Управление на основе политик

Приложение LANDesk Management Suite позволяет управлять наборами приложений на группах устройств, используя функцию управления на основе политик.

В этой главе вы изучите следующее:

• Принципы управления на основе политик
• Настройка политик
• Применение области действия к политикам приложений
• Информация, отображающаяся на устройствах пользователей
• Использование локального портала развертывания программного обеспечения

Принципы управления на основе политик

Управление на основе политик (в предыдущих версиях Management Suite управление политиками приложений), позволяет легко управлять наборами приложений на группах устройств. Как и для других запланированных задач, для политик необходимо следующее:

• Пакет SWD, MSI, исполнимый файл, командный файл или пакет Macintosh, создаваемый пользователем.
• Метод доставки, который поддерживает политики и принудительную отправку либо самой политики, либо при поддержке политики.
• Цели политик для пакетов распространения, таких как результаты запроса LDAP или запроса в базу данных главного сервера.
• Запланированное время, когда политика должна стать доступной.

При управлении на основе политики происходит периодический перезапуск запросов, являющихся частью политики, что позволяет применить политики к любым новым управляемым устройствам. Например, возможно, в вашем в каталоге LDAP есть контейнер "Отдел", который содержит объекты "пользователь". Любой пользователь, объект "Отдел" которого имеет значение "Маркетинг", использует стандартный набор приложений. После того как для пользователей отдела "Маркетинг" установлена политика, на компьютеры новых пользователей этого отдела автоматически устанавливается нужный набор приложений.

Используйте консоль для настройки политик приложений, которые хранятся в базе данных главного сервера.

Управление на основе политик позволяет развертывать следующие типы файлов:

• MSI
• Исполнимый
• Командный файл
• Macintosh
• Linux RPM
• LANDesk Application Virtualization
• Пакет Windows Script Host (.wsf)
• Пакет предыдущей версии SWD

Ниже указана последовательность задач для управления на основе политики:

1. Убедитесь, что на ваших устройствах имеются агенты распространения программного обеспечения.
2. Если у вас нет пакета для приложения, для которого необходимо использовать политику, создайте его. Для получения дополнительной информации см. раздел Распространение программного обеспечения.
3. Используйте окно пакетов распространения, чтобы создать определение пакета для данного пакета.
4. Создайте новый или выберите существующий метод доставки на основе политики.
5. В окне Запланированные задачи (Scheduled tasks) создайте задачу распространения ПО и выберите пакет и метод доставки, как описано выше.
6. Выберите цели для политики. Они могут включать любую комбинацию отдельных устройств, запросов баз данных, групп устройств, элементов LDAP и запросов LDAP.
7. Запланируйте запуск задачи. После запуска пакет распространения становится доступным для извлечения.
8. Находящаяся на главном сервере служба управления на основе политик периодически обновляет список целей политики путем пересмотра результатов запроса LDAP или базы данных. Это позволяет обеспечить наличие в базе данных главного сервера текущего набора целевых пользователей или компьютеров.
9. Пользователь выполняет вход в устройство, подключается к сети или иным способом запускает агент управления на основе политики.
10. Находящаяся на главном сервере служба управления на основе политик определяет применимые политики в зависимости от идентификатора данного устройства, а также местоположения вошедшего в систему пользователя или устройства LDAP.
11. Служба управления на основе политик отправляет информацию о политике агенту управления на основе политики.
12. В зависимости от выбранных в конфигурации устройства методов обработки политик пользователь выбирает политики, которые необходимо запустить, или выполняется автоматический запуск политик. В списке на устройстве присутствуют только рекомендуемые или дополнительные политики. Когда в списке появляется необработанная рекомендуемая политика, она выбирается по умолчанию. Периодические политики появляются в списке по истечении их интервалов выполнения. Выбранные политики выполняются последовательно.
13. Агент управления на основе политик отправляет результаты политики на главный сервер, который сохраняет результаты в базе данных главного сервера. Отчет о состоянии управления на основе политик направляется на главный сервер с использованием протокола HTTP, который позволяет повысить надежность. Информация об этом состоянии отображается в окне "Запланированные задачи" (Scheduled tasks).

Настройка политик

Управление на основе политики требует наличия поддерживаемого типа пакета распространения для любой создаваемой политики. Вы можете создать пакеты заранее или создавать их в процессе создания политики. Рекомендуется создать пакеты заранее, чтобы можно было их проверить и обеспечить надежную работу до начала использования в политике.

Обычные операции распространения и политики могут использовать один и тот же пакет распространения. Разница заключается в развертывании, а не в создании пакета. Имеется два метода доставки, которые поддерживают распространение на основе политики:

• Методы доставки политики: Модель распространения, основанная только на политике. Пакет получают только те устройства, которые соответствуют критериям политики.
• Методы принудительной доставки при поддержке политики: Комбинация принудительного распространения и модели на основе политик. Сначала служба распространения программного обеспечения пытается установить пакет на всех устройствах в целевом списке. Первоначальное развертывание можно осуществить с помощью службы целевой многоадресной рассылки. Затем все устройства, которые не получили пакет или позднее появились в целевом списке (в случае использования динамического целевого списка), получают пакет после того, как его запросит находящийся на устройстве агент управления на основе политики.

Основное различие между стандартными методами доставки и методом доставки на основе политики состоит в том, в диалоговом окне методов доставки на основе политики имеется страница Тип и частота выполнения задания (Job type and frequency).

Параметры типа задания и частоты его выполнения влияют на поведение целевых устройств при получении ими политики.

• Обязательная политика (Required): Агент управления на основе политики автоматически применяет обязательные политики без участия пользователя. Можно настроить автоматический запуск обязательных политик. Все элементы пользовательского интерфейса, отображаемые на устройстве во время установки обязательной задачи, не должны блокировать работу. Другими словами, устанавливаемое приложение не должно требовать ввода данных со стороны пользователя.
• Рекомендуемая политика (Recommended): Пользователи могут выбирать, когда следует установить рекомендуемые политики. По умолчанию рекомендуемые политики выбраны в элементах пользовательского интерфейса устройства.
• Дополнительные политики (Optional): Пользователи могут выбирать, когда следует установить дополнительные политики. По умолчанию дополнительные политики не выбраны в элементах пользовательского интерфейса устройства.

Можно также настроить частоту выполнения политики.

• Выполнить один раз (Run once): После однократного успешного выполнения политики на устройстве оно больше не выполняет эту политику.
• Периодическая (Periodic): Если рекомендуемая или дополнительная политика определена в качестве периодической, то после успешного выполнения она удаляется из элементов пользовательского интерфейса и отображается снова через заданный промежуток времени.
• В любое время (As desired): Может устанавливаться пользователями в любое время.

Для создания операции распространения на основе политик выполните следующие действия:

1. На консоли щелкните Сервис > Распространение > Методы доставки (Tools > Distribution > Delivery methods).
2. Щелкните правой кнопкой мыши либо Распространение на основе политики (Policy-based distribution), либо Принудительное распространение при поддержке политики (Policy-supported push distribution), затем щелкните Новый метод доставки (New delivery method).
3. Настройте параметры метода доставки. Для получения дополнительной информации на каждой странице нажмите Справка (Help).
4. Настройте параметры в разделе Тип и частота выполнения политики (Type and frequency of policy).
5. После завершения щелкните OK.
6. Щелкните Сервис > Распространение > Запланированные задачи (Tools > Distribution > Scheduled tasks).
7. Нажмите кнопку Создать задачу распространения ПО (Create software distribution task) на панели инструментов.
8. Настройте параметры задачи и нажмите кнопку ОК.
9. Выбрав задачу распространения на основе политики, перетащите цели политики на правую панель окна.

Распространение на основе политики вступает в силу, как только определены цели и запущена задача политики. Принудительное распространение при поддержке политики вступает в силу после завершения первоначального принудительного распространения.

Добавление статических целей

Управление на основе политики может использовать в качестве целей политики статические цели. Статические цели — это список определенных устройств или пользователей, которые не изменяются, если не изменить их вручную. Чтобы добавить статические цели, выберите отдельные устройства из вида сети в качестве целей. Отдельные устройства LDAP нельзя добавить в качестве статических целей.

Добавление динамических целей

Управление на основе политик может использовать запросы для определения целей политики. Запросы хранятся только в базе данных главного сервера. Для получения дополнительной информации см. раздел Запросы баз данных.

Динамические цели могут включать группы устройств из вида сети, объекты LDAP, запросы LDAP и запросы инвентаризации.

Чтобы устройства могли получать политики, цели которых определены с использованием служб Active Directory или NetWare Directory Services, они должны быть настроены для входа в каталог. Это означает, что на них должно быть установлено все необходимое программное обеспечение агента, и они должны выполнить вход в нужный каталог таким образом, чтобы их полное различающееся имя соответствовало имени, указанному в цели с помощью диспетчера каталогов и диспетчера политик приложений и запланированных задач.

Устройства Windows 95/98 и NT должны быть настроены на вход в домен, где располагается Active Directory. Операционные системы Windows NT и Windows 95/98 не включают поддержку Active Directory. Необходимо установить поддержку Active Directory на устройствах, которые выполняют вход в каталог и требуют управления политиками приложений с использованием управления на базе политик. Для получения дополнительной информации об установке поддержки клиента Active Directory см. web-страницу:

http://www.microsoft.com/technet/archive/ntwrkstn/downloads/utils/dsclient.mspx

Чтобы добавить устройство к цели из LDAP, каждое устройство Windows NT/2000/2003/XP должно иметь учетную запись компьютера в контроллере домена Active Directory. Это означает, что используемый в качестве устройства компьютер должен выполнить вход в домен, где находится Active Directory. Нельзя просто назначить сетевой диск, используя полное доменное имя Windows NT. В этом случае политика не будет действовать.

Для использования диспетчера каталогов для создания запроса выполните следующие действия:

1. Щелкните Сервис > Распространение > Диспетчер каталогов (Tools > Distribution > Directory Manager).
2. На панели инструментов нажмите кнопку Управление каталогом (Manage directory).
3. Введите URL-адрес каталога и идентификационную информацию, затем нажмите кнопку ОК.
4. На панели инструментов нажмите кнопку Новый запрос (New query).
5. Создайте запрос. Для получения дополнительной информации см. раздел Запросы LDAP.

Добавление дополнительных целей

При создании задачи на основе политик часто бывает очень полезно сначала развернуть политику на небольшом наборе целей. Это гарантирует, что, если при развертывании политики возникнут проблемы, то будет затронута только небольшая группа пользователей. После того как результаты развертывания для небольшой группы пользователей одобрены, можно добавлять к политике дополнительные цели. Как только к активной задаче политики добавлены новые цели, политика немедленно становится доступной для новых целевых устройств или элементов LDAP.

Применение области действия к политикам приложений

Сведения на панели информации о целях управления на основе политики могут меняться в зависимости от областей действия различных пользователей. Однако область действия, которую в конечном итоге использует политика, всегда является областью действия владельца задачи. Если задача политики присутствует в списке Общие задачи (Common tasks), и другой пользователь Management Suite, имеющий другую область действия, просматривает панель информации о целях для данной задачи (назовем этого второго пользователя "редактором" списка целей), то сведения на этой панели будут отфильтрованы в соответствии с областью действия редактора. В этом случае редактор, возможно, не сможет просмотреть на панели информации все цели, к которым будет применена политика, поскольку область действия редактора может не позволить ему просматривать все цели из области действия создателя задачи.

Информация, отображающаяся на устройствах пользователей

Политики приложений всегда обрабатываются с использованием модели извлечения. Устройства проверяют наличие на главном сервере новых политик, которые могут быть к ним применены. Во время этой проверки на устройстве появляется диалоговое окно, а котором отображаются только необработанные рекомендуемые и дополнительные политики. Обязательные политики не отображаются. Необработанные рекомендуемые политики по умолчанию выбираются в элементах пользовательского интерфейса, чтобы поощрить конечного пользователя выполнить ту или иную политику.

Если политика обработана, она может по-прежнему отображаться в пользовательском интерфейсе, если для нее задан периодический запуск. В этом случае она опять будет выбрана, даже если это политика является рекомендуемой. Политика может снова отображаться в пользовательском интерфейсе, если она не была выполнена правильно.

Пользователь может вручную запустить агент управления на основе политики, щелкнув Пуск > Программы > LANDesk > Доставка на основе политики (Start > Programs > LANDesk > Policy-based delivery).

Использование локального портала развертывания программного обеспечения

Агент распространения программного обеспечения на управляемых устройствах также позволяет использовать портал развертывания программного обеспечения. Портал проверяет локальный кэш распространения программного обеспечения для политик, которые относятся к локальному устройству или пользователю. Затем портал отображает web-страницу с доступными политиками. Чтобы установить пакеты, соответствующие политике, пользователи могут выбрать политику из списка и нажать Загрузить выбранное (Download selected).

Для использования портала развертывания программного обеспечения выполните следующие действия:

1. На управляемом устройстве щелкните Пуск > Программы > Управление LANDesk > Портал развертывания программного обеспечения LANDesk (Start > Programs > LANDesk Management > LANDesk Software Deployment Portal).
2. Выберите политику, которую необходимо применить.
3. Щелкните Загрузить выбранное (Download selected).