В первой части серии статей предлагается небольшой обзор возможностей, получаемых с помощью Windows SteadyState (WSS). Мы сравним новую версию со старыми, системные требования, Windows Disk Protection (WDP) и как начать с ним работать.
В следующих статьях мы углубимся в этот замечательный инструментарий. Но сначала нужно освоить основы…
Компьютеры с разделяемым доступом
Если вы когда-либо управляли компьютерами с разделяемым доступом, например компьютерами в школах, публичных библиотеках, Интернет-кафе, киосках и т.д. вы наверняка знаете насколько сложно поддерживать высокую функциональность длительное время, также как и высокий уровень надежности, без огромного объема работ и без тщательного контроля. Нам нужно решение, защищающее жесткие диски от неавторизованных изменений — так как некоторые изменения все же нужны (напр. обновления), а некоторые — нет (когда, к примеру, дети — и не только они — изменяют схему рабочего стола, ярлыки меню «Пуск», системные настройки или даже что-нибудь похуже).
Может быть, вы, как я, пробовали аппаратные решения с контроллерами жестких дисков, которые перенаправляли записи в системном/загрузочном разделе в скрытый раздел, который очищался при каждой перезагрузке. Это очень хорошее решение; однако, при этом мы сталкиваемся с проблемой при обновлении компьютеров, например обновление Windows, Office, антивирусных баз и т.д. В этом случае надо загружаться в режиме «manager» или «admin» перед тем, как осуществлять какие-либо изменения.
Возможно, вы также пробовали загружать тонны локальных настроек групповой политики, чтобы оградить от любопытных пальцев системные настройки, опции рабочего стола и меню «Пуск» и т.д., просто чтобы можно было попользоваться компьютером более пары дней. Но вы все еще чувствовали, что это не решения для вашего случая — может быть, частично из-за того, что все локальные пользователи были ограничены одинаковой политикой ограничения, даже администраторы и поддержка.
Итак, Microsoft предлагает решение для администраторов, у которых вышеперечисленные проблемы, что не редкость. Инструментарий под названием Windows SteadyState — теперь нет необходимости в дополнительном аппаратном обеспечении… Только и всего, что быстро загрузить, сделать несколько кликов, и удобный мастер поможет избавиться от проблемы полной защиты системы.
Что нового?
Если вы когда-либо сталкивались с вышеупомянутыми проблемами, вы, скорее всего, пробовали инструментарий Microsoft Shared Computer Toolkit, который был совсем неплох, и в действительности Windows SteadyState представляет собой новое улучшенное издание этого инструментария — просто его стало проще устанавливать, настраивать и управлять.
Добавлено несколько новых возможностей:
- Новая пользовательская консоль с навигацией вкладок, что позволяет вам просто управлять разделяемыми компьютерами из единой консоли
- Windows Disk Protection теперь основывается на файлах, поэтому вы можете настроить и установить без изменения разделов диска
- Windows Disk Protection теперь поддерживает групповые политики, так что появляется возможность управлять в окружении Active Directory
- Большее количество ограничений на программы дает больший контроль над тем, какие программы могут быть использованы
- Большее количество ограничений пользователя, включая намного более значительный контроль над Internet Explorer
- Высокая, средняя и низкая безопасность по умолчанию позволяет быстрее и проще подогнать настройки под ваши нужды
- Простой импорт и экспорт пользовательских ограничений прямо из консоли, не используя средства командной строки
- Более простая установка и лучшая документация, чтобы помочь вам освоиться
Помня об этих улучшениях, давайте просто восстановим в памяти наиболее фундаментальную и наиважнейшую технологию, которую мы получаем с Windows SteadyState для Windows XP: Windows Disk Protection!
Windows Disk Protection(WDP)
WDP — наверное, самая главная причина, по которой Windows SteadyState настолько привлекателен. Эта возможность реализована в целях помощи в защите системных настроек и данных на разделе Windows от перманентных изменений. В течение сессии многие изменения осуществляются в системе активным пользователем и самой системой. На разделяемом компьютере задача состоит в том, чтобы создать строгую среду, в которой одна загрузка как две капли воды похожа на другую — никаких различий в работе с пользователем.
Когда защита Windows Disk Protection включена, она очищает все изменения в разделе ОС в указанном вами временном интервале. Чаще всего удаляются все изменения при перезагрузке. При такой установке Helpdesk может просто просить пользователей перезагрузить компьютер с разделяемым доступом (самое часто используемое утверждение средней техподдержки, я думаю) — и, конечно же, он будет загружен с предыдущими (рабочими) настройками, конечно же, если не произошла аппаратная ошибка.
WDP не включена по умолчанию. Это сделано из-за того, что вы, администратор, наверняка захотите изменить настройки системы, установить программы, создать учетный записи и т.д. перед активацией этой замечательной функции — конечно, если вы не хотите повторять одни и те же действия всегда, как Сизиф А когда вы готовы использовать ее, и система на 100% готова заняться производительной работой (дефрагментация диска, удаление временных файлов и т.д.), включайте ее и наслаждайтесь, наблюдая, как шаловливые пальчики пытаются смешать все настройки. Все это будет бесполезно!
WDP негласно создает и резервирует большой (как минимум 2 ГБ) файл кэша для сохранения всех изменений в операционной системе и программных файлах. Ей требуется как минимум 4ГБ нераспределенного пространства в разделе Windows для создания файла кэша, но размер по умолчанию — примерно 50% дискового пространства (максимум 40ГБ).
При перезагрузке — или в указанный вами промежуток времени — WDP удаляет все содержимое кэша и восстанавливает систему в то состояние, которое было в начале работы. Если вы хотите разрешить пользователям сохранять информацию на Рабочем столе, в папке Documents и т.д. для доступа другим, вы можете сделать это, определив профиль пользователя как “unlocked profile”, располагающийся на другом устройстве/разделе (так как WDP защищает только раздел, содержащий файлы операционной системы).
Аналогичное решение предлагается многими решениями аппаратных контроллеров — так почему же WDP лучше? Все дело в том, что вы можете составить расписание обновлений и применять его всегда, даже когда WDP выключен! Я никогда не видел такого аппаратного решения: нам нужны системы, которые будут стабильными И безопасными, поэтому мы действительно нуждаемся в обновлениях для операционной системы, антивируса и т.д.
С Windows SteadyState важные обновления Microsoft и антивирусные обновления не удаляются при перезагрузке разделяемого компьютера, если вы его правильно настроите. Система отключит всех активных пользователей на промежуток времени, отведенный для обновления, перезагрузится и выполнит все необходимые обновления и будет готов к работе после некоторого времени в режиме “maintenance mode”. Мы еще вернемся к этому в последующих статьях этой серии.
Требования
Для работы Windows SteadyState система должна удовлетворять следующим требованиям (Таблица 1):
| Компонент | Требование |
|---|---|
| Процессор (CPU) | 300 мегагерц (MHz) or выше требуется минимум 233 MHz (одно - или двухъядерная система); семейство Intel Core/Pentium/Celeron или семейство AMD K6/Athlon/Duron, или совместимая система. |
| Память | 128 мегабайт (MB) оперативной памяти или больше поддерживается минимум 64 MB; но это может ограничить производительность и некоторый функции. |
| Жесткий диск | 1.5 гигабайт (GB) доступного дискового пространства без Windows Disk Protection (WDP) или 4.0 GB доступного дискового пространства с WDP. Правда, я не вижу причин использовать Windows SteadyState без функции WDP… |
| Операционная система | Windows XP Professional, Windows XP Home Edition, or Windows XP Tablet PC Edition с Windows XP Service Pack 2 (SP2). Замечание: К сожалению, Windows SteadyState не работает с Windows Vista. Это один из серьезнейших недостатков данного инструментария. |
| Файловая система | NTFS (как вы уже, наверное, знаете, без нее вы практически беззащитны в системе Windows). |
| Средства | Windows Scripting и Windows Management Instrumentation (WMI) должны работать. |
| Права | Администраторский уровень доступа к операционной системе |
Еще одним требованием является прохождение теста на подлинность Windows Genuine Advantage test — хотя мне удалось установить его на машине, не подключенной к Интернету. Но, так или иначе, требуется как минимум лицензия Windows XP на операционную систему — и это не удивительно, не так ли?
Заключение
Мы только что описали, какие великолепные возможности Windows SteadyState предоставляет администраторам компьютеров с разделяемым доступом. Мы посмотрели на новую версию и на улучшения в ней, сделали обзор основных системных требований. Посмотрите на раздел «ссылки по теме» — там есть все, что нужно для начала работы.
Попробуйте этот великолепный инструментарий, может быть, для начала на виртуальной машине. Как только вы увидите, насколько он эффективен, вы сразу же полюбите его. Конечно, начнут возникать мысли: где его использовать, как его использовать и т.п. Для меня прекрасным решением было сохранение компьютеров моих детей (6 и 8 лет) в безопасности. Они ведь могут сделать что угодно, а я знаю точно, что будет после новой загрузки — стабильное состояние!
Ссылки по теме:
- сайт Microsoft Windows SteadyState
- скачать Windows SteadyState
- Руководство по Windows SteadyState