Network World
Тестируя программные продукты для управления настольными системами, мы интересовались их функциональностью, соответствующей потребностям разных категорий пользователей.
С позиций технической поддержки рассматривались возможности диагностики и устранения неисправностей на удаленных рабочих станциях. Кроме того, мы оценивали легкость развертывания программных продуктов в сетевой среде, операции с образами вычислительных систем, возможности передачи персональных настроек и загрузки обновленных версий программ.
В плане информационной защиты нас интересовали управление файлами исправлений, обновление вирусных сигнатур, мониторинг и измерение параметров функционирования приложений. Отдельный тест был связан с поддержкой технологии контроля над доступом Network Admission Control (NAC) компании Cisco и с обеспечением информационной безопасности мобильных сотрудников, работающих за пределами корпоративной сети.
Потребности конечных пользователей учитывались в тестах на обнаружение и восстановление утерянных файлов, устранение ошибок в работе приложений, восстановление паролей. А вот ИТ-менеджеров высшего звена больше волнуют точность, информативность и удобство отчетов о результатах инвентаризации аппаратных и программных ресурсов, а также возможности поддержки ежедневных процедур операционного уровня.
Мы пригласили принять участие в тестировании семь производителей платформ управления настольными системами, но откликнулись лишь четыре компании — Altiris, LANDesk, Microsoft и Novell. Корпорация CA разработала новую версию пакета Desktop Management Suite, но к моменту испытаний она еще находилась на стадии бета-тестирования. Numara Software (бывшая Intuit) предоставила систему Track-It Enterprise, но в силу ее специфики мы не стали напрямую сопоставлять это ПО с разработками других компаний.
В испытаниях победила компания LANDesk. Ее продукт хорошо себя показал во всех рассматривавшихся функциональных областях; он имеет превосходные встроенные средства информационной защиты.
LANDesk
Компания LANDesk обеспечивает в своих продуктах поддержку максимально возможного спектра платформ. Версия 8.6 пакета LANDesk Management Suite поддерживает Macintosh, Windows и разные версии Linux. Появление в составе пакета шлюза LANDesk Management Gateway позволило администрировать ноутбуки и настольные системы через Internet. Были усовершенствованы средства генерации отчетов. Предыдущие версии поддерживали набор фиксированных отчетов и простейший генератор отчетов, а в новом релизе функции работы с отчетами стали более развитыми.
По критерию «простота развертывания» продукт LANDesk заслуживает всяческих похвал. Процедура развертывания стала еще более эффективной благодаря поддержке технологии Active Management Technology (AMT) корпорации Intel. Администратор может загрузить удаленный ПК с локального накопителя, будь то флэш-память с разъемом USB, компакт- или DVD-диск. При необходимости после загрузки образ системы можно полностью изменить в удаленном режиме.
Модуль LANDesk OS Deployment Wizard сопровождает вас на всех этапах установки или смены операционной системы. Предлагается и инструментарий разработчика для создания специальных конфигураций. Возможно применение системных образов, созданных при помощи инструментария LANDesk или других компаний (например, Norton Ghost производства Symantec). Функция загрузки ПО с однорангового узла ускоряет обновление больших приложений на уровне локальной подсети.
Сотрудники служб технической поддержки найдут в управляющей консоли LANDesk несколько новых функций. Они заметно упрощают поиск информации и выполнение специальных процедур. Мы по достоинству оценили экранные ярлычки для быстрого доступа к функциям и возможность настроить внешний вид консоли на свой вкус. Сама настройка сводится к экранной буксировке, открыванию и закрыванию окон с последующим сохранением результата одним нажатием мыши. С помощью управляющей консоли можно легко и быстро получить информацию о конкретных рабочих станциях. Функция удаленного контроля выполняется четко и позволяет выполнять программы, передавать файлы, инициировать чат-сеансы и перезагружать компьютер. При этом вы можете рисовать на экране для выделения определенных данных, удаленно блокировать клавиатуру и убирать с экрана любую информацию.
На высоте оказались и средства обеспечения безопасности. Приложение LANDesk Trusted Access добавляет к базовым средствам (обновление сигнатур и загрузка файлов исправлений) возможности сканирования и блокировки несанкционированных действий. Компьютеры, на которых не установлен текущий клиент LANDesk и отсутствуют последние версии файлов обновлений, помещаются в карантинную среду. Патентованная технология многоадресной рассылки заметно ускоряет установку обновлений в корпоративной сети. Уникальной является предварительная подкачка обновлений сети при тестировании загружаемых модулей. Когда модуль обновлений проверен с точки зрения необходимости установки, его доставка на каждый ПК осуществляется очень быстро, поскольку он уже находится в локальной подсети.
Существенной модернизации подверглись средства ИТ-управления. Заранее настроенные отчеты содержат множество полезных сведений, а при желании пользователь может изменить их формат. В состав продукта включен полнофункциональный генератор пользовательских отчетов, позволяющий создавать их «с нуля».
Разработчики LANDesk добавили в продукт несколько новых функций для конечного пользователя. В выигрыше окажутся обладатели настольных и портативных компьютеров производства Lenovo (бывшее подразделение IBM), поскольку LANDesk обеспечила интеграцию своего продукта с управляющим инструментарием этой фирмы. Приложение ImageUltra Builder позволяет локальным пользователям инициировать персональные сеансы резервного копирования, но эти процедуры могут выполняться и автоматически, по расписанию (с основной консоли LANDesk).
Altiris
Решение этой компании имеет модульную архитектуру: отдельные части взаимодействуют с сервером уведомлений. Для инсталляции сервера необходимы Windows 2000 Server или 2003 Server с последними версиями Service Pack, а также СУБД MS SQL Server. Для усеченной конфигурации можно воспользоваться исполняемым вариантом СУБД Microsoft SQL Server Desktop Engine, но Altiris не рекомендует прибегать к этой опции.
Чтобы исследовать возможности продукта, мы установили программные компоненты Deployment Solution и Recovery Solution. Сейчас проходит бета-тестирование модуля Software Virtualization Solution (SVS), который мы испытали в разных сценариях. На наш взгляд, SVS станет незаменимым инструментом любого администратора. Он объединяет данные и приложения в управляемые блоки, которые можно оперативно активировать, дезактивировать или возвращать в исходную конфигурацию в зависимости от потребностей бизнес-подразделений и отдельных пользователей. Работа SVS влияет только на установку прикладных файлов и записей системного реестра, но не затрагивает их конфигурацию и функционирование, что обеспечивает высокий уровень переносимости приложений.
Deployment Soliution 6.5 предоставляет администратору полный набор средств для создания и внедрения образов операционных систем Linux и Windows. Помимо развертывания новых систем поддерживаются оперативное восстановления работоспособности после сбоев и контроль над серверами под Linux и Windows. Приложение PC Transplant Pro отвечает за обновление конфигурационных файлов и перевод пользователей на новые компьютеры. Оно позволяет настраивать весьма сложные сценарии для автоматического переноса персональных настроек пользователей, перехода на новые операционные системы и приложения, изменения конфигурации компьютера с учетом пользовательских настроек. Модули PC Transplant Editor и Wise Package Studio предназначены для оперативного редактирования персональных настроек и сценариев ускоренной инсталляции ПО с помощью консоли развертывания приложений Deployment Solution Console.
Управляющая консоль является Web-приложением, которое предоставляет сотрудникам службы технической поддержки доступ к любой информации об администрируемых системах. Функции удаленного контроля базируются на ПО Carbon Copy, приобретенном Altiris у корпорации Compaq в 2001 году. Работа этого приложения не вызвала нареканий, а среди его возможностей стоит отметить тесную интеграцию с сервером уведомлений и удаленное управление на базе браузера. Встроенные средства обеспечивают отслеживание и регистрацию нештатных событий. Сотрудники службы поддержки и сами пользователи могут описывать нештатные ситуации при помощи Web-форм. Правила уведомления об инцидентах определяют, события каких типов должны вызывать генерацию специальных сообщений, отправляемых по электронной почте либо на пейджер.
Для устранения уязвимостей в системе защиты сети пакет Altiris Security Management Suite предоставляет несколько инструментов. Приложение Deployment Solution for Network Devices — это разработанная Altiris версия архитектуры Cisco NAC; на момент испытаний она проходила бета-тестирование. Автоматическое управление файлами исправлений является ключевым элементом стратегии управления безопасностью. Выявление и автоматическое обновление систем, требующих установки файлов исправлений, помогают снизить риск распространения компьютерных вирусов.
Компания Altiris предлагает прекрасную систему генерации отчетов на базе Web. Нам особенно понравились инструментальные панели, на которых в графическом виде собрана важнейшая информация. Например, это статус файлов обновлений, сведения о наиболее серьезных инцидентах и текущее состояние процедуры электронного распространения ПО. Предусмотрены разные заранее сконфигурированные отчеты, причем можно их модифицировать или создавать новые. Весьма удачно реализованы средства управления ресурсами, позволяющие отслеживать окончание срока действия лицензий и просматривать данные о снижении стоимости активов. Единственное неудобство состоит в том, что при мониторинге стоимости отдельных информационных активов необходим ручной ввод информации.
Ряд функций облегчают работу конечного пользователя. Модуль Recovery Solution восстанавливает потерянные файлы с помощью скрытого раздела на локальном жестком диске — если тот был соответствующим образом сконфигурирован. Созданный Altiris портал приложений позволяет выбрать из списка прикладные программы, которые необходимо инсталлировать на локальном компьютере. ПО управления службой поддержки можно настроить на автоматическое восстановление пароля с ориентацией на код конкретной неисправности.
Novell
Система ZENworks проделала долгий путь. Когда-то она была ориентирована исключительно на ОС NetWare, а сейчас ZENworks 7.0 поддерживает огромное количество платформ. Серверные компоненты могут быть инсталлированы в средах Linux, NetWare и Windows, а среди поддерживаемых клиентов числятся Linux, Macintosh и разные версии Windows.
Вам по-прежнему придется инсталлировать копию службы каталогов eDirectory, поскольку многие модули ZENworks используют его для аутентификации и получения сведений об используемых политиках. ZENworks 7.0 уже не опирается на клиента Novell, но все же требует установки на каждом из контролируемых компьютеров небольшого клиентского модуля.
Подход Novell к резервному копированию и восстановлению пользовательских данных нашел воплощение в продукте iFolder. Своевременное копирование файлов, хранящихся на пользовательском компьютере, и их синхронизацию с сервером обеспечивает процедура автоматической синхронизации. Версия iFolder для одноранговых сетей рабочих групп поддерживает платформы Linux, Macintosh и Windows. Самоконтролируемые пароли не стали компонентом системы ZENworks, но они могут быть реализованы на базе продуктов независимых разработчиков.
По критерию удобства развертывания ZENworks явно выигрывает у конкурирующих решений. Сервер системных образов поддерживает среду загрузки Preboot Execution Environment (PXE) и многоадресную рассылку, что позволяет оперативно рассылать образы системы на большое число рабочих станций. Для переноса персональных пользовательских данных Novell поставляет продукт Unicenter Desktop DNA производства CA.
Повторная загрузка системного образа на рабочие станции осуществляется на базе специального дискового раздела Desktop Management Workstation Imaging среды Linux. Если такой раздел уже создан, загрузка системного образа может выполняться дистанционно — в автоматическом режиме или по расписанию. Это особенно удобно в учебных классах, при администрировании компьютеров, находящихся в общем пользовании, и в иных случаях, подразумевающих восстановление заданной конфигурации.
Большая часть функций поддержки пользователей требует использования консоли ConsoleOne. Она предназначена для просмотра сведений о конкретной рабочей станции, инициации сеансов удаленного администрирования и изменения настроек управляющих политик. Текущая версия ConsoleOne стала огромным шагом вперед по сравнению с более ранними вариантами, но выполнение любой операции, к сожалению, все еще не сведено к нескольким нажатиям клавиши мыши.
Приложение iManager представляет собой удачно спроектированную Web-консоль для решения административных задач, в том числе для управления одиночными пользователями и их группами, а также восстановления паролей. Нам не удалось выполнить большую часть предусмотренных в ZENworks управляющих функций средствами Web-интерфейса, но представители компании заверяют, что в будущем этот недостаток будет устранен. Только версия ZENworks для ОС Linux содержит управляющий центр на базе Web, который обеспечивает доступ к разным процедурам через Web-интерфейс среды Linux.
В области защиты Novell сделала ставку на службу каталогов eDirectory. Для доступа к сетевым ресурсам, инсталляции приложений и изменения конфигурации настольных систем используются параметры идентификации. Модуль ZENworks for Handhelds обеспечивает несколько способов защиты данных, в том числе функцию стирания всех сведений о пользователе, которая активизируется при превышении заранее установленного числа неудачных попыток регистрации. Novell обеспечивает поддержку широкого спектра мобильных устройств: это BlackBerry 850 и 857 (работают в сети DataTAC), BlackBerry 950 и 957 (действуют в сети Mobitext), устройства под управлением ОС Palm версии 3.5 и более поздних, а также Windows CE версии 2.11 и более поздних (включая Pocket PC).
Novell тесно сотрудничает с фирмой PatchLink и активно использует в ZENworks разработанную последней систему управления файлами исправлений. За дополнительную плату PatchLink предоставляет подписку на обновления, которые позволяют защитить пользовательские компьютеры от новых угроз.
Приложение ZENworks Asset Management — новинка в составе ZENworks. Модуль генерации отчетов на базе Web существенно упростил генерацию и просмотр отчетов, а реализованные в ZENworks кросс-платформенные средства облегчают мониторинг и администрирование самой причудливой смеси операционных систем, установленных на серверах и настольных компьютерах.
Microsoft
Предыдущие испытания System Management Server (SMS) корпорации Microsoft показали трудности инсталляции, неудачную организацию отчетов и отсутствие ряда полезных функций, в том числе создания образов клиентских машин. Но многие ИТ-отделы были лишены выбора: корпоративные лицензионные соглашения с Microsoft обуславливали «автоматическое» получение системы SMS.
Версия SMS 2003 заметно отличается от продукта, который мы тестировали в прошлый раз. Прежние недостатки устранены с помощью таких модулей, как Data Protection Manager, но Microsoft по-прежнему отстает от конкурентов в некоторых областях. Взять хотя бы поддержку настольных станций со средствами активного управления AMT компании Intel или технологии контроля над доступом NAC корпорации Cisco.
С появлением пакета SMS 2003 Operating System Deployment (OSD) Microsoft ликвидировала недостаток, состоявший в отсутствии средств обработки системных образов. Удачным дополнением стал модуль Windows User State Migration Tool. Оба компонента легко интегрируются в среду SMS и удовлетворяют потребности служб технической поддержки при настройке компьютеров пользователей. Правда, следует иметь в виду, что редакция ODS, выпущенная 16 ноября 2004 года, некорректно взаимодействует со служебным файлом SMS Site Control File. Эта ошибка устранена в редакции ODS 17 декабря того же года, которую и следует установить поверх предыдущей версии.
Сотрудникам службы Help Desk Microsoft предоставляет разнообразные средства удаленного администрирования компьютеров. Простейший вариант реализован в виде стандартного инструментария в составе Windows XP. Дополнительные возможности (принудительная отсылка файлов на клиентскую станцию, инициация чат-сессии, запуск программы и выполнение удаленной диагностики) обеспечивает компонент Remote Tools Client Agent, входящий в состав ODS. Нынешним пользователям Microsoft предлагает ряд бесплатных ускорителей программ, в том числе для модуля Configuration Monitoring. Последний поддерживает согласованные конфигурации в пределах всех серверных функций и типов аппаратных средств, но может служить и для управления конфигурационными параметрами пользователей.
Сканер SMS Extended Security Update Inventory распознает клиентские компьютеры, которые относятся к «сфере компетенции» SMS и нуждаются в обновлении средств безопасности. Их не обнаруживает более ранний инструмент SMS Security Update Inventory, базирующийся на Microsoft Baseline Security Analyzer. Расширенная версия SMS Extended Security Update Inventory может служить для обнаружения всех актуальных обновлений, их загрузки с сайта Microsoft и последующей установки средствами SMS.
Слабым местом предыдущих версий SMS были средства генерации отчетов. Существенный прогресс в этом плане должен обеспечить System Center Reporting Manager 2006. Текущая версия SMS содержит большое число заранее сконфигурированных отчетов, но ей по-прежнему недостает отчетов на базе Web и простоты настройки, которые свойственны другим протестированным продуктам.
Конечным пользователям адресовано недавно выпущенное приложение Data Protection Manager, предназначенное для разрешения проблем в области резервного копирования. А ПО Microsoft Identity Integration Server (MIIS) отвечает за идентификацию пользователей и восстановление паролей (автоматически либо по запросу службы технической поддержки). Жаль только, что оно не входит в состав среды SMS 2003.
Резюме
Компании Altiris и LANDesk предлагают множество инструментов, отвечающих запросам пользователей из определенных нами категорий. Разработчики Altiris обеспечили большой выбор модулей, необходимых для решения специфических задач, а LANDesk изначально включила все необходимое в пакет LANDesk Management Suite. Продукт Microsoft охватывает все базовые функциональные области, но ему явно не хватает дополнительных функций, таких как интеграция с архитектурой NAC корпорации Cisco.
Процедура тестирования
Мы не оценивали инсталляцию и настройку продуктов, поэтому позволили производителям сконфигурировать их решения в виде виртуальных машин с помощью ПО VMware либо Virtual Server компании Microsoft. Виртуальные образы систем функционировали на четырехпроцессорном сервере производства Gateway с 4 Гбайт оперативной памяти.
Тестовая сеть включала в себя настольные и портативные компьютеры с разной тактовой частотой процессоров, работавшие под управлением ОС Windows 2000 и XP. В состав сети входили два коммутатора с 16 портами 10/100-Мбит/с Ethernet, а подключение к Internet осуществлялось по линии DSL через четырехпортовый коммутатор и беспроводную точку доступа стандарта 802.11b.
Мы инициировали выполнение задач, типичных для пользователей с конкретными обязанностями. Это создание и развертывание образа системы, использование средств распространения приложений по сети, организация сеанса дистанционного мониторинга ПК, генерация отчетов и восстановление потерянных пользовательских файлов.