環境與試驗計畫中加以徹底地測試與驗證,之後再實作到生產環境中。

BDD 2007 零接觸安裝是針對 Systems Management Server (SMS) 2003 與 Operating System Deployment Feature Pack 所建置與測試。如果您的組織使用其他技術來部署作業系統,則必須具備功能可啟用新使用者、電腦更換,與重新整理的零接觸映像安裝,以達到合理化層級的需求。合理化層級對於分層映像處理的其他需求也要求具有部署前後設定所用的工作排序機制。

詳細資訊

如需更多自動化作業系統發佈的相關資訊,請造訪 Microsoft TechNet,然後搜尋「作業系統部署」或「零接觸安裝」。

若要瞭解 Microsoft 如何使用 SMS 進行作業系統發佈,請至 https://www.microsoft.com/technet/desktopdeployment/depprocess/default.mspx (英文)。

檢查點: 自動化作業系統發佈

需求

 

識別自動化作業系統部署所需的工具和技術。

 

針對應用程式相容性及封裝、基礎結構修正、映像處理、使用者狀態移轉和桌上型電腦安全性,執行必要的部署前工作。

 

在實驗環境及試驗計畫中測試及驗證零接觸安裝。

 

執行自動化作業系統部署至使用者。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「自動化作業系統發佈」功能合理化層級的最低要求。我們建議您依照 Solution Accelerator for Business Desktop Deployment 2007 (英文) 中有關自動化作業系統部署的其他最佳作法資源的指引進行。

移至下一個自我評估問題

需求: 自動化追蹤桌上型電腦的軟硬體

對象

如果您沒有對 80% 以上的桌上型電腦採用自動化追蹤軟硬體資產,請閱讀本章節。

概觀

自動化追蹤軟硬體資產可因應並且解決變更與設定上的需要。透過瞭解所安裝的應用程式基礎和使用情形,套用自動化可協助降低軟體費用,增進設定的規範遵循程度。鑒於軟硬體資產佔 IT 預算的比重越來越高,組織日漸著重於想辦法降低這些成本,同時也繼續維持合乎授權原則的狀態。

階段 1: 評估

在「評估」階段,您要瞭解目前現行的程序和工具,協助自動化軟硬體追蹤或資產生命週期管理。標準化層級的基礎結構最佳化模型假定您的組織已經實作某種形式的建構管理,並且採行軟體更新管理的最佳作法與自動化。請參閱《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》,以求更多詳細資訊。如果您的組織目前使用系統管理軟體來管理絕大多數的桌上型電腦、或是已有自動化的建構管理資料庫,那麼您的組織很可能已經有軟體可依照基礎結構最佳化模型所定義,用於實作自動化的資產追蹤。

階段 2: 識別

「識別」階段的目標,在於定義出為了達成自動化追蹤桌上型電腦資產,延伸目前功能的所需項目。在《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》指南中涵蓋移至標準化層級所要求之追蹤行動裝置的軟硬體、桌上型電腦修補程式管理,以及一般建構管理的指引。這些原則可以延伸並套用到您組織的所有 IT 資產。下列屬性是依照基礎結構最佳化模型所定義之自動化追蹤桌上型電腦軟硬體的基本高層級需求:

  • 資產清查

  • 應用程式和作業系統部署

  • 軟體使用追蹤

  • 安全性修補程式管理

  • 系統狀態監視

在標準化層級,修補程序中要求以工具將資產清查自動化,此外軟體更新或修補程式管理本身也是標準化層級的需求。至於自動化追蹤桌上型電腦資產,則只引入自動化部署應用程式與作業系統、追蹤使用情形,和報告系統狀態的需求。合理化層級要求把這些工作全部整合成為一個共同的程序方法與工具組。到了「評估與規劃」階段,將會討論實作自動化部署、使用情形追蹤,與系統狀態報告的具體需求和建議工具。

階段 3: 評估與規劃

「評估與規劃」階段中,要識別實作自動化追蹤軟硬體資產所需的特定需求。針對自動化與整合這些工作所建議的解決方案乃 Systems Management Server (SMS) 2003 (英文),而這項需求的焦點是在 SMS 2003 的使用方法。或者,也可以選用 Microsoft 合作夥伴的工具,達到針對自動化追蹤軟硬體資產所討論的概念與需求。

本出版品付梓時,System Center Configuration Manager 2007 已推出 Beta 版。這是 Microsoft 下一版的變更與建構管理解決方案,新增的功能有理想的建構管理、整合式作業系統部署、未遵循規範電腦的網路存取保護,及增進的行動裝置支援。  

資產清查

除非您掌握對組織中軟硬體資產的基準清查,否則很難高效管理這些資產。軟硬體往往會在缺乏適當授權,或未透過既定的採購工作流程之下新增或移除。

Microsoft 有三大解決方案能產生硬體與軟體應用程式的清查。SMS 2003 有內建功能可以產生詳細的軟硬體清查。Microsoft Application Compatibility Toolkit (ACT) (英文) 這個免費工具也能用工具組隨附的代理程式,產生詳細的軟硬體清查。Windows Vista Hardware Assessment 這個免費工具能提供整體網路電腦的無代理程式清查。

如需更多 SMS 2003 軟硬體清查的相關資訊,請至 https://www.microsoft.com/technet/prodtechnol/sms/sms2003/opsguide/ops_7675.mspx (英文)。

如需更多 Application Compatibility Toolkit 的相關資訊,請至 https://technet.microsoft.com/en-us/windowsvista/aa905102.aspx (英文)。

應用程式和作業系統部署

自動化部署應用程式與作業系統以及使用狀況追蹤,是自動化追蹤桌上型電腦資產的核心屬性。本節簡要討論應用程式和作業系統的部署。

應用程式的部署

自動化作業系統發佈需求探討如何針對指令碼式安裝來封裝應用程式。套裝應用程式可利用軟體發佈技術 (例如 SMS 2003)、或經由原則強制執行機制 (例如 Windows Server 2003 中的群組原則) 來部署到桌上型電腦。

自動化應用程式部署可免除提供 CD、DVD 或 USB 媒體及安裝指示給使用者的這種缺乏效率的程序。透過部署的自動化,可在使用者出錯機會最少的情形下,從遠端順利地安裝應用程式到桌上型電腦。自動化部署允許您定義與控制在桌上型電腦執行程式的方式與時機。

如需更多有關 SMS 2003 如何自動化應用程式部署 (建議選項) 的資訊,請參閱 https://www.microsoft.com/technet/prodtechnol/sms/sms2003/cpdg/plan47zc.mspx (英文)。

如需更多有關如何在 Windows Server 2003 中以群組原則安裝軟體的資訊,請參閱 http://technet2.microsoft.com/WindowsServer/en/library/b238ecdb-cda5-402b-9b3d-f232045a30fa1033.mspx (英文)。 

作業系統部署

如需使用零接觸安裝方式來自動化作業系統部署的資訊,請參閱合理化層級中,自動化作業系統發佈這項需求。建議的方式是使用 SMS 2003 Operating System Deployment Feature Pack 來啟用完整自動化的桌上型電腦部署。

軟體使用追蹤

軟體使用追蹤或軟體計量可讓您監視桌上型電腦中的程式使用情形。透過使用 SMS 2003 軟體計量,您可以收集組織中軟體使用的相關資料。軟體計量資料可摘要作成報告,協助您監視組織中使用授權的符合情形,並且規劃軟體採購。軟體計量可收集您所選擇監視程式的詳細資訊。其中包括程式使用狀況、程式使用者、程式啟動時間、使用時間長度等資訊。下圖顯示 SMS 2003 中的軟體計量功能如何擷取軟體使用資訊,並向中央站台報告。

圖 4. SMS 2003 中的軟體計量功能如何擷取軟體使用資訊,並向中央站台報告

圖 4. SMS 2003 中的軟體計量功能如何擷取軟體使用資訊,並向中央站台報告

啟用軟體計量功能時,SMS 2003 會收集桌上型電腦中程式活動的資訊。如需更多 SMS 2003 中軟體計量功能的相關資訊,請參閱 https://www.microsoft.com/technet/prodtechnol/sms/sms2003/cpdg/plan931z.mspx (英文)。

安全性修補程式管理

關於對桌上型電腦的自動化修補程式發佈,請參閱《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》指南。為了移至合理化層級,您必須自動化追蹤組織桌上型電腦的修補程式符合情形。SMS 2003 能夠追蹤弱點,報告所部署更新的狀態。

如需更多以 SMS 2003 進行安全性修補程式管理的相關資訊,請參閱 https://www.microsoft.com/technet/prodtechnol/sms/sms2003/cpdg/plan7lo2.mspx (英文)。

系統狀態監視

依照基礎結構最佳化模型所定義的系統狀態,能夠監視產品的規範遵循及桌上型電腦系統的狀態。產品的規範遵循能確保軟體符合您組織的準則。如果您的組織強制規定使用某個版本的產品,或設有準則以限制使用某些產品,產品的規範遵循能協助您確保安裝在桌上型電腦中的軟體能符合這些準則。您的組織也應該集中監視桌上型電腦系統的狀態。SMS 2003 可用來監視產品的規範遵循,並且產生狀態訊息,報告桌上型電腦中元件的活動情形。

如需更多以 SMS 2003 進行產品規範遵循報告的相關資訊,請參閱 https://www.microsoft.com/technet/prodtechnol/sms/sms2003/cpdg/plan7zlk.mspx (英文)。

如需更多以 SMS 2003 進行桌上型電腦系統狀態報告的相關資訊,請參閱 https://www.microsoft.com/technet/prodtechnol/sms/sms2003/cpdg/plan1bzh.mspx (英文)。

System Center Configuration Manager 2007

System Center Configuration Manager 2007 (英文) 是為 Microsoft 平台進行變更與建構管理的下一代系統管理解決方案,讓組織能既迅速又經濟地對使用者提供相關的軟體與更新。

System Center Configuration Manager 2007 提供下列功能:

  • 收集軟硬體清查。

  • 發佈與安裝軟體應用程式。

  • 發佈與安裝軟體的更新 - 例如,安全性修補程式。

  • 如果電腦不符合指定需求 (例如,安裝某些安全性更新),則限制電腦無法存取網路。

  • 部署作業系統。

  • 指定想要的設定對一或多部電腦的意義,再監視是否遵循那個設定。

  • 軟體使用計量。

  • 從遠端控制電腦,提供疑難排解的支援。

所有這些功能都要求在您要管理的 Windows 電腦上安裝 System Center Configuration Manager 2007 用戶端軟體。System Center Configuration Manager 2007 用戶端軟體可安裝在一般的桌上型電腦、伺服器‧、可攜式電腦 (例如膝上型電腦)、執行 Windows Mobile 或 Windows CE 的行動裝置,以及執行 Windows XP Embedded 的裝置,例如自動櫃員機。Microsoft 合作夥伴可撰寫其他用戶端軟體,以管理執行非 Windows 作業系統的電腦。

System Center Configuration Manager 2007 站台可把用戶端分組成為對於功能集、頻寬、連線能力、語言,與安全性等具有類似需求的可管理單位。System Center Configuration Manager 2007 站台可符合您的 Active Directory 站台,也可以完全與之無關。用戶端可在站台之間移動,甚至從遠端位置 (例如居家辦公室) 進行管理。

階段 4: 部署

在「評估與規劃」階段,您判定了達成合理化層級之自動化追蹤桌上型電腦的軟硬體需求所需的額外屬性。到了「部署」階段,您需實作這些額外的工作,並且整合成為一個共同的程序。

我們同樣也假設您的組織已經實作自動化資產清查 (標準化層級,修補程式管理)、自動化桌上型電腦作業系統部署 (合理化層級),以及安全性修補程式管理 (標準化層級)。因此,「部署」階段著重於自動化應用程式部署、軟體使用追蹤,和系統狀態監視。

如需更多有關如何以 SMS 2003 執行自動化應用程式部署的資訊,請參閱 https://www.microsoft.com/technet/prodtechnol/sms/sms2003/opsguide/ops_51wl.mspx (英文)。

如需更多有關如何以 SMS 2003 部署軟體使用追蹤的資訊,請參閱 https://www.microsoft.com/technet/prodtechnol/sms/sms2003/opsguide/ops_2019.mspx (英文)。

如需更多有關如何以 SMS 2003 在系統狀態監視之中部署產品規範遵循報告的資訊,請參閱 https://www.microsoft.com/technet/prodtechnol/sms/sms2003/opsguide/ops_9u0n.mspx (英文)。

如需更多有關如何以 SMS 2003 部署桌上型電腦系統狀態監視的資訊,請參閱 https://www.microsoft.com/technet/prodtechnol/sms/sms2003/opsguide/ops_4g8n.mspx (英文)。

詳細資訊

如需更多有關以 SMS 2003 追蹤軟硬體的資訊,請造訪 Microsoft TechNet (英文),然後搜尋「軟硬體清查」。

若要瞭解 Microsoft 如何部署 SMS 2003,請至 https://www.microsoft.com/technet/itshowcase/content/depsms03.mspx (英文)。

檢查點: 自動化追蹤桌上型電腦的軟硬體

需求

 

部署工具及程序以自動化桌上型電腦資產清查。

 

實作程序與技術以自動化應用程式與作業系統的部署。

 

實作工具及程序以執行及分析軟體使用狀況追蹤報告。

 

實作最佳自動化軟體更新管理作法。

 

部署工具及程序以監視桌上型電腦系統狀態,包括產品的法規遵循及系統狀態監視。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「自動化追蹤軟硬體」功能合理化層級的最低要求。我們建議您依照有關追蹤軟硬體的其他最佳作法資源的指引進行。

移至下一個自我評估問題

需求: 桌上型電腦上最新的兩種作業系統版本及 Service Pack

對象

如果您目前 80% 的桌上型電腦並未執行兩種 Microsoft 作業系統最新版本中的其中一種,請閱讀本章節。

概觀

在《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》指南中,您讀到了有關將組織中的不同作業系統限定為兩種的重要性。為了從標準化層級移至合理化層級,您組織的兩個標準作業系統映像必須是最新版本,並安裝最新的 Service Pack。生產環境有兩種最新作業系統版本的好處一般在於可支援、容易維護與疑難排解,並能降低桌上型電腦環境的複雜度。更具體的優勢和權衡之處會在「評估與規劃」階段中討論。

階段 1: 評估

在「評估」階段,您必須清查組織生產環境的桌上型電腦作業系統。如需自動化桌上型電腦資產清查的討論,請參閱自動化追蹤桌上型電腦的軟硬體需求。

階段 2: 識別

「識別」階段當中,您要運用「評估」階段所得到的結果,來決定哪些桌上型電腦資產必須升級或重新整理。同時,您也要檢視把使用者升級到最新作業系統或者舊版的選擇。

階段 3: 評估與規劃

到了「評估與規劃」階段,會討論每種作業系統的優勢和權衡之處,並且檢視為了支援您所選的作業系統策略,對於硬體升級方面的需求。目前最新版本的兩種作業系統是 Microsoft Windows XP Service Pack 2 和 Windows Vista™。下列章節以桌上型電腦的系統管理與部署為角度,探討 Windows 桌上型電腦作業系統版本的優勢和權衡之處。

Windows XP 和 Windows Vista 的優勢

雖然舊版 Windows 還是可以執行您組織內的特定有限應用程式,但卻沒有能讓最新作業系統更安全、更高效,也更容易管理的功能。藉由將桌上型電腦移至 Windows XP 或 Windows Vista,您可以得到超越舊版 Windows desktop 作業系統的下列核心優勢:

Windows XP 和 Windows Vista

  • 提升無線網路支援

  • 提升資料保護與復原

  • 強化網路安全性

  • 整合式防火牆

Windows Vista

  • BitLocker™ 磁碟機加密

  • 硬體抽象層 (HAL) 獨立

  • 語言中立

  • 提升部署體驗

提升無線網路支援

Windows XP 和 Windows Vista 能簡化設定網路電腦並將其加入網路所需的工作。通用隨插即用可支援零設定的「無形」網路,和自動探索多家廠商所出品的各種裝置類別。此外,Windows Vista 也能支援網際網路通訊協定第 4 版 (IPv4) 與網際網路通訊協定第 6 版 (IPv6),滿足您未來所有的網路需求。

如需更多 Windows XP 和 Windows Vista 網路功能的相關資訊,請造訪下列網站:

提升資料保護與復原

Windows XP 和 Windows Vista 在資料復原與保護以及私密金鑰復原上有明顯的進展。這兩種作業系統都有加密檔案系統 (EFS) 功能,可支援使用資料復原代理 (DRA) 將其他使用者所加密的檔案進行解密。

如需更多 EFS 的相關資訊,請造訪下列網站:

強化網路安全性

Windows XP 和 Windows Vista 中的安全性功能和增強功能能提供組織中桌上型電腦和伺服器的保護,是舊版 Microsoft 作業系統所沒有且無法進行的功能。唯有在您的桌上型電腦實作最新作業系統,才能確保能夠防範最新網路入侵的嘗試。如需更多 Windows XP 和 Windows Vista 安全性功能的相關資訊,請造訪下列網站:

整合式防火牆

Windows XP 和 Windows Vista 兩者都有適用於桌上型電腦的整合式防火牆。舊版的 Microsoft 作業系統不一定都有這項功能。在《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》指南中概述了桌上型電腦設置個人防火牆的需求。Microsoft 的最新作業系統含有這項整合功能,因此能夠更輕鬆地進行實作與設定。

如需更多個人防火牆的相關資訊,請造訪下列網站:

BitLocker 磁碟機加密 (Windows Vista)

BitLocker 磁碟機加密功能可協助保護用戶端電腦上的資料。整個 Windows 磁碟區經過加密,可協助防範未經授權的使用者入侵 Windows 檔案與系統防護,或離線檢視受保護磁碟機中的資料。在啟動程序的初步階段,BitLocker 會檢查用戶端電腦的系統與硬碟完整性。若 BitLocker 判定發生試圖竄改任何系統檔案或資料的情形,用戶端電腦將不會完成啟動程序。

BitLocker 在適用於用戶端電腦的 Windows Vista Enterprise Edition 和 Ultimate Edition 作業系統上均有提供使用。

如需更多 BitLocker 磁碟機加密的相關資訊,請造訪下列網站:

硬體抽象層獨立 (Windows Vista)

Windows Vista 引入硬體抽象層 (HAL) 獨立,更便於整合標準的桌上型電腦映像。對於 Windows Vista 之前的版本而言,由於技術上的限制,因此無法建立能部署到所有桌上型電腦硬體類型的單一映像。有不同的 HAL 即表示您必須維護多個映像。大多數組織在管理 Windows XP 和 Windows Vista 時,會需要至少兩三種 Windows XP 桌上型電腦的映像。使用 Windows Vista,可依照硬體平台 (x86 和 x64) 區分,將桌上型電腦的映像整合成為一個。Windows Vista 作業系統還能偵測所需的 HAL,並且自動安裝。

如需更多有關 Windows Vista 中硬體抽象層獨立的資訊,請造訪下列網站:

語言中立 (Windows Vista)

在 Windows Vista 中,整個作業系統都是採用語言中立的方式。再以一或多個語言套件新增到這個語言中立的核心,建立所部署的映像。Windows Vista 的服務也是語言中立的性質,因此許多情形下,所有語言只需要一個安全性更新。設定也是語言中立,因此所有語言都可以用同一個 unattend.xml。

使用 Windows XP,您可以部署當地語系版的 Windows XP (每種語言需要不同的映像),也可以部署含額外語言套件的英文多語言使用者介面 (MUI) 版本。每種方式各有利弊,但大多數的情形下,需要支援多語言的組織應當採取 MUI 這種選擇。

如需更多有關 Windows Vista 語言中立的資訊,以及瞭解哪些版本可支援每部電腦的多語言實例,請造訪下列網站:

提升部署體驗 (Windows Vista)

Windows Vista 的部署工具可供所有部署階段使用,而且其中有許多已用 Business Desktop Deployment (BDD 2007) Solution Accelerator (也就是 Microsoft 針對如何以最佳方式部署 Windows Vista 和 2007 Office 系統之通過實證考驗的方法與指引) 整合成為單一部署程序。可用於 Windows Vista 部署的工具包括下列項目:

如需這些技術與工具的深入討論,請參閱 Windows Vista 部署強化 (英文) 白皮書,以及基本 Windows Vista 安裝的逐步指引。

如需更多提升部署體驗的相關資訊,請造訪下列網站:

權衡之處

雖然 Windows Vista 有這麼多優點,而且又容易部署,但不免仍有些權衡之處。從桌上型電腦系統管理員的角度看來,Windows Vista 與 Windows XP 相較之下,主要的權衡之處在於部署映像較大,系統需求較多。

映像大小

使用 Windows XP 和 Windows 2000,可建立單片 CD (700 MB 以內) 能輕易容納的映像。如果您的組織新增應用程式和驅動程式到該映像,大小一般將近 2–3 GB。使用 Windows Vista,壓縮的映像大小約從 2 GB 起。新增應用程式往往會把壓縮映像擴大成 4–5 GB。這對用來部署 Windows Vista 映像的網路會有所影響。所幸目前已有強化功能,萬一您組織的網路無法部署較大的映像,可採行離線部署。現在,您可以建立獨立的精簡 DVD 或 USB 媒體,在使用者互動需求最少的情形下,離線管理部署程序。

硬體需求

安裝 Windows Vista 可享受兩種層級的使用者體驗。標準體驗可以安裝在經認證的 Windows Vista Capable 電腦,優質體驗可安裝在 Windows Vista Premium Ready 電腦。標準體驗具有 Windows Vista 的核心屬性,例如安全性與可靠度、組織資訊與尋找資訊的創新功能。優質功能可能需要進階或額外的硬體。使用 Windows Vista Premium Ready 硬體可發揮優質體驗,包括 Windows Aero 這種具備生產力的高效能桌上型電腦介面。針對適用於 Windows Vista 的現有硬體組合,所建議的評估工具是 Windows Vista Hardware AssessmentSystems Management Server 2003 Service Pack 3 (英文)。

下表中所示的詳細資訊提出 Windows Vista Capable 與 Premium Ready 硬體的需求。

Windows Vista Capable PC

Windows Vista Premium Ready

處理器

現代化的處理器 (至少 800 MHz1)

CPU 製造商資訊:

Intel 

AMD (英文) 

Via

1 GHz 的 32 位元 (x86) 或 64 位元 (x64) 處理器 1

系統記憶體

512 MB

1 GB

GPU

Microsoft DirectX® 9 Capable (建議具有 WDDM 驅動程式支援)

Windows Aero Capable

DirectX 9-class GPU,支援:

A WDDM 驅動程式

硬體支援像素著色器 2.0

每一像素 32 位元

足夠的圖形記憶體2

圖形記憶體

 

128 MB

HDD

 

40 GB

HDD 可用空間

 

>15 GB

光碟機

 

DVD-ROM 光碟機3

1指定的處理器速度代表裝置的處理器額定運作頻率。某些處理器具有電源管理功能,可讓處理器以較低的頻率執行,節省電力。
2足夠的圖形記憶體定義如下:
  – 支援 1,310,720 以內的單部監視器需要 64 MB 圖形記憶體。
  – 支援解析度 2,304,000 像素以內的單部監視器需要 128 MB 圖形記憶體。
  – 支援解析度高於 2,304,000 像素的單部監視器需要 256 MB 圖形記憶體。
  – 依照 Windows Vista Upgrade Advisor 所評估,圖形記憶體頻寬至少每秒 1,600 MB。
3DVD-ROM 光碟機可為外接式 (非整合式,非內建於系統中)。

選擇適當的組合

「評估與規劃」階段的結果是要為您的組織決定適當的桌上型電腦策略,搭配 Windows XP 和 Windows Vista 生產作業系統。

階段 4: 部署

有關自動化部署作業系統映像的討論,請見核心基礎結構最佳化模型中的自動化作業系統發佈之合理化層級需求。

詳細資訊

如需更多目前桌上型電腦作業系統版本的相關資訊,請造訪下列網站:

若要瞭解 Microsoft 如何規劃作業系統的部署,請到下列網站:

檢查點: 桌上型電腦上最新的兩種作業系統版本及 Service Pack

需求

 

清查現有的生產作業系統。

 

判定新電腦並重新整理策略以淘汰舊版的作業系統。

 

將兩種最新的作業系統版本部署到至少 80% 的桌上型電腦。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「桌上型電腦上最新的兩種作業系統版本及 Service Pack」功能合理化層級的最低要求。我們建議您依照 BDD 2007 (英文) 中 電腦映像處理系統功能團隊指南 (英文) 所述之有關維護作業系統版本的其他最佳作法的指引進行。

移至下一個自我評估問題

需求: 桌上型電腦上最新版本的 Microsoft Office

對象

如果您目前 80% 的桌上型電腦沒有執行 Microsoft Office 2003 或 2007 Microsoft Office 系統,請閱讀本章節。

概觀

目前,大眾與組織比以往更為普遍地運用軟體工具來處理資訊。這樣的應用程式會用來建立對組織的成功舉足輕重的素材,因此在設定、部署、保護安全與管理上必須謹慎考量。Microsoft Office 連同支援的工具和 System Center 產品可為 IT 專業人員提供技術和指引,以執行這些重要工作。本指南主要著重於 Office Resource Kit (英文)、基礎工具,與對應的產品,以達成 Office 2003 與 2007 Office 系統的設定、部署與管理。

階段 1: 評估

「評估」階段的工作主要是清查目前的環境,判斷桌上型電腦中的是哪些版本的 Microsoft Office。桌上型電腦中的版本可能不是初始所部署的版本,或在標準桌上型電腦映像中維護的版本。我們建議您透過自動功能來集中清查環境,例如 Systems Management Server 2003 (英文)、Windows Vista Hardware AssessmentApplication Compatibility Toolkit (ACT) (英文)。

階段 2: 識別

在「識別」階段,您要開始決定為哪些使用者升級。這道程序需權衡企業需求與相關成本,且需適用於使用者環境中的每個人員。在「評估與規劃」階段中,您要檢視所有的部署、安全性與管理功能,並依照組織的需求決定適當的組合。

階段 3: 評估與規劃

「評估與規劃」階段中,您要檢查兩種 Microsoft Office 版本的管理性功能,並依照 IT 的觀點判定得到各版本軟體的使用者。本節僅討論您組織中 IT 部門適用的各版本功能。如需更多有關 Microsoft Office 提供給使用者的可用性與優點資訊,請造訪 Microsoft Office Online

以實作人員而言,對於 Microsoft Office 所作的核心考量包括:

  • 規劃與架構

  • 安全性與保護

  • 部署

  • 操作

我們將簡要探討每一項考量,以及在 Office 2003 版本和 2007 Microsoft Office 系統中是如何處理這些考量事項。

規劃與架構

更新至新的生產力套件時,在清查完所有電腦之後,第一個要評估的,就是檢視移轉所造成的影響,以及有哪些工具可在套件之間順利地移轉使用者。Microsoft Office 2003 與 2007 Microsoft Office 系統兩者都有提供針對移轉進行評估與規劃的工具與指引。

移轉至 2007 Office System

2007 Microsoft Office 系統提供許多因應客戶需求的改進與新功能。升級之前,因為有例如新檔案格式和新設定架構等等變更,所以必須先仔細規劃和準備。您的移轉計畫須包括評估環境中的檔案、識別可能的轉換問題,檢視 2007 Office 版本中每個程式的移轉考量事項。

Office Migration Planning Manager (OMPM) 能讓您檢視環境中的檔案,決定是否要進行封存、是要使用 OMPM 中的 Office 檔案轉換工具大批轉換,還是要手動轉換。您也要決定組織內的升級與移轉方式。

移轉至 2007 Office 版本的規劃包括下列工作:

移轉至 Office 2003

從 Office 97、Office 2000 和 Office XP 移轉使用者和檔案到 Office 2003 是相當直接的程序。這些版本的 Microsoft Office 有許多共同的檔案格式和一種共同版本的 Office Converter Pack (英文),可在 Office 2003 Resource Kit 的 Office 2003 Resource Kit 下載 (英文) 頁面中找到。

Office Converter Pack 將可部署到使用者的檔案轉換工具與篩選器結合在一起。組織如果在混合環境中使用 Microsoft Office 2003 與前版 Office 和其他應用程式 (包括 Macintosh 適用的 Office 與協力廠商的生產力應用程式在內),這個 Converter Pack 便格外好用。雖然這些轉換工具與篩選器在舊版已有提供,不過在這裡特別為了部署方便而合併成為套件。

如需如何安裝與使用 Office Converter Pack 的相關詳細資訊,請造訪 Office 2003 Resource Kit 工具箱: Office Converter Pack (英文) 網站。

安全性與保護

檔案的安全性與保護已日漸受到組織原則與政府規範的重視。2007 Office 系統為此特別提供符合群組原則的新功能,並以新的 Office 自訂工具提升安裝品質。Office 2003 也新增了舊版所沒有的強化功能:檔案加密、巨集安全性、ActiveX 控制項和信任的發行者管理。

2007 Office 系統的安全性

2007 Microsoft Office 系統有許多新的安全性設定,能協助您減輕組織的資源與程序所受到的威脅。此外,2007 Office 版本還有許多新的隱私權選項,能協助您減輕在使用者隱私權和個人資料方面所受的威脅。判斷您的組織適合哪些新的設定與選項,可能是涉及許多重要規劃決策的繁雜工作。為了協助您把花在規劃設定與選項的時間儘量縮短,請運用本指南中所說明之四項步驟的安全性規劃措施。這個系統化的決策辦法是為了協助您選擇設定與選項,將組織所受的保護與具備的生產力發揮到最高程度。

新的 Office 自訂工具 (OCT) 取代了 Custom 安裝精靈,是設定與管理安全性設定的主要部署工具。此外,可將系統管理範本 (.adm 檔案) 直接載入群組原則物件編輯器中,作為本機原則或網域型原則,套用到用戶端電腦。

Office Resource Kit (英文) 提出保護 2007 Office 系統安全之四個步驟的措施:

  1. 判定為了在組織中部署安全性設定與隱私權選項,需要哪些工具。

  2. 識別對組織構成風險的威脅。

  3. 評估能減輕這些威脅的預設設定和選項。

  4. 判定為了儘量降低組織的資源與程序所受風險,還需要部署哪些設定和選項。

下列的程序圖說明這些步驟。

圖 5. 用來保護 2007 Office 系統安全之四個步驟的措施

圖 5. 用來保護 2007 Office 系統安全之四個步驟的措施

如需這些步驟的更多詳細資訊,請造訪 Microsoft TechNet 中 Office Resource Kit 的安全性與保護 (英文) 指引。

Office 2003 的安全性

為協助因應大眾對於資訊與系統安全性日漸增長的疑慮,Office 2003 中有許多為了系統管理員和使用者而設置的新功能。部分的新改進功能在下列章節中提出說明。

修訂巨集安全性

雖然舊版的巨集安全性方法能協助因應許多安全性相關問題,不過對於文件、附加檔案和連結參照的開啟方式已有一些細微的改良。如需更多有關這些改良對使用者的影響資訊,以及系統管理員如何在自訂安裝精靈中進行安全性設定的相關資訊,請參閱 Office 2003 中的巨集安全性層級 (英文)。

修訂信任的發行者儲存區管理

現在起,系統管理員接受外部廠商的信任憑證時,可使用 Active Directory 更輕易地把這些憑證部署給他人。已經安裝且受信任的信任憑證,如果不再需要,或懷疑已經受損,也可以移除。

如需更多有關管理信任的發行者儲存區的資訊,請參閱使用信任的信任發行者 (英文)。

修訂 Microsoft ActiveX® 控制項

在使用者的電腦中,ActiveX 如何控制 [開始] 和 [執行] 按鈕的疑慮比以往更加重要。Office 2003 系統管理員具備更高的控制力,可以防範不明或定義不良的控制項,避免構成安全性瑕疵。允許您設定在不明 ActiveX 控制項啟動時,可接受的風險程度。如需更多 ActiveX 控制項與安全性之關聯的相關資訊,請參閱 ActiveX 控制項與 Office 安全性 (英文)。

新增加密類型

Office 2003 新增了加密類型,並能設定讓所有的 Office 應用程式以特定的加密類型作為其預設值。這並不表示每份文件在儲存時都會加密,僅代表若設定密碼將文件加密時,使用者不必選擇所用的加密類型。如需更多設定 Office 2003 進行加密的相關資訊,請參閱密碼和加密保護的重要層面 (英文)。

修訂核心 Office 程式設定物件

由於對所有 Office 應用程式的安全性審核,核心物件已經更新,可協助消除對資料進入點的典型緩衝區滿溢攻擊。此外,也改進了程式碼中所儲存的使用者 ID 和密碼處理方式。如需更多 Office 程式碼物件與安全性之關聯的相關資訊,請參閱密碼和加密保護的重要層面 (英文)。

為使用者判定適當的 Office 版本

本指南重點為 Office 2003 和 2007 Office 系統於設定、安全性和部署方面的考量。為使用者判定適當的版本發佈策略,將與任何新軟體採購一致,並且也應考量對使用者、檔案安全性與保護、檔案版本相容性、使用授權費用、部署費用,及操作費用的利弊得失。這次行動的結果能讓您決定組織針對管理單一 Office 版本或多重 Office 版本所用的策略,並決定哪些使用者將取得升級。

階段 4: 部署

Office 2003 和 2007 Office 系統的整體部署方法大多數相互一致。自動化 Microsoft Office 軟體發佈與安裝所用的工具與核心基礎結構最佳化中,合理化層級的自動化追蹤桌上型電腦的軟硬體需求所述相同。核心基礎結構最佳化的合理化層級要求組織使用例如 Systems Management Server 2003 (英文) 的技術完全自動化軟體與作業系統發佈。

Office 安裝可用例如 Systems Management Server 2003 (英文) 等等技術 (或在有限的案例中使用群組原則) 以獨立應用程式安裝來執行,或在桌上型電腦映像部署時執行。這三種方法全都需要在規劃與設定階段時謹慎小心。

Business Desktop Deployment 2007 (英文) 的指引一般把 Office 安裝視為核心桌上型電腦映像的部分。基於您組織的映像策略,Office 套件可能在大型的映像策略中,整合為核心映像本身的元件,也可能在目標機器有了小型作業系統映像之後加以安裝。如為小型映像策略的實例,Office 部署工作基本上與把 Office 安裝在舊版系統上相同,明顯的例外之處在於舊版 Office 的解除安裝。

部署 2007 Office System

無論是作為桌上型電腦映像部署的一部分,還是作為獨立應用程式部署,2007 Office 系統的部署程序都必須遵循特定的里程碑與目標。如需更多詳細指引,請參閱 Business Desktop Deployment 2007 Office 部署指南 (英文)。重要里程碑與目標請見下圖描述與下列所示:

圖 6. 2007 Office 系統部署的重要里程碑與目標

圖 6. 2007 Office 系統部署的重要里程碑與目標

  • 建立專案計畫。和任何專案一樣,細心規劃能提高成功的機率。在這個階段,小組要分析目前的 Microsoft Office 部署,規劃文件與設定的移轉,決定部署伺服器的最佳位置,和獲得完成專案的資源。

  • 建立安裝點。開發、建立 2007 Office 系統安裝點的第一階段,能建立含有 2007 Office 版本安裝檔案的共用來源位置。

  • 自訂安裝。大多數的組織都要求對 2007 Office 版的預設設定進行一些變更。請將這些設定併入 Microsoft Office 自訂檔,如此即可套用到安裝點。

  • 測試 Microsoft Office 部署。將 2007 Office 系統釋出到生產環境之前,細心測試 2007 Office 系統的部署程序可確保部署依照計畫進行。

  • 部署至生產環境。啟動部署程序,以提供 2007 Office 版本給用戶端電腦。

  • 轉換為 IT 作業。執行部署計畫之後,部署基礎結構即移交給 IT 作業部門,進行長期操作與管理。

如需 2007 Office 系統部署的更多指引,請造訪 Microsoft TechNet 的桌上型電腦部署中心 (英文),並閱讀 Office 部署指南 (英文)。

部署 Office 2003

Office 2003 的部署作業遵循與 2007 Office System 相同的一般里程碑與準則。自訂安裝所用的工具與 2007 版本所用的不同,可依照您組織的需求,為自訂安裝提供合理的彈性。

如需使用 Systems Management Server 2003 部署 Office 2003 (英文) 的詳細指引,請造訪 Microsoft TechNet。如果您未使用 SMS 2003 來管理應用程式安裝,也可以使用群組原則把 Office 2003 部署到用戶端電腦。利用群組原則軟體安裝功能,您可以指派或發佈 Office 2003 到指定群組中的所有使用者或電腦。

針對大型或複合組織,Systems Management Server 2003 提供更精緻的功能,包括清查、排程與報告等。不過,對於下列設定,使用群組原則部署 Office 2003 會是個明智的選擇:

  • 已經部署和設定 Active Directory 目錄服務的中小型組織。

  • 位在單一地理區內的組織或部門。

  • 用戶端與伺服器兩者的軟硬體設定一致的組織。

如需使用群組原則部署 Office 2003 版的詳細指引,請參閱 https://office.microsoft.com/en-us/ork2003/HA011402011033.aspx (英文)。

操作

Microsoft Office 的作業管理,與核心基礎結構最佳化模型中合理化層級的自動化追蹤桌上型電腦的軟硬體需求所定義的建議一致。關於 Office 2003 與 2007 Office 系統針對套用軟體更新 (修補程式) 與強制執行群組原則設定標準的特定作業,簡要說明如下。

更新 Office (Office 2003 和 2007 Office System)

您的組織應遵循「核心 IO 實作人員資源指南: 基本至標準化層級」中所探討的桌上型電腦修補程式管理準則。經驗證的更新會直接發佈到用戶端,確保現有的 Office 安裝具有最新的軟體更新。

強制執行群組原則設定 (2007 Office System)

在 Microsoft Windows 網路中,系統管理員可以利用群組原則設定,協助控制使用者使用 2007 Microsoft Office 系統的方式。系統管理員也可以使用群組原則設定以定義與維護使用者電腦中的 Office 設定。不同於其他自訂 (例如,以安裝自訂檔發佈的預設設定),原則設定會強制執行,因此可用來建立高度管理或輕型管理的設定。

您可以使用 2007 Office 版本的原則設定來:

  • 從 2007 Office 版本應用程式控制到網際網路的進入點。

  • 在 2007 Office 版本應用程式中管理安全性設定。

  • 將使用者執行工作上不需要的設定和選項隱藏起來,以免誤導使用者,或導致不必要的請求支援。

  • 在使用者的電腦中建立高度受管理的標準設定。

您可以進行原則設定,套用到本機電腦與該部電腦的所有使用者,或只套用到個別使用者。以電腦為單位所進行的原則設定,設定位置在群組原則物件編輯器 Microsoft 管理主控台 (MMC) 嵌入式管理單元的 [電腦設定] 節點之下,並且在使用者第一次由該部電腦登入網路時所套用。以使用者為單位所進行的原則設定,設定位置在 [使用者設定] 節點之下,是在指定的使用者從任何電腦登入網路時所套用。群組原則也會在經過啟動與登入時的初始處理之後,定期於背景套用。

如需更多群組原則基礎結構的相關詳細資訊,請參閱 Microsoft TechNet 站台的群組原則技術參考 (英文)。

詳細資訊

如需 Microsoft Office 的更多技術資訊,請至 TechNet 的 Microsoft Office System TechCenter (英文)。

若要瞭解 Microsoft 如何將 Office Professional Edition 2003 部署至桌上型電腦,請至 https://www.microsoft.com/technet/itshowcase/content/deskdeployoffice2003.mspx (英文)。

檢查點: 桌上型電腦上最新版本的 Microsoft Office

需求

 

評估最新版本的 Office 及定義規畫以整合生產工作站上的 Office 版本。

 

將最新版本的 Office 部署至桌上型電腦。

 

定義管理 Office 設定的計畫。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「桌上型電腦上最新版本的 Microsoft Office」功能合理化層級的最低要求。

移至下一個自我評估問題

需求: 軟體發佈的相容性測試和憑證

對象

如果您並未在 80% 的新增或更新應用程式部署至桌上型電腦之前,先測試並認證應用程式的相容性,請閱讀本章節。

概觀

一般而言,應用程式會針對特定的作業系統或作業系統版本加以高度最佳化。若您的應用程式是為在舊版 Microsoft Windows 作業系統之下執行所設計,可能會發生應用程式相容性方面的問題。為何要測試應用程式的道理,就是要確保新軟體元件的部署不致於影響使用者的生產力,或導致停機。在核心基礎結構最佳化模型中,相容性測試也是修補程式管理和作業系統部署的必要程序。

即使針對 Microsoft 產品中的進階相容性功能,您還是需要先確定所有應用程式都能在最新版 Microsoft Windows 作業系統之下正常運作,之後再把這些應用程式發佈到組織的桌上型電腦。本指南內容依據 Application Compatibility Toolkit (英文) 和 Business Desktop Deployment 2007 中的 應用程式相容性功能團隊指南 (英文),這兩者都是 Microsoft 提供的免費資源,能協助識別與管理您整體的應用程式相容性管理。

階段 1: 評估

無論您是要部署新的作業系統,預備在部署當中覆疊應用程式、把應用程式本身部署到現有的機器,或是部署更新到應用程式,「評估」階段對部署程序來說都很重要。在「評估」階段,您的組織要收集環境中影響應用程式相容性的應用程式與資料元件清查。這些項目包括:

  • 作業系統版本

  • Service Pack 層級

  • 地理位置

  • 電腦製造商的型號與類型

  • 安裝的應用程式

  • 使用電腦的業務單位

  • 使用者執行的組織角色

清查與收集資料

Application Compatibility Toolkit (英文) 可透過運用分散的相容性評估工具以及開發人員與測試人員的工具,收集清查資料。針對作業系統變更所收集的資料可以採取各種規模,從大型事件 (例如作業系統升級)、中型事件 (例如瀏覽器升級) 到較小的事件 (例如 Windows Update 發佈) 都可以。有能力將相容性資料收集成為單一集中儲存區,對於平台變更期間降低組織所受風險方面,具有明顯的優勢。清查收集器乃 Application Compatibility Toolkit 的元件,能檢查您組織中的電腦,識別所安裝的應用程式和系統資訊。

Systems Management Server (SMS) 2003 軟體清查 (英文) 也能用來清查或稽核組織中的電腦所安裝的軟體。通常 SMS 2003 是用來識別具有已知相容性問題的應用程式。不過,也可以建立指令碼或其他可執行檔,來執行自訂的應用程式相容性清查,然後再用 SMS 軟體清查,將結果報告給 SMS。

階段 2: 識別

在「識別」階段,您要收集所要測試和驗證的提議應用程式或作業系統。例如,若要部署 2007 Office 系統,您的組織會在生產前的環境中,識別所要測試的版本和選定的應用程式。您也將確保生產前的測試環境中,所有的目標作業系統或相依的應用程式都會齊全。

如果您的組織目前沒有能模擬生產環境的測試環境,「識別」階段也會包含建置測試環境。建置這個環境時,可使用適當的實體機器樣本,搭配安裝適當的軟硬體元件,不過,一般是建議在這個環境中應該納入虛擬技術的使用。如需建置虛擬測試環境的指引,請參閱 Windows Server System 參考架構的虛擬環境部署與測試 (WSSRA-VE) (英文)。

階段 3: 評估與規劃

清查過您的環境、識別要部署的所有應用程式,並且建置測試環境之後,您就可以開始評估應用程式,加以認證,並且規劃部署。Application Compatibility Toolkit (英文) 含有可評估相容性的數個元件。

常見相容性問題

應用程式之所以會專為不同版本的 Windows (尤其是 Microsoft Windows 2000 Professional、Windows Me、Windows NT® Workstation 4.0、Windows 98 和 Windows 95 作業系統) 而撰寫的理由很多;若在 Windows XP 或 Windows Vista 之下執行時可能會有問題。大多數的問題都可歸為下列幾類:

  • 設定與安裝

  • 核心模式驅動程式

  • 權限

  • 堆積管理

  • 防火牆

  • 分散式元件物件模式 (DCOM)

  • Internet Explorer

如需更多常見相容性問題的相關資訊,請參閱:

Windows XP: https://www.microsoft.com/technet/prodtechnol/winxppro/deploy/appcom/default.mspx (英文) 

Windows Vista: https://www.microsoft.com/technet/windowsvista/appcompat/entguid.mspx (英文) 

相容性評估工具

Application Compatibility Toolkit 與 Application Compatibility Toolkit 資料收集器 (ACT-DC) 使用相容性評估工具來收集並處理您的應用程式資訊。下表所述的每種評估工具都會執行一組功能,提供特定類型的資訊給 ACT:

  • **User Account Control Compatibility Evaluator (使用者帳戶控制相容性評估工具) (UACCE)。**可供您識別因為使用者帳戶控制 (UAC;原名「受限使用者帳戶 (LUA)」) 所強制執行的權限限制而導致的潛在相容性問題。透過相容性的記錄,UACCE 可提供潛在應用程式權限問題的資訊,以及修正問題的方式,讓您能部署新的作業系統。

  • Update Compatibility Evaluator (更新相容性評估工具) (UCE)。 針對 Windows 作業系統安全性更新對您所安裝的應用程式可能會有哪些影響,提供深入剖析和指引。UCE 能以動態方式收集應用程式相依關係,可部署到生產或測試環境中的伺服器和用戶端電腦。相容性評估工具能收集關於載入的模組、開啟的檔案,與電腦中目前執行的應用程式所存取的登錄項目資訊,再把這份資訊撰寫成上載至 ACT 資料庫的 XML 檔。

  • **Internet Explorer Compatibility Evaluator (Internet Explorer 相容性評估工具) (IECE)。**可供您識別由於發佈新作業系統而可能發生的 Web 應用程式和網站問題。IECE 的運作方式是啟用 Internet Explorer 中的相容性記錄、剖析記錄的問題,並建立記錄檔,以上傳到 ACT 記錄檔處理服務。

  • **Windows Vista Compatibility Evaluator (Windows Vista 相容性評估工具)。**可供您識別與下列項目相關的問題:Graphical Identification and Authentication (圖形化識別與驗證,GINA) DLL、生產環境中在工作階段 0 執行的服務,以及 Windows Vista 作業系統中所取代的應用程式元件。

測試計畫

務必以系統化的方式測試與認證應用程式。請開發測試計畫,供您演練組織可能會使用的所有應用程式功能。為了簡化探索應用程式與作業系統之間可能的衝突,可將 Microsoft 應用程式相容性的技術納入,成為測試計畫的重要部分。Application Compatibility Toolkit 提供開發人員工具以使用 Internet Explorer 7 和應用程式來測試安裝套件、網站與 Web 應用程式。

相容性分析與安全防護功能

收集相容性的資料之後,您就可以分析所發現的結果,再視需要規劃應用程式相容性的安全防護功能。Application Compatibility Toolkit 也有功能和工具可協助您整理資料、合理化資料,並排列資料的優先順序。「相容性分析」的結果應該可判定在作為軟體發佈目標的使用者機器上,應用程式是否相容,並視需要判定需要進行哪些修正,使應用程式相容。

分析與安全防護功能程序的重要交付項目是部署作業的應用程式安全防護功能套件。您可以使用例如 ACT 的應用程式相容性工具,自動建立這樣的套件。對於其他的應用程式安全防護功能方法,您可以手動建立套件與安裝指令碼或可執行檔 (包括 .msi 檔)。

ACT 的 Application Compatibility Manager 能夠封裝部署到測試與生產環境所適用的解決方案。「解決方案建立器」(Solution Builder) 中含有叫做「物件封裝程式」(Packager) 的元件,可接受任意數目的分析器檔案或相容性系統管理員 (Compatibility Administrator) 檔案作為輸入資料,用來建立自行解壓縮的可執行檔套件。

往往需要以手動方式建立所要安裝的套件。部分情形下,這道程序可能包括建立指令碼或 .msi 檔以達成安裝。

如需更多資訊,請參閱 Business Desktop Deployment 2007 中的應用程式相容性功能團隊指南 (英文) 需求。

應用程式憑證

測試過所有應用程式,也採用了安全防護功能策略之後,您可以在測試結果中記錄為認證通過。測試期間發現任何相容性的問題,都必須完整作成正式記錄,向相關人士與組織中負責應用程式發佈的人員報告。

階段 4: 部署

「部署」階段僅探討安全防護功能套件的部署。如需更多應用程式部署與建議工具的相關資訊,請參閱核心基礎結構最佳化模型中,合理化層級的自動化追蹤桌上型電腦的軟硬體需求。

您可以使用自動化的軟體發佈,以和部署軟體更新非常類似的方式來部署應用程式安全防護功能套件,例如:

  • SMS 2003(英文)。若組織現有 SMS 2003 基礎結構,您就可以用 SMS 2003 中的軟體發佈功能來部署安全防護功能套件。

  • 群組原則軟體安裝(英文)。若組織現有 Active Directory 基礎結構,您就可以用 Active Directory 中的群組原則軟體安裝功能來部署安全防護功能套件。

每種方法都要建立安裝套件 (例如 .msi 檔) 以自動化安全防護功能套件的安裝。使用您組織的既定應用程式部署程序來部署安裝套件。

詳細資訊

如需更多應用程式測試的相關資訊,請造訪 Microsoft TechNet,然後搜尋「應用程式相容性」。

若要瞭解 Microsoft 如何進行應用程式相容性測試,請至 https://www.microsoft.com/technet/itshowcase/content/appcompattcs.mspx (英文)。

檢查點: 軟體發佈的相容性測試和憑證

需求

 

收集和分析組織中的應用程式清查以建置應用程式專案組合。

 

實作安全防護功能策略的標準測試,以建立應用程式安全防護功能套件。

 

實作標準程序以解決任何顯著的相容性問題,以便向管理階層報告相容性問題的安全防護功能。

 

為所有相容性安全防護功能套件實作自動化部署。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「軟體發佈的相容性測試和憑證」功能合理化層級的最低要求。我們建議您依照有關軟體憑證與測試的其他最佳作法資源的指引進行,好讓應用程式維持已知的標準。

移至下一個自我評估問題

需求: 伺服器的修補程式管理

對象

如果您並沒有在 80% 伺服器上採用修補程式管理解決方案,請閱讀本章節。

概觀

在《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》指南中,「您」已閱讀桌上型電腦的修補程式管理與發佈相關內容。為了從標準化層級移至合理化層級,您必須把修補程式管理延伸至伺服器。更新 Windows 伺服器的工具與程序和更新 Windows 桌上型電腦所用的相同。

雖然有許多共同程序,不過在核心基礎結構最佳化模型中,修補伺服器和其他需求的相依項時,仍有一些值得注意的例外。伺服器往往依照其可用性,以服務等級協定 (SLA) 提供任務關鍵功能。使計畫外的伺服器停機時間儘量縮短,是操作與伺服器修補程式管理上的重要需求,因為伺服器與桌上型電腦不同,其停機時間往往會阻礙整個 IT 服務,甚至連整體組織都無法運作。合理化層級開始引入 SLA,SLA 中往往規定有允許的維護間隔,尤其在於維護伺服器更是如此。

核心基礎結構最佳化模型的修補程式管理指引是依據修補程式管理解決方案加速器的內容 (英文)。使用 Systems Management Server (SMS) 2003、SMS 2.0、Software Update Services (SUS) 1.0 進行修補程式管理,有特定的指引可供使用。這些指引的核心概念也適用於 Windows Server Update Services (WSUS) 和 System Center 產品。如需修補程式管理的最新資訊,請造訪 Microsoft TechNet 的更新管理解決方案中心 (英文)。

如同桌上型電腦的修補程式管理,「評估」、「識別」、「評估與規劃」與「部署」階段,和各階段相對應的交付項目,內容同《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》指南中所述之作為核心基礎結構最佳化模型中標準化層級的需求相同。

詳細資訊

如需更多修補程式管理的相關詳細資訊,請參閱《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》中所探討的<自動化修補程式發佈>章節。也可以造訪 Microsoft TechNet,然後搜尋「修補程式管理」。

若要瞭解 Microsoft 如何處理修補程式管理,請至 https://www.microsoft.com/technet/itshowcase/content/sms03spm.mspx (英文)。

檢查點: 伺服器的修補程式管理

需求

 

實作程序和工具以清查軟硬體資產。

 

實作程序和工具以掃描用戶端電腦,找出軟體更新。

 

建立程序以自動識別可用的修補程式。

 

建立適用於每個修補程式的標準測試。

 

實作修補程式發佈軟體。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「伺服器的修補程式管理」合理化層級的最低要求。我們建議您遵循適用於 SMS 2003 的修補程式管理解決方案加速器 (英文) 中所說明之修補程式管理的其他最佳作法。

移至下一個自我評估問題

需求: 確保行動裝置的通訊安全

對象

如果您目前還沒有既安全又有保障的方式可以驗證企業網路與行動裝置之間的安全通訊,請閱讀本章節。

概觀

組織在考量行動企業解決方案時,關鍵的評估點就在於安全性。行動通訊解決方案無論涉及個人資料還是工作場所的機密交易,都必須安全可靠。個人數位助理 (PDA) 與智慧型電話在組織的安全性計畫中,與膝上型個人電腦同等重要。

在《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》中,您已閱讀關於在行動裝置的整體管理之中,如何建立安全性原則的內容。為了移至合理化層級,您必須自動化強制執行這些安全性原則,特別是在遠端通訊的領域更是如此。您將密碼與資料加密的事項辦妥時,就等於完成了企業網路與行動裝置之間安全通訊的第一步。

階段 1: 評估

如同「基本至標準化層級」指南中所探討,「評估」階段中,務必要清查連線至您基礎結構的行動裝置,以及人員目前使用行動裝置的方式。組織需要追蹤和管理各種領域的行動裝置用途。

階段 2: 識別

在「識別」階段,您的組織必須決定適當的行動裝置安全性層級。視您的業務及資料安全性的需求,使用者可能會使用控制不嚴謹的個人裝置或受管理的公司裝置,連接至您的網路。接下來的步驟主要把重點放在行動裝置的驗證,以及如何把該項功能部署至您的組織當中。

階段 3: 評估與規劃

在「評估與規劃」階段中,您的組織要考量為了保證與行動使用者進行安全的通訊,可以使用哪些工具或技術。有許多機制和解決方案能協助系統管理員採取保障行動通訊安全的下個步驟。Windows Mobile 5.0 和 Windows Mobile 6.0 可結合 Microsoft Systems Management Server (SMS) 2003,提供集中化的行動裝置佈建、管理和原則強制執行解決方案。此外,也有眾多的協力軟體供應商,可提供系統管理解決方案。若運用這些解決方案,集中化的 IT 組織就能維護連線到企業網路的裝置資產清查,也能自動修復設定,在有軟體更新時加以發佈。如需 Windows Mobile 裝置的系統管理解決方案範例清單,請造訪 Windows Mobile 解決方案提供者 (英文) 網站,在 Systems Management (系統管理) 類別中搜尋 Software Solutions (軟體解決方案) 部分。「IT 管理」類別中的「縱向市場解決方案」部分可能也可找到寶貴的相關資訊。

保護掌上型裝置中資訊安全的下一步,就是防止裝置遭受未授權者的存取。

驗證

有各種機制能用來識別和驗證使用者。Windows Mobile 憑證驗證的開發,正是為了協助您降低行動裝置的安全性風險。目前版本的 Windows Mobile 軟體可支援 X.509 憑證,該憑證可用來驗證應用程式、使用者、操作員,和伺服器。行動裝置上的憑證可以受到保護、儲存、管理和刪除。

為了達到更高層級的保護,Microsoft 建議您使用下列三種方式中的其中兩種 (即雙重要素驗證):

  • 使用者知道的資訊 (例如密碼)。

  • 使用者擁有的物品 (例如智慧卡或 SecurID 權杖中的安全性憑證)。

  • 使用者身上的某部分 (例如指紋)。

某些情況下,可能需要更多的驗證。其中包括:

  • 需要使用者驗證才能夠執行的應用程式。若應用程式未曾使用達某個時間長度,或者會重複執行 (例如每 15 分鐘),則可能適用這項需求。

  • 本身具備驗證機制可解密資料的資料儲存卡。

  • 存取組織私人網路的其他驗證。例如,Exchange Server 2003 和 Exchange Server 2007 使用 Active Directory 驗證提供從行動裝置對企業電子郵件、行事曆和連絡人的存取權。若為 Exchange Server 2003 Service Pack 2 (SP2) 和更新版本,裝置可使用驗證用的數位憑證,這樣使用者就不必提供網路認證了。如此可降低使用者的憑證受損的風險。

  • 存取受保護的共用檔案伺服器的其他登入步驟。

  • 存取某些網站的其他登入認證。

Windows Mobile 軟體中其他可抵禦未經授權之下存取裝置的保護功能,還包括幾種形式的實體裝置安全性技術:

  • **開機密碼。**目前版本的 Windows Mobile 裝置可支援開機密碼,協助保護對裝置的存取。Windows Mobile Pocket PC 也支援強式的英數開機密碼,也就是密碼要求至少 7 個字元,包括大小寫字母、數字和標點符號的組合。4 位密碼也可與 GSM 裝置的電話卡建立關聯 (用戶識別模組,即 SIM 卡)。為提供更強的保護,所有密碼在儲存之前會先經過雜湊 (轉換為不同形式,使密碼難以破解)。使用者企圖用不正確的密碼存取裝置時,系統會在套用時間延遲之後才允許再度存取,這個延遲時間會隨著每次嘗試而以指數關係增加。此外,Pocket PC 檔案總管軟體也會要求使用者驗證,以存取共用的 Windows 檔案伺服器。若要進一步加強保護,組織可使用集中化管理軟體,設定自動化強制執行驗證原則。

  • **Cabinet (.cab) 檔案簽署。**透過協力廠商的軟體,使用 X.509 數位憑證以數位方式簽署檔案。如此可判斷檔案的來源,以及檔案簽署之後是否曾遭到更改。

  • **裝置管理安全性技術。**可用有助於防止駭客的方式進行無線變更。含有無線資料功能的 Windows Mobile 裝置大都具有某種程度的裝置管理安全性,有助於防範無線下載並執行任意的應用程式。

  • 應用程式層級的安全性。適用於例如 Microsoft Internet Explorer Mobile、ActiveSync®、電子郵件附加檔案,和紅外線等應用程式。這種類型的安全性可採取多種方式的其中一種,範圍從要求使用者輸入密碼才能存取應用程式,到例如生物特徵或智慧卡等的驗證機制都有。這項需求可設定為套用到每次存取、只在應用程式未於某時段內使用時才套用,或要求固定間隔重新進行驗證。

階段 4: 部署

只要您的組織決定好為了產生並且強制執行所選安全性策略的適當安全性控制和機制,「部署」階段便具備實作與維護安全性策略的所有程序。

詳細資訊

如需更多行動裝置驗證與數位憑證的相關資訊,請到下列網站:

若要瞭解 Microsoft 如何保障行動通訊安全,請至 https://www.microsoft.com/technet/itshowcase/content/trustmes.mspx (英文)。

檢查點: 確保行動裝置的通訊安全

需求

 

清查連接至您網路的行動裝置。

 

決定符合您需求的通訊安全性策略。

 

將行動裝置驗證實作至所有連線的裝置。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「確保行動裝置的通訊安全」功能合理化層級的最低要求。我們建議您依照 Microsoft TechNet Windows Mobile Center (英文) 所述之有關確保行動裝置通訊安全的其他最佳作法資源的指引進行。

移至下一個自我評估問題

需求: 行動裝置使用 WAP 或 HTTP 以存取 Web 應用程式

概觀

行動裝置、網際網路與無線連線功能的整合,讓組織擁有大好機會能將資訊與服務擴大送達行動專業人士的手中。可能的結果包括生產力提高、作業成本降低,和客戶滿意度提升。從行動裝置能存取網際網路和網際網路應用程式,是生產力提高的關鍵。

階段 1: 評估

在「評估」階段,您要尋找組織中的行動裝置,和組織中可經由網際網路存取的 Web 應用程式。模型中這個層級所指的 Web 應用程式,限定為經由安全或不安全的網際網路所能存取,不是您組織內部網路特定的 LOB 應用程式。

階段 2: 識別

在「識別」階段,您要開始檢視Web 應用程式,這些應用程式乃是可能對使用者生產力有利且處於「評估」階段中所發現的裝置內。您也要識別能支援 HTTP 或 WAP 瀏覽,並且符合您先前針對安全通訊所定義需求的裝置。

階段 3: 評估與規劃

「評估與規劃」階段的目標,是要判定目前有哪些 Web 應用程式適用於行動裝置的瀏覽器、這些應用程式在各裝置上的可用性、哪些裝置存取這些應用程式時執行的效能最佳,最後則要判定依照行動裝置自訂 Web 應用程式,或將行動裝置的硬體標準化時,應進行哪種投資。

將裝置標準化

隨著組織中使用的行動裝置越來越多,也越來越需要控制行動裝置的類型。如果沒有經過標準化,則各種連線至您的企業網路的行動裝置,可能會造成難以管理的情形。您必須為每種類型的行動裝置建立組織標準,才能有效的管理使用者驗證、作業系統標準化、修補程式管理,以及其他日常管理控制。如需管理行動裝置的詳細資訊,請造訪 https://www.microsoft.com/technet/solutionaccelerators/mobile/evaluate/mblmange.mspx (英文)。

為組織規劃行動裝置解決方案時,您必須考量許多問題與裝置的功能。如需規劃行動裝置解決方案的指引,請造訪 https://www.microsoft.com/technet/archive/itsolutions/mobile/deploy/mblwirel.mspx?mfr=true (英文)。

適用於行動裝置的作業系統很多。Windows Mobile (英文) 裝置可存取具有豐富的安全性與驗證功能的 Web 應用程式。如需更多部署、維護與支援 Windows Mobile 裝置的相關資訊,請造訪 https://www.microsoft.com/technet/solutionaccelerators/mobile/default.mspx (英文)。

網際網路存取

行動裝置必須能夠存取網際網路的理由很多。其中包括:

  • 軟體升級與修補程式。

  • 企業的資料存取與同步處理。

  • 存取 Web 應用程式。

本章節所探討的是透過超文字傳輸通訊協定 (HTTP) 和 Web 存取通訊協定 (WAP) 存取 Web 應用程式。

WAP

WAP 這種通訊協定可看作類似 HTTP 與 HTML 的組合,只是經過最佳化,以順應行動裝置的低記憶體、低頻寬,和有限解析度。如需更多 WAP 的相關資訊,請至 http://www.wirelessdevnet.com/channels/wap/training/wapoverview.html (英文)。

Web 應用程式

每日工作上例行都要使用行動裝置的員工,往往需要存取網際網路最常備有的資訊。這樣的資訊往往屬於動態性 (具時間性或者經常變更),或可基於搜尋準則來擷取。能呈現這類資訊的應用程式範例有:股市報價與交易、電子郵件、運動賽事比數、房地產出售服務,與地圖服務。

如果行動裝置有 WAP 設計的瀏覽器,可依照行動裝置的限制將內容簡化,使用者就能透過這樣的裝置來存取這類服務。如需更多為行動裝置開發應用程式的相關資訊,請參閱 MSDN 的 Microsoft ASP.NET 行動控制 (英文)。

階段 4: 部署

只要您的組織決定好對行動裝置使用者提供 Web 應用程式存取功能的適當計劃,「部署」階段便具備實作與維護計劃的所有程序。

詳細資訊

如需更多行動裝置的相關資訊,請造訪 Microsoft TechNet,然後搜尋「行動裝置」或 "WAP"。

檢查點: 行動裝置使用 WAP 或 HTTP 以存取 Web 應用程式

需求

 

清查連接至您網路的行動裝置,以及行動裝置使用者目前所使用或可能會使用的 Web 應用程式。

 

開發及實作策略以最佳化行動裝置使用者的 Web 應用程式、更新行動裝置硬體,或兩者皆是。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「行動裝置使用 WAP 或 HTTP 以存取 Web 應用程式」合理化層級的最低要求。我們建議您依照 Microsoft TechNet Windows Mobile Center (英文) 所述之有關確保行動裝置通訊安全的其他最佳作法的指引進行。

移至下一個自我評估問題

需求: 伺服器整合和虛擬化

對象

如果您目前沒有以虛擬化來整合伺服器的計劃,請閱讀本章節。

概觀

實體基礎結構的整合,一般而言是有效的業務策略。整合位於本機的實體伺服器,已經實際證明能有效降低伺服器的蔓延,因而能提高 IT 效率,增強彈性,並減少整體擁有成本 (TCO)。

虛擬化應用程式或服務的意思是指在實體電腦上以虛擬機器安裝並執行應用程式或服務;這部實體電腦執行的是主機作業系統以及虛擬作業系統,用來實作虛擬機器。虛擬機器會執行本身的作業系統,此作業系統可移轉至新版作業系統,或者若是短期性的解決方案,也可以是虛擬化之前所用的相同作業系統。

虛擬化能提高整合作業的層次,打破應用程式與伺服器之間 1:1 的關係。虛擬化是能產生其他優勢的整合技術,可將應用程式從實體伺服器抽取出來,放到虛擬機器 (VM) 內,其中有許多虛擬機器都能位在單一實體主機上。這項需求可達成適用於整合與移轉 LOB 應用程式的解決方案加速器 (英文) 中所提出之虛擬化最佳作法。如需在開發與測試環境內運用虛擬化的其他指引,請參閱 Windows Server System 參考架構的虛擬環境部署與測試 (英文) 指南。

階段 1: 評估

「評估」階段的目標同樣也是清查組織中的應用程式、服務和基礎結構。您可能已經為了基礎結構最佳化模型的其他需求建立過這樣的清查。Systems Management Server (SMS) 2003 清查 (英文) 也可以用來清查您組織中的伺服器應用程式和基礎結構。此外,您會需要收集軟體使用資訊 (英文),以便在「識別」階段中使用。

階段 2: 識別

在您使用對應的使用情形詳細資料建立應用程式與服務的另一份清查之後,到了「識別」階段,就要進行分析資訊,判斷以哪些應用程式或服務作為虛擬化的候選對象。您應該識別應用程式或服務,尤其是需要的系統資源有限且在舊型硬體或非標準作業系統和應用程式上的那些應用程式或服務。識別初期的虛擬化對象時,所要把握的一些要點,請見下列章節描述。

基礎結構的縮減

針對這個問題,您要運用位在單一主機作業系統和單件硬體的虛擬機器,執行多個應用程式或服務,以識別哪裡的硬體可以整合。虛擬機器還是與實體基礎結構一樣彼此分隔,但您可以提高整體系統使用率,降低要管理的實體系統數目,並減少設施需求,例如樓板面積、機架空間、電力和冷卻設備。

硬體的獨立

如果執行應用程式或服務的硬體目前已經過時,便可能是接受虛擬化的良好對象。如果應用程式或服務不能確保更新為較新硬體的投資,那麼採取虛擬化的方式,在較新的電腦上繼續執行虛擬機器形式的過時硬體,可能是減輕這筆開支的良好選擇。

軟體的獨立

如同硬體的獨立性一般,虛擬機器可持續在舊版作業系統中,用舊版的應用程式執行。這個選項只適用於升級作業系統或應用程式的投資無以確保,或是為了允許這個標準化的例外繼續存在,會有許多安全性、維護和支援上的犧牲之處,因而不可行的情形。

階段 3: 評估與規劃

到了「評估與規劃」階段,要定義把應用程式伺服器整合和移轉到虛擬機器上的規劃目標、選項和程序。下列章節簡要解說與您的虛擬化策略相關的評估與規劃;本指引是自適用於整合與移轉 LOB 應用程式的解決方案加速器 (英文) 衍生而來。

開發透過虛擬化進行整合的策略

整合策略應當以您的目標以及對於環境、需求、選項與潛在影響的綜合評估為基礎,包括下列因素:

  • 對每個應用程式與伺服器的分析結果,包括與判定整合選項有關的全部特性。

  • 每個應用程式可用的整合選項,以及每種選項的優缺點。

  • 每個應用程式的相關服務層級影響 (包括用來使所變更的執行時間環境受到的影響儘可能減輕的安全防護功能技術)。

  • 應用程式對業務單位的影響,包括用來使應用程式擁有者所受影響儘可能減輕的安全防護功能技術。

  • 每個應用程式相關的 IT 組織影響 (包括關於網域、網路、伺服器、儲存設備、應用程式和用戶端)。

  • 每個整合式應用程式在最終狀態上的影響 (著重於虛擬機器的環境)。

  • 每個整合式應用程式的安全性影響 (尤其是與在虛擬機器中執行應用程式相關的安全防護功能因素)。

對於為您的組織決定適當整合策略來說,這些因素都非常重要。

作業管理規劃

應用程式伺服器的整合工作一般需要改進作業程序,以偏移與整合相關的技術複雜度與作業風險,並且必須特別考量在虛擬機器中執行應用程式的影響。有的作業規劃領域會直接受到整合與虛擬化的影響。確保這些領域得到適當管理,需要嚴謹的分析,也經常需要修改作業程序。

備份與還原策略

使用虛擬機器來整合應用程式或服務時,您必須考量的不只是虛擬機器上所執行應用程式伺服器的備份與還原策略,也要考慮主機作業系統和虛擬伺服器的備份與還原策略。

變更和發行管理

變更和發行管理計劃必須涵蓋實體伺服器和主機作業系統,以及所要部署的虛擬機器。有效變更和發行管理的目標在於:

  • 儘量減少服務的停機時間以及對使用者設定的變更。

  • 提供轉為生產環境的順暢轉換作業。

  • 達到所有業務目標。

良好的設計與管理計劃能協助確保達成這些目標。

監視

高效監視虛擬機器環境的規劃須要進行即時評估,以及因應應用程式特定的問題。一般而言,這需要完成下列規劃工作:

  • 議定監視需求。

  • 針對監視主機作業系統和虛擬作業系統,識別並部署適當的程序與技術。

  • 決定如何最佳化程序和技術的效能。

  • 擬定計畫,規定如何持續監視基礎結構,以及必要時關閉監視。

服務支援

服務支援包括在核准的 SLA 範圍內識別、指派、診斷、追蹤與解決事件、問題和要求的處理程序、程序、工具和人員。整合過程中,支援資源的重要目的在於確保達到整合的企業目標,並且迅速解決事件與問題。

服務最佳化

服務最佳化包括定義 SLA 中所包含的最佳化需求,管理容量與可用性,管理服務持續性,管理人員,並進行財務規劃,以確保整合成本合理並合乎預算。

部署規劃

為了高效規劃使用虛擬化的整合解決方案,需要的不僅只是制定適當的整合、虛擬化策略和作業計畫,也必須定義測試、試驗與發行解決方案的程序。這項工作包括決定實作解決方案的方式、時機與地點,以及在實作的任何階段,必要時如何復原解決方案。部署規劃必須包含:

  • 測試

  • 試驗計畫

  • 首度發行計畫

  • 復原方式

建立邏輯和實體設計

虛擬化技術與所在平台的每個實例設計,必須包含可靠性、可用性、安全性,與延展性的設計。必須顧及作業環境和基礎結構兩者的考量因素。邏輯和實體設計的建立工作必須包含:

  • 網域基礎結構設計

  • 伺服器大小與效能

  • 虛擬機器設計

  • 伺服器對應

評估與規劃摘要

評估與規劃的指引包含規劃將應用程式伺服器整合到虛擬機器上所需工作的高層級概觀,這些通常會是運用虛擬化技術所整合與移轉的初始服務。

Virtual Server 2005

Microsoft Virtual Server 2005 可提供上述的伺服器虛擬化功能,支援企業伺服器應用程式與系統管理的複雜需求。

如需更多 Microsoft Virtual Server 2005 的相關資訊,請造訪: https://www.microsoft.com/technet/prodtechnol/virtualserver/default.mspx (英文) 

階段 4: 部署

核心基礎結構最佳化模型中,這項需求的用意在於制定運用虛擬技術進行 IT 服務與應用程式整合的計畫。如需以 Microsoft Virtual Server 2005 部署虛擬化以整合應用程式的指引,請參閱適用於整合與移轉 LOB 應用程式的解決方案加速器: Virtual Server 2005 解決方案實作指南 (英文)。

詳細資訊

如需更多相關資訊,請造訪 Microsoft TechNet,然後搜尋「虛擬化」。

若要瞭解 Microsoft 如何實作虛擬化,請至 https://www.microsoft.com/technet/itshowcase/content/virtualserver2005twp.mspx (英文)。

檢查點: 伺服器整合和虛擬化

需求

 

清查組織中所有的 IT 服務和應用程式‧,包括效能與流量資料。

 

透過實作虛擬機器技術開發計畫,以整合伺服器基礎結構。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「伺服器整合和虛擬化」功能合理化層級的最低要求。我們建議您依照適用於整合與移轉 LOB 應用程式的解決方案加速器內容所述之有關伺服器整合與虛擬化的其他最佳作法資源的指引進行。

移至下一個自我評估問題

需求: 桌上型電腦的分層映像處理

對象

如果您目前沒有管理桌上型電腦映像的分層映像策略,請閱讀本章節。

概觀

在《適用於實作人員的核心基礎結構最佳化資源指南: 基本至標準化層級》中,您已閱讀為桌上型電腦建立、部署與維護標準映像,以及建立磁碟映像的三種方式 (大型、小型與混合) 之相關內容。建立大型映像固然是標準化映像部署的可行方式,但使用小型或混合映像能提高效率,降低部署與維護的成本。

分層映像的作法支持小型與混合映像的策略,也就是只有作業系統本身或作業系統和有限的標準核心應用程式才會部署到目標機器上。輔助性的應用程式、驅動程式或語言套件,是透過與部署時間的主映像分開的安裝順序所新增。其影響在於所需維護的核心映像較少,在部署時的核心映像外部新增元件的彈性更大。為協助決定與實作映像的策略,Business Desktop Deployment (BDD) 2007 電腦映像處理系統功能團隊指南 (英文) 探討桌上型電腦映像處理的選項,並且提供以 Microsoft 技術建立桌上型電腦映像的詳細資訊。

如需更多整合映像成本效益的相關資訊,請參閱最佳化基礎結構: IT 勞力成本與管理 Windows 桌上型電腦最佳作法之間的關係 (英文) 白皮書。

階段 1: 評估

核心基礎結構最佳化的標準化層級要求要有標準映像策略以及最多兩種桌上型電腦的作業系統版本。大多數的情況下,達成標準映像的組織運用的是磁區型的映像處理技術,或取得已知設定良好的機器快照,內容包含全部所需的應用程式、元件和設定。

在「評估」階段,您要瞭解組織所實際維護的標準映像數目。包括為外語作業系統所開發的一切項目、各種硬體抽象層 (HAL) 類型,或為組織中某些獨特服務所維護的映像,例如客服中心或媒體工作室。您應該把每個映像的元件編入類別目錄,到了「識別」階段,再從這些映像中尋找共同點的線索,以識別如何取得更精簡且整合度更高的桌上型電腦映像集。為了在目前用於進行標準映像擷取的機器上自動化收集軟硬體與作業系統資訊,建議您使用 Application Compatibility Toolkit (英文)、SMS 2003 軟硬體清查 (英文) 或 Windows Vista Hardware Assessment

階段 2: 識別

在「識別」階段,您要找出編入類別目錄之映像的共同元素。小型或分層映像或許並非組織中每項作業的最佳解決方案,但使用較小型的映像確實有許多顯著的好處,這部分留待下一階段討論。某些限制因素,例如平台類型 (x64 或 x86) 或使用 Windows XP 或舊版作業系統的多種 HAL 類型,會迫使您維護多個映像。這些限制在 Windows Vista 稍見放寬,其中一個映像可支援多種 HAL 類型,但 x86 與 x64 平台仍需要獨特映像。

分層映像的需求朝進一步映像整合的方向走,如此可減少所管理映像的整體維護需求。請用您的標準映像類別目錄,區隔機會所在,以儘量整合作業系統。著手點例如像是使用多語系使用者介面 (MUI) 套件將單一語言的核心作業系統標準化,也可以選擇使用具備附加元件語言套件的語言中立作業系統。

整合語言版本之後,請檢視組織中每位使用者所需的應用程式 (如果有的話);這類項目可包括防毒應用程式、生產力套件,或在每位組織使用者的機器上為必備標準應用程式的特殊 LOB 應用程式。接著再尋找可封裝且可供在核心小型映像安裝之後的安裝順序中安裝的應用程式,這類應用程式可以是某些部門獨有的 LOB 應用程式,例如有限地點使用的外語軟體。在您區隔出核心映像與可在核心映像安裝之後分層新增的元件選項之後,即可開始評估如何讓組織採行分層映像的策略。

階段 3: 評估與規劃

現在,您已經識別了所管理映像的共同點,也區隔出進一步整合映像的機會,如此一來即更加趨近分層映像的作法;這時就可以開始評估與規劃組織中哪裡最適合實施分層映像,哪裡則不可行。評估出對組織分層映像的適當用法之後,您就可以開始規劃轉換作業。下列章節定義可能的映像類型,並探討分層映像的優點,協助評估對組織而言的最佳策略。

大型映像

大型映像內含作業系統、應用程式,及其他企業標準檔案。若使用大型映像,一切都會以一個步驟載入用戶端電腦中。大型映像的缺點在於所有電腦都會收到相同的設定。

分層映像

小型映像內含極少數應用程式 (如果有的話)。應用程式會個別安裝在用戶端電腦。小型映像容許自訂每部用戶端電腦的彈性,但部署時間會大幅增加。

混合映像兼具大型與小型映像方式的優點。由您建立基準映像,該映象由組織內大多數桌上型電腦使用的作業系統、公司標準的應用程式與企業資料檔案組成。接著再建立次要映像,其中包含您所支援各家組織特定的應用程式和資料檔案。如需更多映像類型的相關資訊,請至 http://technet2.microsoft.com/WindowsServer/en/library/b5a36970-0de1-4386-a824-529b0272a3171033.mspx?mfr=true (英文)。

分層映像的優點

分層映像有許多超越大型映像的優點。分別是:

  • 部署時間。

  • 維護。

  • 彈性。

部署時間

分層映像的部署是大型與小型映像部署的折衷措施。載入兩個分層映像所花的時間比單個大型映像略長一些,但比載入小型映像和眾多應用程式相比會快了許多。部署的規劃也能夠簡化。您的重點在於組織的部署,而非個別電腦。

維護

對於映像的維護,您有許多必須考量的領域。第一個是映像的建立與儲存。再來是映像內容的修補與更新。

依照您所需支援的作業系統與應用程式版本數目,可能會有許多不同的大型映像必須建立、儲存與維護。每回映像中單一元件有更新時,您都必須重新建置整個映像。

若採取分層映像處理的策略,您需要建立與儲存的小型映像較少,更新也能簡化,因為只有作業系統與少數應用程式要修補。所有其他應用程式都必須從安裝的每部電腦加以更新。這比更新並重新部署分層應用程式映像耗時許多。

混合映像結合了大型與小型映像的優點。您需要建置的整體映像較少,更新也只需要套用到含有所要更新應用程式的映像。然後您就可以部署較小的映像到較少的系統。

彈性

分層映像比起大型映像的方式,在規劃與部署上的彈性更高出許多。您可以基於組織結構、系統設定、資料安全性的需求,以及許多其他符合組織需求的準則,來自訂磁碟映像。

規劃與建置標準映像

只要判定把核心應用程式與元件新增到核心作業系統映像的適當層級,以及決定哪些應用程式要安裝在作業系統映像外部,就可以開始建置標準的桌上型電腦映像。BDD 2007 概述的程序包含使用 BDD 2007 Deployment Workbench 主控台搭配 ImageX 命令列映像處理公用程式來建置映像的四大步驟。桌上型電腦映像處理是著重於建立、測試與修改映像的反覆程序,直到判定足夠穩定而可以部署為止。這套程序的四大步驟說明如下,並請搭配 BDD 2007 中的電腦映象處理系統功能團隊指南 (英文)。

新增應用程式至發佈共用

第一個步驟是新增應用程式,包括硬體特定的應用程式,並且指定應用程式之間的相依關係到發佈共用。這些元件會用來在下列步驟建立或設定組建。

設定組建

組建是包含自動安裝回應檔案的作業系統設定 (如果是分層映像,則還包含工作順序)。建置所相關聯的作業系統具備設定並包含作業系統部署以外所需執行的工作。工作順序應該以工作順序處理引擎來定義,有時也可透過安裝前後所需常式的指令碼來定義。

設定部署點

部署點含有發佈共用的來源檔與組建的子集,也指定如何安裝所包含的組建。更新部署點會產生連接到部署點並且開始安裝所需的映像。

擷取作業系統映像

桌上型電腦映像處理的最後一個步驟,是參照電腦的映像擷取。您要指定在 Deployment Workbench 中建立組建時,是否提示進行映像擷取。於是程序就會在初始對話過程中,詢問是否要擷取參照電腦的映像。

階段 4: 部署

映像部署未包含在映像處理程序中。請參閱核心基礎結構最佳化合理化層級中之自動化作業系統發佈的需求。

詳細資訊

如需更多分層映像的相關資訊,請造訪 Microsoft TechNet,然後搜尋「分層映像處理」。

若要瞭解 Microsoft 如何使用 Vista 簡化磁碟映像處理,請至 https://www.microsoft.com/technet/itshowcase/content/vistadeploy_twp.mspx (英文)。

檢查點: 桌上型電腦的分層映像處理

需求

 

清查及合理化您的組織中目前受管理的桌上型電腦映像組合。

 

開發與實作策略,以桌上型電腦部署的小型或混合分層映像處理來整合桌上型電腦映像。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「桌上型電腦的分層映像處理」合理化層級的最低要求。我們建議您依照 BDD 2007 (英文) 中電腦映像處理系統功能團隊指南 (英文) 所述之有關分層磁碟映像的其他最佳作法的指引進行。

移至下一個自我評估問題