Опубликован: 15.10.2008 | Уровень: специалист | Доступ: платный
Лекция 2:

Установка

Управление доступом к службам RIS

Если вы развертываете RIS на большом предприятии, то вам, видимо, потребуется ограничить количество компьютеров, на которых можно устанавливать образ с помощью RIS, а также круг лиц, которые могут устанавливать образ на этих компьютерах. Это можно осуществлять несколькими способами.

Использование Group Policy для управления доступом. Объекты GPO (Group Policy Objects) – это средство Active Directory, которое позволяет администратору делегировать полномочия на предприятии. Используя оснастку Active Directory Users and Computers, вы можете ограничивать уровень доступа определенной организационной единицы (OU) к службам RIS. Щелкните правой кнопкой на OU, которой вы хотите делегировать (или ограничить) доступ к RIS, и выберите в контекстном меню пункт Properties. Затем выберите вкладку Group Policy. Перейдите в контейнер User Configuration\ Software Settings\Remote Installation Services и дважды щелкните на Choice Options (Параметры выбора). Вы можете разрешить (enable), отключить (disable) или оставить несконфигурированным (not configured) для наследования политики любое из четырех следующих средств RIS.

  • Automatic Setup (Автоматическая настройка). Проверяется идентификатор GUID клиентского компьютера, чтобы определить, был ли он предварительно подготовлен. Если да, то сохраняется существующая учетная запись этого компьютера. Иначе создается учетная запись компьютера с использованием политик именования, заданных для RIS.
  • Custom Setup (Нестандартная настройка). Позволяет пользователям изменить имя их собственного компьютера, а также местоположение учетной записи этого компьютера в дереве Active Directory.
  • Restart Setup (Повторный запуск). Позволяет пользователю возобновить настройку, если не удалось выполнить предыдущую попытку.
  • Tools (Инструментальные средства). Переключатель вывода списка любых дополнительных средств, которые вы установили для клиентских компьютеров RIS.
Предварительная подготовка компьютеров в Active Directory

Разрешая использовать ваш сервер RIS только тем компьютерам, которые предварительно подготовлены в Active Directory, вы препятствуете тому, чтобы любой доменный пользователь мог установить образ на любом компьютере. Разрешение установки образов на любом компьютере может иметь серьезные последствия, включая вопросы лицензирования и администрирования. Если это возможно, старайтесь выполнять предварительную подготовку всех ваших клиентских компьютеров.

Для предварительной подготовки клиентского компьютера используйте оснастку Active Directory Users and Computers. Перейдите к контейнеру, где хотите размещать учетные записи ваших клиентских компьютеров, щелкните правой кнопкой, укажите пункт New и затем выберите пункт Computer. В диалоговом окне New Object (Создание объекта) введите имя, которое будет назначено компьютеру, и затем щелкните на кнопке Next. Установите флажок This is a managed computer (Это администрируемый компьютер), введите идентификатор GUID этого компьютера и щелкните на кнопке Next.

GUID обычно содержит MAC-адрес сетевого адаптера (NIC) вместе со строкой символов (обычно это нули) в начале адреса. GUID данного компьютера можно обычно найти в BIOS компьютера, и поставщики часто печатают GUID снаружи или внутри корпуса компьютера. После предварительной подготовки клиентских компьютеров и конфигурирования RIS таким образом, чтобы не отвечать на запросы неизвестных клиентских компьютеров; только предварительно подготовленные клиенты смогут использовать сервер RIS.

Задание полномочий доступа к образу

Ограничив права пользователей в RIS с помощью объектов GPO и ограничив круг клиентских компьютеров посредством их предварительной подготовки, вы можете также ограничить доступ пользователя к определенным образам.

Для ограничения доступа к определенному образу выполните следующие шаги.

  1. Откройте оснастку Active Directory Users and Computers.
  2. Перейдите к контейнеру, содержащему сервер RIS, щелкните правой кнопкой и выберите пункт Properties.
  3. Перейдите во вкладку Remote Install.
  4. Щелкните на Advanced Settings, затем щелкните на вкладке Images (Образы).
  5. Выберите образ, доступ к которому хотите ограничить, и щелкните на кнопке Properties.
  6. Щелкните на Permissions (Полномочия) и выберите вкладку Security.
  7. Укажите пользователей, которые могут или не могут получать доступ к этому образу. (Если это "плоский" [flat] образ, то вам нужно только задать полномочия доступа к файлу Ristndrd.sif этого образа.)
Создание "плоских" образов RIS

Чтобы создать "плоский" (flat) образ RIS, нужно указать для сервера RIS местоположение установочных файлов операционной системы. Эти файлы копируются на сервер RIS и могут затем выбираться для установки на клиентском компьютере (в предположении, что пользователь имеет полномочия на запуск RIS и подходящие полномочия доступа к файлу образа).

Чтобы создать новый "плоский" образ RIS, выполните следующие шаги.

  1. Откройте оснастку Active Directory Users and Computers.
  2. Перейдите к контейнеру, содержащему сервер RIS, щелкните правой кнопкой на этом сервере и выберите пункт Properties.
  3. Перейдите во вкладку Remote Install.
  4. Щелкните на Advanced Settings, затем щелкните на вкладке Images.
  5. Щелкните на кнопке Add, чтобы запустить мастер RIS Setup Wizard.
  6. Выберите вариант Add A New Installation Image (Добавить новый образ установки) и щелкните на кнопке Next.
  7. Введите путь к установочным файлам Windows Server 2003 (например, D:\i386, если вы будете копировать с CD-ROM) и щелкните на кнопке Next.
  8. Введите имя папки на сервере RIS, в которой будут храниться эти установочные файлы, и щелкните на кнопке Next.
  9. Введите "дружественное" имя (friendly name) и справочный текст (help text), которые описывают данный образ, и щелкните на кнопке Finish.

Установочные файлы копируются в папку образов на сервере RIS. В процессе копирования этих файлов сервер RIS создает файл с именем Ristndrd.sif. Этот файл, аналогично файлам UNATTEND.TXT и Sysprep.inf, представляет настраиваемую информацию об установке, которая объединяется с установочными файлами, когда они устанавливаются на клиентском компьютере. Файл Ristndrd.sif позволяет полностью автоматизировать установку образа на клиентском компьютере. Ristndrd.sif – это простой текстовый файл, и вы можете его редактировать для ввода дополнительной информации по конфигурированию сверх базовой информации об образе, которая известна серверу RIS. Вы можете также использовать Setup Manager для создания .sif-файла. После создания .sif-файла его можно связать с несколькими образами. Подробную информацию по настройке файла Ristndrd.sif можно найти в Windows Server 2003 Corporate Deployment Kit (находится в файле \SUPPORT\ TOOLS\DEPLOY.CAB).

Использование RIPrep-образов RIS

Аналогично SYSPREP, RIS позволяет вам создать образ на компьютере, на котором уже выполнено конфигурирование и установка приложений и нестандартных драйверов. Для этого в RIS используется утилита RIPrep (Rprep.exe). RIPrep имеет несколько преимуществ по сравнению с SYSPREP, наиболее важным из которых является то, что компьютеры, для которых используется один и тот же образ, не обязательно должны быть идентичны или даже использовать одинаковый контроллер ЗУ большой емкости (однако на них должны использоваться совместимые уровни абстрагирования оборудования [HAL]).

Чтобы создать образ с помощью RIPrep, вы должны быть членом локальной группы Administrators на компьютере, который будет использоваться для создания этого образа, и должны иметь полномочия записи в папки RIS (\RemoteInstall) на сервере RIS.

Примечание. RIPrep нельзя использовать для создания образа компьютера с 64-битной архитектурой IA64. Если вы хотите применять RIS для установки образов на компьютере Windows Server 2003 с архитектурой IA64, то должны использовать "плоские" образы.

Создание образа. Аналогично SYSPREP начните процесс создания RIPrep-образа с выбора базового компьютера, оборудование которого аналогично оборудованию всех целевых компьютеров, на которых будет использоваться этот образ. Установите Windows Server 2003 вместе с любыми нестандартными драйверами, приложениями и другими файлами, которые хотите предоставить всем целевым компьютерам, где будет использоваться образ.

При создании базового образа используйте только один раздел и сделайте этот раздел как можно меньше, соблюдая при этом требования к размеру пространства для операционной системы, файлов приложений, файла подкачки и других компонентов. RIS будет использовать полный размер этого раздела, чтобы определять минимальный размер разделов на клиентских компьютерах; если вы создаете базовый образ, содержащий 20 Гб файлов, но использующий раздел размером 120 Гб, то вы не сможете использовать этот образ на клиентских компьютерах с дисками, емкость которых меньше 120 Гб. Обзор компонентов, которые можно устанавливать в RIPrep-образе на этом этапе, см. выше в подразделе "Подготовка эталонного образа" раздела "SYSPREP".

Работа с мастером подготовки к дистанционной установке (Remote Installation Preparation Wizard). После создания образа запустите программу RIPrep.exe, которая копирует образ на сервер RIS и подготавливает его к установке на целевых компьютерах.

Этот мастер требует от вас ввода настроенной информации для образа, включая имя сервера RIS (по умолчанию это сервер RIS, с которого вы запускаете RIPrep.exe), имя папки на сервере RIS, в которой вы хотите установить данный образ, а также "дружественное" описание и справочный текст для образа.

Примечание. RIPrep, возможно, информирует вас, что не может остановить определенные службы, работа которых должна быть прекращена, чтобы выполнить процесс установки образа. Если появится это сообщение об ошибке, вы должны попытаться вручную прекратить работу этих служб. Если остановить эти службы не удается, или если они не могут быть остановлены из-за требований зависимости, то вы все-таки сможете продолжить процесс RIPrep.

После завершения этого процесса репликации образ автоматически добавляется к списку установок операционной системы, доступных клиентским компьютерам на сервере RIS. Аналогично SYSPREP создаваемые с помощью RIPrep образы можно использовать только на тех целевых компьютерах, которые используют совместимые уровни HAL. Остальное оборудование целевых компьютеров не обязательно должно быть таким же, как на компьютере, где создан образ RIPrep, поскольку процесс клиентской установки образов RIS выполняет полный пересмотр устройств Plug and Play, чтобы проверить, что установлены подходящие драйверы.

В папке на сервере RIS, где создается RIPrep-образ, создается также файл Riprep.sif. В этом файле, аналогично файлу Sysprep.inf, содержится информация по настройке конфигурации клиентского компьютера. Как и файл Ristndrd.sif, используемый для "плоских" образов, этот файл можно редактировать для адаптации к требованиям конкретной дистанционной установки. Подробную информацию по настройке файла Riprep.sif можно найти в Windows Server 2003 Corporate Deployment Kit (находится в файле \SUPPORT\TOOLS\DEPLOY.CAB).

Установка образов RIS на клиентских компьютерах

После создания образов процесс конкретной установки образа RIS на клиентском компьютере проходит достаточно просто. Если клиентский компьютер имеет сетевой адаптер, поддерживающий PXE, и этот компьютер находится в том же сетевом сегменте, что и сервер RIS, то вы можете просто включить этот компьютер. В противном случае, если сетевой адаптер вашего клиентского компьютера не поддерживает PXE, то вы можете создать диск RIS Boot Disk. Напомним, что RIS Boot Disk поддерживает лишь ограниченный выбор сетевых адаптеров; если ваш сетевой адаптер не поддерживает PXE и не поддерживается диском RIS Boot Disk, то вы не можете использовать RIS для установки образов на данном клиентском компьютере. Чтобы создать RIS Boot Disk, запустите на любом компьютере Disk Boot Generator (Rbfg.exe) с сервера RIS и щелкните на кнопке Create Disk (Создать диск).

Внимание. Возможно, ваш сетевой адаптер поддерживает PXE, но BIOS не сконфигурирована для выбора PXE-адаптера как загрузочного устройства. Если вы знаете, что ваш адаптер поддерживает PXE, и не можете добиться, чтобы ваш компьютер загружался в RIS, проверьте в BIOS (ROM), что ваш PXE-адаптер сконфигурирован как первый вариант загрузки.

После запуска PXE-адаптера или диска RIS Boot Disk пользователю предлагается нажать F12, чтобы начать процесс установки. Пользователь должен выполнить следующие шаги, чтобы установить операционную систему.

  • Введите допустимое пользовательское имя и пароль. Соответствующая учетная запись должна находиться в том же домене, что и учетная запись компьютера (если он предварительно подготовлен в Active Directory). Если компьютер не подготовлен предварительно, то учетная запись пользователя должна иметь полномочия для добавления компьютеров к домену.
  • Введите имя домена. Это должно быть полностью уточненное DNS-имя домена (evenseast.com), а не NetBIOS-имя (evenseast).
  • Выберите вариант установки. В зависимости от того, как объекты GPO сконфигурированы для сервера RIS, пользователь может иметь доступ к следующим вариантам: Setup (Установка), Custom Setup (Настраиваемая установка), Restart a Previous Setup Attempt (Повторный запуск установки) и Maintenance and Troubleshooting Tools (Средства обслуживания и устранения проблем).
  • Введите имя компьютера и путь к папке. Это единственные обязательные данные, если на предыдущем шаге выбран вариант Custom Setup.
  • Выберите образ, который вы хотите установить. В зависимости от того, как заданы списки управления доступом (ACL) на сервере RIS, пользователь, возможно, будет иметь доступ не ко всем образам, имеющимся на сервере RIS.
  • Установите образ. В зависимости от размера образа и набора его возможностей, а также скорости сетевых соединений и насыщенности трафика между клиентским компьютером и сервером RIS это может занять много времени. Если в файле Ristndrd.sif (для плоских образов) или в файле Riprep.sif (для Riprep-образов) не задана для образов такая информация, как имя компании, зарегистрированное имя пользователя и код продукта, то эта информация запрашивается у пользователя.
Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989