Развертывание инфраструктуры управления рабочими станциями MAC OS при помощи Parallels Management Add-on for SCCM 2007/2012
Подготовка инфраструктуры
Допустим в инфраструктуре уже развернут SCCM (в моем случаи SCCM 2007) Его развертку и настройку затрагивать не будем. Скажу лишь неявные настройки, которые необходимы для работы нашей системы.
— в свойствах Distribution point обязательно должен быть включен анонимный доступ по протоколу HTTPS
— в свойствах DNS на DHCP сервере в подсетях, в которых находятся клиенты обязательно необходимо включить:
a) Всегда динамически обновлять DNS A и PTR записи.
b) Динамическое обновление DNS и PTR записи для DHCP-клиентов, не требующих обновления.
Работа сервиса выглядит следующим образом:
У нас есть SCCM и прокси, через который этот SCCM общается с клиентами MAC OS (в моем случаи это 2 отдельных сервера, но ни чего не мешает установить продукт на сервере с SCCM), а так же дополнения к консоли, добавляющие новые возможности в саму консоль SCCM.
Установка
В моем распоряжении была сборка для разработчика, и она не была привязана к лицензированию, так что установка может немного отличаться от купленной версии, но думаю не сильно.
— двойной клик по PMA-version_number.exe на сервере, предназначенным исполнять роль proxy (ОС на сервере может быть либо Win server 2008 R2-2012) жмем далее-далее-готово.
— запускаем Configuration Utility, расположенную по следующему адресу: C:\\Program Files (x86)\Parallels\Parallels Management Add-on for SCCM
— вводим имя/ip адрес сервера SCCM либо указыываем что SCCM находится на этом же компьютере
— в следующем окне вводится логин/пароль пользователя, имеющего администраторские права на сам SCCM (так как я не умею пользоваться фотошопом и не могу затереть пользователей в этом окне скрин прилагать не буду).
— На компьютере, с которого будет производится управление необходимо с этого же установщика запустить установку console extension (на скрине галочка будет активна если консоль установлена)
Добавление клиентских компьютеров
У нас есть 3 метода добавление клиентских компьютеров в систему
— вручную устанавливать ПО (находится агент по адресу your_proxy_hostname@yourdomainname.ru:8001/files/pma_agent.dmg)
в dmg лежит сам дистрибутив (ставится очень просто далее-далее-готово)
После установки агента будет окно, с просьбой ввести хостнейм PROXY для SCCM
Вводим адрес — и готово, на клиентском компьютере воодить больше ни чего не нужно.
— автодискавери. Если у вас установлены console extension, то в консоли появится дополнительный пункт Parallels Management Add-on
Выбираем его и видим опцию Parallels Network Diskovery. Двойной клик и видим следующее окно:
В данном окне мы можем включить сам дискавери, настроить его расписание и подсети, в которых будет производится дискавери. в опцию Accounts мы можем ввести аккаунт локального администратора на клиентах (или несколько) под которым будет устанавливаться агент. конечно недостаток в том, что мы должны знать администратора мака и более того на каждом клиенте должен быть включен доступ по SSH. Этот метод удобен только если наши маки в домене и учетная запись одного из домен админов является горантированно локальным администратором на каждом компьютере. Так же нам вручную надо будет включить доступ по SSHа каждом маке. Для меня этот метод был крайне неудобен, так как мы е соирались вводить маки в наш домен (смысла мы не видили). поэтому мы использовали 1-й метод установки агентов. Кстати если не вводить в Accounts ни каких данных то дискавери всеравно будет работать, но уже с другой пользой для нас: Сама утилита дискавери будет искать все маки в сети (там используется nmap и будет добавлять их в коллекцию All Mac OS Systems как unmanagment системы. Это полезно если мы хотим узнать сколько в нашей сети есть маков, без наших политик. Скажу сразу что он добавляет таким образом не все маки, есть небольшая вероятность что это будет вполне себе виндовый комп, а если имя мака не ресолвится в DNS то туда попадет просто ip адрес, и если этот мак в wi-fi сети то он скорее всего получит в следующий дискавери другой ip адрес, и опять будет добавлен в коллекцию под другим ip адресом.)
— Ну и 3-й способ, это лить маки черед deploy server с уже установленным агентом. (способы описывать не буду так как информации об этом море в интернете)
Что дальше?
Далее мы начинаем работать с маками, так же если бы это были компьютеры под управлением windows. Будут лишь некоторые оговорки.
У нас автоматически создастся коллекция All Mac OS Systems в которой и будут все наши клиенты. На данную коллекцию мы можем накатить deploy практически любого ПО, Сктиптов, Политик. о том как это сделать очень подробно описанно в admin guid который будет автоматически установлен на компьютере с proxy. Я лишь опишу самое вкусное.
— Установка ПО. Мы создаем любой пакет в Software Distribution так же как и для windows компьютеров, но разница лишь в исполняемой команде. Есть 3 основных сценария mac os, а именно PKG, DMG с APP,DMG с pkg и вот эти 3 основных команды для установки
PKG — installer -pkg ‘Install.pkg’ -target /
DMG — :JavaForOSX.dmg/JavaForOSX.pkg::
APP — :Skype.dmg/Skype.app:/Applications:
1-й вариант установит программу Install.pkg с настройками по умолчанию
2-й вариант смонтирует в систему dmg образ и запустит установку JavaForOSX.pkg такой же командой, как и в первом варианте
3-й вариант смонтирует в систему dmg образ и скопирует Skype.app в папку Applications
Команды эти вводятся при создании programs дистрибутива, в опцию command line.
— Выполнение любого скрипта. Мне понадобилось вносить настройки, которых попросту нету в profile manager от компании apple, а именно значения прокси сервера в системе и его исключений. и вот как выйти из этой проблемы.
Создаем скрипт, допустим a.sh. Пишем туда следующие строки:
networksetup -setsecurewebproxy ethernet proxy.company.ru 8000
networksetup -setsecurewebproxy Wi-Fi proxy.company.ru 8000
networksetup -setwebproxy ethernet proxy.company.ru 8000
networksetup -setwebproxy Wi-Fi proxy.company.ru 8000
networksetup -setproxybypassdomains ethernet *.local 169.254/16 127.* 10.* 192.168.* 172.
systemsetup -settimezone Europe/Moscow
Копируем этот файл на SCCM и создаем из него software distribution пакет. Задаем команду на установку chmod +x a.sh && sh a.sh и вот что получим на выходе: у нас исполняется скрипт на маке, который настраиват в системе на интерфейсах Wi-Fi и ethernet прокси с исключениями *.local 169.254/16 127.* 10.* 192.168.* 172. и устанавливает time zone на всех компьютерах! Правда здорово?
— Применить профиль на компьютере пользователя: Одним из самых важных фич данной сисемы является возможность применять профили на маки (для тех кто не знает это своего рода политики) Для этого идем сюда — Site Database / Computer Management / Desired Configuration Management /Configuration Items. Правый клик по Configuration Items и из выплывающего меню выбираем Create Parallels Configuration Item. В появившемся окне
Указываем имя, заметку и выбираем сам профиль, созданный в profile manager на mac os server. После создания профиля применяем его на какую либо коллекцию в качестве baseline и все, теперь на маках будет применятся данный профиль.
— Еще одной крайне важной и уникальной возможностью обладает продукт: Это применение шифрования диска через FileVault. Процесс там очень долгий и очень хорошо описанный в документации к продукту, поэтому описывать я его не буду. Но поверьте мне, подобной возможностью практически ни один аналог не обладает.
— К любому клиенту мы можем подключиться по ssh/vnc прямо из консоли. Для этого нам необходимо правой кнопкой мыши по нужному клиенту и выбрать соответствующий пункт меню из выклывающего окна
У себя в инфраструктуре мы используем именно это решение, чего и вам советую. Мы разворачиваем политики сложности пароля и путь для корпоративного сервера обновлений через профили, настройки time zone и прокси сервера через скрипты, установку ms office, Symantec antivirus, java,citrix, Parallels Desktop через software distribution, Заставляем шифроваться жесткий диск через disired configuration management.
Спасибо за внимание. Если возникнут вопросы пишите в комментариях, постараюсь ответить.
Источник
Как нам пришлось научиться управлять Маками в корпоративной сети
Bring Your Own Device (BYOD) — уже вполне реальная головная боль админов, у которых в корпоративной сетке появился не только Macbook топ-менеджера, но и iPad (а то и iPhone) его заместителя. Мы в этом году опросили в США более сотни сисадминов крупных компаний – что они используют для управления мобильными гаджетами в корпоративной сети, занятой преимущественно ПК под Windows. Победили варианты «ничего» и «крепкие выражения/алкоголь/слезы». При этом 45% признались, что в их компаниях уже закуплены Mac в рабочих целях. Значит, задачу уже надо решать, так как через BYOD-устройства, которыми пользуются руководители и ключевые сотрудники, может проходить информация ценой в миллионы рублей, и для них жизненно важно соответствовать корпоративным политикам.
В этом посте мы хотим рассказать, как внедряли в своей же компании собственное решение для управления Маками в корпоративной среде – Parallels Mac Management, с чего начали и с чем столкнулись в процессе (включая чисто психологические аспекты поведения своих же сотрудников). А еще — порассуждать о том, действительно ли нужен Mac в корпоративной сети (и узнать ваше мнение об этом), для чего, и кто чем пользуется для управления.
«Страшная» реальность
Несмотря на то, что далеко не во всех ИТ-службах компаний могут найти ответ на вопрос, зачем им нужен именно Mac в корпоративной среде, их рост – это факт (см. исследования Greyhound Research и независимых экспертов). Рост продаж наших собственных десктопных и мобильных продуктов для корпоративного рынка (Parallels Desktop для Mac Enterprise Edition, того же Parallels Mac Management и бизнес-версии Parallels Access) это тоже подтверждает. Плюс опрос, который говорит о том, что 95% тех, кто работает на Windows, с удовольствием перебегут на Mac OS X, как только смогут использовать единую систему управления ПК на различных платформах.
Будем честными – для многих компаний с точки зрения экономии затрат и ресурсов выгоднее выбирать ПК под Windows: Маки дороже, экосистема специализированных приложений под Mac OS X значительно менее развита, ими менее привычно массово управлять. Почему же продукция Apple продолжает настойчиво проникать в корпоративную среду?
Есть свое устройство поработать? А если найду?
В том же опросе нам сказали: платформа Mac более надежна — меньше «глюков» и вирусов (заявило 77% опрошенных), легко обслуживается (65%) и помогает привлечь сотрудников (тоже 65%). Но нам кажется, что причина все-таки в росте популярности самой концепции BYOD, который вызван следующими факторами:
Во-первых, это взрывной рост количества мобильных устройств — телефонов и планшетов — и их переориентация на профессиональные задачи. Становится все больше легко носимых гаджетов, способных делать все то, что совсем недавно могли делать только компьютеры. Это касается как смартфонов, так и планшетов. В 2013 году продано больше 195 млн планшетов (62% — под Android, 36% — под iOS). Тогда же количество используемых телефонов на платформах Android и iOS X в мире превысило 900 млн (доля iPhone — 15,2%, Android -78,6%). И уже в этом году люди купят больше планшетов, чем портативных компьютеров.
Во-вторых – мода на BYOD, вполне возможно, отражает новые отношения между компаниями-работодателями и сотрудниками. Эти новые веяния постепенно проникают к нам с Запада, и выражаются в том, что сотрудники все реже рассматривают себя как часть организации, либо даже не входят в штат. Например, contractors («подрядчики») в США сотрудниками не считаются, компания имеет право указывать им, что делать, но не как. Штатные сотрудники ведут себя так же. При таком подходе у сотрудников меньше ограничений, и он де-факто навязывается всем участникам рынка, включая работодателей. А раз не важно, как решаются задачи, то можно использовать любые милые сердцу устройства. Вопросы их технического сопровождения редко обсуждаются, так как не связаны непосредственно с бизнесом. К тому же BYOD снимает затраты на приобретение устройств с работодателя и перекладывает их на сотрудника.
Зачем включать Mac в корпоративную среду?
Может быть, проще проигнорировать отдельные случаи их появления? Мы считаем, что нужно делать это ровно с теми же целями, с которыми мы контролируем и ПК под Windows. Например, в нашей компании они следующие:
- Предотвращение утраты данных на ноутбуке из-за технического сбоя или ухода пользователя из компании.
- Инвентаризация ПО и оборудования для точного планирования обновлений, соответствия лицензионным требованиям и верного прогноза расходов на ИТ.
- Упрощение удаленного администрирования – развертывание стандартных образов ОС, развертывание или обновление программных продуктов, удаленное управление для разрешения инцидентов, конфигурации, соответствующие политикам.
- Специфическая для нас цель: опыт практического применения продуктов собственной разработки.
Как начался проект внедрения
Придя к пониманию, для чего нам все-таки нужно научиться управлять своими собственными Маками (нам кажется, каждый ИТ-отдел задает себе этот вопрос, но, по опыту, ответ в случае с Маками может быть и неожиданным), мы открыли новый проект. Выбирая инструмент администрирования Mac, мы исходили из предпосылки, что корпоративная среда по определению имеет единый каталог учетных записей на основе Microsoft Active Directory и инфраструктуру VPN для предоставления доступа к корпоративной сети удаленным пользователям, и что пользователи заинтересованы в том, чтобы служба ИТ решала их проблемы. Это важно, потому что нерадивый и незаинтересованный сотрудник вполне может удалить агент на Mac, а потом уверять, что «все не работает».
В конце 2012 года мы определили 3 потенциально пригодных продукта: Centrify User Suite Mac edition, Microsoft System Center 2012 SP1 (находившийся в тот момент на этапе Customer Technology Preview, CTP) и версия 1.0 Parallels Mac Management (далее — PMM). От Centrify отвратила необходимость платить за лицензию. Лицензия на System Center предоставляется партнерам Microsoft бесплатно в рамках программы Microsoft Partner Network (а мы ее участники). Дополнительное число клиентских лицензий (Client Management License, CML) для System Center уже купили раньше под задачу развертывания System Center Configuration Manager 2007 в российском офисе. Эти лицензии нужны и для развертывания PMM, потому что содержание Product Use Rights* на System Center 2012 явно указывало на то, что CML требуется на каждое управляемое устройство, без оговорок на происхождение агента. Кстати, и дистрибутив сервера SCCM 2012 получить можно было только при покупке CML: лицензия на сервер отсутствовала в номенклатуре Microsoft, доступ же к дистрибутиву на Volume Licensing Service Center был привязан к приобретению CML.
Возможность управления Mac на момент начала проекта была только объявлена для SCCM 2012 SP1. Выход его релиза был назначен на начало 2013 года, так что сложности были очевидны. РММ тогда согласились протестировать у себя несколько партнеров компании, и когда служба ИТ нашей собственной взялась за развертывание РММ «внутри», то появилась новая цель — быстрее получить отзывы, чтобы ускорить доработку продукта. От «своих» разработчики получали их, естественно, в более короткие сроки, потому что этот процесс через обычную цепочку «сейлз-инженер»-«продукт-менеджер»-«руководитель разработчиков» обычно затягивается. К тому же партнеры находились в США (а это разница еще и во времени, и в языке). Зато — никаких тепличных условий для нашего ИТ: обращение в техподдержку PMM в общем порядке, постановка задач на доработку в общей очереди, согласно приносимой выручке (а раз в этом случае выручки нет, то доработки будут выполнены, только если их потребует один из платящих заказчиков). В итоге у службы ИТ появился опыт по детальному описанию user case для каждой новой функции, а ее реализация зависела от того, пожелает ли получить ее один из заказчиков.
Развертывание PMM
Для этого были выбраны все Mac сотрудники, которые не занимались разработкой или тестированием продуктов. Географически они находились по всему миру: в офисах в Рентоне, штате Вашингтон в США, Москве, Новосибирске, Мюнхене, Сингапуре, Токио; у удаленных сотрудников на территории США, стран ЕС, Австралии и стран Юго-Восточной Азии.
Предполагалось, что системные администраторы этих офисов смогут облегчить выполнение своих обязанностей за счет возможностей PMM: удаленного управления, централизованной установки стандартных пакетов ПО и обновлений, централизованного применения политик безопасности (на основе Mac OS X Profile), установки стандартных образов ОС, инвентаризации оборудования.
Особо выделим задачу по удаленному администрированию Parallels Desktop для Mac (хорошо знакомый пользователям Mac продукт десктопной виртуализации, мы про него писали здесь) и распространению стандартных виртуальных машин для него. Удаленное администрирование включает в себя задание оптимальных настроек ВМ, активацию и установку обновлений. Стандартные виртуальные машины (Windows 8 с Office 2013) были выбраны как из соображений совместимости документов и привычки пользователей к интерфейсу Office для Windows, который значительно отличается от интерфейса Office for Mac, так и потому, что многие приложения до сих пор просто не имеют версий для Mac OS X.
Для решения всего набора задач было решено установить Primary server SCCM в Рентоне и по одной Distribution Point в офисах со значительным числом пользователей – Рентоне, Мюнхене, Сингапуре, Москве и Новосибирске. Удаленные пользователи подключаются через VPN к ближайшему из дата-центров (Рентон, Мюнхен, Москва или Сингапур), откуда их трафик пробрасывается через корпоративную сеть MPLS до Distribution Point, к которой пользователь приписан. 
Наш extension интегрируется в интерфейс System Center Configuration Manager
Серверная часть PMM была установлена на Primary server. Установку клиента делали вручную, частично сами пользователи, частично – системные администраторы. Пользователям прислали письмо с гиперссылкой на дистрибутив агента, вмешательство системного администратора требовалось лишь в случаях, когда установка не заканчивалась успешно. Начиная с версии PMM 1.7 установка, включая обновление версии агента по команде SCCM, успешно выполнялась в автоматическом режиме примерно в 90% случаев. В большей части случаев, когда установка агента на компьютер, где его раньше не было, проваливалась, причиной было несоблюдение пользователем порядка установки (запустить установку можно без подключения к VPN, но для успешного завершения необходим доступ к домен-контроллеру, который доступен только через VPN). Сейчас текущая версия PMM – 3.1, детские болезни можно считать преодоленными, а дальнейшее развитие направлено на расширение функций.
Итоги развертывания
С технической точки зрения развертывание PMM в Parallels можно считать успешным. Агент установлен более чем на 95% выбранных внутри компании Mac (более 150). Возможна доставка пакетов ПО на управляемые Mac, применение парольной политики, удовлетворяющей принятым в компании требованиям к сложности и времени жизни паролей, через профили Mac OS X, настройка параметров виртуальных машин. Начиная с версии 2.0 возможна автоматизированная установка ОС, хотя опыта массового обновления ОС таким способом пока нет, поскольку встроенные средства Mac OS сами справляются с задачей обновления ОС. Также в третьей версии появились и такие новые функции, как портал самообслуживания по работе с приложениями, поддержка инфраструктуры HTTPS SCCM и приложений SCCM. Улучшили поддержку SCCM-клиента, поддерживается также система шифрования FileVault 2 с персональными ключами. 
Портал самообслуживания в Parallels Mac Management
Одним из труднейших препятствий на пути внедрения PMM было изучение SCCM. У нас вообще не было опыта работы с этим продуктом, поэтому одному из системных администраторов пришлось изучать его сначала самостоятельно, а затем и на сертифицированных курсах Microsoft. Последнее позволило систематизировать самостоятельно приобретенные знания и опыт, а также получить ответы на накопившиеся за время самостоятельных попыток установки и применения SCCM вопросы. Значительная часть проблем, возникавших при установке и развертывании PMM, в итоге оказывалась обусловленной неоптимальной настройкой SCCM. ВЫВОД РАЗ: браться за развертывание PMM можно только тогда, когда в организации есть опыт работы с SCCM, а если его еще нет, то необходимо формальное обучение администратора.
Второе препятствие было психологически-юридического свойства. Некоторые сотрудники в странах ЕС возражали против установки агента, заявляя, что таким образом отдел ИТ будет вторгаться в их частную жизнь. Это противодействие пришлось преодолевать с помощью генерального поверенного, объяснявшего, что принадлежащие компании компьютеры – не место для личной информации. Такие возражения могут, однако, иметь значительно более твердую почву в случае BYOD. Поскольку технического решения для них по определению быть не может (агент, способный переустановить ОС, может получить доступ к любым данным), то решение должно лежать в договорной плоскости. ВЫВОД ДВА: Сотрудникам, работающим на условиях BYOD, следует предлагать письменно соглашаться с установкой агента как с условием заключения трудовых или договорных отношений.
Что день грядущий нам готовит
В итоге все трудности преодолены, и Parallels Mac Management находится в коммерческой эксплуатации и внедрено в ряде компаний, из самых крупных можно упомянуть Rackspace, Samsung и McAfee. Наш собственный внутренний проект мы при этом не закончили: следующий этап – обучение сотрудников нашей службы технической поддержки применению PMM в ежедневной практике. Это потребует, в первую очередь, научить их основам SCCM, так как все операции выполняются через его интерфейс (Маки в нем управляются так же, как компьютеры). Планируем также внедрить у себя же портал самообслуживания по работе с приложениями (Application Self Service Portal), чтобы сотрудники могли сами устанавливать рекомендуемый и соответствующий корпоративным политикам софт.
Сейчас у Parallels Mac Management самый большой рост продаж по сравнению с другими решениями Parallels – более 50% за год. Это говорит о том, что задачи включения Mac в корпоративную среду стали остро актуальными, и когда наконец-то появилась практическая возможность их решить, реализация не заставила себя ждать.
Мы можем в результате сделать следующие выводы: во-первых, помимо «ничего», «слез» и «крепких выражений» все-таки есть продукты, которые помогут решать задачи управления Маками (и даже помимо нашего собственного). Во-вторых, вам придется улаживать разные конфликтные аспекты взаимодействия ПК и Mac в одной сети, в том числе – неожиданные и психологические (не все сотрудники рассмотрят преимущества BYOD наравне с ответственностью за содержимое этого самого D).
И нам действительно интересно, что вы сами об этом думаете: нужны ли Маки в бизнес-среде и какие тут могут быть сценарии использования. Так что пишите свои соображения и вопросы в комментариях, мы постараемся ответить на каждый.
* Product Use Rights – основной документ, определяющий переданные лицензиату по программам корпоративного лицензирования права на ПО Microsoft.
Автор статьи – Виталий Хозяинов, старший руководитель проектов в Parallels (США)
Источник
