管理,在云端

对于有一定规模的企业,通常会使用Active Directory实现集中的身份和配置管理。经过恰当的设置后,每个员工只需要一个帐户,即可登录到不同的系统,执行不同的应用,并获得所需的权限。其实Active Directory除了身份管理这个基础外,还有很重要的一个功能,那就是配置管理。如果环境中包含上千台客户端计算机,这些计算机分散在10个不同的分支位置,若是在不借助Active Directory的情况下对这些客户端进行配置管理,将花费大量的人力物力。但如果有合适的架构,可能只需要一个人就能实现。

很多人早就已经意识到Active Directory的价值,可一些企业,尤其是中小企业,受限于资金或技术条件,往往无法在自己的环境中部署Active Directory,以及其他附属的应用。不过现在云计算的风头正劲,是否可以将传统的,自己维护的Active Directory,转变成托管的云服务?这就是Windows Intune的作用。

现在,Windows Intune还处于小范围测试阶段,主要可以实现客户端的配置管理。至于身份管理,目前暂时无法实现。不过在Windows 7中,由于开始支持PKU2U(Public Key Cryptography Based User-to-User,基于用户到用户的公钥加密)技术,我们已经可以在Windows 7中针对“someone@msn.com”这样的联机ID分配共享权限。因此估计云端的身份管理也是迟早的事,不过现在,先来了解一下什么是云端的配置管理。

基本组成

如果把这一整套系统和传统的Active Directory环境比较,会显得更加容易理解一些。

在Active Directory环境中,AD DS数据库和相关的组件是核心,用于保存所有信息,以及执行所需的功能。而在Intune中,这一切都是由微软的云服务提供的,在云端运行。Active Directory中用于对各项功能进行设置和管理的控制台和管理工具,在Intune中则全部是由Web页面的方式提供的,因此无论管理人身在何处,都可以直接通过一个地址进行访问和修改。最后则是客户端,现阶段,为了让客户端计算机能够接受来自云端的管理,还需要安装专门的Intune客户端(分x86和x64架构版本,仅限Windows XP以上客户端Windows系统)。

而要使用这一功能,只需要注册一个针对管理员的Windows Live ID,然后给所有待管理计算机安装Intune客户端,随后即可实现不同的管理功能。

相比传统的Active Directory管理方式,我认为云端管理主要可以提供这几个优势:

  • 网络条件要求简单:如果使用Active Directory进行管理,当所有客户端都在同一个地理位置时,问题不大。可如果是分布式环境,例如有分支机构的大公司,或者有远程办公的员工,这种情况就要麻烦得多。虽然可以使用VPN或者Direct Access之类的功能提供基本类似的使用体验,但对网络有一定的要求。但如果使用云端管理,因为采用了标准的HTTP(s)方式实现客户端与云端的通讯,因此对网络可以说没有任何要求,只要能够正常浏览网页,就可以接受管理。
  • 易于部署和扩充:如果使用传统的Active Directory方式,要在企业中部署专用服务器,取决于具体的环境和架构,可能需要多台服务器。对于中小企业,服务器的软硬件,以及长期使用的维护成本,都是一笔不小的开支。但如果使用云端管理,情况就简单了,企业可以根据自己的需求购买所需数量的许可,然后将所有客户端都连接到云端即可。随着企业的扩张,如果客户端的数量增加,也只需要付费,就可以自动扩容。至于服务器硬件的位置,硬件的承载容量,这些都不用担心,一切交给云搞定。更吸引人的是,作为一种在线服务,Intune的使用完全是基于订阅的,并且非常灵活,例如可以按月付费(每PC每月$11),这样就不会因为客户端数量的临时变动而在授权方面付出不必要的开支。
  • 更加灵活的管理:在传统的Active Directory环境中,如果需要对环境或客户端进行管理,必须由管理员进行交互式或远程登录,然后直接操作相应的管理工具,完成所需操作。但在云端管理环境下,所有管理功能都是通过Web页面实现的,因此管理员可以在世界任何一个角落,用任何一台可以访问互联网的设备,实现完全相同的管理目的。

功能介绍

有着如此多的好处,那么在细节上,这种全新的管理方式又有哪些特点?

使用可支持的浏览器访问“https://manage.microsoft.com”,并使用注册时获得的ID登录,随后就可以看到管理控制台(该网站要求安装SilverLight),所有云端管理操作都是在这里进行的。

Windows Intune的管理控制台

整个页面被分为左右两列,左侧是导航列,可切换浏览不同的组件,而右侧会显示出与该组件有关的所有内容。

首先需要将所有被管理的计算机都加入,为此需要首先在控制台网站下载安装文件。这里有一个非常重要的问题:下载的安装文件中捆绑了个人识别信息,因此用某一ID登录后下载的安装文件,安装到其他计算机上之后,其他计算机就会自动接受这个ID的管理。因此在正式使用时,自己下载的安装文件一定不能发给别人,否则可能造成额外的费用;而自己也绝对不能安装别人提供的安装文件,否则自己的计算机将会被别人管理。这一点在目前并不是很明显,只是在帮助文件中有所提及,因此我觉得不够可靠,应该用更醒目的方式进行说明,例如运行安装文件时,首先弹出一个界面,将所有可能的问题都说清楚,再由用户决定是否安装。

在所有被管理的计算机上安装好软件后,即可从管理控制台的“计算机”选项下看到:

查看所有被管理计算机的概述信息 查看特定计算机的详细信息

在单击每台计算机的名称后,还可以分别查看对方的“更新”、“恶意软件”、“警报”、“硬件”、“软件”等详细信息。通过这些信息即可了解对方系统中有些什么,发生过什么,以及有什么问题。

更新管理

更新的管理是每个管理员最重视的问题,毕竟现在各种软件的功能越来越复杂,体积越来越庞大,不可避免会出现越来越多的漏洞。其实微软在这方面做得还算可以,例如有针对单机和小规模环境的Windows Update/Microsoft Update,有针对中等规模环境的WSUS,以及针对大型规模环境的System Center系列产品等。而Intune中的更新管理功能,我觉得完全可以看作是“不在本地存储更新,只提供批准信息”这种模式的WSUS。

通过Intune,管理员可以指定允许被管理计算机安装哪些产品的哪些类型的更新。实际上WSUS中就可以实现这一点,只不过WSUS可以在本地存储更新文件,这样客户端不需要访问互联网即可在内部获得所需更新。而Intune,则可以告诉客户端,需要下载哪些更新,而客户端会去微软网站上进行下载。

按照产品选择更新 按照类型选择更新

除此之外,管理员还可以建立自动审批规则,只要符合规则的更新,就可以自动批准,客户端在收到指令信息后即可自动下载并安装。

恶意软件防护

微软也有反病毒软件,Security Essentials,而且效果还不错。那么Intune中自然也会包含这个软件。然而目前Intune也仅仅支持微软自家的此类软件。我倒是觉得,这个功能应该类似Windows的安全中心,只要符合WIM标准的安全软件,就都可以通过这一服务进行管理。例如我的系统中安装了Symantec的安全软件,Intune检测到了这个软件的存在,但无法对软件进行任何操作。

07

日志和警报

Windows中带有事件日志转发功能,可以将指定的事件日志转发到专门的服务器上,供管理员集中查看、分析,以及存档。Intune也提供了类似的功能。通过管理控制台下的“警报”节点,即可直接查看所有被管理计算机的各种事件信息。相比Windows的事件日志,这里所能提供的信息类型有限,不过都比较有用,但其中大部分都是与Intune本身有关的。因为该软件的客户端会每天刷新一次,因此我登录后的管理界面下很多内容还没刷新,暂时还看不到。估计等到明天,就可以看到更多更丰富的信息。

各种类型的事件和警报 针对事件,可配置不同的警报和通知

另外一点比较有用的是电子邮件通知,管理员可以创建触发器,当发生特定类型的事件后,自动向管理员发送电子邮件。相信这个对于需要管理大量计算机的人会显得比较有用。

报表

除了可以通过警报和通知等方式获知计算机的状态外,还可以直接根据收集到的信息创建报表,这样就可以根据需要,针对某一特定方向查看所有信息。例如,如果需要知道某个或某些类型的更新是否安装成功,可以创建报表;如果想知道哪些计算机上安装了某个开发商发布的软件或硬件,可以创建报表。管理控制台提供了多种条件,我们可以通过组合不同条件,并指定每个条件的值,只需要点击鼠标几次,即可创建非常翔实具体的报表。

根据需要,通过各种条件创建报表 报表的数据非常丰富

策略

这里所说的策略与传统意义上的组策略,以及安全策略是两回事。这里的策略主要用于设定Intune软件本身的行为,以及微软自己的反病毒软件和防火墙的工作行为。之前曾经提到过,要将其他计算机加入到我们的管理中,就必须首先使用管理员ID登录,并下载安装文件,然后将文件安装到计算机上。这一过程没有提供任何自定义的方式,要想修改Intune软件本身的行为,就需要通过策略功能实现。

通过软件,对Intune本身的行为进行设置

策略的设置内容比较多,基本上可以这样理解:Intune本身的选项,Windows防火墙的选项,以及Security Essentials 的所有选项,都可以通过策略进行指定。

客户端

Intune是一种彻底的云服务,不过为了与客户端通讯,依然需要在客户端安装一个软件。同时客户端也可以在需要的时候主动执行某些任务,例如检查和安装更新,扫描病毒,以及主动请求远程协助。

客户端软件能够提供的功能

结论

Intune是一项新服务,以上只是简单罗列了这个服务的一些功能。最近我会对这个服务进行更进一步的体验和试用,并在适当的时候发布更详细的报告。

个人认为,在网速和安全性不成问题的前提下,这是一项非常有价值的服务。目前Intune还处于测试阶段,测试者可以获得25个座位,也就是说,可以用这个服务管理25台计算机。暂且不知道该服务在正式发布后是否会有免费版本(例如可以管理不超过五台计算机,或者报表等高级功能被取消),不过就算只能使用收费版本,结合起来算账也算是比较划算的。

  • 小规模的企业用户:完全可以不考虑Active Directory等需要大量软硬件投入的管理方式,直接借助Intune管理所有计算机。虽然Intune的功能比较简单,但相应的,操作难度也低,对管理者的技术水平并没有太大要求。基本上,只要对IT技术少有了解,并能明白不同功能的用途,就可以用Intune进行管理。
  • 服务外包:相对于自己管理,毕竟还需要有专人对IT技术有所熟悉。但如果员工不具备这样的条件,也许可以考虑使用外包服务。例如,很多“电脑服务公司”可以为客户提供上门的维护服务,但以往必须上门才能提供服务。而如果使用Intune,完全可以通过网络管理的形式进行管理。
  • 友情支持:对于亲朋好友眼中的“电脑高手”,肯定经常会被人找去解决电脑问题。以往只能在出现问题后上门解决,不过通过使用Intune,就可以坐在家里远程解决。

但因为是云服务,就不得不提一个更加重要的问题:无法访问网络的时候怎么办?简单的维护,例如定期查毒杀毒,安装补丁等,用Intune完全不会有问题。可如果计算机故障到操作系统都无法运行,或者网络无法使用,这时候,云端管理,就真的成了那天边的一抹浮云,飘啊飘~~~类似的问题有人想到了,Intel的博锐主动管理技术,就可以在哪怕关机,或者操作系统彻底停止响应的情况下进行远程监控和管理,不过这种技术是需要特定芯片组和处理器支持的。对于纯粹的软件解决方案,这可是个致命的死穴。

分享:

发表评论

电子邮件地址不会被公开。 必填项已用*标注

发表评论前,先做个简单的数学题吧: * Time limit is exhausted. Please reload CAPTCHA.