(Сравнение решений для централизованного управления профайлами)


Что сравнивалось
Испытательный стенд
Стратегия тестирования
Результаты вкратце
Решение Citrix
Решение Microsoft
Решение Novell
Результаты испытаний решений для централизованного управления профайлами

Действительно ли вам нужны сетевые компьютеры, или вам просто надо лучше управлять тем, что у вас уже есть? Не стоит недооценивать роль сетевой ОС. Она может оказать вам неоценимую помощь в деле сокращения затрат на администрирование и улучшения доступа к информационным ресурсам.

Понятно почему так много сейчас говорится о стратегии перехода к идеологии "тонких" клиентов и сетевых компьютеров (СК). Вызвано это не только тем, что многоуровневые приложения и Java могут обеспечить лучшую отдачу от вложенных средств. Истинное воодушевление связано не с технологическими преимуществами, а с возможностью эффективного достижения бизнес-целей: контролировать затраты на ПК в организации, обеспечивать централизованное управление ресурсами и предоставлять пользователям доступ к приложениям "из любого места и в любое время". Эти задачи имеют первостепенную важность для любой организации.

ТАМ, ГДЕ ПРОШЛОЕ ВСТРЕЧАЕТСЯ С БУДУЩИМ. К счастью, существует более одного способа сэкономить на ПК, и в предлагаемом вашему вниманию обзоре рассмотрены три альтернативы концепции "отказаться от ПК и установить СК", которые позволяют получить многие из тех преимуществ, которые СК только обещают, а мэйнфреймы обеспечивали всегда. Мы также хотели сохранить способность запускать готовое ПО на стандартных аппаратных платформах, используя при этом те ресурсы, которые уже имеются в организациях - т.е. чтобы решение не требовало больших дополнительных вложений. Итак, мы сосредоточились на централизованном управлении профайлами пользователей.

В первую очередь, нам захотелось проверить, как можно решать задачи централизованного управления с помощью сетевой ОС. Мы рассмотрели систему IntranetWare 4.11 компании Novell, поскольку сетевые ОС этой компании по-прежнему имеют самое большое количество пользователей. Кроме того, служба каталога Novell Directory Services (NDS) системы IntranetWare в сочетании с такими средствами как Novell Application Launcher 2.01 и Novell Workstation Manager (оба являются бесплатными дополнениями к ОС) обеспечивает централизованное администрирование, управление профайлами пользователей и приложений.

Затем мы рассмотрели традиционный пакет, предназначенный для распределенного управления. Мы выбрали Systems Management Server 1.2 компании Microsoft - и вновь, потому что он предназначен для управления профайлами пользователей и имеет механизм доставки приложений. В качестве сетевой ОС нам пришлось добавить Windows NT Server 4.0 (в других решениях сетевая ОС включена в основной пакет).

И наконец, мы рассмотрели подход, основанный на идеологии "тонких" клиентов (но не на базе СК), применяемый в продукте WinFrame 1.7 компании Citrix. Этот пакет позволяет централизованно управлять доступом пользователей к приложениям и обеспечивать доставку этих приложений посредством технологии удаленного управления, реально запускать приложения на хост-серврере и передавать копии экрана клиентам. Одно из свойств решения Citrix, которое отличает его от других рассмотренных нами решений, состоит в том, что WinFrame позволяет организациям использовать старое клиентское оборудование, поскольку для работы приложений предъявляются более низкие требования к ресурсам настольных систем. Но одновременно это означает, что для выполнения приложений вам потребуется больше серверов.

Мы собирались также рассмотреть продукт Zero Administration Kit (ZAK) for Windows 95 and Windows компании Microsoft, который тоже помогает лучше управлять профайлами пользователей. Однако ZAK не подходит для работы с клиентами Windows 3.x (основной системой, которую мы использовали в нашей тестовой лаборатории) и не решает проблемы распространения приложений. Поэтому мы решили, что его нельзя рассматривать в качестве достойной альтернативы другим решениям, рассмотренным в нашем обзоре.

ЗАТРАТАМ ПРИХОДИТ КОНЕЦ. По идее, выбранные нами решения должны снижать стоимость содержания систем в трех направлениях. Во-первых, пользователи должны иметь возможность сесть за любой из совместно используемых компьютеров и получить полный доступ к своему персонализированному набору приложений и данных. В качестве подходящей среды с совместным использованием компьютеров можно представить себе производственный цех или отдел обработки заказов.

Во-вторых, рассмотренные нами решения способны сократить объем администрирования благодаря полной централизации всех функций. Администраторы должны иметь возможность обеспечивать доступ пользователям к дополнительным приложениям и распространять обновленные версии программ таким образом, чтобы для этого им не требовалось посещать каждый настольный компьютер. В дополнение к этому, имеющиеся приложения должны допускать, чтобы разные пользователи могли использовать разные приложения или разные версии одного приложения в зависимости от набора необходимых им функций или клиентской ОС, используемой на данной машине. Мы также уделили внимание возможности реализации строгой политики безопасности с помощью таких функций как автоматическое отключение (auto-log-off) и ограничение доступа к локальным носителям.

И наконец, каждое решение должно использовать или расширять те решения, которые организации уже внедрили. Поэтому мы сосредоточились на решениях, которые обеспечивают централизованное управление профайлами клиентских ОС и свойствами приложений, что дает возможность пользователям обращаться к своим персональным данным и назначенным им приложениям с любого компьютера, который они использовали для подключения к сети.

В данном обзоре мы не пытались оценить преимущества модели "тонких" клиентов по сравнению с традиционной. Наша задача заключалась в том, чтобы найти лучшие способы снижения расходов на ПК в организациях. Если вам удастся лучше использовать существующие компьютерные ресурсы - либо путем их совместного использования, либо путем повторного внедрения программных ресурсов - вы сможете уменьшить расходы на клиентское оборудование. А если вы сократите объем администрирования и получите лучший контроль над настольными компьютерами, вы будете тратить меньше денег на обслуживание и поддержку этих ресурсов. Главная задача в том, чтобы сэкономить деньги своей организации.


ЧТО СРАВНИВАЛОСЬ

Решение Citrix

WinFrame 1.7
Citrix Systems Inc.
http://www.citrix.com

Решение Microsoft

Systems Management Server 1.2
Windows NT Server 4.0
SQL Server 6.5
Microsoft Corp.
http://www.microsoft.com

Решение Novell

IntranetWare 4.11
SnappShot 1.0
Novell Application Launcher 2.01
IntranetWare Client for Windows NT с Novell Workstation Manager
Novell Inc.
http://www.novell.com

ИСПЫТАТЕЛЬНЫЙ СТЕНД

Серверы

  • ALR MP с двумя процессорами Pentium 166 МГц и с 32 МБ ОЗУ
  • Digital Equipment Venturus GL 6200 с процессором Pentium 166 МГц и с 32 МБ ОЗУ
  • Сетевая интерфейсная плата 3Com EtherLink III Bus Master
  • Сеть

  • Hewlett-Packard AdvanceStack 240 Switch и AdvanceStack 800 Switch
  • Соединения 10/100 Мбит/с
  • Клиенты

  • Microsoft Windows for Workgroups 3.11, Windows 95, Windows NT
  • Hewlett-Packard Vectra 486/66N
  • Hewlett-Packard VL2 4/66
  • Gateway 4DX-33
  • Сетевые платы 3Com EtherLink III Bus Master
  • СТРАТЕГИЯ ТЕСТИРОВАНИЯ

    Вопрос

    Какой способ выбрать для централизованного управления клиентами, чтобы при этом не пришлось тратиться на новое оборудование?

    Критерии выбора

  • Простота реализации
  • Надежная защита клиентов и серверов
  • Гибкость клиентского ПО для пользователей с разным уровнем подготовки
  • Надежные средства администрирования
  • Надежная техническая поддержка
  • Приемлемая стоимость содержания
  • Варианты выбора

  • Решение Citrix
  • Решение Microsoft
  • Решение Novell
  • Ответ

    WinFrame 1.7 компании Citrix обеспечивает удобные средства администрирования, выполняет миграцию пользователей NetWare и поддерживает разнородные платформы. Однако отсутствие у этого продукта взаимной совместимости с учетными данными пользователей Windows NT оставляет надежды и его конкурентам.


    Результаты вкратце

    Метод решения проблемы иногда оказывается важнее, чем само решение. Мы испытали средства сетевых ОС от Citrix, Microsoft и Novell, призванные помочь управлять профайлами пользователей из единой точки.

    В идеале, используемый подход должен сократить административные расходы, не требуя от вас отказываться от существующей сетевой инфраструктуры. К настоящему моменту можно сказать, все рассмотренные средства основаны на правильной идее, но им недостает изощренных средств защиты и надежного набора приложений, которые бы обеспечили им полный успех.

    Чтобы определить, какая ОС обладает самыми изощренными возможностями по управлению профайлами пользователей и доставке приложений, мы поставили перед каждой из них задачу доставить простейшие приложения группе "блуждающих" пользователей, оснащенных различными клиентскими станциями Windows. Победителем стало решение Citrix, т.к. оно обеспечило наиболее надежную и согласованную среду для всех видов клиентов.

    Обнаруженные нами некоторые недостатки продукта WinFrame 1.7 компании Citrix компенсируются его возможностями защиты и управления настольными станциями. Особенно нам понравились такие его функции как сеансовая защита, выборочное сжатие данных и распределение нагрузки. Утилиты управления клиентами следят за соединением (например, за используемыми протоколами и сценарием подключения), осуществляют выделение ресурсов, а также позволяют импортировать учетные данные пользователей NetWare. Общее управление упрощается благодаря тому, что все клиенты и серверы используют одну и ту же среду.

    Решения Microsoft и Novell уступили, поскольку они не смогли обеспечить доступ ко всем нашим приложениям при переходе пользователей от одной ОС к другой. Им также недостает средств управления настольными системами, которые могли бы помочь поддерживать согласованную среду. Тем не менее, решения Microsoft и Novell позволяют поддерживать приложения более старшего класса, которые работают на Windows NT 4.0.

    Решение Citrix


    Итоговая оценка: 6,6

    Многопользовательская архитектура данного решения на базе Windows NT обеспечивает унифицированную и хорошо управляемую сетевую среду. Однако не во всем продукт шагает в ногу с Windows NT. Он основан на расширении ядра ОС дополнительными административными функциями и предоставляет унифицированную платформу для всех клиентов. К сожалению, ядро системы основано на Windows NT 3.51, а не на NT 4.0. Отсутствие сетевых функций, появившихся в NT 4.0 снижает потенциальную производительность системы. WinFrame является закрытой системой для клиентов и обеспечивает множество функций защиты, отсутствующих в обычной системе NT. Администраторы могут ограничивать доступ пользователей ко всем ресурсам - как к локальным, так и к сетевым; ни решение Novell, ни решение Microsoft не могут похвастаться такими возможностями.

    Задачи выполняются на сервере, а клиент имеет дело с эмуляцией графического интерфейса (GUI), которая позволяет даже самым слабым рабочим станциям (включая DOS-терминалы) выполнять мощные приложения. Это дает возможность компаниям использовать устаревшую технику. Клиентская среда унифицирована и согласована для всех видов рабочих станций, что снижает нагрузку на администраторов. Конечно, при этом надо иметь в виду, что поскольку вся обработка выполняется на сервере, вам придется позаботиться о пропускной способности сети и пожертвовать приложениями и NT 4.0 в пользу тех, которые выполняются под NT 3.51.

    Достоинства

    1. Интеграция с Novell Directory Services (NDS)
    2. Распределение нагрузки между серверами
    3. Шифрование по технологии Independent Computing Architecture Advanced Encryption во время соединения
    4. Постоянно действующий кэш и выборочное сжатие данных оптимизируют пропускную способность
    5. Встраиваемый модуль (plug-in) Web, предназначенный для доступа из браузера

    Недостатки

    1. Невозможна интеграция с профайлами сервера NT 4.0
    2. Может выполнять приложения, совместимые только с NT 3.51 и более ранними версиями
    3. Не содержит функций повышения сетевой производительности системы NT 4.0

    Решение Novell


    Итоговая оценка: 6,3

    Компания Novell разработала мощный пакет утилит и средств, предназначенных для доставки приложений в соответствии с профайлами пользователей. Служба каталога Novell Directory Services (NDS) делает процесс упорядочивания, модификации и репликации профайлов приложений и пользователей относительно простым. Утилита NWAdmin обеспечивает единое средство управления .INI-файлами, элементами реестра, правами доступа, параметрами клиентского оборудования и ПО, а также графиком выполнения задач. Используя учетные данные пользователей и групп, вы можете определить, каким из трех способов приложения должны доставляться на клиентские настольные системы: с помощью Novell Application Launcher (NAL), путем размещения их на панели задач или через меню Programs. NAL может с успехом заменить оболочку Explorer, почти полностью закрывая все "дыры" в системе безопасности Windows. Однако во время сеанса связи имеются только средства управления защитой для клиентов NT. У нас не вызвал особого энтузиазма тот факт, что NAL является обычным приложением, запускаемым из среды Explorer/Program Manager. В процессе настройки параметров с помощью размещенной на рабочем столе Windows пиктограммы мы нашли несколько ошибок, которые оказалось нелегко исправить.

    Достоинства

    1. Утилита SnappShot выполняет полную инвентаризацию ресурсов настольных компьютеров
    2. NDS обеспечивает прозрачный интерфейс для представления системных ресурсов и профайлов пользователей в виде объектов
    3. Клиентское ПО Client32 имеет средства защиты для клиентских машин

    Недостатки

    1. Компоненты решения Novell носят разрозненный характер
    2. Отсутствует слежение за клиентами в реальном времени и функции удаленного управления

    Решение Microsoft


    Итоговая оценка: 6,0

    Для внедрения этого решения вам придется запастись терпением. Нам потребовалось обращаться к отдельным частям системы из Systems Management Server (SMS) 1.2, SQL Server 6.5 (для организации серверного хранилища информации о ресурсах) и Windows NT Server 4.0. SMS выполняет функции доставки ПО; NT отвечает за обеспечение защиты для пользователей.

    Поначалу данное решение корректно и безопасно доставляло приложения в соответствии с профайлами пользователей. Так продолжалось до тех пор, пока мы не увеличили число пользователей. Необходимые параметры надо было устанавливать вручную после окончания инсталляции. Интерфейсы, которые используются для поддержки пользователей и задач, являются не настолько гибкими, чтобы их можно было использовать для больших пакетных заданий. Архитектура системы оказалась весьма специфической - даже несмотря на то, что она имеет богатые средства администрирования, позволяющие решать многие задачи управления настольными системами пользователей.

    Достоинства

    1. Широкие возможности инвентаризации клиентского оборудования и ПО
    2. Утилита Help Desk для дистанционного управления
    3. SMS опрашивает клиентские системы перед доставкой заданий

    Недостатки

    1. Интеграция с NDS только на уровне bindery (NetWare 3.x и более ранние версии)
    2. Необходимость установки и поддержки множества компонентов
    3. Отсутствие интегрированных средств реализации решения

    Решение Citrix

    Компоненты

  • WinFrame 1.7
  • Продукт WinFrame компании Citrix основан на модели "тонкий" клиент/сервер, которая четко и согласованно вписывается в архитектуру Independent Computing Architecture (ICA). Данное решение представляет собой многопользовательскую ОС, построенную на базе ядра Windows NT 3.51 (архитектура, используемая многими производителями "тонких" клиентов).

    WinFrame обеспечивает виртуальную настольную систему для всех PC-совместимых платформ - от DOS до клиентов Windows NT 4.0. Возможно, WinFrame и не является той "серебряной пулей", которая способна поразить всех без исключения, но весьма близок к этому. Все клиенты получают унифицированную настольную среду, а администраторы могут расслабиться, зная, что каждый пользователь системы работает с согласованной конфигурацией настольной системы NT.

    Все, кроме обработки команд GUI, выполняется на сервере. Все административные задачи, за исключением инсталляции клиентского ПО на отдельные рабочие станции, могут выполняться на одной машине.

    Однако производительность выполняемых приложений определяется ресурсами сервера: для сервера с процессором Pentium необходимо иметь от 4 до 8 МБ ОЗУ на каждого параллельно работающего клиента и 4 МБ ОЗУ для каждого Windows-клиента.

    Освобождение ресурсов

    WinFrame обеспечивает ряд средств сеансового управления, отсутствующих в других решениях, которые контролируют соединения и маршрутизируют информационные потоки на серверы (для выравнивания нагрузки). Наиболее впечатляющими и полезными средствами управления являются срабатывающие по тайм-ауту выключатели, которые сбрасывают пустые и разорванные соединения в распределенной среде. С помощью WinFrame вы можете задавать для соединений определенные значения тайм-аута на основе времени бездействия или по отключению от сервера (например, в результате обрыва связи). Вы также можете задавать максимально допустимое время соединения для освобождения ресурсов сервера (памяти и клиентских лицензий). Вы можете разрывать сеанс связи, чтобы снизить вероятность несанкционированного доступа и очистки буферов (чтобы впустую не расходовать память на неиспользуемые соединения).

    WinFrame также позволяет решить проблему ограничения доступа к локальным ресурсам. С помощью этого продукта вы можете переназначить все дисководы на сетевые ресурсы. Таким образом, обращения к локальным флоппи-дисководу и жесткому диску будут переадресовываться в сеть. Доступ к директориям на сетевых дисках может быть ограничен на уровне сервера. Подобные ограничения могут понадобиться для того, чтобы запретить пользователям загружать новые программы с сервера на свои машины. Поскольку все приложения выполняются на сервере, пользователям не требуются большие локальные жесткие диски.

    Однако возможности управления на этом не заканчиваются. Средство доставки ПО учитывает данные, записанные в профайлах пользователей (чего никак нельзя было ожидать от ядра NT 3.51). По умолчанию программы устанавливаются и распространяются как ПО для группы Common Group и доступны всем пользователям.

    Citrix создала объектно-ориентированную систему профайлов приложений, с помощью которой вы можете доставлять приложения в качестве "публикуемых" объектов (по одному приложению на каждый сеанс связи) - чтобы пользователь мог воспользоваться только одной задачей; либо вы можете доставлять настольную среду NT 3.51 с приложениями, удаленными из списка доступных программных групп. С помощью простейших операций мышью вы можете задавать пользователей и группы, которые имеют доступ к данному приложению. WinFrame также позволяет собрать все лицензии на ПО в единое хранилище, исключая необходимость распределения лицензий между серверами вручную. Это сильно облегчает работу администраторов.

    Администраторам практически не требуется заботиться о том, какие клиентские ОС используются на рабочих станциях и какое пространство локального жесткого диска необходимо выделить. В отличие от других решений, которые распространяют приложения в соответствии с используемой клиентской ОС, данное решение работает со всеми видами клиентов одинаково.

    Не первой свежести

    Однако это идеальное решение имеет и ряд явных недостатков. Текущая версия WinFrame основана на NT 3.51, поэтому если вы хотите иметь решение на базе NT 4.0 (например, из-за ее улучшенных сетевых возможностей и средств безопасности), то вам придется подождать следующей версии продукта. Использование же новых программ, написанных для NT 4.0, может вызвать сбои системы.

    Во время наших испытаний мы не смогли перенести в WinFrame профайлы с сервера NT 4.0. (Однако, нам удалось импортировать профайлы из WinFrame в NT 4.0.) И хотя вы можете объединять домены, вы не имеете возможности интегрировать профайлы, поэтому вам потребуется поддерживать два их набора.

    В целом, можно сказать, что WinFrame является самым беспроблемным решением. Инсталляция организована исключительно разумно - как на серверной, так и на клиентской стороне. Документация достаточно лаконична и легка в понимании.

    Несмотря на то, что стоимость полного пакета выглядит довольно высокой, эти деньги стоит потратить, если имеется гетерогенная среда, в которой требуется снизить административные расходы.


    Решение Microsoft

    Компоненты

  • Systems Management Server 1.2 (SMS)
  • Windows NT Server 4.0
  • SQL Server 6.5
  • Сочетание утилит администрирования SMS и NT компании Microsoft, в том числе User Manager и Server Manager, позволяет доставлять приложения клиентам на основе принятой политики в отношении пользователей. Однако если вы планируете использовать его в корпоративной сети с сотнями пользователей, не следует ожидать, что реализация решения окажется простой. Для настройки профайлов пользователей вам потребуется открывать их вручную и вводить с клавиатуры новую информацию. Однако с помощью NT Server Resource Kit нам удалось внести в профайлы некоторые (но далеко не все) необходимые изменения в пакетном режиме.

    Рядом друг с другом

    При проектировании своего решения производитель обычно выбирает один из двух путей. Он может создать новые компоненты "с нуля", отказаться от того, что работает в настоящее время и заменить его тем, что работает лучше. Второй путь состоит в том, чтобы сохранить то, что уже имеется, и расширить его возможности с помощью дополнительно созданных компонентов. При формировании своего решения для централизованного управления профайлами Microsoft явно выбрала второй путь. Однако вместо того, чтобы создавать архитектуру, которая требует от администратора метаться от одной утилиты к другой, ей стоило бы больше внимания уделить взаимодействию между всеми компонентами решения.

    Использование SMS требует больших накладных расходов. Прежде всего, для хранения на сервере таблиц профайлов пользователей, ресурсов системы и заданий (процессов, запускаемых по расписанию) SMS требует Microsoft SQL Server. Для SMS необходимо создавать базу данных с ограниченной фрагментацией. Когда объем данных о пользователях или ресурсах системы превышает размер базы данных SMS, вам потребуется поддерживать SQL Server, что приводит к дополнительной нагрузке на администраторов.

    Больше всего проблем у нас вызвал процесс инсталляции решения. Значения параметров, установленные по умолчанию, не соответствовали нашим требованиям; многие значения вообще не задаются автоматически. Например, все функции дистанционной помощи (help-desk) на клиентской стороне по умолчанию отключены. Для того чтобы администратор мог получить доступ к клиентской машине и начать сеанс помощи (т.е. удаленно управлять настольной системой пользователя в реальном времени), соответствующие флажки должны быть установлены с машины пользователя. Нет никакой возможности предварительно включить какие-либо функции, не потревожив пользователя. Кроме того, чтобы пользователь мог воспользоваться услугами SMS, администратор должен вручную изменить его сценарий входа в сеть (log-in script). Нам пришлось больше заботиться о соединении друг с другом различных частей установленных служб, чем об установке приложений и доставке их пользователям.

    Тяжкие труды

    При выполнении каждодневных операций формируемые SMS задачи оставляют довольно мало возможностей для ошибок и повторных действий администратора. Задачи представляют собой выполняемые по расписанию процессы, которые определяются SMS в виде пакетов - объектов, описывающих процесс инсталляции приложений. Прежде чем выполнять задачу, SMS запрашивает у клиента определенную информацию и проверяет ее соответствие заданным требованиям.

    Создание нескольких запросов и задач может оказаться длительным процессом. Чтобы ускорить процесс формирования запросов, можно воспользоваться PDF-файлами (Package Definition Files); Microsoft поставляет несколько примеров таких файлов. Имеется утилита SMS Installer, генерирующая PDF-файлы для инсталляции приложений, однако если вы формируете пакет, работая с SMS, вы не имеете возможность сохранить его для повторного использования. Из-за этого вам трудно будет изменить то, что вы установили в первый раз. Если пакет уже был выполнен одним из ваших клиентов, вы не сможете сделать так, чтобы его можно было выполнять повторно; вы можете только удалить задачу и создать ее заново. Задачи и пакеты нельзя ни копировать, ни сохранять на диске, чтобы повторить нужный процесс с другими параметрами; всю работу каждый раз приходится выполнять заново. Удобно было бы иметь пакеты, которые можно импортировать и экспортировать, извлекать по мере необходимости, модифицировать и класть на место - и делать все это "в один присест".

    Реализация решения на базе SMS выявила ряд проблем, решить которые оказалось непросто - особенно это касается инсталляции новых приложений на Windows NT для пользователей, которые в первый раз подключаются к системе. Когда пользователь начинает работать на машине, еще не оснащенной тем набором приложений, который он должен иметь в соответствии со своим профайлом, SMS локально инсталлирует все необходимые компоненты. Когда у некоторой программы появляется первый пользователь, SMS определяет, что приложение отсутствует на настольной системе и переходит к инсталляции, в процессе которой в домашней директории пользователя создаются необходимые указатели на программу. Когда к системе подключается второй пользователь, реестр показывает, что программа уже установлена. Однако из-за ограничений в правах доступа к директориям, второй пользователь не получает доступа к программе, находящейся в директории первого пользователя. Чтобы решить эту проблему, необходимо запустить единый процесс инсталляции для всех пользователей, в результате которого каждый из них получит полный набор приложений. Однако для реализации этого вам понадобятся весьма "толстые" клиенты.

    Самыми предпочтительными клиентами для SMS являются рабочие станции Windows NT. Причина одна - безопасность. Клиенты Windows 3.1 и Windows 95 просто не имеют хороших средств защиты доступа к локальным ресурсам. При отсутствии подобной защиты вы оставляете клиентские машины открытыми для "проделок" пользователей. Нам не удалось обнаружить в SMS и NT никаких дополнительных серверных средств безопасности, с помощью которых можно было бы запретить пользователям модифицировать локальные приложения или системные файлы.

    Сформировать решение, которое обеспечивает централизованное управление, было легко, однако процесс его установки и внедрения оставляет желать много лучшего. Слишком за многими компонентами приходится следить, что не может не сказаться на общей продуктивности работы администраторов.


    Решение Novell

    Компоненты

  • IntranetWare 4.11
  • SnappShot 1.0
  • Novell Application Launcher (NAL) 2.01
  • IntranetWare Client for Windows NT с Novell Workstation Manager (NWM)
  • Служба каталога Novell Directory Services (NDS) в течение длительного времени считается образцом хорошо защищенной и управляемой сетевой системы. Утилита NWAdmin, служащая для нее интерфейсом управления, превосходно демонстрирует, как надежные и мощные функции могут контролироваться с помощью легкого в обращении интерфейса. После установки NAL на сервер IntranetWare, NWAdmin превращается в мощное средство, удобное для взаимодействия с клиентскими и серверными системами, доставки ПО и управления профайлами пользователей.

    Используемая в NWAdmin объектная модель представления приложений обеспечивает множество функций планирования и доставки программ. Вы можете указать, в какое место настольной системы должно быть установлено приложение, когда оно должно быть доставлено и каким пользователям и группам его необходимо доставить. NDS отображает сеть в виде единой структуры, изменения в которую вносятся путем простой буксировки пиктограмм. Для ускорения процесса распространения приложений профайлы пользователей и самих приложений могут дублироваться и использоваться в качестве шаблонов.

    Шаг за шагом

    Доставка приложений требует выполнения ряда шагов, но она того заслуживает. Средство SnappShot, которое поставляется вместе с NAL, контролирует состояние системы до и после инсталляции, отслеживая .INI-файлы, элементы реестра (registry) и сценарии запуска приложений. Перехваченная информация записывается в шаблонный файл объекта соответствующего приложения, который затем используется для выполнения работ по установке. Единственная неприятность состоит в том, что для точного слежения за изменением данных в реестре необходимо пользоваться отдельной машиной. После завершения работы SnappShot приложение не вычищается с тестовой машины, поэтому установку лучше проводить на свободном компьютере.

    Если предположить, что дополнительная машина не составляет проблемы, и (что более важно) все ваши клиенты имеют согласованную конфигурацию, то можно сказать, что SnappShot является отличными способом тщательной проверки клиентских систем перед их запуском в эксплуатацию.

    К сожалению, в решении Novell обнаружилась та же проблема, которую мы выявили в решении Microsoft: то, что будет устанавливаться на клиентскую систему, полностью зависит от того, какая версия Windows на ней используется. Проблема доставки единого набора приложений на все клиентские машины по-прежнему не решена.

    В обе стороны

    С точки зрения безопасности ПО Client32 компании Novell может заткнуть некоторые (но не все) "дыры". В Windows 95 вы можете настроить реестр таким образом, чтобы при выполнении пользователем регистрации на локальной машине обязательно вызывалось окно Client32. Однако, для Windows 3.1 это решение не работает. На Windows NT регистрация происходит тоже по-другому - происходит подключение к доменам NT, а не к дереву NDS. Решение Novell позволяет этого избежать с помощью утилиты NT Workstation Manager, которая позволяет всем клиентским системам подключаться как к доменам, так и к NDS.

    Несмотря на то, что вы не можете обеспечить с помощью NAL, чтобы на машинах пользователей выполнялись приложения независимо от используемой клиентской ОС, вы можете создать закрытую настольную среду для всех Windows-клиентов. Microsoft сейчас пытается решить эту проблему с помощью Zero Administration Kit, а Novell уже имеет готовое решение для всех видов клиентов. Установив NAL в качестве оболочки Windows вместо Explorer, вы заменяете все внешние атрибуты обычной настольной системы интерфейсом NAL, который предоставляет пользователю только те возможности, которые для него задал администратор. Это означает, что вы можете определить настольную среду пользователя в соответствии с его профайлом, не давая тем самым ему возможности добавлять новые программы или запускать что-либо из командной строки DOS.

    Пользователь не имеет возможности изменять параметры своей настольной среды и может работать только с ограниченным набором приложений - до тех пор, пока он не получит доступа к Explorer. С помощью же Explorer пользователь может изменять локальный реестр по своему усмотрению.

    И хотя Novell предоставляет вполне жизнеспособное решение для доставки приложений через серь в соответствии с профайлами пользователей, оно имеет тот же недостаток, что и решение Microsoft, а именно, отсутствие средств и утилит, позволяющих запретить пользователям доступ к локальным ресурсам компьютера. Локальные системные файлы и жесткие диски являются легко доступными для текстового процессора или Explorer. Только при использовании Windows NT вы можете накладывать ограничения на доступ к директориям и файлам.


    Результаты испытаний решений для централизованного управления профайлами

    Решение Citrix

    Решение Microsoft

    Решение Novell

    Реализация (15%) Хорошо = 0,9 Удовлетворительно = 0,6 Удовлетворительно = 0,6
    Безопасность (25%) Очень хорошо = 2,0 Удовлетворительно = 1,0 Хорошо = 2,0
    Поддержка клиентов (15%) Очень хорошо = 1,2 Хорошо = 0,9 Хорошо = 0,9
    Администрирование (20%) Удовлетворительно = 0,8 Хорошо = 1,2 Хорошо = 1,2
    Техническая поддержка (10%) Очень хорошо = 0,8 Очень хорошо = 0,8 Отлично = 1,0
    Оцениваемая стоимость содержания (15%) Хорошо = 0,9 Отлично = 1,5 Удовлетворительно = 0,6
    Итоговая оценка 6,6 6,0 6,3

    Пояснения к таблице

    Число баллов определяется умножением весового коэффициента каждого критерия (соответствующего средней относительной значимости этого критерия) на оценку, выставляемую по следующим правилам:

    Отлично (10) - выдающееся достижение по данному критерию;
    Очень хорошо (8) - удовлетворяет всем важнейшим требованиям и обеспечивает ряд важных дополнительных преимуществ;
    Хорошо (6) - удовлетворяет всем важнейшим требованиям и предоставляет ряд дополнительных возможностей;
    Удовлетворительно (4) - удовлетворяет основным требованиям;
    Плохо (2) - не удовлетворяет ряду важнейших требований;.
    Неудовлетворительно или отсутствует (0) - не удовлетворяет минимальным требованиям или вообще не обладает данной возможностью.

    Сумма набранных очков составляет итоговую оценку, максимальное значение которой равно 10. Продукты, оценки которых различаются не более чем на 0,2 балла, близки по своему уровню. При рассмотрении вопроса о приобретении или использовании продукта читатель может пересмотреть весовые коэффициенты в соответствии с политикой своей компании, получив, таким образом, другие итоговые оценки.


    Джефф Саймонс (Jeff Symoens) - главный аналитик InfoWorld, Лайхан Сцето (LaiHan Szeto) - аналитик, работающий по контракту, Карен Митчел (Karen Mitchell) - ответственный редактор. Вопросы по данному обзору направляйте по адресу karen_mitchell@infoworld.com.

    Поделитесь материалом с коллегами и друзьями