Microsoft Desktop Optimization Pack
MDOP工具包應用指引
文／圖 顧武雄．責任編輯／何信達

凡是Microsoft的SA（Software Assurance）合約客戶，便可以合法下載與使用最新的MDOP R2工具包。這裡頭提供IT人員許多實用的維運工具，包括了系統診斷修復工具、群組原則進階管理工具、線上資產清點服務、應用程式虛擬化部署工具、桌面錯誤監視工具。

---

在企業的IT維運當中，針對龐大的用戶端電腦維護的工作，通常所要面臨的問題是最多最雜的，雖然比起伺服端系統的維護或網路的管理來說，並不會有太多的緊急應變事件需要立即性的排除，但是若專責的IT人員沒有一套完善的維護管理工具，那麼在平日的維護工作負擔上肯定會相當吃緊的。
有鑑於此，在Microsoft併購了Softricity、DesktopStandard、AssetMetrix、Winternals Software，以及Kirado等軟體廠商之後，便陸續將這些廠商的各種實用的軟體技術，整合成一套桌面最佳化工具組（Microsoft Desktop Optimization Pack，簡稱MDOP），提供絕佳的應用程式虛擬化及多種系統管理工具，並納入軟體保證（Software Asurance，SA）的範圍中，協助企業IT在用戶端電腦的維護管理成本大幅降低。
如今MDOP最新的版本為MDOP R2，如圖1所示在此工具組裡頭同樣提供了最新版本的Application Virtualization for Desktop 4.5、Diagnostics and Recovery Toolset 5.0與6.0、Asset Inventory Service、Advanced Group Policy Management 2.5與3.0、System Center Desktop Error Monitor 3.0 SP1。

圖1 MDOP R2 安裝主選單。

在接下了內容中，筆者要特別針對MDOP R2裡頭的三項最實用工具的操作來講解，分別是系統診斷修復工具組（Diagnostics and Recovery Toolset）、群組原則進階管理工具（Advanced Group Policy Management）、應用程式虛擬化部署工具（Application Virtualization for Desktop）。

1.Diagnostics and Recovery Toolset
系統診斷修復工具組（簡稱DaRT）主要提供了系統損毀分析精靈（Crash Analyzer Wizard）、可製作修復開機工具組的光碟精靈（簡稱ERD Commander）以及提供檔案還原工具（File Restore）。【註：Diagnostics and Recovery Toolset工具組的原軟體開發商為Winternals Software】
針對這項工具組的使用，我們一定會優先去使用的就是透過ERD Commander去建立兩種不同版本的開機修復光碟，分別可針對Windows XP與Windows Server 2003診斷修復的開機片（需安裝DaRT 5.0），以即可針對Windows Vista與Windows Server 2008診斷修復的開機片（需安裝DaRT 6.0），有了這兩種開機片對於負責維護用戶端電腦的IT人員來說將會相當受用。
在ERD Commander所建立的修復開機片中，含括了三種類別的工具：系統管理員工具、網路工具、系統工具。透過它將可以進行多種不同的修復、診斷以及資料復原工具來解決用戶端與伺服器作業系統上的各種疑難雜症，例如使用者誤刪了硬碟中的重要檔案、IT人員忘記了本機管理員的密碼等等。

安裝說明
在Diagnostics and Recovery Toolset 5.0&6.0的安裝頁面中，你可以根據需求點選安裝DaRT 5.0或DaRT 6.0。其中在DaRT 6.0的部份又有分成32位元版本以及64位元版本。整個安裝過程首先可以選擇典型安裝、自訂安裝以及完整安裝，在此建議你選擇完整安裝即可。完成安裝之後，將可以在[開始]\[所有程式]\[Microsoft Diagnostics and Recovery Toolset]程式集。

使用說明
接下來我們可以點選[ERD Commander Boot Media Wizard]來建立修復開機片ERD Commander。以DaRT 6.0來說執行後首先在[Select Boot Image]的頁面中，會要求我們放入並指定Windows Vista安裝光碟的路徑。接著在[Tool Selection]的頁面中你可以決定要放入這片開機修復光碟的工具程式項目，建議你全部都將它選取進來。
接著在[Crash Analyzer Wizard]的頁面中，已安裝Microsoft Debugging Tool for Windows的程式路徑（通常是沒有安裝的），請點選瀏覽按鈕去選取正確的路徑，如還沒有安裝也沒有關係，只要點選這個頁面中的超連結就可以去到官方的網站來下載安裝了。
接著在[Standalone System Sweeper Definition Download]頁面中，建議請選擇預設的設定來下載最新版本的Windows Defender定義檔，後續才可以透過這個開機片來找出可能的惡意程式。接著在[Additional Drivers]頁面中，可以選擇性加入其它需要的裝置驅動程式。
接著在[Create Startup Image]頁面中，請點選[Browse]來設定所要產生的開機片ISO檔案的儲存位置。最後在[Burn to a recordable CD]頁面中，你可以選擇是否要立即燒錄此ISO檔案至支援的本機光碟機中。
完成了ERD Commander修復開機光碟片的製作之後，接下來我們可以嘗試拿它來開機試試看。開機過程中會列出目前本機電腦中所有的作業系統，然後你可以選取所要進行修復的作業系統，選取之後將會來到如圖2所示的頁面。

圖2 系統修復選項。

看到了這個開機頁面選單，可能很多人會想說這不就是Windows Vista的開機系統修復選項嗎？只不過在最下方多了一個[Microsoft Diagnostics and Recovery Toolset]連結。沒錯請點選它來進入MSDaDT的工具選單吧。
如圖3所示在MSDaDT的工具選單中，共有13項可用的系統修復與還原工具（不包含Solution Wizard）。關於每一個工具的用途說明請參考表1即可。

圖3 MSDaRT開機工具組。




接下來讓我們來看看幾個工具使用的操作範例。首先如果你是第一次使用此開機片，萬一不知道應該選擇哪一個工具項目來解決眼前的問題，那麼便可以點選[Solution Wizard]項目，這時候將會開啟如圖4所示的[Solution Options]頁面，在此你可以選擇目前所要處理的問題類型，例如系統目前無法正常開機或是需要救回誤刪的檔案資料等等。選擇後在結果頁面中將告訴你與自動開啟相對應需求的工具程式。

圖4 解決方案精靈。

接下來讓我們看看檔案誤刪的還原工具（File Restore）的使用。如圖5所示你可以在這個[File Restore]頁面中，針對所要嘗試救回的檔案輸入關鍵字以及日期範圍、檔案大小等資訊，或是乾脆都不要設定任何條件，而直接搜尋指定磁碟代號中的所有已刪除的資料。

圖5 救回誤刪的檔案。

想一想File Restore真的可幫我們救回所有誤刪的檔案嗎？也就是已經從資源回收桶所清理掉的資料。事實上關鍵在於磁碟區中的資料是否已經異動，也就是說如果你是一發現誤刪了檔案，就趕緊透過此工具來搜尋，那麼通常是一定可以救回來的，但是如果已經是過了幾天後的事，並且磁區中的資料也陸續也新增與刪除其它資料的動作了，那麼再透過此工具的使用也都將是回天乏術了。
接下來如果你有Windows用戶端電腦或伺服器，因為安裝了某一支更新程式而導致無法正常開機，則可以在MSDaRT開機工具組的頁面中點選[Hotfix Uninstall]工具，然後便可以開啟如圖6所示的頁面來選取所要移除的修正程式。
請注意！如果在正常可開機的狀態下移除了不應該移除的修正程式，反而可能造成無法正常開機或系統運作不正常。

圖6 移除特定的修正程式。

對於許多系統管理員經常會犯的一個問題，那就是永遠牢記網域系統管理員的密碼，但是卻忘記本機系統管理員的密碼，以至於在系統退出網域之後無法以Administrator身份登入本機電腦，這時候便可以透過點選MSDaRT開機工具組頁面中的[Locksmith]工具，來開啟如圖7所示的設定頁面，如此一來你便可以重新設定新的本機系統管理員密碼了。
請注意！你是無法透過[Locksmith]工具在網域控制站的主機上，來變更網域系統管理員帳戶的密碼。

圖7 變更系統管理員密碼。


2.Advanced Group Policy Management
AGPM（進階群組原則管理）是一個針對現有GMPC（群組原則管理組控台）所提供的延伸管理功能，因此連線的用戶端管理端必須先確認已經安裝了最新的GPMC管理介面。它提供了以角色為基礎的委派配置功能、群組原則物件的版本管理功能、防範誤刪的資源回收桶功能、群組原則異動管理的審核功能。以上這一些安全管理機制的增強，無非是要讓網域的系統管理員對於整個組織的Active Directory群組原則，在管制上更加安全可靠，避免可能的錯誤設定發生，或是在發現錯誤時能夠有更快的反應機制。
請注意！在Windows Server 2008網域控制站的預設安裝中，已經自動安裝了GPMC管理工具。

安裝說明
首先在AGPM的安裝主選單中，你除了可以選擇安裝2.5（for Windows Vista與Windows Server 2003）的版本還是3.0的版本（or Windows Vista SP1與Windows Server 2008）之外，還可以選擇安裝32位元或64位元的版本。
在伺服端程式安裝過程中必須分別完成設定程式安裝路徑、資料的封存路徑、AGPM服務的啟動帳戶、指定封存擁有者的使用者帳戶、連接的通訊埠號碼（預設4600）以及所要使用的語言。接下來便需要安裝用戶端的AGPM程式，在安裝過程中同樣必須設定程式安裝路徑、AGPM伺服端的位址，以及如圖8所示設定AGPM管理介面所要使用的語言。

圖8 多國語言的安裝設定。


AGPM工具使用說明
一旦完成了AGPM工具元件的安裝，那麼在你的GPMC管理介面中便會出現一個新的[變更控制]的功能項目節點。如圖9所示對於現有的群組原則物件，如果要進行編輯，便需要先針對該物件按下滑鼠右鍵點選[取出]。等到完成修改之後再從[未控制]的頁面來設定為存回，如此一來便會產生一個新的版本記錄。

圖9 取出群組原則物件。

在群組原則物件的管理中，如果你誤刪了某一個物件怎麼辦呢？很簡單，你只要在如圖10所示的[資源回收桶]頁面中針對所要還原的項目，按下滑鼠右鍵點選[還原]即可。相反的如果打算永久性刪除，則可以點選[損毀]即可徹底清除。

圖10 復原刪除的群組原則物件。

由於在AGPM的群組原則管理中，有一項核准發佈的機制，因此若想要使用此功能便需要預先配置好[網域委派]的使用者權限設定，以及相關的Email位址與SMTP主機的連線組態設定。如圖11所示在這個頁面中，如果你打算加入新的委派成員，請點選[新增]按鈕來針對所選取的網域使用者，來賦予完全控制、檢閱者、編輯者或適核准者的權限。

圖11 權限委派設定。

完成設定之後，後續只要任何擁有編輯者權限的使用者打算編輯或發佈新的群組原則物件，那麼指定的系統管理員便會收到如圖12所示的Email訊息通知，來決定是否要進行核准或拒絕等動作。

圖12 群組物件異動管理核准。

接下來系統管理員便可以到GPMC的[變更控制]頁面中，如圖13所示針對在[擱置]頁面中的群組原則物件項目按下滑鼠右鍵點選[核准]或是[拒絕]即可。

圖13 管理擱置中的群組原則物件。


3.Application Virtualization for Desktop
Application Virtualization（前一個版本稱之為SoftGrid Application Virtualization，簡稱SoftGrid）的前身核心是一家名為Softricity的公司所發展，後來被Microsoft所併購並且在此工具整個重新設計過後，包含在MDOP的工具包中。主要用來解決用戶端軟體大量部署與相容性的問題，其採用的是應用程式虛擬化部署技術，和一般我們觀念中的軟體大量部署架構截然不同。
Application Virtualization採用了動態資料流軟體技術來作為中央管理服務，可透過以網域使用者群組的配置方式來分別用戶端使用者所能夠執行的應用程式有哪一些，例如讓Office 2003的群組成員無法看見與執行Office 2007群組的應用程式，當然也可以讓使用者同時屬於Office 2003與Office 2007的群組成員，如此一來在這位使用者登入之後，在無需安裝的情況下便可以同時看見與執行由Application Virtualization所派送下來的Office 2003與Office應用程式，像這樣能夠同時執行相同的應用程式但是不同版本的能力，在傳統以標準安裝方式在本機電腦上的做法是絕對辦不到的。
相反的如果不想讓使用者繼續使用某一些已派送下去的虛擬化應用程式時，只要將這一些使用者從群組移除即可。最重要的是即便使用者沒有重新開機，只要虛擬化用戶端程式重整時間一到時，該虛擬化應用成便會自動從使用者的用戶端桌面及程式集中消失了。
整體來看Application Virtualization所提供的應用程式虛擬化部署的機制，可以為企業IT帶來四項立即可見的效益：降低IT部門對於應用程式管理成本、方便使用者從任何地方存取應用程式、解決應用程式相容性問題與測試、減少IT部門對於用戶端使用者的支援成本。
【Terminal Services與Application Virtualization運作上的差異性】
無論是Terminal Services或是Application Virtualization的建置都可以提供企業IT服務虛擬化的應用，雖然兩者都有集中控管的機制，但是在Terminal Services的架構環境中，用戶端連線後所執行的系統負載是在終端機伺服器上，因此當面對大量的終端機服務用戶端的連線需求時，可以考慮建置網路負載平衡（NLB）的機制。
至於Application Virtualization由於是將各別的虛擬應用程式個體暫存在用戶端的快取區域中，因此執行後的系統負載會是用戶端電腦本身。

Application Virtualization運作架構
有關於整個新版的Application Virtualization 4.5（簡稱App-v）虛擬應用程式運作的架構，主要是由Application Virtualization管理系統、Application Virtualization用戶端以及Application Virtualization Sequencer、Application Virtualization Streaming Server所組合而成。以下讓我們來看看有關這四項項元件的用途說明。
1.Application Virtualization Management System
整個Application Virtualization管理系統包括了Application Virtualization管理主控台與管理網站服務（Web Service）。系統管理員可以開啟以MMC 3.0為介面的管理主控台，去控管網域中所有System Center的虛擬應用程式伺服器，透過此管理主控台可以去新增和移除所要部署的虛擬應用程式、變更檔案類型的關聯性設定、使用者群組的存取權限等等，而這裡所提到的Application Virtualization管理網站服務用途，則是用來處理Application Virtualization管理主控台與後端Application Virtualization的SQL資料庫之間的通訊。
‧系統需求：Windows Server 2008 (32-bit或64-bit)、IIS 7.0、Microsoft .NET Framework 2.0、Microsoft SQL Server 2005 Express Edition（正式環境建議使用標準版SQL Server 2005）。
請注意！有關於這部伺服器的電腦名稱開頭請勿以數字來命名。
2.Application Virtualization Client
Application Virtualization有專屬的用戶端程式安裝在相容的用戶端作業系統上，透過此常駐程式將可以自動把已經在Application Virtualization伺服器上所啟用的虛擬應用程式，配置好所需要的虛擬作業環境，以及將虛擬應用程式發佈到授權使用者的桌面中，此外Application Virtualization用戶端程式還會儲存有關於針對不同使用者的虛擬應用程式設定，例如他們各自的登錄檔設定以及檔案的變更等等。
‧系統需求：Windows Vista商用版、企業版、旗艦版。
3.Application Virtualization Sequencer
Application Virtualization Sequencer是一個以精靈設定方式為主的管理工具，系統管理員可以透過它來建立Application Virtualization所要發佈的虛擬應用程式，而它主要用以進行虛擬應用程式的封裝，而整個封裝的內容物包括了一個已啟用Application Virtualization的應用程式檔案（.sft）、一個或多個的開放式軟體描述檔（.osd）、一個或多個的應用程式小圖示檔案（.ico）、一個Soft計劃檔（.sprj）。以上這一些檔案都是儲存在Application Virtualization的虛擬應用程式伺服器上，而這一些檔案也是決定Application Virtualization用戶端是否能夠正常使用該虛擬應用程式的重要關鍵。
‧系統需求：與Application Virtualization Client完全一樣。需要預先建立一個實體的Q磁碟機代號的磁碟。
4.Microsoft System Center Application Virtualization Streaming Server
Streaming Server主要提供虛擬應用程式封裝上的主動式升級管理功能，不需要Active Directory以及SQL Server。無論如何它並沒有一個桌面設定服務、授權或計量功能。這個服務相依在針對虛擬應用程式服務所手動撰寫的Script檔案上。Application Virtualization Management System上的桌面設定服務可以同樣結合Streaming Server來使用，以便於由管理伺服器來設定應用程式，而資料的傳送則是由Streaming Server來完成。
‧系統需求：Windows Server 2008 (32-bit或64-bit)、應用程式虛擬管理主控台只能安裝在32bit的作業系統上。

App-v系統安裝說明
在Application Virtualization管理伺服器的安裝部份，在安裝過程中可以自訂選擇只安App-v裝管理主控台在管理用戶端的電腦上，或是連同App-v的服務一併安裝在伺服端主機上。在設定過程必須分別設定連線的SQL Server主機以及如圖14所示建立專屬的資料庫，在連線部分如果要以加密方式來進行通訊，則還必須設定指定的本機電腦憑證。
在與用戶端電腦的連線設定部份，則必須設定連線的通訊埠（預設採用TCP 554）。接著在安全管理部份則必須指定用來負責管理，以及預設使用的網域使用者群組。最後還必須設定用來儲存部署虛擬應用程式的路徑。

圖14 安裝管理伺服器資料庫設定。

接著在Streaming Server的安裝設定部份，過程中除了必須設定安裝路徑、App-v伺服器連接的通訊埠以及存放部署應用程式內容的根路徑之外，在進階設定部份如圖15所示還可以設定諸如用戶端連線的上限、連線逾時、快取大小的設定等等。

圖15 安裝Streaming伺服器進階設定。

至於在Sequencer主機的安裝只要在Microsoft Application Virtualization v4.5的安裝主選單，請點選[Install System Center Virtual Application Sequencer 4.5 Server]連結即可開始安裝，整個安裝過程僅需要設定程式的安裝路徑即可。

應用程式部署使用說明
完成了Application Virtualization相關元件的部署之後。接下來我們可以來實作一個虛擬應用程式的部署至用戶端電腦，在此筆者以許多使用者常用的WinZIP壓縮程式來作為部署的範例講解，因此請務必預先準備WinZIP的安裝來源程式。
首先請開啟[Microsoft Application Virtualization Sequencer]管理介面。然後在檔案的下拉選單中點選[新增封裝]，接著必須設定[封裝名稱]，然後在下一步的頁面中點選[開始監視]按鈕，並且設定安裝程式的存放路徑。接著你便可以在這時候點選執行WinZIP安裝程式並且完成安裝，在此必須特別注意的是安裝時的設定路徑，必須指向Q磁碟下預先建立好的資料夾。
完成WinZIP程式的安裝之後請點選[停止監視]按鈕並且點選[下一步]。接著來到[設定應用程式]的頁面中，你可以對於所要部署的WinZIP各項細部程式與檔案設定進行屬性編輯或是進行新增刪除動作。
接著在[下一步]的[啟動應用程式]頁面中，則可以選取WinZIP的主程式項目然後點選[啟動]按鈕，在此應用程式開啟之後可以預先完成所有想完成的一致化[選項]設定，如此一來之後所部署下去的WinZIP程式，便會根據這一些設定來作為預設值。完成以上精靈工具的設定之後，將會來到擁有多重組態設定的頁面，請切換到[部署]的頁面中來分別設定連線使用的RSTP通訊協定、主機名稱、連接埠以及設定可使用此WinZIP虛擬應用程式的作業系統清單。
完成以上這一些設定之後便可以進行存檔，請將這個SPRJ的檔案與存放安裝程式的路徑暫時存放在相同的資料夾中。完成設定檔案的儲存之後，便需要開啟這個路徑的資料夾中，來將除了VFS與SoftGridUserSettings兩個資料夾以外的檔案複製到App-v預設安裝路徑中的Content資料夾，並且將這個資料夾設定為共用以及允許使用者來連線讀取。
接下來請開啟Application Virtualization Management管理介面，然後在[應用程式] 節點上按下滑鼠右鍵點選[新增應用程式群組]，來為這個WinZIP部署設定一個群組名稱。接著請點選至所新建立的應用程式群組節點上，按滑鼠右鍵點選[匯入應用程式]，然後選擇以瀏覽網路芳鄰的方式開啟位在Content共用資料夾中的SPRJ檔案，過程中你可以自行設定當應用程式發佈至使用者桌面的位置，如圖16所示這包括了桌面、啟動工具列、開始功能表以及自訂的程式集資料夾等等，而在[存取權限]的頁面中則可以點選[新增]按鈕來加入能夠存取該虛擬應用程式的使用者群組。

圖16 匯入應用程式設定。

完成應用程式的匯入設定之後，你可能會需要開啟各別程式項目的內容頁面，來確認與設定OSD檔案與圖示檔案的路徑指向，因為如果這部份設定有問題那麼用戶端使用者肯定無法開啟這個虛擬應用程式。
完成以上發佈設定之後，你可以隨時在[Active Directory使用者及電腦]的介面中，來將使用者加入或移除這個虛擬應用程式在前面設定中所賦予存取權限的群組，只要使用者有權限那麼再開機登入網域之後，如圖17所示此虛擬應用程式的圖示捷徑便會出現在桌面或是指定的程式集功能表中，使用者在第一次點選執行時便會在桌面右下角看到載入速度很快的訊息提示，成功完成載入之後便可以開始使用此虛擬應用程式。

圖17 用戶端執行虛擬應用程式。

此外由於App-v用戶端會每隔一段時間（預設30分鐘，可以在伺服端統一設定）去檢查發佈給使用者的最新虛擬應用程式，因此即便使用者沒有重新開機登入網域，只要發現該使用者沒有每一項虛擬應用程式的權限時，這項虛擬應用程式的圖示捷徑便會自動從它的作業系統中消失，對於IT人員在管理上可以說是相當方便。

結論
在Windows應用程式虛擬化的實務上，Application Virtualization這一項技術確實可以解決掉大部份部署管理上的需求，而其它MDOP R2中的工具程式，像是AGPM與MDaRT診斷修復開機片，皆是可以協助IT人員解決平日群組原則管理以及用戶端問題排除非常的好用的工具，建議讀者們可以仔細的對它進行測試，相信你將會有更多新奇的發現。
【Application Virtualization官方技術文件下載網址】
http://technet.microsoft.com/en-us/appvirtualization/cc843994.aspx