Windows 8.

1 Enterprise для
ИТ-специалистов
Александр Шаповал
Microsoft
Александр Шаповал
Эксперт по стратегическим технологиям
Email: ashapo@microsoft.com
Blog: http://blogs.technet.com/b/ashapo
Twitter: @ashapoval
http://itcamps.ru
 Семинар 1. Windows 8.1 Enterprise для ИТ-специалистов
 Семинар 2. Управление ЦОД с помощью Windows Server 2012 R2
 Семинар 3. Виртуализация ЦОД с помощью System Center 2012 R2
 Семинар 4. Управление ЦОД с помощью System Center 2012 R2
 Семинар 5. Переход к гибридному облаку с помощью Windows Azure и
System Center 2012 R2
Программа семинара
Время Описание
11:30 – 12:00 Регистрация
12:00 – 14:00 Использование персональных устройств для доступа к
корпоративным данным
14:00 – 14:45 Обед
14:45 – 16:00 Развертывание приложений Windows 8.1
16:00 – 16:15 Перерыв
16:15 – 18:00 Развертывание Windows 8.1
18:00 – 18:15 Сессия вопросов и ответов
Использование персональных
устройств для доступа к
корпоративным данным
Александр Шаповал
Microsoft
Современные проблемы ИТ-службы

Пользователи Устройства Приложения Данные

Пользователи ожидают Бум мобильных устройств Развертывание и Необходимо
возможность работать порождает новые стандарты управление приложениями поддерживать высокую
из любого места и и правила игры для ИТ с учетом большого производительность труда
получить доступ к своим количества различных пользователей,
ресурсам и данным платформ становится соответствуя нормам и
сложной задачей критериям безопасности,
снижая риски
6
ИТ, ориентированные на пользователя

Расширение
возможностей
пользователей
Возможность работать на
различных устройствах,
сохраняя при этом целостный
и безопасный досту к данным

Унификация окружения
Пользователи Устройства Приложения Данные
Единый подход для управления
приложениями и устройствами
в локальной сети и в облаке

Защита данных
Защита корпоративных
Управление. Доступ. Защита данных и управление рисками

7
 Расширение возможностей
Пользователи могут
ИТ может обеспечить
зарегистрировать
виртуализацию
устройства для получения
рабочих мест (VDI) для
доступа к Корпоративному
централизованного
Порталу и корпоративным
доступа к ресурсам
приложениям

Пользователи
могут работать из
любого места с
использованием
своих устройств RD Gateway Хост сеансов VDI

ИТ может
опубликовать
ресурсы с помощью
Web Application
Веб-прил. Proxy, исходя из
Web Application Proxy
учетных данных
устройства и
пользователя
ИТ может
Пользователи могут предоставить
зарегестрировать LOB-прил. прозрачный доступ к
свои устройства для ресурсам с помощью
прозрачного доступа Remote Access DirectAccess и
к корпоративным автоматических VPN-
данным с помощью Active Directory
Файлы подключений
Workplace Join
8
Регистрация устройств

Пользователи могут зарегистрировать

устройства для управления с помощью
Windows Intune и получить доступ к Данные Windows Intune
приложениям через Корпоративный синхронизируются с
Портал Configuration Manager,
который обеспечивает
унифицированное
управление локальной и
облачной средой
Active Authentication

Пользователи могут
зарегестрировать свои
устройства для Active Directory
прозрачного доступа к
корпоративным данным с Web Application Proxy ADFS
помощью Workplace Join. В процессе регистрации
ИТ может опубликовать ресурсы с
Как часть процесса на создается новый объект
помощью Web Application Proxy, исходя
устройство устанавливается устройства в Active Directory,
из учетных данных устройства и
сертификат тем самым устанавливая
пользователя. Может быть задействована
связь между пользователем
многофакторная аутентификация
и его устройством 9
Предоставление доступа с помощью Web Application Proxy
Разработчики могут AD-интеграция
задействовать Мобильные Использование условий
сервисы Windows Azure для предоставляет Публикация
интеграции приложений приложений
гранулированный
Другие облачные
услуги и приложения
контроль над тем, как и
где доступны приложения
Claims & Доступ на базе
Mobile Services Active Directory
Kerberos Office Forms
Веб-прил.

ADFS Restful OAuth

Устройства

Active Directory
Пользователи могут Приложения и Web Application является центральным
получить доступ к данные Proxy репозиторием для
корпоративным учетных данных
приложениям и Reverse proxy пользователя и
ИТ может использовать Web для базовой
данным независимо Active Directory информации о
Application Proxy для многофакторной аутентификации
от своего регистрации
аутентификации пользователей и и NTLM
местоположения устройства
устройств
10
 Доступность корпоративных данных на основе Work Folders
Active Directory
ИТ может настроить на файл- содержит
сервере рабочие папки (Work информацию о
ИТ может выборочно Folders) для каждого расположении
стереть корпоративные пользователя для синхронизации рабочих папок
данные с клиентов на базе данных на его устройствах, при пользователя
Windows 8.1 этом поддерживается интеграция
Reverse Proxy с RMS
Устройства

Active Directory

Приложения и Политика доступа

Пользователи могут данные Web Application Proxy File Services
синхронизировать Доменные
рабочие данные со
ИТ может опубликовать устройства
своими устройствами
доступ через обратный
Пользователи могут прокси или предоставить
зарегестрировать свои доступ на базе условий
устройства для через регистрацию
синхронизации данных, а устройства на Web
ИТ настроить доступ на Application Proxy
базе условий 11
Расширение модели работы с доменом
Присоединение к
Без присоединения рабочему месту Домен

Пользовательские устройства Зарегестрированные устройства Доменные компьютеры

являются «неизвестными». ИТ не предстают как «известные» для находятся под полным
имеют над ними контроль. ИТ, аутентификация на базе контролем ИТ и получают
Возможен частичный доступ к устройства используется в максимальные возможности
корпоративной информации политиках доступа к данным

Единая система входа в

браузере
Прозрачная 2-х факторная
аутентификация для веб-приложений
Единая система входа
для корп. приложений

Единая система входа на

рабочем месте
Защита данных с помощью многофакторной аутентификации (МФА)
1. Пользователь пытается
зайти в систему или
произвести действие,
подпадающее под МФА

Active Authentication 2. Когда пользователь

аутентифицируется, сервис
или приложение
генерирует МФА-вызов
3. Пользователь должен
ответить на вызов, который
может быть настроен как
SMS, телефонный звонок
или мобильное
приложение

4. Ответ возвращается
приложению, которое
позволяет продолжить
работу
5. ИТ может настроить тип
ADFS
Аутентификация и частоту МФА для
Пользователь приложения пользователей
в т.ч.. Active Directory,
Radius, LDAP, SQL,
кастомные
Защита данных с помощью динамического контроля доступа

File Services

Active Directory

Автоматическая Классификация Централизованное Интеграция с Active Централизованные

идентификация и файлов, политики управление Directory Rights политики доступа и аудита
классификация доступа и шаблоны политиками доступа Management могут применяться ко
данных на базе службы управления и аудита с Services множеству серверов с
содержимого. правами применяются к помощью Windows обеспечивает классификацией и
Классификация распределенным Server Active автоматическое обработкой новых и
применяется в клиентским данным в Directory шифрование измененных документов
момент создания Рабочих Папках документов практически в реальном
или изменения времени
файлов
14
Краткие итоги

Расширение возможностей Унификация окружения Защита данных

пользователей
Упрощенный процесс
регистрации собственных (BYO)
устройств
Автоматическое подключение
ко внутренним ресурсам при
необходимости
Целостный доступ к ресурсам с
различных устройств
Единые учетные данные для
доступа к локальным ресурсам и
ресурсам в облаке
Централизация корпоративной
информации для соответствия
регламентам и защиты данных
Контроль доступа к приложениям
и данным на основе политик
1
Подключение к лаб. работам
https://cloud.holsystems.com/itcamp

P@ssw0rd
Access event code: ITCW4203
Lab: E202B Access to information and protection
Ресурсы
Портал Microsoft Virtual Academy
http://www.microsoftvirtualacademy.ru

Портал TechNet
http://technet.microsoft.com/ru-ru/

Портал TechDays
http://www.techdays.ru

17
Развертывание приложений
Windows 8.1
Александр Шаповал
Microsoft
О чем пойдет речь?
 Бизнес-приложения Windows Runtime
 Преимущества Windows Runtime приложений для бизнес-сценариев
 Сенсорное управление
 Низкое энергопотребление
 Режим Connected Standby
 Различные форм-факторы устройств
 Огромный потенциал, реальные примеры
 Широкие возможности для разработчиков
Рассматриваемые вопросы
 Развертывание Windows Runtime приложений в
корпоративной среде
 Обычные Windows Runtime приложения устанавливаются из Магазина
Windows
 Использование Магазина Windows для установки приложений в большинстве
корпоративных сценариев неприемлемо
 Безопасность
 Управляемость

 Поддерживаемые способы установки Windows

Runtime приложений без обращения в Магазин
Windows
2
Терминология
 Windows Store apps (приложения Магазина
Windows)
 Приложения для Windows 8 и Windows RT, написанные на основе WinRT API
 Они же WinRT-приложения, современные приложения, приложения Windows
8, ранее «метро»-приложения
 Microsoft ID
 Учетная запись для доступа к различным online-сервисам, ранее Live ID

 Windows Store (Магазин Windows)

 Online-магазин для приобретения приложений Магазина Windows. Также
называется встроенное в Windows 8 и Windows RT приложение для доступа к
online-магазину. Доступ к магазину осуществляется на основе Microsoft ID
Терминология
 Appx-файл
 Файл-контейнер, содержащий все необходимые компоненты приложения
Магазина Windows за исключением других приложений Магазина Windows,
от которых может зависеть. Технически представляет собой zip-файл
 Sideloading (Загрузка неопубликованного
приложения)
 Процесс подготовки и установки приложения Магазина Windows без
обращения в Магазин Windows. По умолчанию запрещен
 Sideloaded apps (Неопубликованные загружаемые
приложения)
 Приложения Магазина Windows, разработанные для корпоративного
использования
Установка приложений
 Как выглядит установка обычных Windows Runtime
приложений?
 Пользователь 1 устанавливает приложение на Устройство 1
 Пользователь 1 подключается к Магазину Windows, используя Microsoft ID, и выбирает приложение,
например, Приложение 1
 Приложение 1 скачивается на Устройство 1
 Приложение 1 регистрируется для Пользователя 1

 Пользователь 2 устанавливает это же приложение на

Устройство 1
 Пользователь 2 подключается к Магазину Windows, используя Microsoft ID, и выбирает Приложение 1
 Windows проверяет, что данное приложение уже загружено на Устройство 1
 Приложение 1 регистрируется для Пользователя 2

2
Установка приложений
 Опубликована новая версия Приложения 1
 Пользователь 1 установил из Магазина Windows новую версию
Приложения 1
 Пользователь 2 продолжает использовать старую версию Приложения 1
 На Устройстве 1 существуют две версии одного приложения

 Удаление приложения
 Windows 8 не удаляет приложение физически, пока есть хотя бы один
пользователь, для которого это приложение зарегистрировано

2
Установка бизнес-приложений (sideloading)
 Алгоритм выглядит так же, за исключением:
 Приложение опубликовано не в Магазине Windows, а на корпоративном
портале
 При подключении к порталу используется доменная учетная запись

 Компоненты, необходимые для развертывания

бизнес-приложений
 Дистрибутив приложения (Appx-файл)
 Корпоративный портал
 System Center 2012 SP1 Configuration Manager и выше
 Облачный сервис Windows Intune
 Устройство с Windows 8/8.1 или Windows RT 8/8.1

2
Требования к компонентам sideloading
 Дистрибутив приложения (Appx-файл)
 Appx-файл должен быть подписан с помощью сертификата (Code Signing)
 Сертификат должен быть доверенным на соответствующих устройствах

 Корпоративный портал
 System Center 2012 SP1 Configuration Manager и выше
 Не требует подключения к Интернет
 По умолчанию не поддерживает устройства Windows RT
 Windows Intune
 Требует подключение к Интернет
 Поддерживает устройства с Windows 8/8.1 и Windows RT 8/8.1

2
Требования к компонентам sideloading
 Устройства с Windows 8/8.1 или Windows RT 8/8.1
 Включить политику Allow All Trusted Apps
 Импортировать необходимые сертификаты
 Разрешить sideloading
 Для Windows Server 2012 и Windows 8 Enterprise в домене
 Sideloading включается автоматически
 Для Windows Server 2012 и Windows 8 Enterprise вне домена, а также для
Windows 8 Pro и Windows RT в любом случае
 Sideloading включается с помощью специального ключа активации

2
Установка приложений с помощью
System Center 2012 SP1
Configuration Manager и Windows
Intune
Демонстрация
Что необходимо помнить?
 Установка (Installation) приложений
 Регистрирует приложение для конкретного пользователя
 Всегда применяется только для пользователя
 Не требует административных прав
 Применяется как для приложений из магазина, так и для неопубликованных
загружаемых приложений (Sideloaded apps)
Подготовка бизнес-приложений
 Типовой сценарий
 Новый сотрудник получает ноутбук с уже предустановленным набором
бизнес-приложений
 Добавление приложений в образ Windows
 Особенности
 До 24 приложений в образе
 Приложение регистрируется при первом логине пользователя
 Инструменты
 Deployment Image Servicing and Management Tool (DISM)
 Microsoft Deployment Toolkit (MDT) 2013

3
Что необходимо помнить?
 Подготовка (Provisioning) приложений
 Регистрирует приложение на компьютере
 Приложение устанавливается автоматически для каждого пользователя
 Применяется только для неопубликованных загружаемых приложений
(Sideloaded apps)
 Требует административные права
Применение PowerShell
 PowerShell позволяет выполнять и установку, и
подготовку приложений
 Основные командлеты
 Add-AppxPackage
 Remove-AppxPackage
 Get-AppxPackage
 Add-AppxProvisionedPackage
 Remove-AppxProvisionedPackage
 Get-AppxProvisionedPackage

3
Использование PowerShell для
установки и подготовки
приложений
Демонстрация
Итоги
 Windows Runtime бизнес-приложения – растущий
сегмент рынка с высоким потенциалом с точки
зрения разработки и ИТ
 Развертывание Windows Runtime бизнес-
приложений – поддерживаемый сценарий для
устройств с Windows 8/8.1 и Windows RT 8/8.1
 Инструменты для установки и добавления
Windows Runtime приложений в образ ОС
доступны уже сейчас
Материалы
 Курс «Развертывание Windows 8 на предприятии»
на портале MVA
 http://www.microsoftvirtualacademy.com/training-courses/windows-8-deploymen
t-rus

 Sideloading на портале TechNet

 http://technet.microsoft.com/library/hh852635.aspx

 Настройка начального экрана

 http://technet.microsoft.com/ru-ru/library/jj134269.aspx
 http://
blogs.technet.com/b/deploymentguys/archive/2012/10/26/start-screen-customiza
tion-with-mdt.aspx
3
Подключение к лаб. работам
https://cloud.holsystems.com/itcamp

Access event code: ITCW4203

Lab: E205B Windows Store apps, Preparing to sideload an app (p.14)
Развертывание Windows 8.1
Александр Шаповал
Microsoft
Содержание
 Процесс установки Windows 8.1
 Методы автоматизации установки Windows 8.1
 Инструменты установки Windows 8.1 на
множество компьютеров
 Windows Assessment and Deployment Kit (Windows ADK)
 Microsoft Deployment Toolkit (MDT) 2013
Развертывание Windows 2000/XP/2003
 Установка вручную
 С загрузочного CD
 По сети (с жесткого диска)

 Автоматическая установка
 Файл ответов (файл ответов + Windows PE)
 Unattend.txt
 Winnt.sif
 Sysprep.inf
 ПО для создания образов
Развертывание Windows 2000/XP/2003
Файлы ответов Образы
 Преимущества  Преимущества
 Гибкость  Высокая скорость развертывания
 Аппаратная независимость  Установка приложений

 Недостатки
 Сложный синтаксис файлов
 Низкая скорость развертывания
 Множество различных файлов для разных
сценариев
 Недостатки
 Аппаратная зависимость
 Сложность редактирования
 Большой объем имиджей
Windows Vista и выше
 Windows Image файл (WIM-файл)
 Не зависит от HAL
 Поддерживает offline-редактирование
 В том числе, добавление драйверов устройств
 Может содержать несколько образов
 Зависит от архитектуры (32 или 64 бита)
 Файл ответов в формате XML
 Заменяет все предыдущие файлы ответов
 Используется на разных фазах установки
 Единый установщик для обновлений и языковых пакетов Package
Manager
Фазы установки Windows
Фаза windowsPE
Фаза offlineServicing
Фаза specialize
Фаза oobeSystem
 Фазы generalize, auditSystem и auditUser
 generalize
 В ходе этого этапа настройки из установки Windows удаляются сведения о
конкретном компьютере, благодаря чему вы можете записать и повторно
применить образ Windows на разных компьютерах. Например, в ходе этого
этапа из образа удаляется уникальный идентификатор безопасности (SID),
сведения о драйверах устройств и другие параметры, относящиеся к
оборудованию
 auditSystem и auditUser
 Как правило, этот этап используется для дополнительной настройки
установки, например для установки драйверов производителей
оборудования, выполнения произвольных команд или настройки параметров
оболочки Windows
 Эти этапы присутствуют только в том случае, если компьютер настроен для
загрузки в режиме аудита
Инструменты развертывания Windows 8.1
 Windows Assessment and Deployment Kit (Windows
ADK)
 Заменяет собой предыдущие версии пакета Windows Automated Installation
Kit (Windows AIK)
 Используется остальными инструментами развертывания Windows

 Microsoft Deployment Toolkit (MDT) 2013

 System Center 2012 R2 Configuration Manager
 Windows Deployment Services
 Internet Explorer Administration Kit (IEAK)
Windows Assessment and Deployment Kit
 Deployment Tools
 Windows Preinstallation Environment (Windows PE)
 User State Migration Tool (USMT)
 Volume Activation Management Tool (VAMT)
 Application Compatibility Toolkit (ACT)
 Windows Performance Toolkit
 Windows Assessment Toolkit
 Windows Assessment Services
Компоненты ADK для установки Windows
 Windows System Image Manager (Windows SIM)
 Deployment Image Servicing and Management
(DISM)
 Заменяет собой утилиту ImageX

 System Preparation Tool (Sysprep)

 Windows Preinstallation Environment (Windows PE)
 Минимальная конфигурация на ядре Windows 8 с поддержкой сети и базовых
API
 Используется для подготовки компьютера к установке Windows
 Не предназначена для использования в качестве основной ОС
Создание файла ответов с
помощью Windows System
Image Manager
Демонстрация
Создание образов Windows

5
Создание образов Windows
 Пример использования DISM для создания
образа
dism /Capture-Image /ImageFile:F:\myimage.wim /CaptureDir:D:\
/Name:”Contoso”

5
Развертывание образов Windows

5
Развертывание образов Windows
 Пример использования DISM для развертывания
образа
dism /Apply-Image /ImageFile:T:\distr\myimage.wim /index:1
/ApplyDir:W:\

5
Microsoft Deployment Toolkit
 Бесплатный пакет для развертывания ОС Microsoft
 Поддерживаемые операционные системы:
 Windows XP, Windows Server 2003
 Windows Vista, Windows Server 2008
 Windows 7, Windows Server 2008 R2
 Windows 8, Windows Server 2012
 Windows 8.1, Windows Server 2012 R2

 MDT создан на основе ADK и упрощает реализацию

многих задач по сравнению с ADK
 Может использоваться совместно с System Center
Configuration Manager
Варианты развертывания на основе MDT

LTI UDI ZTI

• Частично или полностью
автоматизированное
развертывание
• Без использования System
Center Configuration Manager
• Настройки в процессе
развертывания
• Частично или полностью
автоматизированное
развертывание
• С использованием System
Center Configuration Manager
• Настройки в процессе
развертывания
• Полностью автоматизированное
развертывание
• С использованием System Center
Configuration Manager
• Настройки заданы заранее

ZTI и UDI используют общие процессы

5
Развертывание Windows с помощью MDT

6
Применение Microsoft
Deployment Toolkit (MDT) 2013
Демонстрация
Материалы
 Курс «Развертывание Windows 8 на предприятии»
на портале MVA
 http://www.microsoftvirtualacademy.com/training-courses/windows-8-deploymen
t-rus

 Развертывание Windows 8 на портале TechNet

 http://technet.microsoft.com/ru-ru/library/hh832022.aspx

 Использование утилиты DISM

 http://technet.microsoft.com/ru-ru/library/hh824821.aspx

6
 Ресурсы
Windows 8 Enterprise
http://technet.microsoft.com/ru-ru/evalcenter/hh699156.aspx

Windows ADK
http://www.microsoft.com/ru-ru/download/details.aspx?id=30652

Microsoft Deployment Toolkit

http://www.microsoft.com/en-us/download/details.aspx?id=25175

Портал Microsoft Virtual Academy

http://www.microsoftvirtualacademy.ru

Портал TechNet
http://technet.microsoft.com/ru-ru/

6
Сессия вопросов и ответов
Александр Шаповал
Эксперт по стратегическим технологиям
Email: ashapo@microsoft.com
Blog: http://blogs.technet.com/b/ashapo
Twitter: @ashapoval