Jak zarządzać stacjami roboczymi i serwerami

Od podstaw do automatyzacji

Większe przedsiębiorstwa zazwyczaj mają już wdrożoną infrastrukturę serwerową, uruchomione zarządzanie stacjami wykorzystujące mechanizmy Active Directory wraz z obsługą profili i ustawień w kontekście maszyny oraz użytkownika. W takiej firmie naturalnym celem jest nie tyle zarządzanie poprawkami, bo usługi zarządzające aktualizacją systemów są wdrożone od dawna, ile uzyskanie maksymalnej elastyczności środowiska i łatwego zarządzania nim. Ideałem, do którego dąży dział IT, jest scenariusz pełnego klienta, który może pracować offline, a w przypadku awarii i konieczności instalacji nowej maszyny odbudowanie wszystkich ustawień trwa kilka chwil. Firmy mające większe środowiska korzystają także z usług instalacji systemów Windows na nowej stacji za pomocą usługi Windows Deployment Services - obraz systemu nie musi zawierać ani sterowników do docelowego sprzętu, ani ustawień użytkownika. Pojawią się one, gdy na nowo dołączonym komputerze zadziałają ustawienia GPO "spływające" na niego z domeny, wymuszając wgranie brakujących obiektów. Metoda oszczędza sporo czasu, gdyż instalacja taka może odbywać się automatycznie, dzięki czemu dział IT nie poświęca tak dużo czasu na pierwszy krok przy zarządzaniu stacjami - instalacja i dostosowanie systemu do standardowych wymagań korporacji.

Zarządzanie zaawansowane

Kolejnym krokiem dla firm może być zarządzanie strumieniowaniem aplikacji. W tym modelu po zalogowaniu się nowego użytkownika nieprzypisane do niego aplikacje automatycznie zostaną odinstalowane, przypisane będą działać nadal lub zostaną automatycznie doinstalowane w miarę potrzeb. Dzięki temu uniknie się problemów pozostałości po odinstalowanych aplikacjach w rejestrze lub katalogach z bibliotekami DLL - a jest to problem przy tradycyjnie zarządzanej stacji roboczej.

Istniejące dziś narzędzia do dystrybucji oprogramowania w sieci, w odróżnieniu od usługi Intune czy popularnych narzędzi takich jak WSUS, są w stanie przeprowadzić dokładną analizę sprzętu i oprogramowania, a także mogą realizować to w kontekście zarządzania zmianą. Kontrola odbywa się na każdym etapie - od instalacji za pomocą usługi Windows Deployment Services, umożliwiając od razu konfigurację szyfrowania za pomocą BitLockera czy wprowadzając przekierowanie folderów, aż po ustawienia i pliki użytkownika, które mogą być automatycznie wprowadzane na nowej maszynie. Aplikacje w tym modelu mogą być dystrybuowane za pomocą narzędzi App-V, czyli dostarczane ze środowiska Windows Server lub tradycyjnie, z paczek instalacyjnych MSI.

Dziel i rządź

Aby w większej organizacji dział IT mógł zapanować nad mnogością opcji konfiguracji, należy wprowadzić partycjonowanie logiczne urządzeń czy serwerów oraz użytkowników na kolekcje. Każda akcja, którą administratorzy będą wtedy wykonywali, będzie adresowana do kolekcji, a następnie automatycznie tłumaczona na elementarne działania dotyczące stacji roboczej, serwera czy konta użytkownika. Kolekcje mogą być dynamiczne, a zatem lista zawartych w nich urządzeń zmienia się na podstawie atrybutów, takich jak jednostki organizacyjnej w domenie, brakującej poprawki czy funkcji. Gdy to się osiągnie, wystarczy zaprojektować docelową konfigurację stacji roboczych i serwerów, a następnie system sam pilnuje wprowadzenia opcji w życie, włącznie z modułem zarządzania konfiguracją.

Stacje i serwery pod specjalnym nadzorem

W obrębie systemu zarządzania można zdefiniować wymagania dotyczące na przykład zgodności z założeniami ISO 27001 czy regulacji związanych z ochroną danych osobowych. Wymagania te można nałożyć na aplikacje, serwery i usługi, by na przykład wszystkie stacje związane z przetwarzaniem danych osobowych były skonfigurowane zgodnie z tymi regulacjami i założeniami firmowej polityki bezpieczeństwa. Chociaż ustawienia te można zrealizować za pomocą polis GPO, należy dokonać analizy zgodności z założeniami oraz zarządzać stacjami, przypisując je do procesów biznesowych, które obsługują. Zatem znaczne odstępstwo od szablonu powinno generować założenie incydentu w systemie help desk (np. Microsoft System Center Service Manager), automatyczną reakcję narzędzi zarządzania, a jeśli nie przyniesie ona skutku - eskalację zlecenia do personelu działu IT. Jeśli jest potrzeba kolekcjonowania zapisów z rejestru zdarzeń i natychmiastowego alertowania, można posłużyć się narzędziami dostosowanymi do zarządzania serwerami - alerty, które zauważy narzędzie System Center Operations Manager, mogą być od razu wykazane w Service Manager jako incydenty i generować akcje po stronie IT, takie jak wymuszenie odświeżenia polis GPO lub informacja do działu IT.

Przeniesienie systemu inwentaryzacji na poziom procesu sprawia, że sprzęt i oprogramowanie podlegają analizie, wyniki analizy zasilają bazę danych systemu obsługi serwisu, a operator systemu help desk ma gotowe dane inwentaryzacyjne. W ten sposób można zarządzać serwerami i stacjami roboczymi przeznaczonymi do zadań specjalnych, na przykład do przetwarzania informacji o szczególnym znaczeniu dla organizacji.