Windows 7

Windows 7. Первые 10 шагов

Билл Босвелл (Bill Boswell)

 

Краткий обзор

  • Знакомство с Windows 7
  • Изучение новых требований многопользовательской активации
  • Разработка плана
  • Изучение и внедрение новых распределенных возможностей безопасности
  • Виртуализация настольных систем и инфраструктуры
  • Лишение пользователей прав локальных администраторов

Оглавление

1. Познакомьтесь с Windows 7. Лично
2. Изучите Windows PowerShell
3. Продеритесь сквозь лицензирование
4. Сосредоточьтесь на стратегических улучшениях
5. Расширьте область развертывания
6. Подготовьтесь к распределенной безопасности
7. Виртуализируйте настольные системы
8. Оцените возможности, предназначенные для организаций
9. Подстрахуйтесь в сфере совместимости
10. Лишите пользователей прав локальных администраторов
Пожните плоды трудов своих

Изучая список новых возможностей и улучшений в Windows 7 (см. сравнительную схему на странице tinyurl.com/win7featuregrid), вы, наверное, не раз и не два задумывались о том, как бы использовать все эти новые возможности и технологии, чтобы, с одной стороны, внедрить их в своей среде, и, с другой стороны, не вызвать слишком больших простоев в работе пользователей.

10 шагов, описанных в данной статье, помогут вам в достижении этих целей.

1. Познакомьтесь с Windows 7. Лично

Как вы уже, наверное, догадались, первым шагом станет получение личного опыта. И под этим имеется ввиду нечто большее, чем просто изучение системы в тестовой среде. Установите ОС Windows 7 на каждую рабочую станцию организации (и на ваш домашний ПК тоже, для удаленного реагирования на инциденты поддержки). Все должно работать как часы. Заставьте себя разобраться в каждой проблеме.

Большинство инструментов, необходимых для управления серверами Windows из ОС Windows 7, включены в пакет средств удаленного администрирования сервера (RSAT) для Windows 7. Он загружается отдельно. На момент написания данной статьи окончательной версии пакета средств удаленного администрирования сервера еще нет. Версия-кандидат доступна на этой странице: tinyurl.com/win7rcrsat.

Не удивляйтесь, если средства удаленного администрирования сервера не появятся сразу же после собственной установки в папке «Администрирование». Средства удаленного администрирования сервера реализованы как компонент Windows; их потребуется включить с помощью оснастки «Программы и компоненты» панели управления. Пример показан на Рис. 1. По неизвестной причине каждый инструмент в этом пакете включается отдельно (я уверен, что у разработчиков были вполне логичные основания для реализации такого поведения). При этом родительские флажки не выбирают автоматически все свои дочерние компоненты.

boswell.fig1.rsattools.gif

Рис 1. Компоненты RSAT для Windows 7 (щелкните изображение, чтобы увеличить его)

Инструменты пакета средств удаленного администрирования сервера для Active Directory поддерживают работу с контроллерами доменов Windows 2003 и Windows 2008. Следует учитывать, что некоторым возможностям (например, корзине Active Directory) потребуется режим работы Windows Server 2008 R2.

Управление Exchange 2003 с рабочей станции под управлением ОС Windows 7 — не самое простое занятие. Консоль диспетчера Exchange, поставляемая на установочном диске Exchange 2003, не будет работать в Windows 7. Для Windows Vista была разработана специальная версия этого диспетчера. Чтобы загрузить ее, перейдите на следующую страницу: tinyurl.com/esmvista. Эта консоль будет работать в Windows 7, однако в установщик внедрена проверка на наличие Vista (т. е. ОС Windows версии 6.0.0), которую Windows 7 не проходит. Чтобы обойти это ограничение, можно воспользоваться Orca — бесплатным средством от Майкрософт — для изменения MSI-файла и изменения (или удаления) проверки на версию. Orca входит в пакет Windows Installer SDK. Чтобы загрузить его, перейдите на следующую страницу и следуйте инструкциям: tinyurl.com/orcamsi. Мне же кажется, что проще загрузить диспетчер Exchange в режиме XP. Но об этом чуть позже.

2. Изучите Windows PowerShell

Можно без преувеличения утверждать, что в обозримом будущем высокий уровень грамотности в Windows PowerShell станет самым важным навыком для администраторов Windows. Оболочка Windows PowerShell версии 2 внедрена как в ОС Windows 7, так и в Windows Server 2008 R2 и она включена по умолчанию. Соответственно, рекомендуется продумать установку Windows PowerShell версии 2 на все остальные серверы и настольные системы, чтобы управлять всей средой с помощью единой технологии скриптов (обратите внимание, что на серверы или рабочие станции с Exchange 2007 установить PowerShell версии 2 не удастся; на эти компьютеры можно установить лишь PowerShell версии 1.1, но даже версия 1.1 предоставит широкие возможности).

Даже если вы ярый приверженец пользовательского интерфейса и не открывали командную строку со времен Y2K, вы увидите, что большинство новых средств с пользовательским интерфейсом корпорации Майкрософт — это графические программы, базирующиеся на командлетах Windows PowerShell. Во многих из этих средств можно найти собственно их базовые команды командной строки, если знать, где искать. Так проще всего понять, как работают командлеты.

По Windows PowerShell уже опубликовано множество хороших изданий, включая замечательную книгу «Windows PowerShell in Action» (Manning Publications, 2007 г.), написанную Брюсом Паейтта (Bruce Payette), который является членом команды Microsoft Windows PowerShell. Готовится к выпуску новое издание; на веб-сайте издателя (manning.com/payette2) можно почитать начальные главы, заплатив несколько долларов, сделать предзаказ копии и получить первое издание в виде электронной книги. Также рекомендую ознакомиться с книгой «Windows PowerShell Pocket Reference» (O'Reilly Media Inc., 2009 г.), написанной Ли Холмсом (Lee Holmes), также являющимся членом команды Windows PowerShell. И не забудьте посетить блог команды Windows PowerShell по адресу blogs.msdn.com/PowerShell. Публикующие в нем люди — члены одной из самых активных команд разработчиков на планете. Все, что там написано, стоит прочитать. И не один раз.

И еще про хорошие новости. В пакет средств удаленного администрирования сервера для Windows 7 входят также и командлеты Windows PowerShell для Active Directory, включенные в ОС Windows Server 2008 R2. Пример показан на Рис. 2. Мало информации? Тем, кто хочет узнать больше, следует посетить блог Active Directory PowerShell по адресу tinyurl.com/psadblog. Лучший источник информации найти сложно.

boswell.fig2.ad powershell.gif

Рис. 2 Командлеты PowerShell для Active Directory в действии (щелкните изображение, чтобы увеличить его)

Командлеты для Active Directory можно использовать для управления доменами Windows 2003 и Windows 2008, однако сначала потребуется установить службу Active Directory Management Gateway (также называемую веб-службами Active Directory или ADWS) на как минимум один контроллер домена. На момент написания данной статьи веб-службы Active Directory все еще на стадии бета-версии и их можно загрузить с веб-сайта connect.microsoft.com.

Службе веб-служб Active Directory требуется ОС Windows Server 2003 с пакетом обновления 2 (SP2) (обычная или R2) или ОС Windows Server 2008 с пакетом обновления 2 или без него. Также потребуется установить .NET Framework 3.5 с пакетом обновления 1 (SP1) (tinyurl.com/dotnet35sp1) и исправление (support.microsoft.com/kb/969429), добавляющее поддержку флага веб-службы в Netlogon (в Windows Server 2008 с пакетом обновления 2 (SP2) это исправление уже включено).

Если в организации, в которой вы работаете, согласование и внесение изменений в контроллеры домена отнимает много времени и усилий, а вам бы хотелось начать использовать Windows PowerShell для управления Active Directory и при этом не выбиваться из последних сил, присмотритесь к бесплатным командлетам для Active Directory от компании Quest по адресу: quest.com/PowerShell.

3. Продеритесь сквозь лицензирование

Если в вашей организации не развертывалась ОС Vista, то, возможно, вы не знакомы с последними требованиями многопользовательской активации в Windows. Если в вашем ведении находится более 25 настольных систем и/или пяти серверов, то ваша организация получит преимущества от программы корпоративного лицензирования (например, соглашений Enterprise Agreement или Select Agreement). При приобретении ОС Windows 7 Профессиональная или Максимальная (или при обновлении до этих выпусков по программе Software Assurance) рекомендуется придерживаться примерно следующей схемы. Распечатайте небольшую пачку документов, посвященных многопользовательской активации, со страницы tinyurl.com/volact, налейте себе немного бургундского и приступайте к их изучению.

После того как вы поймете (а рано или поздно это случится), что окончательно запутались, загрузите отличную веб-трансляцию, записанную менеджером по продуктам Кимом Гриффитом (Kim Griffiths), в которой он достаточно ясно и четко разъясняет нюансы программы. Веб-трансляцию можно загрузить по адресу tinyurl.com/volactwebcastwin7.

Если коротко, то для развертывания настольных систем Windows 7, используя корпоративные лицензии, скорее всего, потребуется установить сервер управления ключами (KMS). Говоря «скорее всего» имеется в виду тот факт, что, возможно, в вашей организации будет недостаточно компьютеров для использования активации с помощью сервера управления ключами. Сервер управления ключами не будет выдавать подтверждения активаций, если к нему обратится менее 25 настольных систем и/или пяти серверов. Этот механизм внедрен для защиты от недобросовестных поставщиков, использующих один и тот же ключ многократной установки для нескольких небольших клиентов. После первичной активации клиенту нужно будет повторно активировать компьютеры каждые 6 месяцев. В Windows 7 нет режима ограниченной функциональности, что бы там не утверждали некоторые источники. После окончания действия ключа активации фон рабочего стола просто становится черным и появляется уведомление о том, что ОС контрафактна.

Если количество устройств в вашей среде меньше, чем требуется для сервера управления ключами, можно получить ключ многократной установки (MAK), число активаций с помощью которого зависит от числа купленных корпоративных лицензий, плюс параметр, позволяющий добавлять компьютеры между активациями. Проверка подлинности ключа многократной установки выполняется службами, расположенными в корпорации Майкрософт, поэтому после установки ОС потребуется доступ к Интернету.

В Windows 7 и Windows Server 2008 R2 было внесено изменение в весь этот процесс, и теперь при подсчете минимального количества компьютеров, требуемых серверу управления ключами для проведения активаций, учитываются и виртуальные машины. Это изменение поможет достичь нужного числа устройств, если в организации множество виртуальных машин и серверов.

Если в вашей организации уже развернут сервер управления ключами для Vista и Windows Server 2008, то вам нужно будет просто загрузить обновление для него, чтобы активировать компьютеры, работающие под управлением ОС Windows 7 и Windows Server 2008 R2.

4. Сосредоточьтесь на стратегических улучшениях

После достаточно подробного ознакомления с администрированием систем с помощью инструментов, предоставляемых Windows 7, и развертывания технологии, которая будет использоваться для активации настольных систем, пора подумать и о собственно развертывании для пользователей. Самое важное на этом этапе — провести совещание (только не надо ругаться).

Так. Не падайте в обморок. Это будет совсем другое совещание. На нем соберутся все ИТ-специалисты, работающие с Windows 7. А не только архитекторы. Или только ответственные за настольные системы. Или только серверная команда, или специалисты службы технической поддержки, или внутренние разработчики, или руководители проектов. На это совещание следует пригласить представителей из каждой команды. Что-то вроде вселенского собора. Рекомендуется растянуть мероприятие на целый день. Всем потенциальным участникам следует рассказать, что на мероприятии будут все важные лица (и пропускать его, соответственно, не в их интересах).

Перед совещанием не поленитесь — вооружитесь цифрами. Ибо на этом этапе кто-нибудь обязательно скажет: «А ведь нам следует составить каталог приложений на предприятии, для проведения тестирования на совместимость. А также проверить, все ли наши ПК потянут Windows 7». После чего группа проведет час-другой в обсуждениях, как лучше всего составить каталог (или почему сделать этого не получится), или зайдет речь о том, что у Сергея из команды, ответственной за настольные системы, есть электронная таблица с такой информацией, но он ее вот уже давно не обновлял (и в ней не учтены компьютеры из Европы, Ближнего Востока и Африки) и т. п.

Всю эту беседу можно убить в зародыше, предоставив два бесплатных средства для проведения инвентаризации и анализа. Итак, в первую очередь следует обзавестись пакетом Microsoft Assessment and Planning Toolkit (MAP 4.0), загрузить который можно по адресу tinyurl.com/map40. Данному средству не требуются агенты. Оно соберет данные с настольных систем и представит отчет, в котором будут указаны системы, готовые к обновлению до Windows 7, системы, оборудование которых следует обновить, и те, которым поможет только полная замена. Для управленцев пакет MAP формирует элегантные круговые диаграммы (см. Рис. 3), а для технических специалистов — столбцы с цифрами (Рис. 4).

boswell.fig3.mapexampleresult.gif

Рис. 3 Оценочная сводка Microsoft Assessment and Planning Toolkit 4.0 (щелкните изображение, чтобы увеличить его)

boswell.fig4.mapspreadsheet.gif

Рис. 4 Подробности оценки Microsoft Assessment and Planning Toolkit 4.0 (щелкните изображение, чтобы увеличить его)

При использовании этого средства не будьте слишком строги в области требований к оборудованию. Первый черновик этой статьи я написал на компьютере с Windows 7 и Office 2007, имеющем Celeron с тактовой частотой в 1,6 ГГц и 512 МБ ОЗУ. А в фоне еще выполнялась куча бизнес-приложений. Производительность нареканий не вызывала.

Следующий пункт программы — загрузите пакет Microsoft Application Compatibility Toolkit (ACT) 5.5 со страницы tinyurl.com/appcompat55. Этот пакет используется для получения статистики, связанной с программным обеспечением на указанных компьютерах. При оценке пакет ACT не просто считывает данные из списка установленных программ в реестре, он проверяет каждый угол и каждую щель в поисках затаившихся приложений, загнанных туда разнообразными старыми установщиками. Для этого ему требуется локальный агент, за развертывание которого отвечает управляющий сервер ACT. Агент периодически отправляет отчеты в течение нескольких дней. Затем он удаляет себя.

Как показано на Рис. 5, ACT скрупулезно подходит к вопросу сбора данных, даже слишком скрупулезно. Для него потребуется сервер с приличным оборудованием на борту. Для хранения данных можно использовать SQL Express (если нет планов помещать в образец тысячи компьютеров). При этом, если наборы программ нужно разнести по отделам или рабочим группам, в образец можно включить по нескольку компьютеров из каждой группы. Даже если счет настольных систем организации идет на десятки тысяч, обработка 2–3 процентов не станет невыполнимой задачей. И по ним уже можно будет понять, что ожидает вас впереди.

boswell.fig5.act_analyze.gif

Рис. 5 Отчет по приложениям Microsoft Application Compatibility Toolkit 5.5 (щелкните изображение, чтобы увеличить его)

Возвращаясь к нашему важному совещанию. Не опозорьтесь. Потратьте достаточно средств отдела, чтобы купленными пончиками и пиццами подавился бы даже тиранозавр средних размеров. Найдите помещение с большими досками (желательно во всю стену). Если собрать всех не удастся, поставьте большие экраны по периметру помещения, установите нужное программное обеспечение для удаленных встреч и обставьте все помещение микрофонами и камерами.

В первой части совещания узнайте у участников, к каким приемам они прибегают, чтобы упростить выполнение ежедневных задач с помощью Windows 7. Узнайте, что им давалось дольше всего. Выслушайте их жалобы. Вглядитесь в участников (только не прожгите в ком-нибудь дырку). Выясните в рамках отдельной или общей дискуссии, какие сочетания возможностей существенно улучшат производительность пользователей, повысят безопасность, будут способствовать мобильности и упростят рабочие процессы.

Отведите вторую половину дня на разработку плана развертывания. Не сходите с ума, пытаясь сразу же разрешить все потенциальные проблемы, связанные с совместимостью, взаимодействием или рабочими процессами. В любой организации, использующей XP уже достаточно давно, рано или поздно появляются немного... неудобные процедуры. Определите проблемы. Классифицируйте их. И двигайтесь вперед.

Вообразите себя геологом, разведывающим новое нефтяное месторождение. Сконцентрируйте внимание на нахождении больших залежей. О разработке вы будете думать позже.

Результатом совещания станет план, в котором будет обозначено, кто делает что, когда, где и как. От ответит на вопросы типа: «Какие возможности будут развертываться?» «Кто ответственен за подготовительную работу?» «Сколько времени на все это уйдет?» «На каких пользователях эта работа отразится сильнее всего?» «Как подтолкнуть их к сотрудничеству?» «Сколько это развертывание будет стоить в краткосрочной и долгосрочной перспективах?» «Каковы потенциальные проблемы, ставящие под угрозу весь процесс?» «Сколько ресурсов потребуется на тестирование?» И самый важный вопрос: «Когда всю эту работу можно начинать?» Вместите все это в пять слайдов, получите одобрение управленческого звена... и приступайте к яростному выполнению.

5. Расширьте область развертывания

Скорее всего, некоторые из лучших возможностей Windows 7 потребуют изменений в инфраструктуре. Например. В моем списке предпочтений не последнее место занимает сочетание федеративного поиска и библиотек в новой оболочке проводника. Вместе они предоставляют централизованное и гибкое представление разрозненных данных.

Ключевым моментом при использовании федеративного поиска является нахождение (создание) соединителей с веб-репозиториями данных. Соединитель — это набор элементов конфигурации, заключенных в OSDX-файл. Эти элементы указывают на веб-сайт и описывают методы обработки содержимого. Ниже приведен пример соединителя Bing.

<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="https://schemas.microsoft.com/opensearchext/2009/">

<ShortName>Bing</ShortName>

<Description>Bing in Windows 7.</Description>

<Url type="application/rss+xml" 
template="http://api.bing.com/rss.aspx?source=web&amp;query=
{searchTerms}&amp;format=rss"/>

<Url type="text/html" template="https://www.bing.com/search?q={searchTerms}"/>

</OpenSearchDescription>

Если щелкнуть OSDX-файл правой кнопкой мыши, то в контекстном меню проводника будет пункт «Создание соединителя поиска». Если его выбрать, то соединитель добавится в список элементов в избранном. Чтобы выполнить поиск с помощью соединителя, выберите его и введите запрос в поле поиска в правом верхнем углу окна проводника. После окончания поиска в области результатов проводника отобразятся результаты. Щелкните «Просмотр», чтобы просмотреть содержимое выбранной страницы. Пример показан на Рис. 6.

boswell.fig6.searchbing.gif

Рис. 6. Соединитель поиска в проводнике (щелкните изображение, чтобы увеличить его)

Создавать соединители несложно. Убедите внутренних разработчиков создать несколько для серверов в интрасети (портал организации, ферма SharePoint и т. д.). И не забудьте рассказать им про огромное количество примеров соединителей на сайте SevenForums (tinyurl.com/srchcon). На этом независимом сайте собрано очень много полезной информации, касающейся всех аспектов Windows 7. Распространите эти соединители среди пользователей, используя собственные стандартные средства для развертывания пакетов. После этого их можно использовать для создания стандартного представления собственных разрозненных веб-данных.

Федеративный поиск достаточно хорошо справляется с обработкой содержимого веб-сайтов. Но вот при погружении в бесчисленные терабайты данных на собственных файловых серверах у большинства организаций возникают проблемы. А это в свою очередь приводит к тому, что пользователи, плохо разбирающиеся в сопоставлении дисков или хранении данных в сети, могут, к примеру, часами искать на диске W:\ отчеты, написанные в прошлом месяце.

Им на помощь придут библиотеки. Библиотеки собирают файлы из различных источников и превращают их в объекты, которые можно искать и (достаточно быстро) находить. В библиотеки Windows 7 по умолчанию входят обычные разновидности личных типов данных и расположений (Документы, Музыка, Изображения, Видео). Этот список легко расширить и включить в него репозитории на серверах. Для этого достаточно щелкнуть правой кнопкой мыши, выбрать пункт «Создать библиотеку» и указать UNC-путь к общей папке.

Есть, правда, один нюанс. Конечная папка должна быть проиндексирована. Для Windows Server 2008 и более поздних версий потребуется установить роль файловых служб. С последующей установкой службы Windows Search в рамках служб роли. Для серверов Windows Server 2003 с пакетом обновления 2 (SP2) потребуется установить Windows Search 4.0. Он бесплатен и доступен по адресу tinyurl.com/srch40dwnload. Следует учесть, что из-за ограничений в интерфейсе поиска указать DFS-пути не удастся, даже если собственно конечным объектом DFS-папки является проиндексированный файловый сервер.

На момент написания данной статьи программ командной строки (или командлетов Windows PowerShell) для создания библиотек нет. Пакет Windows 7 SDK включает в себя инструменты, предназначенные для взаимодействия с библиотеками программным образом, так что долго ждать появления подобных программ, скорее всего, не придется. Не пропустите их.

Коротко о действии по умолчанию для библиотек. Проводник отображает библиотеки в области общих файлов, чтобы позволить пользователям сохранять файлы в библиотеку путем перетаскивания. Если библиотека связана с несколькими расположениями, одно из них должно являться конечным по умолчанию.

6. Подготовьтесь к распределенной безопасности

В ходе первоначального стратегического совещания оставьте время на обсуждение многочисленных возможностей распределенной безопасности, предоставляемых Windows 7. В этом аспекте решения нужно принимать на ранних этапах проекта, поскольку они довольно сильно повлияют на объем необходимого тестирования.

Первым делом необходимо решить, будет ли включаться брандмауэр на настольных системах. После введения отдельных брандмауэров для ОС настольных систем в пакете обновления 1 (SP1) для XP многие организации просто выключили их с помощью групповой политики. Брандмауэр в Windows 7 предоставляет намного больше гибкости. И заслуживает повторного рассмотрения своей судьбы. Например, можно выключить брандмауэр компьютера, пока последний подключен к домену, и включить его при подключении ПК к домашней (рабочей) сети или Интернету. Также поддерживаются узконаправленные исключения. Поэкспериментируйте с параметрами на первой группе испытуемых, опросите их, и, принимая во внимание отзывы команды безопасности, примите окончательное решение, касающееся параметров брандмауэра. Их можно легко настроить с помощью групповой политики.

Во-вторых, необходимо решить, нужно ли использовать AppLocker для ограничения круга приложений, которым разрешено запускаться на настольных системах. AppLocker позволяет составить список одобренных исполняемых файлов. Выбирать их можно как по отдельности по хэшу файлов, так и группами по расположению (или издателю). Точнее, по сертификату издателя, которым подписан файл. После настройки эти правила загружаются клиентами Windows 7, на которых выполняется служба удостоверений приложения. Начиная с этот момента, запустить можно будет только одобренные приложения. Все прочие исполняемые файлы будут тихонько сидеть в сторонке (почти как я во время уроков физкультуры в старших классах).

Поскольку разрешения AppLocker применяются через групповую политику, правила можно точно нацелить на строго определенную группу компьютеров, используя подразделения, членство в группах или фильтры WMI.

Продираться через гору приложений, выясняя, какие следует включить в список одобренных AppLocker, — не слишком увлекательно, но ситуация не должна деградировать до этой стадии. На большинстве офисных компьютеров установлен ограниченный набор приложений. С этого и следует начать. Ведь в конечном итоге, если вы сможете запретить ночной смене подключать устройства флэш-памяти к компьютерам-киоскам, обслуживающим клиентов, чтобы играть в игры (вместо написания мини-приложений), то уже будет решена изрядная часть эксплуатационных проблем. С компьютерами в операционных отделах можно разобраться и позже.

И наконец, вам нужно будет решить, будет ли внедряться защита ноутбуков и устройств флэш-памяти шифрованием. Если в вашей организации управленцы, менеджеры и работники умственного труда ходят по улицам с дисками данных, на которых содержится конфиденциальная интеллектуальная собственность организации, то «Да» должно уже витать в воздухе. BitLocker позволяет зашифровать весь жесткий диск и данные на нем. BitLocker To Go расширяет область шифрования до устройств флэш-памяти и других портативных носителей. И внедрить их просто необходимо.

При этом не имеется в виду, что можно просто включить соответствующую политику BitLocker в групповых политиках, зашифровать кучу дисков и считать работу выполненной. Необходимо тщательно продумать все варианты (что, собственно, следует делать при общении с любой технологией шифрования). Не становитесь человеком, о котором годами будут слагаться легенды (например, «Помните тот день? Генеральный директор потерял доступ к своему ноутбуку за час до ежегодного собрания, а бывший <здесь будет ваше имя и должность> не позаботился о ключе восстановления для предприятия...»). Разумно нанять консультанта, разбирающегося в реализации BitLocker и шифрования дисков на предприятиях. Самое же главное: пусть сложности не пугают вас. Альтернатива еще страшнее. В случае ее происхождения история будет уже совсем другой (например, «Помните, была компания <название вашей компании>? Довольно успешная была компания, пока организованная преступность не заполучила ноутбук финансового директора...»).

7. Виртуализируйте настольные системы

Только представьте: потрачена пара недель (или месяцев) на создание стандартного образа Windows 7 для настольных систем. Вложена масса сил и труда на разрешение технических проблем. Найдены способы быстрого переноса приложений и данных пользователей на новые компьютеры, снижающие влияние миграции на последних (средство миграции пользовательской среды, кстати, входящее в пакет автоматической установки (AIK), отлично подходит, чтобы начать двигаться в этом направлении; пошаговая видеодемонстрация доступна по адресу tinyurl.com/usmtwt). Специалисты на местах обучены. Команда службы технической поддержки еле стоит на ногах от объемов рекомендаций, размещенных вами на их сайте SharePoint. Вы готовы начать...

Но прежде чем начать, следует рассмотреть еще один момент. ОС Windows 7 позволяет установить себя в файл виртуального жесткого диска (VHD) на физическом диске вместо обычной установки на него же на каждом компьютере. ОС загружается, используя содержимое этого файла (который становится диском C), а физический диск рассматривает как диск D. При должном планировании ОС, установленная таким образом, может обрести очень высокую мобильность. Например, если Сергей едет из Москвы в Санкт-Петербург, то технический специалист в Москве может передать VHD-файл по сети специалисту в Санкт-Петербурге, который просто скопирует его на компьютер. Что позволит Сергею сразу же начать работать в собственной знакомой среде (ну, как только он вылезет из своего джипа).

Если вы полагаете, что при такой конфигурации производительность (точнее, ее отсутствие) достигнет космических масштабов, советую не торопиться. Изучите статистику дискового ввода-вывода в блоге команды виртуализации по адресу tinyurl.com/nativevhd.

Есть, правда, ряд подводных камней. Во-первых, гибернация на компьютерах, загружающихся с VHD-файлов, не работает. Поэтому для ноутбуков этот способ может оказаться нежелательным. Не получится также загрузиться, используя VHD-файл, если диск, на котором он расположен, зашифрован BitLocker, что также снижает применимость этого способа к ноутбукам.

Возможно, что сложности, возникающие при развертывании систем на базе VHD, сильно перевесят преимущества; тем не менее этот способ стоит включить хотя бы в план тестирования. Описание шагов, необходимых для использования этого способа, слишком длинно и в данной статье не рассматривается; приведено лишь несколько источников информации по проблематике. Можно воспользоваться методом Макса Кнора (Max Knor), описанным по адресу tinyurl.com/win7bootvhdnativinstall. В его рамках выполняется фактически запуск с установочного диска Windows 7, открытие командной строки и создание VHD-файла, который затем используется в качестве цели для установщика, — просто и со вкусом. Чтобы повторить успех, можно воспользоваться пошаговым руководством на TechNet по адресу tinyurl.com/win7bootvhdwt или просмотреть это видео (опять же на TechNet) по адресу tinyurl.com/win7bootvhdvid.

После овладения этими техниками ознакомьтесь с инструкциями по использованию инструментов среды предустановки Windows (WinPE) для создания образов от Кайла Розенталя (Kyle Rosenthal) в блоге Vista PC Guy. Например, по адресу vistapcguy.net/?p=71 описаны шаги, позволяющие создать загрузочное устройство флэш-памяти, содержащее инструменты среды предустановки Windows и установочный образ. Вооружившись этим средством, можно быстро устанавливать собственный стандартный образ на компьютеры, даже не зная о существовании установочного диска.

8. Оцените возможности, предназначенные для организаций

Для использования таких возможностей, как загрузка с виртуального жесткого диска, BitLocker и AppLocker, нужны версии Windows 7 Корпоративная или Максимальная. Версия Корпоративная может быть получена только по программе корпоративного лицензирования. Если используется версия Корпоративная или Максимальная, стоит рассмотреть возможность развертывания некоторых дополнительных функциональных возможностей для усиления безопасности и упрощения операций.

С помощью BranchCache можно кэшировать данные при передаче файлов на центральном сервере филиала или на рабочих станциях в одноранговой сети. После начала передачи файлов на клиенте проверяется наличие файла в локальном кэше и совпадение хеша этого файла с хешем на доверенном источнике. Если хеши совпадают, то файл копируется из кэша. Это не только ускоряет копирование, но и уменьшает загрузку глобальной сети, что, конечно же, обрадует администраторов. (Они умеют радоваться, я видел это собственными глазами!) Призываю вас проверить BranchCache в лабораторных условиях, чтобы оценить применимость этой технологии для используемых приложений и их трафика.

Затем можно перевести квази-виртуализацию на основе виртуальных жестких дисков, о которой я писал в прошлый раз, на следующий уровень фактической виртуализации путем развертывания VDI, инфраструктуры виртуальных рабочих станций, на серверах Windows Server 2008 R2. В VDI каждый сеанс рабочей станции существует в виде отдельного виртуального компьютера, а пользователи подключаются по протоколу RDP. Этот подход отличается от публикации рабочих станций в широко используемых службах терминалов, где все пользователи используют одни и те же образы приложений. Если какой-нибудь пользователь в службах терминалов делает ошибку, то страдают все. Вы смотрели фильм «Гольф-клуб»? Этим все сказано. (Неудачного взаимодействия на сервере терминалов можно избежать посредством виртуализации приложений. Оцените средства App-V, которые входят в пакет Microsoft Desktop Optimization Pack.)

Инфраструктура VDI может оказаться дорогостоящей. Стоимость поддержки виртуальных рабочих станций с полноценным объемом памяти и сетевым доступом на одном сервере может превысить стоимость физических рабочих станций. Однако в распределенной среде рабочих станций нет лучшей защиты на случай аварийного восстановления.

Другой функциональной возможностью, предназначенной для организаций, является DirectAcess. С помощью этой технологии пользователи могут подключаться к корпоративной сети через шлюз на сервере Windows Server 2008 R2 без использования виртуальных частных сетей. Пользователь может открыть свой нетбук с поддержкой EVDO прямо в аэропорту и незамедлительно начать работу с документами на серверах организации. Однако убедить отдел безопасности в необходимости этого функционала будет очень сложно. (Вот люди, которые радоваться не умеют.)

9. Подстрахуйтесь в сфере совместимости

Рано или поздно на встрече высоких умов вашей организации придется поднимать вопрос: «готова ли организация к развертыванию 64-разрядных рабочих станций?» Новые компьютеры, купленные в рамках обновления оборудования, почти наверняка являются 64-разрядными. Скорее всего, они оснащены 2 ГБ ОЗУ, учитывая текущие цены на модули памяти, или даже 4 ГБ ОЗУ, если вы все же убедили начальство подписать счета на большую сумму. Практически нет сомнений, что эти компьютеры имеют двухъядерные процессоры, а может даже и четырехъядерные. В них достаточно видеопамяти, чтобы поддерживать рабочий стол Aero. Такие компьютеры идеально подходят для 64-разрядной операционной системы.

Даже если все ваши текущие бизнес-приложения являются 32-разрядными, имеет смысл установить 64-разрядную версию Windows 7 хотя бы для окупаемости капиталовложений в будущем. Без сомнений, мир движется в сторону 64-разрядного стандарта, поэтому вам нужно быть готовым к тому, что производители перестанут поддерживать совместимость с более старыми системами.

Если вы захотите развернуть 64-разрядные рабочие станции, убедитесь в отсутствии проблем с драйверами устройств, антивирусными программами, агентами управления и прочими приложениями. Если вы используете 32-разрядные серверы печати, необходимо добавить на них драйверы для 64-разрядных систем. Кроме того, можно развернуть новые 64-разрядные серверы печати на основе Windows Server 2008 или R2 и установить на них оба комплекта драйверов. С этой задачей в Windows Server 2008 R2 поможет справиться мастер переноса принтеров. Несомненно, стоит развертывать новые серверы печати на основе R2, так как модель печати была улучшена и каждый драйвер размещается теперь в собственном пространстве памяти, поэтому неисправный драйвер не приведет к выходу из строя всей службы очереди печати.

Однако наиболее значимым препятствием может оказаться необходимость работы в 16-разрядных приложениях, которые совсем не будут запускаться в 64-разрядных системах. В этом случае вам пригодится маленькая хитрость, с помощью которой огородники Твери уже несколько поколений выращивают тепличные помидоры: создайте такую среду, в которой растения будут думать, что находятся в тропиках, а не на Северном полюсе. То есть, используйте режим Windows XP для размещения 32-разрядного экземпляра XP с пакетом обновления 3 (SP3) на вашем 64-разрядном компьютере с Windows 7.

Приложения, установленные в виртуальной машине режима Windows XP, могут запускаться из меню «Пуск» Windows 7 (рис. 7), будто они установлены в основной операционной системе. Поэтому ваши пользователи не запутаются, живя в двух мирах. (Фактически, этот трюк возможен благодаря исправлению RAIL, а не самому режиму Windows XP, поэтому можно установить исправление RAIL и запускать Virtual PC с 32-разрядной ОС Vista или Windows 7.)

boswell.fig7.virtualpcmenu.gif

Рис. 7 Список приложений режима Windows XP в меню «Пуск»

По умолчанию режим Windows XP работает под локальной учетной записью в виртуальном компьютере. Эта учетная запись называется «Пользователь». Пароль для учетной записи задается во время установки, а срок его действия неограничен. Однако виртуальный компьютер можно подключить к домену и входить в него, используя учетные данные домена. В режиме Windows XP можно загрузить Exchange 2003 ESM и средства администрирования более ранних версий, что позволит создать совместимую среду системного администратора. Я уже упоминал о прозрачном копировании между основным компьютером и виртуальной рабочей станцией? Прекрасно.

Для режима Windows XP требуется аппаратная поддержка виртуализации: Intel VT или AMD-V. Стив Гибсон (Steve Gibson) из компании Gibson Research Corp., расположенной в калифорнийском Лагуна-Хиллз (компания известна, благодаря таким продуктам как SpinRite и ShieldsUP!), предлагает бесплатный инструмент SecurAble (grc.com/securable.htm), с помощью которого можно быстро определить, соответствует ли ваш компьютер необходимым критериям. Отчет SecurAble приведет на рис. 8.

boswell.fig8.securable report.gif

Рис. 8. Отчет программы SecurAble

Если у вас имеются сотни или даже тысячи персональных компьютеров, для работы в этой альтернативной среде вам потребуется пакет централизованного управления. Таким средством является Microsoft Enterprise Desktop Virtualization (MED-V) — один из элементов пакета Microsoft Desktop Optimization Pack. На клиенте MED-V 2.0 функционирует аналогично режиму Windows XP: устанавливается виртуальный компьютер, нуждающийся в аппаратной поддержке виртуализации. Серверная часть MED-V содержит различные средства для создания и развертывания пакетов на виртуальных компьютерах. Дополнительные сведения см. в блоге по Windows на tinyurl.com/medvblog.

10. Лишите пользователей прав локальных администраторов

Если вы до сих пор не лишили пользователей прав локальных администраторов, то время пришло. Да, это очень сложно. Особенно трудно отучить пользователей переносных компьютеров, так как служба поддержки не может устранить сложные неполадки по телефону. К тому же, существует еще «теневая» структура ИТ — компьютерные гуру различных отделов и сотрудники «я сам себе системный администратор», которые находят приложения, удовлетворяющие их текущим тактическим потребностям, а затем разгуливают с «флэшками» и устанавливают эти приложения без какой-либо проверки на их пригодность и совместимость. Не стоит даже рассказывать о том мусоре, которым среднестатистические пользователи загромождают свои компьютеры, имея права локальных администраторов. Это просто потрясающе, как самый неизощренный пользователь, неспособный даже изменить собственный пароль без помощи администратора, может найти способ установки многоуровневых приложений «клиент-сервер», если дело касается спорта или покупок.

Даже если вы примените все свои дипломатические способности и добьетесь отмены прав локальных администраторов, толку будет мало: после отмены прав приложения начнут выходить из строя. Функционирование огромного числа программ зависит от записи данных в защищенные области файловой системы и реестра.

Windows 7 упрощает переход на работу в режиме обычных пользователей. Фоновые процессы перенаправляют данные, предназначенные для измененных областей, в области, управляемые пользователем. Это должно решить множество проблем, которые возникали в Windows XP при работе в режиме обычного пользователя. Также имеется ряд простых, но критически важных улучшений, которые упрощают работу обычных пользователей, например возможность изменения часового пояса. В XP и Vista для этого были нужны права локального администратора. Это также касается изменения разрешения экрана, выполнения ipconfig /refresh для получения нового DHCP-адреса и установки дополнительных обновлений.

Набор средств для обеспечения совместимости приложений содержит мастер анализатора доступа учетных записей, с помощью которого можно наложить ограничения на использование приложений. В анализаторе доступа учетных записей предоставлена платформа для запуска приложения с повышенными правами. При установке и запуске приложения анализатор пытается обнаружить все проблемы, которые будут препятствовать работе этого приложения под учетными данными обычного пользователя. После завершения проверки будет отображен отчет о полной работоспособности приложения или список вопросов, которые следует разрешить.

Вместе с набором средств для обеспечения совместимости приложений можно загрузить и средство проверки приложений с веб-страницы tinyurl.com/appverify. Это средство используется мастером анализатора доступа учетных записей, однако не включено в набор средств для обеспечения совместимости приложений. Кроме того, ознакомьтесь с документацией по ACT 5.5. Здесь содержится масса полезных сведений о проблемах совместимости и их устранении. В июньском номере TechNet Magazine за 2009 год очень подробно рассказано о совместимости приложений.

Но что же делать с пользователями, которые нуждаются в правах локальных администраторов, такими как администраторы, разработчики и пользователи, имеющими возможность вернуть себя в группу локальных администраторов? Вы действительно хотите, чтобы эти пользователи работали целыми днями с повышенными привилегиями? Надеюсь, что вы ответите: «Нет!», поэтому горячо нелюбимый контроль учетных записей пользователей станет вашим лучшим другом. Марк Руссинович (Mark Russinovich) недавно написал подробную статью на тему внутреннего устройства контроля учетных записей пользователей в Windows («Inside Windows 7 User Access Control», TechNet Magazine, июль 2009 г.). Прежде чем передвинуть ползунок для полного отключения контроля учетных записей на всех компьютерах, ознакомьтесь с этой статьей.

Пожните плоды трудов своих

Много сил уйдет на подготовку и развертывание Windows 7, однако процесс пойдет быстрее, если пользователи сами захотят перейти на новую операционную систему. Те, кто пробовали, уже оценили новый интерфейс. Им понравились удобство использования, внешний вид, быстрота отклика и новые функциональные возможности системы.

Шанс стать популярным системным администратором выпадает не каждому. Я счастлив, что он у меня появился. Надеюсь, вы тоже. Удачи в развертывании Windows 7. Дайте знать, чем у вас все закончилось.

Билл Босвелл (Bill Boswell) (billb@microsoft.com), старший консультант консультационной службы Майкрософт в Phoenix, штат Аризона. В настоящее время Билл работает советником по архитектуре и планированию ИТ для крупной авиакомпании.