MDOP Information Experience
The Microsoft Desktop Optimization Pack (MDOP) is a portfolio of technologies available as a subscription for Software Assurance customers. MDOP helps to improve compatibility and management, reduce support costs, improve asset management, and improve policy control.
The MDOP Information Experience provides product documentation, videos, blogs, and other resources to help users implement and optimize their experience with the MDOP technologies. You can learn about updates and events by following us on Facebook or Twitter.
MDOP Documentation Links
The following table provides links to the product documentation for the MDOP products by version.
Microsoft Advanced Group Policy Management (AGPM) extends the capabilities of the Group Policy Management Console (GPMC) to provide change control and improved management.
AGPM 4.0 SP3 – Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista SP1, Windows Server 2012, Windows Server 2012 R2, Windows Server 2008, Windows Server 2008 R2
AGPM 3.0— Windows Vista SP1, Windows Server 2008
Microsoft Application Virtualization (App-V) lets you make applications available to end user computers without installing the applications directly on those computers.
Microsoft BitLocker Administration and Monitoring (MBAM) provides an administrative interface to enterprise-wide BitLocker drive encryption.
Microsoft Diagnostics and Recovery Toolset (DaRT) helps troubleshoot and repair Windows-based computers.
Microsoft Desktop Enterprise Monitoring (DEM) monitors and reports enterprise-wide desktop application and system failures.
Microsoft Enterprise Desktop Virtualization (MED-V) uses Microsoft Virtual PC to provide an enterprise solution for desktop virtualization.
Microsoft User Experience Virtualization (UE-V) captures settings to apply to computers accessed by the user including desktop computers, laptop computers, and VDI sessions.
Пакет MDOP: максимальная отдача от системы
Windows 7 Enterprise — превосходный клиент. Но для полной оптимизации рабочего стола — безупречной доставки приложений, инвентаризации, совместимости и исполнения, а также углубленной диагностики и управления — компания Microsoft выпустила пакет Microsoft Desktop Optimization Pack
Операционная система Windows 7 располагает богатым набором функций для управления не только настольными компьютерами. Предназначенная для крупных компаний версия Windows 7 Enterprise дополнена функциями подлинно корпоративного уровня, расширяющими возможности Windows 7 Professional. Среди них: DirectAccess, BranchCache, шифрование диска Windows BitLocker и BitLocker To Go, AppLocker и области поиска Enterprise Search Scopes. Использование всего потенциала этих функций приносит сотрудникам огромные преимущества в отношении удобства работы, а ИТ-подразделения могут повысить управляемость и безопасность информационной системы компании. В результате во многих компаниях удается упростить среду и сэкономить средства, избавляясь от сторонних надстроек.
. MDOP предоставляется по годовой подписке; цена зависит от количества компьютеров. Подписчиками могут стать участники программы Software Assurance или пользователи Windows Intune, нового «облачного» решения класса SaaS (программное обеспечение как служба) для управления компьютерами. Компании, использующие Windows 7 Enterprise, могут оформить подписку на MDOP примерно за 10 долл. в год для одного рабочего стола.
В 2006 году Microsoft приобрела компании Softricity и Winternals и объединила их продукты с решением Desktop Error Monitoring (DEM), составив первый пакет MDOP. Результатом приобретения компаний AssetMetrix, DesktopStandard и Kidaro, а также большой работы собственных специалистов стал пакет MDOP 2011 R2. В состав этой версии входит целый ряд инструментов оптимизации рабочего стола:
Специалисты многих компаний, которым приходилось слышать о MDOP, в первую очередь вспоминают об App-V. Это решение для виртуализации приложений обычно считается ведущим компонентом MDOP и, безусловно, используется чаще остальных.
С помощью App-V можно запускать приложения на экземпляре операционной системы, не устанавливая их. Запуск без установки достигается благодаря созданию виртуализованной версии приложения с помощью процедуры сериализации (sequencing).
В ходе виртуализации формируется «чистая» операционная среда, в которой запускается компонент App-V Sequencing. Этот компонент помещает все вносимые в ходе установки изменения файловой системы, реестра, COM, служб пользовательского режима, шрифтов и т. д. в виртуальные уровни, такие как виртуальная файловая система и виртуальный реестр, в двоичном потоке. Двоичный поток, содержащий уровни, в которых размещается установленная версия приложения, затем передается клиенту App-V в экземпляр виртуальной среды App-V.
Далее приложение выполняется в виртуальной среде. Его взаимодействие с локальной операционной системой происходит через виртуальные уровни. Приложение остается неизменным; оно считывает программные файлы как бы из памяти операционной системы, но в действительности они располагаются в виртуальном уровне. Этот же процесс применяется к таким компонентам, как реестр, пользовательские службы и шрифты.
Такой подход к запуску приложений без установки имеет несколько преимуществ.
С помощью App-V можно виртуализовать большинство приложений. Если требуется, чтобы виртуализованные приложения обменивались данными друг с другом вне стандартных методов OLE, в App-V предусмотрена функция Dynamic Suite Composition (замысловатое название для возможности создавать ссылки между виртуальными приложениями, чтобы объединить виртуальную среду). Единственное ограничение App-V — нельзя виртуализовать драйверы, системные службы и компоненты операционной системы, в том числе Internet Explorer (IE). Но для браузера IE есть другое решение.
MED-V — решение для приложений, несовместимых с Windows 7, но успешно работающих с Windows XP. В App-V приложение, по сути, выполняется в локальной операционной системе; если оно не запускается в Windows 7, то виртуализация приложения через App-V не поможет. MED-V скрыто запускает виртуальную машину XP с использованием Windows Virtual PC, где и устанавливаются приложения, непригодные для Windows 7, не имеющие совместимой с Windows 7 версии или приемлемой альтернативы.
Для пользователя механизм функционирует прозрачно. Как и в случае с App-V, работа приложений, предоставляемых через MED-V, практически не отличается от локально запускаемых приложений. Ярлыки приложений — часть меню «Пуск» в Windows 7, запущенное приложение безупречно отображается на рабочем столе, пиктограммы находятся на панели задач, драйверы и принтеры доступны. Единственный признак, по которому пользователь может заметить различия, — рамка приложения, а также диалоговые окна и облик приложения напоминают об XP.
Как уже отмечалось, с помощью App-V нельзя виртуализовать браузер IE, который считается частью операционной системы. Многим компаниям, переходящим на Windows 7, по-прежнему необходим доступ к IE 6 из-за того, что их компьютеры не работают с IE 9 или из-за больших затрат на модернизацию для поддержки IE 9. Помимо совместимости с XP, в состав которой входит IE 6, MED-V располагает и другой отличной функцией. В настройках MED-V можно определить URL-адреса таким образом, чтобы автоматически перенаправлять пользователя к экземпляру IE 6 в MED-V, если они запускают IE командой Run или пытаются обратиться к URL-адресам в IE 9. Таким образом, от конечных пользователей не требуется никаких особых усилий для доступа к сайтам, требующим IE 6.
Если вы отказались от предшествующих версий MED-V, заново оцените версию в составе нового пакета MDOP. Удалена прежде обязательная отдельная инфраструктура MED-V, а процесс развертывания выполняется с использованием пакетов установки, которые развертываются на клиентах с помощью стандартных механизмов или в составе образа Windows 7.
Как в App-V, так и в MED-V применяются превосходные технологии управления и доставки приложений, с помощью которых ИТ-подразделения могут усовершенствовать способы предоставления приложений и расширить традиционные решения. Но помните, что MED-V — компонент MDOP, не рекомендуемый для долгосрочного использования. При планировании развертывания Windows 7 не торопитесь с переходом, рассчитывая выполнять все программы в MED-V, пока они не будут протестированы в новой операционной системе. MED-V — для незаменимых приложений, которые не работают в Windows 7 и остановят миграцию, если не найти способа перенести их на рабочий стол Windows 7. Подыщите альтернативу этим приложениям, чтобы на каком-то этапе отказаться от MED-V.
AIS, компонент MDOP, предоставляющий подробные сведения как об аппаратной, так и о программной среде. Этот компонент предоставляется в качестве «облачной» службы, не требует инфраструктуры в локальной среде и обеспечивает быстрое развертывание. Единственное требование для установки — развернуть клиент AIS на компьютерах, инвентаризационные данные которых нужно собрать. Этот шаг можно выполнить с использованием групповой политики или другого решения для развертывания программ.
Работа AIS слегка отличается от традиционных решений инвентаризации, особенно в отношении инвентаризации программного обеспечения. Большинство решений инвентаризации программного обеспечения опрашивают Windows Management Instrumentation (WMI) и получают информацию на основе класса Win32_Product, которая также отображается в разделе Programs and Features в панели управления. В AIS используется эта информация, но рассматриваются и артефакты операционной системы, чтобы обнаружить программы, которые не отображаются в WMI, и собрать дополнительные сведения. Затем данные пересылаются в «облако» Microsoft и сопоставляются с динамическим, постоянно обновляемым каталогом. Этот метод помогает определить установленные программы и уточнить детали.
Собственно управление AIS происходит через веб-консоль, в которой можно просмотреть подробную инвентаризационную информацию обо всех компьютерах, а также составлять отчеты обо всех программах и оборудовании. Но в AIS сделан дополнительный шаг вперед: можно импортировать информацию о лицензиях и убедиться, что в компании соблюдены требования лицензий. Продуманная политика безопасности AIS гарантирует, что только сотрудники вашей компании могут видеть данные о лицензиях и инвентаризации и вся информация зашифрована. Это превосходный инструмент для компаний, желающих отслеживать лицензии и ресурсы.
Пользователям Microsoft System Center Configuration Manager (SCCM) уже предоставляются аналогичные возможности. С помощью функции Asset Intelligence можно подготовить такой же динамический каталог, который применяется в AIS для сбора подробных сведений о программном обеспечении, поэтому рекомендуется задействовать AIS только на компьютерах, не управляемых из SCCM.
Вряд ли существует компания, в которой не применяется групповая политика. Взгляните на улучшения в функциональности групповой политики, появившиеся в Windows Server 2008 R2 и Windows Server 2008, в том числе предпочтения групповой политики, новые форматы XML, лучшее применение групповой политики в зависимости от характеристик сети и огромное количество параметров конфигурации: если вы еще не нашли широкого применения групповой политике, вам определенно следует заняться этим. Однако управление групповой политикой отстает от общего развития. Несмотря на улучшения, ряд ключевых функций по-прежнему отсутствует. Исправить положение (или хотя бы сберечь нервы администратора) можно с помощью компонента AGPM пакета MDOP.
AGPM дополнен возможностью извлекать объекты групповой политики (GPO) из нового хранилища Group Policy с блокировкой оригинала, чтобы изменения объектов не носили постоянный характер, и управлять изменениями при использовании GPO. AGPM также дополнен возможностью делегировать группам пользователей выполнение различных уровней модификации и развертывания GPO, предлагая встроенные роли для редакторов (имеющих право изменять объекты GPO), проверяющих (могут просматривать и сравнивать объекты GPO) и утверждающих (могут создавать и развертывать объекты GPO). Кроме того, AGPM интегрируется с электронной почтой для рассылки уведомлений для утверждающих, когда необходимо утверждение.
У AGPM есть небольшой серверный компонент, который можно установить на любом сервере или контроллерах домена (DC). Клиентский компонент легко интегрируется с существующей консолью управления групповой политикой (GPMC), в которую добавляется узел Change Control, как показано на экране 1. С помощью этого узла можно настроить объекты GPO как управляемые и получить доступ ко всей функциональности AGPM для управления объектами GPO.
.jpg) |
| Экран 1. Управляемые объекты групповой политики и вкладки настройки и делегирования в AGPM |
Новейшее дополнение пакета MDOP — MBAM — обеспечивает управление корпоративного уровня компонентом BitLocker. В прошлом управление такого типа было ограничено набором групповых политик, с помощью которых можно назначить уровень шифрования и определить, требовать ли применения BitLocker To Go для съемных носителей и хранения ключей восстановления Active Directory (AD).
MBAM как предоставляет усовершенствованные функции управления, так и формирует более глубокий взгляд на состояние среды BitLocker. Это достигается благодаря встроенным отчетам, которые можно расширить стандартными методами служб SQL Server Reporting Services (SSRS).
Администраторы могут указывать, как использовать BitLocker на рабочих столах. Затем эта политика применяется принудительно. Например, можно указать, что тома подготовлены для BitLocker, но ввести исключения для оборудования, не соответствующего требованиям, или сотрудников с основательными причинами для отказа от BitLocker. Когда добавляются тома или пользователь отключает BitLocker, MBAM проводит пользователя по этапам первичного или повторного включения шифрования BitLocker, обеспечивая безопасность устройств.
Благодаря MBAM конечным пользователям гораздо удобнее работать с BitLocker. Обычные пользователи могут управлять своей средой BitLocker, запускать шифрование и настраивать BitLocker. В прошлом эти задачи были доступны только локальным администраторам. Другая функция будет очень кстати, когда возникают неполадки, и пользователям требуется ключ восстановления BitLocker. При активации BitLocker создается ключ восстановления. Этот ключ можно ввести вручную на экране восстановления BitLocker, чтобы иметь возможность загрузить операционную систему в случае обнаружения неисправностей.
Обычно пользователям выдается приглашение сохранить этот ключ на диске, распечатать или вытатуировать на руке, поскольку, потеряв его, можно лишиться всей информации на диске. Важное улучшение, которое появилось в схеме Server 2008 и может быть применено к Windows Server 2003, — возможность автоматически сохранить ключ восстановления в качестве дочернего объекта учетной записи компьютера в AD. Внесены некоторые изменения, благодаря которым сотрудники службы поддержки могут получить этот ключ и передать его пользователям. В MBAM эта процедура стала гораздо удобнее благодаря защищенному веб-порталу, через который можно выполнить передачу ключа пользователю. Когда используется ключ восстановления, автоматически создается новый ключ, а в журнал записывается полная информация для аудита с указанием, когда и кем ключ извлечен из базы данных. MBAM использует небольшую базу данных SQL Server для хранения и общего управления ключами восстановления. Защита ключей обеспечивается шифрованием Transparent Data Encryption (TDE). Пользователям BitLocker следует применять MBAM для оптимального управления, удобства использования и соответствия законодательным требованиям.
Трудно найти специалиста, незнакомого с Sysinternals, поставщиком инструментов диагностики и администрирования Windows. У Sysinternals есть родственный коммерческий сайт, Winternals Software, на котором можно купить решения для управления компьютерами, в том числе превосходные инструменты для устранения неполадок на незагружающихся компьютерах, восстановления удаленных данных и изменения забытых паролей. После приобретения Winternals компанией Microsoft лучшие из этих программ вошли в состав DaRT, в который внесены дальнейшие усовершенствования. DaRT по-прежнему работает с компьютерами, оснащенными CD, DVD и USB-приводами, но теперь этот инструмент можно использовать удаленно через сеть, и техническим специалистам не обязательно лично подходить к восстанавливаемому компьютеру.
При загрузке компьютера в среде DaRT доступны все функции набора инструментов, как показано на экране 2. С их помощью можно решать разнообразные задачи:
.jpg) |
| Экран 2. Инструментарий DaRT |
DaRT — один из инструментов, которые следует сохранить на миниатюрном USB-накопителе и постоянно иметь при себе. Этот набор инструментов относится к числу тех, которыми хотелось бы никогда не пользоваться, но когда потребуется, он должен быть под рукой. Важное замечание: применять DaRT необходимо с определенными версиями операционной системы. DaRT 7 работает с Windows 7 и Server 2008 R2 (DaRT 6.5 совместим с Windows 7); предыдущие версии рассчитаны на Windows Vista и Server 2008 (DaRT 6), а также XP и Windows 2003 (DaRT 5).
Тем, кто имел дело с MDOP в прошлом, вероятно, интересно узнать, что стало с программой DEM, с помощью которой можно было передавать на центральный внутренний сервер сведения об ошибках приложений, которые обычно пересылались напрямую компании Microsoft. Таким образом можно было отыскать ошибки в своей среде, а затем передать их Microsoft. Программа DEM удалена из MDOP, хотя по-прежнему обслуживается в соответствии с типовым временным графиком поддержки программных продуктов. Функциональность DEM перенесена в диспетчер System Center Operations Manager (SCOM).
Многие администраторы наверняка захотят использовать такие инструменты, как DaRT и AGPM, на серверах. Возникает вопрос, как лицензировать MDOP на серверах? Приобрести лицензию MDOP для серверов нельзя, да она и не нужна. Если все компьютеры компании охвачены MDOP, программы DaRT, AIS и AGPM можно использовать и на серверах. Еще одна приятная новость для желающих задействовать App-V на узлах для создания сеансов удаленных рабочих столов: App-V для сеансов удаленных рабочих столов охватывается типовой лицензией Remote Desktop Session, поэтому виртуальные приложения, созданные для рабочего стола App-V, можно использовать и в сеансе удаленных рабочих столов.
MDOP очень полезен для любых компаний, даже использующих лишь один компонент пакета. Благодаря ему вы сможете сделать дополнительный шаг вперед, выбирая оптимальную структуру рабочего стола.
Джон Сэвилл (jsavill@windowsitpro.com) — директор по технической инфраструктуре компании Geniant, имеет сертификаты CISSP, Security and Messaging MCSE для Windows Server 2003 и звание MVP
Поделитесь материалом с коллегами и друзьями
Microsoft Desktop Optimization Pack for Software Assurance в Оренбурге
Скачать прайс-лист Adobe Systems
В связи с особенностями лицензирования, цена на данный продукт предоставляется по запросу.
Пакет Microsoft Desktop Optimization Pack (MDOP) for Software Assurance предоставляет все преимущества Windows Software Assurance для клиентов корпоративного лицензирования. Технологии виртуализации MDOP помогают персонализировать рабочую среду пользователей, упростить развертывание приложений, повысить совместимость приложений с операционной системой Windows, управлять клиентскими устройствами и обеспечивать их безопасность.
Основные компоненты MDOP:
Основные принципы лицензионной политики Microsoft
Программное обеспечение защищено от несанкционированного копирования законами об авторских правах. Законы об авторских правах предусматривают сохранение за автором (издателем) программного обеспечения нескольких исключительных прав, одно из которых – право на производство копий программного обеспечения.
Приобретение программного продукта – это приобретение лицензии (права) на его использование. Для каждой используемой программы необходима лицензия. Условия лицензии фиксируются в лицензионном соглашении конечного пользователя (EULA – End User License Agreement).
Лицензионные права, как правило, различаются для разных категорий продуктов:
Способы приобретения лицензий
Коробочная лицензия Full Package Product (FPP)– включает диск в красочной коробке, руководство пользователя наклейку сертификата подлинности (COA).
Original Equipment Manufacturer (OEM) – лицензия на программное обеспечение для продажи вместе с новым компьютерным оборудованием.
Программы корпоративного лицензирования– наиболее выгодный способ приобретения ПО Microsoft для организаций. Корпоративные схемы предусматривают значительные скидки и позволяют учесть размер компании и другие особенности вашего бизнеса.
Варианты использования лицензий
Большинство лицензионных соглашений прямо запрещают передачу программного обеспечения во временное пользование или предоставление в аренду. В том случае, если бизнес компании, закупающей ПО Microsoft, связан с арендой или прокатом компьютеров и программного обеспечения (например, лизинговая компания или компьютерный клуб), возможно подписание специального соглашения, расширяющего права пользователя, предоставленные стандартными лицензионными соглашениями. Права на использование программного обеспечения могут быть однократно переданы другому лицу на постоянной основе при условии, что передается продукт целиком (включая все предыдущие версии продукта, если новые версии приобретались как обновления). При этом новый пользователь продукта должен принять условия соглашения EULA, в противном случае передача лицензии не может быть произведена. При передаче прав бывший пользователь продукта должен удалить продукт со своего компьютера. Все продукты, приобретенные в виде OEM-версий, а также операционные системы, приобретенные по программам корпоративного лицензирования, могут быть переданы только вместе с оборудованием, на котором они были установлены.
Программы лицензирования для коммерческих организаций
Список документов, которые служат подтверждением лицензионных прав пользователя при приобретении корпоративных лицензий:
| Enterprise Agreement | Enterprise Agreement Subscription | MPSA |
