Windows / Active Directory環境でJavaをどのように管理しますか?

16

多くの人が思うように、Windows / Active Directory環境と、Javaを必要とする多くの内部ビジネスアプリがあります。私たちの経験では、このような企業ネットワーク環境ではJavaはうまく機能しません。最初のインストールは問題ありません(少なくとも最近ではMSIがあります)が、物事を刻み続けることは非常に難しい場合があります。

発生する特定の問題は次のとおりです。

  • Javaには独自のアップデーターがあるため、内部のパッチ管理システムとは連携しません。
  • GPOを介したJava設定の管理用のツールの欠如。
  • ユーザーが特定の設定を手動で構成するための要件。
  • 各マシン上の複数のJavaランタイム(ここではOracle Jinitiatorが特定の犯人です)。
  • Program Filesフォルダーに保存されている重要な設定ファイル。

私たちにとっては、ほとんどがログオンスクリプトとハッキングの回避策のバッチですが、他の人がこれらのアイテムをどのように処理しているか、そしてここで注意する必要があるものがあるかどうかを聞いてみたいです。

windows  active-directory  java  group-policy 
マキシマスミニマス
ソース

回答:

11

各懸念事項に対応するには:

グループポリシーからのソフトウェアインストールの割り当てとして、数年前からJavaランタイム環境のリリースを展開しています。MSIへの変換としてアップデーター機能を無効にし、必要に応じて、必須のアップグレードを通じて更新を展開します。マシンが古いJREを保持する必要がある場合(アプリケーションによってはそれが必要になるため)、セキュリティグループを使用して、マシンが新しいアップグレードを受信しないようにします。(幸いなことに、これを頻繁に行う必要はありませんでした。)

MicrosoftのOrcaツールを使用して、SunのMSIへの変換を作成します。Adobeの「カスタマイズウィザード」のようなツールがあればいいかもしれませんが、Orcaで必要なことは何でもできます。

ユーザーが「特定の設定を手動で構成する」機会はありませんでしたが、2つの方法のいずれかで処理します。一部のユーザーが「標準」とは異なる設定を必要とする場合は、グループポリシーの「設定」を展開してその設定を設定します(レジストリのユーザー部分にあると想定)、または管理用テンプレート設定を変更するには(レジストリのコンピューター部分にあると仮定して)。ユーザーが必要に応じて設定を変更できるようにする必要がある場合、ユーザー(実際にはユーザーを含むセキュリティグループ)が変更できるように、不承不承にレジストリのアクセス許可を変更します。いやいや。

アプリが独自のJREを必要とする場合、そのJREのインストールを、アプリケーションをデプロイするスクリプト/ GPOと結び付けて、2つを1つのユニットとして扱う傾向があります。それは私がそれに対処するために考えることができる最も簡単な方法です。

「Program Files」の下にどの設定が存在するか思い出すのに苦労していますが、必要に応じてこれらの設定を変更する必要があるユーザーアカウントを含むセキュリティグループに許可を許可します。私はおそらく頭を手に持って太陽を呪うでしょう。

Sunが彼らの行動を再統合するまで:JREのエンタープライズ展開と管理、私たち全員がそれに対処するためのハックな回避策を持っている可能性が高いと思います。イライラしますが、悲しいことに典型的です。大多数の開発者は、sysadminの作業をどうするかという概念を持っていないようです。<ため息>

エヴァン・アンダーソン
ソース
自動更新をオフにする方法を説明していただけますか?私はOrcaとWindows Installer変換のアイデアに精通しています。変換ファイルで変更する必要がある特定の設定はどこにありますか?
ジェイミショー
2
自動更新機能を停止するには、MSIを変換して、「プロパティ」テーブルの「JU」および「JAVAUPDATE」エントリを0に設定します。これにより、jusched.exeがログオン時に実行されなくなり、ユーザーが自動更新を構成できなくなります。
エヴァンアンダーソン
1

実際には、多くのサードパーティアプリケーション(javaを含む)とそれらのアップデーターにも対処する必要がありました。

Niniteをソリューションとして統合する組織として決定しました。サイトにアクセスして無料版を実行すると、どのPCでも1回限りのセットアップができますが、niniteでProを使用すると、サブスクリプションの一部としてNinite Oneも入手できます。Ninite 1は、コマンドラインから静かに実行して、多数のアプリケーションを展開できるものです。

私たちはすべてPCであることを喜んで開示しますが、全体として、このソリューションには本当に満足しています。

Ninite Oneには、自動更新や更新時のデスクトップショートカットの作成などを無効にするコマンドラインスイッチがあります。それが私たちがやったことであり、かなりうまく機能します。しかし、それが私が信じていない要件である場合、Javaの複数のバージョンを許可しません(しかし、私は間違っている可能性があります、私はそれをテストしていません)

ジェイソン
ソース
1

商業的に関連するソリューションですが、私はあなたのためのソリューションを持っていますが、PolicyPakを使用して、Java内のほぼすべての設定を管理するGPOを作成できます。トライアルモードとコミュニティモードのエディションがあり、試してみるか、限られた容量で無料で使用できます。PolicyPakはWindowsグループポリシーと統合され、標準グループポリシーがWindowsのさまざまな側面をロックダウンするよりも、Javaなどのサードパーティアプリケーションのアプリケーション構成設定をより効果的に管理およびロックダウンできます。Java Pakへのリンクは http://www.policypak.com/products/manage-java-jre-with-group-policy.htmlにあり、無料版へのリンクは http://www.policypakにあります。 COM /サポート共有/ policypakトライアル・コミュニティ・エディション完全にライセンス-modes.html

ブラッド(PolicyPakの従業員)

ブラッド
ソース
これは基本的に広告ですが、質問に答えるので、大丈夫だと思います。製品の使用方法を示した方が良いでしょう。
slm
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.