С появлением Windows SharePoint Services 2.0 организации начали бороться с быстрым увеличением количества неуправляемых серверов SharePoint и ферм. Но в версии SharePoint 2010 разработчики Microsoft добавили возможность, названную «блокировкой развертывания», которая препятствует установке системы SharePoint.

Блокировка развертывания – это простой параметр с именем DisableInstall, размещенный в реестре по адресу:

HKLM\Software\Policies\Microsoft\Shared Tools\Web Server Extensions\15.0\SharePoint\

Неудивительно, что эта технология используется в версии SharePoint 2013 (v 15.0). Если вы поменяете версию 15.0 на 14.0, данная технология будет работать в системе SharePoint 2010.

Значение типа DWORD проверяется процессом установки SharePoint — setup.exe. Если параметр в реестре будет существовать и значение будет равно 1, то процесс setup.exe завершит работу. Установив по умолчанию значение данного параметра в реестре равным 1 для всех серверов, вы сможете создать политику, запрещающую появление неутвержденных серверов и ферм SharePoint. В дальнейшем для серверов, на которых разрешается установка системы SharePoint, вы можете просто удалить параметр в реестре.

Параметр в реестре может быть настроен при формировании корпоративного образа базовой установки Windows Server. При другом подходе можно настраивать значение параметра в реестре, используя механизм Group Policy.

Group Policy — функция систем Windows и каталога Active Directory (AD) — позволяет централизованно управлять параметрами для пользователей и компьютеров. Политика Group Policy, по сути, представляет собой централизованно задаваемый набор параметров. Один или несколько параметров Group Policy содержатся в объекте Group Policy Object (GPO). Таким образом, вы можете рассматривать объект GPO как контейнер параметров.

Объект GPO в свою очередь применяется к области или набору учетных записей, пользователей или компьютеров. Обычно используемая область — домен или организационное подразделение (OU) в каталоге AD. Связывая объекты GPO с доменом или OU, вы указываете, что настройки из данного объекта GPO должны применяться ко всем пользователям и компьютерам в выбранной области.

Чтобы управлять таким параметром, как блокировка развертывания SharePoint, вы можете использовать возможность Group Policy, названную предпочтением реестра, позволяющую настроить параметр реестра. Я рекомендую назначить базовую политику, которая запрещает установку системы SharePoint, на весь домен.

Затем для OU, содержащего серверы SharePoint, создайте другую политику, которая удаляет параметр реестра. Серверы, входящие в OU, фактически применят и политику всего домена, которая запрещает SharePoint, и политику OU, которая разрешает установку системы. Но так как объекты GPO применяются в определенном порядке (сначала GPO, связанный с доменом, а потом GPO, связанный с OU), политика, связанная с OU, «победит», и в результате серверы, входящие в OU серверов SharePoint, будут иметь возможность успешно устанавливать систему SharePoint.

Создание объектов GPO требует делегирования привилегий в каталоге AD. В большинстве случаев ваша административная учетная запись будет добавлена в группу Group Policy Managers. Однако, возможно, вам придется обратиться за помощью к специалистам по каталогу AD, в том случае, если вы не знакомы с процессами создания объектов GPO или управления ими. Необходимо выполнить следующие шаги.

1. Создайте объект GPO под названием, например, SharePoint Installation Block. Этот GPO будет ограничен доменом (связан с доменом). Поэтому если вы ранее связали какой-либо объект GPO с доменом, то можете пропустить этот шаг и просто добавить предпочтение реестра непосредственно к существующему объекту GPO. Однако не рекомендуется изменять объект GPO, созданный «по умолчанию» под названием Default Domain. Вместо этого создайте или измените собственный объект GPO. Перейдите к редактированию объекта GPO SharePoint Installation Block и в узле Computer Settings просмотрите настройки Preferences to Registry. Создайте новое предпочтение реестра со следующими параметрами:

  • Action: Create
  • Path: HKLM\Software\Policies\Microsoft\Shared Tools\Web Server Extensions\15.0\SharePoint\
  • Value Name: DisableInstall
  • Type: DWORD
  • Value: 00000001

2. Создайте объект GPO под названием, например, SharePoint Installation Allow. Этот GPO будет ограничен организационным подразделением — например, подразделением SharePoint внутри вашего подразделения Servers. И по аналогии, если вы уже связали данные серверы с созданным объектом GPO, можете просто изменить этот объект GPO.

3. Отредактируйте объект GPO SharePoint Allow и в узле Computer Settings просмотрите настройки Preferences to Registry. Создайте новое предпочтение реестра со следующими параметрами:

  • Action: Delete
  • Path: HKLM\Software\Policies\Microsoft\Shared Tools\Web Server Extensions\15.0\SharePoint\
  • Value Name: DisableInstall
  • Type: DWORD
  • Value: 00000001

Настройки политики Group Policy применяются при перезагрузке компьютера и приблизительно каждые 90-120 минут после нее. Вы будете знать, что политика была применена, просмотрев с помощью команды regedit.exe значения в реестре.

Вы можете проверить работу данной настройки, запустив установщик setup.exe для системы SharePoint. Для компьютеров, входящих в OU SharePoint, установка продолжится. Для компьютеров, находящихся в любых других OU и контейнерах, процесс setup.exe прекратит работу.

Итак, вот описание параметра реестра, блокирующего развертывание SharePoint:

Ветвь: HKLM\Software\Policies\Microsoft\Shared Tools\Web Server Extensions\15.0\SharePoint\

Параметр: DisableInstall (REG_DWORD)

Данные: 00000001

Всего одна оговорка — этот подход нельзя назвать абсолютно надежным. Локальный администратор сервера может обойти настройки политики через встроенные свойства предпочтений реестра. Но для этого администратор должен быть в курсе происходящего, а также знать о существовании блокировки развертывания и уметь найти и удалить ее. Таким образом, несмотря на то, что блокировка развертывания – решение, надежное на 95%, оно не гарантирует отсутствия неразрешенных серверов SharePoint. Но как бы то ни было, я рекомендую каждой организации рассмотреть возможность структурирования и управления политиками SharePoint подобным образом.