¿Cómo administra Java en su entorno Windows / Active Directory?

Como supongo que mucha gente, tenemos un entorno de Windows / Active Directory y una gran cantidad de aplicaciones internas de línea de negocios que requieren Java. Nuestra experiencia es que Java no juega bien en un entorno de red tan corporativo. La instalación inicial está bien (al menos hay un MSI en estos días), pero mantener las cosas funcionando puede ser todo un desafío.

Los problemas específicos que encontramos incluyen:

• Java tiene su propio actualizador, por lo que no está vinculado a nuestros sistemas internos de administración de parches.
• La falta de herramientas para la gestión de la configuración de Java a través de GPO.
• El requisito para que los usuarios configuren manualmente ciertas configuraciones.
• Múltiples tiempos de ejecución de Java en cada máquina (Oracle Jinitiator es un culpable particular aquí).
• Archivos de configuración críticos almacenados en la carpeta Archivos de programa.

con nosotros es principalmente un lote de secuencias de comandos de inicio de sesión y soluciones extravagantes, pero estoy interesado en escuchar cómo otras personas manejan estos elementos, y si hay otras cosas que hay que tener en cuenta aquí.

Para hablar de cada una de sus preocupaciones:

He estado implementando versiones de entorno de tiempo de ejecución de Java durante algunos años como asignaciones de instalación de software de Group Policy. Desactivo la funcionalidad del actualizador como una transformación al MSI e implemento actualizaciones, según sea necesario, a través de actualizaciones obligatorias. Si las máquinas necesitan mantener un JRE anterior (porque algunas aplicaciones lo requieren), utilizo grupos de seguridad para evitar que las máquinas reciban actualizaciones más recientes. (Afortunadamente, no he tenido que hacer esto con frecuencia).

Construyo transformaciones al MSI de Sun usando la herramienta Orca de Microsoft. Puede ser bueno tener una herramienta como el "Asistente de personalización" de Adobe, pero puedo hacer todo lo que necesito con Orca.

No he tenido la oportunidad de que los usuarios "configuren manualmente ciertas configuraciones", pero lo manejaría de dos maneras. Si se trata de que algunos usuarios necesiten algunas configuraciones que sean diferentes a la "norma", desplegaría una "preferencia" de la Política de grupo para establecer esa configuración (suponiendo que esté en la parte del registro del usuario), o una Plantilla administrativa para cambiar la configuración (suponiendo que esté en la parte de la computadora del registro). Si se requiere que el usuario pueda cambiar la configuración a pedido, alteraría de mala gana los permisos en el registro para permitir que el usuario (realmente, un grupo de seguridad que lo contenga) lo haga. A regañadientes.

Si una aplicación requiere su propio JRE, podría vincular la instalación de ese JRE con el script / GPO que implementa la aplicación y tratar a los dos como una unidad. Esa es la forma más simple en que puedo pensar para lidiar con eso.

Me está costando recordar qué configuraciones se encuentran en "Archivos de programa", pero de mala gana otorgo permiso a un grupo de seguridad que contiene cuentas de usuario que necesitan modificar estas configuraciones, si fuera necesario. Probablemente también sostenga mi cabeza en mis manos y maldiga a Sun.

Hasta que Sun actúe en conjunto: implementación empresarial y administración del JRE, creo que es probable que todos tengamos soluciones extravagantes para enfrentarlo. Es frustrante, pero tristemente típico. Parece que la gran mayoría de los desarrolladores no tienen idea de lo que es hacer un trabajo de administrador de sistemas. <suspiro>

De hecho, hemos tenido que lidiar con muchas aplicaciones de terceros (incluido Java) y sus actualizadores también.

Como organización, decidimos integrar Ninite como nuestra solución. Visitar el sitio y ejecutar la versión gratuita funciona muy bien para una configuración única en cualquier PC, pero, cuando se convierte en Pro en ninite, también obtiene Ninite One como parte de su suscripción. Ninite one es algo que puede ejecutar desde la línea de comandos, en silencio, para implementar una buena cantidad de aplicaciones.

Con mucho gusto revelaré que todos somos PC, pero en general estamos muy contentos con la solución.

Ninite One tiene interruptores de línea de comandos para deshabilitar cosas como actualizaciones automáticas y crear accesos directos de escritorio en las actualizaciones. Eso es lo que hemos hecho y funciona bastante bien. Sin embargo, no permite múltiples versiones de Java si ese es un requisito que no creo (pero podría estar equivocado, simplemente no lo he probado)

Tengo una solución para usted, aunque es una solución comercial, pero puede usar PolicyPak para crear un GPO que gestionará casi todas las configuraciones dentro de Java. Tienen un modo de prueba y ediciones en modo comunitario para probarlo o usarlo en una capacidad limitada de forma gratuita. PolicyPak se integra con la Política de grupo de Windows y le permite administrar y bloquear los ajustes de configuración de la aplicación para aplicaciones de terceros como Java, incluso con mayor eficacia que la Política de grupo estándar que bloquea los diversos aspectos de Windows. El enlace a su Java Pak está aquí http://www.policypak.com/products/manage-java-jre-with-group-policy.html y el enlace a las ediciones gratuitas está aquí http: //www.policypak. com / support-sharing / policypak-trial-community-edition-full-License-modes.html .

Brad (empleado de PolicyPak)