Internet Explorer 8 для корпоративных пользователей и ИT-специалистов
Часть 3
Установка Internet Explorer как отдельного компонента
Использование Internet Explorer Administration Kit
Развертывание браузера и совместимость приложений
Предыдущие статьи данного цикла были посвящены средствам безопасности Internet Explorer и функции обеспечения стабильной работы пользователей. В настоящей статье мы рассмотрим вопросы, связанные с обеспечением совместимости вебприложений и сайтов с новой версией Internet Explorer, а также обсудим развертывание браузера.
Новая версия браузера — Internet Explorer 8 — предоставляет широкие возможности для администраторов и ИТ-специалистов. Сюда входят механизмы обеспечения совместимости вебприложений и вебсайтов как на уровне настроек самого браузера, так и с использованием специализированных средств, механизмы обеспечения безопасности, различные средства развертывания браузера, а также широкий диапазон настроек на уровне групповых политик и ключей реестра, которые делают более простым конфигурирование браузера для решения широкого спектра задач, стоящих перед корпоративными пользователями.
Совместимость
Для обеспечения совместимости работы браузера с ранее созданными вебсайтами и вебприложениями на уровне пользователей применяется режим Compatibility View, позволяющий просматривать вебсайты в режиме эмуляции предыдщей версии браузера — Internet Explorer 7.
Для обнаружения потенциальных проблем, связанных с совместимостью вебсайтов — как корпоративных, обеспечивающих автоматизацию бизнес-процессов компаний, так и внешних, ИТ-специалисты могут использовать набор средств под названием Application Compatibility Toolkit (ACT).
Данный набор содержит средства трассировки работы вебприложений и вебсайтов под управлением Internet Explorer 8: в системный протокол заносится информация о применении фильтра кросссайтовых скриптов, использовании режима поддержки стандартов (Standards Mode), механизма Windows Reuse Navigation Restriction, который позволяет предотвратить спуфингатаки, запрещая навигацию из фрейма верхнего уровня, загруженного с одного вебсайта на другой с отличным контекстом безопасности, ограничениях на использование MIME-типов, имен файлов, блокировках компонентов, статусе механизма DEP/NX, предотвращающего атаки вредоносного кода, блокировках компонентов ActiveX, использовании Ajax-сценариев для навигации и т.п. В случае возникновения проблем с обеспечением совместимости при работе Internet Explorer под управлением ACT отображается сообщение об ошибке и приводится ссылка на дополнительную информацию, позволяющую найти оптимальный способ устранения проблемы.
Набор средств для обеспечения совместимости приложений, вебприложений и вебсайтов — Application Compatibility Toolkit версии 5.5 — можно загрузить с сайта Microsoft по адресу: http://www.microsoft.com/downloads/details.aspx? FamilyID=24DA89E9-B581-47B0-B45E-492DD6DA2971.
Вопросы обеспечения совместимости также могут быть решены на уровне групповых политик. Администраторы имеют возможность управлять такими функциями браузера, как Compatibility View, Loosely-Coupled Internet Explorer (LCIE), InPrivate, Connection Scaling и Data Execution Prevention. Использование групповых политик для управления Internet Explorer 8 будет рассмотрено в следующей статье данного цикла.
Развертывание
Новая версия Internet Explorer поддерживает различные опции развертывания, что позволяет системным администраторам и ИТ-специалистам устанавливать Internet Explorer 8 как отдельный компонент в составе операционной системы, а также выполнять различные настройки браузера как средствами групповых политик, так и с помощью специального средства — Internet Explorer Administration Kit.
Самостоятельная установка Internet Explorer 8 может быть выполнена как средствами управления каталогами Active Directory, средствами Microsoft System Center Configuration Manager и Windows Server Update Services, так и как часть установки операционной системы с применением «вставки» (Slipstreaming) браузера в образ ОС. Использование Internet Explorer Administration Kit позволяет создать копию Internet Explorer, настроенную под специфические нужды конкретной организации.
Установка Internet Explorer как отдельного компонента
Как мы отметили, Internet Explorer 8 содержит гибкие опции по настройке и развертыванию: ИТ-специалисты и администраторы могут применять для развертывания браузера как копию, загруженную непосредственно с сайта Microsoft, так и копию, настроенную под специфические нужды компании с помощью Internet Explorer Administration Kit. В последнем случае создается пакет, включающий Internet Explorer и средство установки на базе технологии MSI. Используя Internet Explorer Administration Kit, ИТ-специалисты и администраторы могут выбрать одну из следующих опций установки браузера:
- полный пакет (Internet Explorer 8 + настройки + MSI-установщик);
- пакет, включающий только настройки (настройки + MSI-установщик);
- пакет для распространения на CD-ROM (CD auto-run + Internet Explorer 8 + настройки).
Такой набор опций позволяет реализовать большинство сценариев развертывания Internet Explorer 8 в компаниях.
Установка в режиме Slipstream
Режим Slipstream позволяет встраивать копию Internet Explorer 8 в состав образов операционной системы для ее последующего массового развертывания в компаниях. Подготовка образов операционной системы Windows XP со встроенным браузером Internet Explorer 7 часто занимает несколько часов — данный процесс требует создания машины с образом операционной системы, установки Internet Explorer 7, установки необходимых обновлений и последующего создания на основе всех изменений нового образа операционной системы.
Встраивание Internet Explorer 8 непосредственно в образ операционной системы позволяет существенно сократить время на подготовку обновленного образа и требует выполнения нескольких простых команд. ИТ-специалисты и администраторы также могут встраивать в образы операционной системы пакеты обновлений браузера и языковые дополнения для локализации браузера. Настройки для «Избранного», подключенные RSS-потоки, вебускорители, вебфрагменты и расширения поисковых механизмов также могут быть включены в новый образ через файл unattended.xml. Когда Internet Explorer 8 развертывается таким образом, он представляет собой часть операционной системы Windows и пользователи не могут удалить его со своих компьютеров — так достигается единообразие и доступных пользователям средств для работы, и пользовательских настроек и настроек безопасности.
В состав Internet Explorer Administration Kit входят все необходимые средства как для обеспечения встраивания Internet Explorer 8 в образ операционной системы, так и для обеспечения режима установки, не требующей вмешательства пользователей (unattended install). Такая установка базируется на методе установки, который называется Component-Based Servicing (CBS), и поддерживается как для клиентской операционной системы — Microsoft Windows Vista, так и для серверной — Microsoft Windows Server 2008.
Более подробную информацию о различных вариантах настройки Internet Explorer 8 для включения в образ операционной системы и детальное описание настроек на уровне файла unattended.xml можно найти в документе «Techniques for Preinstalling Windows Internet Explorer 8», доступном для загрузки на сайте Microsoft по адресу: http://www.microsoft.com/DownLoads/details.aspx?familyid=728AB2C8-8000-4888-8F62-340223D01FE0&displaylang=en.
Использование Internet Explorer Administration Kit
Расширенный, по сравнению с предыдущими версиями, набор средств для административной настройки Internet Explorer — Internet Explorer Administration Kit (IEAK) — позволяет ИТ-специалистам и администраторам создавать версии браузера, настроенные под конкретные задачи организации и, как мы показали выше, распространять их по всей инфраструктуре компании одним из наиболее подходящих способов: полный пакет, только дополнительные настройки или версия браузера на носителе CD-ROM. Отметим, что настройки, созданные срествами IEAK, могут быть развернуты уже поверх установленных у пользователей версий Internet Explorer — полной переустановки браузера не требуется. Примерами дополнительных настроек, которые могут быть созданы средствами IEAK, могут служить изменение поисковых механизмов, доступных по умолчанию, добавление «домашних» страниц, установка дополнительных компонентов, таких как полосы задач и компоненты ActiveX, а также подключение RSS-потоков, вебускорителей и вебфрагментов.
Существуют три версии лицензирования Internet Explorer Administration Kit: для компаний, предоставляющих услуги Independent Content Provider или услуги Independent Service Provider, а также корпоративная лицензия. Такой гибкий подход к лицензированию позволяет применять инструменты настройки, входящие в состав IEAK, как компаниям, создающим собственные вебсайты и порталы, так и поставщикам услуг. Примером использования Internet Explorer Administration Kit для создания специально настроенной версии Internet Explorer 8 является портал Mail.ru, который позволяет загрузить версию браузера, содержащую встроенные сервисы, реализуемые порталом Mail.ru (рис. 1).
Рис. 1. Загрузка специализированной версии браузера с портала Mail.ru
Создание специализированной версии браузера с помощью Internet Explorer Administration Kit состоит из следующих основных шагов:
- определение требований на уровне версии операционной системы. Сюда входит определение соответствия аппаратных и программных требований требованиям Internet Explorer 8 и IEAK, а также соответствие уровня шифрования ключевым требованиям безопасности;
- выбор способа распространения браузера — на носителе CD-ROM или через сетевые ресурсы;
- сбор адресов для «домашней» страницы, механизмов поиска, используемых по умолчанию, страниц с адресами служб поддержки и т.п.;
- определение, будет ли включен профиль Connection Manager (позволяющий облегчить настройку доступа к Интернету) в состав распространяемого пакета. Если создание профиля Connection Manager необходимо, следует загрузить специальное средство — Connection Manager Administration Kit (CMAK).
В зависимости от типа лицензии в состав распространяемого пакета Internet Explorer 8 могут быть включены допонительные компоненты. Тип лицензии выбирается при установке IEAK (рис. 2).
Рис. 2. Выбор типа лицензии в IEAK
После установки и запуска Internet Explorer Administration Kit мы попадаем в экран, где требуется указать, где будут находиться наши настройки после завершения работы с пакетом. По умолчанию предлагается каталог \builds\ и подкаталог, имя которого представляет собой дату запуска IEAK в формате ДДММГГ.
В нашем случае в качестве примера выберем каталог c:\IE8_IEAK\1.0\ (рис. 3).
Рис. 3. Работа с IEAK. Шаг 1
Далее нам необходимо указать платформу, для которой мы создаем пакет установки. Для выбора доступны следующие версии операционных систем (рис. 4):
- Windows XP SP2 (платформа x86);
- Windows XP SP3 (платформа x86);
- Windows Server 2003 SP2 (платформа x86);
- Windows Vista (платформа x86);
- Windows Vista SP1 (платформа x86);
- Windows Server 2008 (платформа x86);
- Windows XP SP2/Windows Server 2003 XP2 (платформа x64);
- Windows Server 2003 XP2 (платформа x64);
- Windows Vista (платформа x64);
- Windows Vista SP1 (платформа x64);
- Windows Server 2008 (платформа x64).
Рис. 4. Работа с IEAK. Шаг 2
Следущий шаг — это выбор языка интерфейса веббраузера и способа распространения наших настроек: CD-ROM, файл или только набор расширений в тех случаях, когда Internet Explorer 8 уже установлен (рис. 5).
Рис. 5. Работа с IEAK. Шаг 3
После выбора способа распространения браузера мы переходим к непосредственной настройке Internet Explorer 8. На экране Feature Selection мы можем выбрать те компоненты, которые потребуют изменения в настройках (их нужно включить на данном экране, рис. 6).
Рис. 6. Работа с IEAK. Шаг 4
Возможен выбор следующих компонентов браузера:
- настройки процесса установки;
- корпоративные установки;
- включение профиля Connection Manager;
- настройка интерфейса браузера;
- подключение расширений механизмов поиска;
- задание адресов «домашней» страницы и страницы технической поддержки;
- подключение вебрасширений;
- задание содержимого списка «Избранное» и RSS-потоков;
- задание дополнительных опций;
- управлением режимом совместимости.
После выбора опций, которые мы будем изменять, IEAK производит синхронизацию файлов, которые требуются для установки Internet Explorer 8 и расположены на локальном компьютере с файлами, доступными для загрузки с сайта Microsoft. Это необходимо для того, чтобы обеспечить развертывание самой актуальной версии браузера (рис. 7).
Рис. 7. Работа с IEAK. Шаг 5
В нашем примере была выбрана настройка интерфейса браузера, поэтому после синхронизации мы увидим экран Browser User Interface, который содержит опции, возможные для изменения в этой группе настроек (рис. 8).
Рис. 8. Работа с IEAK. Шаг 6
После внесения всех изменений и нажатия кнопки Далее IEAK приступает к созданию установочного пакета, который будет сохранен в каталоге, указанном в начале работы с IEAK. После того как пакет будет создан, его можно использовать для развертывания Internet Explorer 8. На этом работа IEAK завершается.
Версию Internet Explorer Administration Kit для Internet Explorer 8 можно загрузить с сайта по адресу: http://go.microsoft.com/fwlink/?LinkID=125721.
Развертывание браузера и совместимость приложений
При включенной опции Windows Update пользователи получают и устанавливают на свой компьютер Internet Explorer 8 в рамках обновлений для текущей версии операционной системы. В ряде случаев, особенно когда корпоративные вебприложения и сайты не до конца проверены на полную совместимость с новой версией браузера, установка Internet Explorer 8 может привести к проблемам с работой с некоторыми приложениями и сайтами. Несмотря на то что пользователи могут использовать рассмотренный выше режим совместимости для работы с такими приложениями и сайтами, а разработки — включить в состав HTML-страниц соответствующие META-тэги или указать режим совместимости на уровне вебсервера (эти вопросы обсуждаются в разделе для разработчиков), лучше запретить автоматическую установку Internet Explorer 8 до решения всех проблем совместимости с корпоративными вебприложениями и сайтами. Для этого можно либо применить специальную утилиту, доступную на сайте по адресу: http://www.microsoft.com/downloads/details.aspx?FamilyID=21687628-5806-4ba6-9e4e-8e224ec6dd8c&displaylang=en, либо воспроизвести действия этой утилиты самостоятельно.
Утилита состоит из двух компонентов: сценария для изменения специального ключа браузера и шаблона групповой политики. Оба компонента выполняют одинаковые действия, и их использование зависит только от того, выполняются ли они на локальном компьютере или воздействуют на всю инфраструктуру через подсистему групповых политик.
Ключ реестра располагается в ветви HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Setup\8.0 и содержит переменную DoNotAllowIE80, которая может иметь одно из двух значений:
- 0 — блокировка установки Internet Explorer 8 выключена;
- 1 — блокировка установки Internet Explorer 8 включена.
Соответственно необходимо установить значение этой переменной равным 1 для того, чтобы пользователи не могли установить Internet Explorer 8 либо в рамках обновлений операционной системы, либо самостоятельно, а затем, после решения всех вопросов совместимости с браузером, установить значение этой переменной равным 0. После этого можно либо оставить установку Internet Explorer 8 на усмотрение пользователей, либо произвести ее централизованно одним из описанных нами способов.
В следующей статье данного цикла мы обсудим настройки механизмов безопасности, а также управление браузером через систему групповых политик.