Windows 7
Windows 7 的 10 項首要作業
Bill Boswell
簡介:
- 開始了解 Windows 7
- 處理最新的磁碟區啟動需求
- 開發藍圖
- 處理新的分散式安全性功能
- 虛擬化桌面和基礎結構
- 移除使用者的本機管理員權利
內容
1. 與 Windows 7 更親近。
2. 學習 Windows PowerShell。
3. 深入了解授權。
4. 著重於策略改良。
5. 擴充部署範圍。
6. 準備分散式安全性。
7. 虛擬化桌面。
8. 評估企業功能。
9. 建置相容性安全網。
10. 移除使用者的本機管理員權利。
不只風光一時
當您翻閱 Windows 7 新功能及增強功能的清單時 (請參閱 tinyurl.com/win7featuregrid 的功能比較表),一定會納悶該透過什麼方法,才能在不造成太多干擾的情況下,為使用者供應所有的新技術。
以下 10 個步驟可協助您達成這個目標。
1. 與 Windows 7 更親近。
很明顯,第一個步驟就是獲得個人經驗。這可不是指單在實驗室裡閒晃。請將 Windows 7 安裝到組織的每部工作站以及您在家中用來進行遠端疑難服務的電腦上。強迫自己找出讓所有作業暢通無阻的方式。
從 Windows 7 管理 Windows 伺服器的大部分工具都包含在 Windows 7 遠端伺服器管理工具 (RSAT) 中,此工具套件必須另行下載。在本文撰寫之時,最終版本的 RSAT 套件尚未完成。Release Candidate 可從此網址取得:tinyurl.com/win7rcrsat。
在安裝 RSAT 套件之後,如果 Administrative Tools 資料夾中沒有立刻填入內容,請不要感到驚訝。RSAT 工具是以 Windows 功能集的形式提供,您必須使用控制台中的 [程式和功能] 小程式來分別加以啟用。請參閱圖 1 的範例。因為某種未知 (但我確定一定合理) 的因素,您必須分別按一下功能,才能加以選取。上層的核取方塊並不會自動選取其下層的項目。
.gif)
圖 1 Windows 7 RSAT 功能清單 (按一下以放大影像)
Active Directory RSAT 工具可搭配 Windows 2003 和 Windows 2008 網域控制站使用,雖然某些功能 (例如 Active Directory 資源回收筒) 需要 Windows Server 2008 R2 功能層級才能使用。
從 Windows 7 工作站管理 Exchange 2003 就不是這麼直接了當:Exchange 2003 安裝光碟所附的 Exchange 系統管理員 (ESM) 主控台無法在 Windows 7 上執行。針對 Vista 所設計的 ESM 特殊版本可從 tinyurl.com/esmvista 下載。此主控台在 Windows 7 下可順利執行,但安裝程式只能為 Vista (Windows 6.0.0 版本) 進行在 Windows 7 上失敗的特定檢查。您可以使用名為 Orca 的免費 Microsoft 工具來修改 MSI 檔案,以移除或修改版本檢查。Orca 是 Windows Installer SDK 的一部分;下載說明請見 tinyurl.com/orcamsi。不過,您可能會覺得以 XP 模式載入 ESM 簡單許多。稍後會有更多說明。
2. 學習 Windows PowerShell。
您可以說,Windows 系統管理員未來幾年所需的最重要技能,就是 Windows PowerShell 的操作能力。Windows 7 和 Windows Server 2008 R2 兩者都在作業系統中內建了 Windows PowerShell 版本 2,且預設為啟用。您應該計畫在剩餘的伺服器和桌上型電腦上安裝 Windows PowerShell v2,這樣就可以運用單一的指令碼技術來管理所有的電腦設備 (請注意,您無法在 Exchange 2007 伺服器或工作站上安裝 PowerShell v2,這些電腦需要 PowerShell v1.1,但即使是 v1.1 也可為您提供許多功能)。
即使您是死忠的 GUI 系統管理員,在 2000 年後就再也沒開啟過命令提示字元,現在也會發現 Microsoft 的最新 GUI 工具所採用的圖形介面,其實是建立在 Windows PowerShell Cmdlet 之上。如果您知道位置,許多這些工具都會告訴您基礎的命令字串。這是一種了解 Cmdlet 運作方式的簡單方法。
Windows PowerShell 提供許多非常棒的參考資料,包括 Bruce Payette 所寫的 "Windows PowerShell in Action" (2007 年 Manning Publications 出版),此書作者為 Microsoft Windows PowerShell 小組成員。此書即將改版;只需幾塊美金,就可以閱讀前幾章,也可以進行預購,並在出版商的網站取得初版的電子書:manning.com/payette2。同時您也可以參考 Lee Holmes 的 "Windows PowerShell Pocket Reference" (2009 年 O'Reilly Media Inc. 出版),這是另一名 Windows PowerShell 小組成員所寫的書。您也可以造訪 Windows PowerShell 小組的部落格:blogs.msdn.com/PowerShell。在這裡您可以找到全球互動性最高的開發團隊。部落格上的每篇文章都值得閱讀,而且是再三研讀。
還有更多好康消息:Windows 7 RSAT 套件所含的 Active Directory Windows PowerShell Cmdlet 與 Windows Server 2008 R2 所附的相同。請參閱圖 2 的範例。最佳的詳細資訊來源為 Active Directory PowerShell 部落格:tinyurl.com/psadblog。
.gif)
圖 2 運用中的 ADPowerShell Cmdlet (按一下影像以放大圖片)
您可以使用這些 AD Cmdlet 來管理網域所執行的 Windows 2003 和 Windows 2008,但您必須先至少在一個網域控制站上安裝 AD Management Gateway Service (也稱為 AD Web Services,ADWS)。在本文撰寫期間,ADWS 仍為試用版;可從 connect.microsoft.com 下載。
ADWS 服務需要 Windows Server 2003 SP2 (一般或 R2),或 Windows Server 2008 (一般或 SP2)。您需要安裝 .NET Framework 3.5 SP1 (tinyurl.com/dotnet35sp1) 和可在 Netlogon 中支援 Web 服務旗標的 Hotfix (support.microsoft.com/kb/969429)(該 Hotfix 內建於 Windows Server 2008 SP2)。
如果需要花很多的時間和力氣,才能在您工作的組織取得變更網域控制站的許可,而您又想在頭髮變白、牙齒掉光前開始使用 Windows PowerShell 來管理 Active Directory,請試試 Quest 提供的免費 Active Directory Cmdlet,網址為 quest.com/PowerShell。
3. 深入了解授權。
如果組織尚未部署 Vista,您可能不熟悉 Windows 最新的大量啟用需求。如果您擔任企業的系統管理員,所管理的機器多於 25 台桌上型電腦和/或 5 台伺服器,而且如果您的組織是利用 Enterprise Agreement 或 Select Agreement 之類的大量授權方案,您購買的又是 Windows 7 專業版或旗艦版 (或藉由軟體保證而升級為這些版本),則應該進行下列作業:從 tinyurl.com/volact 列印一落大量啟用文件,給您自己來杯提神的拿鐵,然後開始研讀。
最後在您讀得頭昏腦脹而不得不放棄後,請下載產品經理 Kim Griffiths 所提供的網路廣播,在這段精彩的廣播中,Kim 將此方案的煩人小細節解釋的一清二楚。請到下列網址觀賞網路廣播:tinyurl.com/volactwebcastwin7。
簡單來說,若要使用大量授權部署 Windows 7 桌上型電腦,可能需要安裝金鑰管理伺服器 (KMS)。我說「可能」,因為您的組織中可能沒有足夠的機器可以支援 KMS 啟動作業。除非 KMS 至少收到 25 台桌上型電腦和/或 5 台伺服器的要求,否則它不會發放啟動核准。這是為了避免無恥的廠商將同一個大量授權密碼提供給多位小型客戶使用。用戶端在啟動後,必須每隔六個月重新啟動一次。雖然您可能在別處聽說過,但 Windows 7 中並沒有所謂的縮減功能模式。如果啟動密碼過期,桌面背景只會變黑,然後出現球形文字說明通知您作業系統並非正版。
如果您沒有 KMS 所需的裝置數,可以取得多重啟動金鑰 (MAK),此金鑰是根據您所購買的大量授權數目所提供的啟動配置數,另外還提供讓您在正式啟動的電腦間加入多餘電腦的餘裕。MAK 金鑰是由 Microsoft 裝載服務進行驗證,所以在進行 OS 安裝之後需要存取網際網路。
由 Windows 7 和 Windows Server 2008 R2 引進的變更現在可以讓虛擬機器反制 KMS 的啟動下限。如果您的公司不大,而且使用大量的虛擬桌上型電腦和伺服器,則這有助於提高裝置數。
如果已擁有 Vista 和 Windows Server 2008 的 KMS,就可以下載更新程式來啟動 Windows 7 和 Windows Server 2008 R2 電腦。
4. 著重於策略改良。
在您熟悉如何使用 Windows 7 工具進行系統管理,而且設定技術來啟動桌上型電腦後,就應該開始規劃使用者的部署。此時最重要的工作 (雖然我知道您不想聽),就是開會。
穩住…可別跑啊…繼續聽我說。這個會議可不是普通的會議。您要召集所有使用 Windows 7 的 IT 眾家大將,不只是架構規劃人員,不只是桌上型電腦工作人員,也不只是伺服器小組、支援技術人員、內部研發人員或專案經理,而是每個小組的代表成員。把它想像成一般的協調會,而且要開一整天。請告訴所有可能的與會者,只有厲害角色才會受邀參加會議,所以他們當然不想缺席。
在開會前請幫自己一個忙。請準備各種數據備戰。這是因為在會議中,一定有人會問:「我們實在應該編列一份企業應用程式的目錄,這樣就可以用來進行相容性測試。還有,真的所有電腦都可以執行 Windows 7 嗎?」然後整個會議室就會花一兩個小時討論如何編列這份目錄,或者為什麼編不出來等等,還有桌上型電腦小組的小史如何編過一份這類資訊的試算表,但已經有一陣子沒更新,而且裡面也沒有歐洲、中東和非洲地區的電腦等諸如此類的。
只要用兩種免費的清查和分析工具,就可以免去以上所有對話。首先是 Microsoft Assessment and Planning Toolkit (MAP 4.0),可從下列網址取得:tinyurl.com/map40。這項無代理程式的工具會收集桌上型電腦的統計資料,然後針對哪些電腦可以安裝 Windows 7、哪些需要升級硬體、哪些又永遠都沒辦法進行安裝 (你知道,牛牽到北京還是牛) 等,為您提供報告。MAP 會產生簡潔醒目的派狀圖 (管理階層的最愛,請見圖 3),以及成堆的複雜數字 (工程師的最愛,請見圖 4)。
.gif)
圖 3 Microsoft Assessment and Planning Toolkit 4.0 評估摘要 (按一下以放大影像)
.gif)
圖 4 Microsoft Assessment and Planning Toolkit 4.0 評估詳細資料 (按一下以放大影像)
在執行此工具時,不要太拘泥於硬體需求。我在寫這篇文章的初稿時,是在 512M RAM 的 1.6GHz Celeron 桌上型電腦上執行 Windows 7 和 Office 2007,背景中還執行了一些企業營運應用程式。效能完全沒有問題。
接下來,請載入 Microsoft 應用程式相容性工具組 (ACT) 5.5,您可從 tinyurl.com/appcompat55 取得此工具,並用它來取得所選桌上型電腦的軟體統計資料。ACT 評估不只會掃描登錄中的已安裝軟體清單,還會查看被各類舊安裝程式暗藏起來的應用程式所造成的小空間。這項功能需要本機代理程式,ACT 管理伺服器會部署這項代理程式,然後該程式會連續幾天定時傳回報告,之後便自行解除安裝。
如您在圖 5 所見,ACT 的資料收集工作做得非常徹底,所以您需要效能相當好的伺服器才能執行該作業。除非您想要在範例中包含數以千計的電腦,否則使用 SQL Express 儲存資料應該足夠。不過,如果軟體負載是依部門或功能群組的職務進行分割,您可以從每個群組選擇幾個代表電腦做為範例。即使有幾萬台桌上型電腦,也應該取樣 2% 到 3%,以了解工作量到底有多大。
.gif)
圖 5 Microsoft 應用程式相容性工具組 5.5 應用程式報告 (按一下以放大影像)
現在,讓我們回頭看看這個規模盛大的會議。請進行充分的準備。從部門保管箱裡挖出點經費,買夠甜甜圈和比薩,份量得能餵飽一隻中型暴龍。預約一間白板特大的會議室。如果不能讓每個人都坐飛機來開會,那麼請在會議室安裝大螢幕,啟動選用的網路會議軟體,並確定整個房間擺滿了麥克風和攝影機。
在前半場會議中,問與會者他們是如何使用 Windows 7 來改善日常作業的。找出他們覺得困難的地方。傾聽他們的牢騷。鑽入這些人的腦袋,找出能具體地改善使用者產能、增強安全性、提升行動力及簡化工作流程的功能組合。
另外半天的會議,則請概述部署計畫。不要花太多力氣解決可能的相容性、互通性或工作程序上的問題。如果已經執行 XP 好幾年,則組織所演化出的程序都一定開始有點...嗯...搖搖欲墜。您只需找出問題,加以分類,然後繼續開會。
假裝您是測試新油田的地質學家。請專心尋找大油田,稍後再解決如何抽取的問題。
這項會議將會產生 5W 的藍圖 (who、what、when、where 及 how)。討論的問題包括:要部署什麼功能?誰進行準備作業?要花多少時間?受影響最大的使用者有哪些?如何取得這些使用者的合作?部署會花費多少軟硬體經費?可能產生失敗的地方在哪裡?測試需要什麼資源?更重要的是,何時可以開始作業?將所有問題濃縮成五張投影片,向管理階層大力推銷,接下來就是執行、執行、執行。
5. 擴充部署範圍。
Windows 7 的最佳功能中,有些可能需要變更基礎結構。例如:在我最愛的功能中名列前矛的,是新檔案總管殼層中的同盟搜尋和媒體櫃。這些功能可互相搭配使用,提供集中而有彈性的方式來檢視散佈各處的資料。
使用同盟搜尋的重點,是尋找或建立與 Web 架構資料儲存機制的連接器。連接器是 .OSDX 檔案內的一組設定項目。這些項目會指向網站,並描述處理內容的方法。以下是 Bing 連接器的範例:
<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="https://schemas.microsoft.com/opensearchext/2009/">
<ShortName>Bing</ShortName>
<Description>Bing in Windows 7.</Description>
<Url type="application/rss+xml"
template="http://api.bing.com/rss.aspx?source=web&query=
{searchTerms}&format=rss"/>
<Url type="text/html" template="https://www.bing.com/search?q={searchTerms}"/>
</OpenSearchDescription>
用滑鼠右鍵按一下 .OSDX 檔案時,檔案總管會在內容功能表中顯示 [建立搜尋連接器] 選項。按一下該選項,接著就會在 [我的最愛] 下方的項目清單中新增連接器。若要啟動搜尋,請反白選取連接器並在 [檔案總管] 視窗右上角的搜尋欄位中輸入詞彙。在幾秒鐘內,檔案總管就會填入結果窗格。按一下 [預覽] 來檢視所選頁面的內容。圖 6 顯示了一個範例。
.gif)
圖 6 檔案總管中的搜尋連接器 (按一下影像以放大圖片)
連接器的建立方式很簡單。只要說服內部開發人員為內部網路伺服器 (公司入口網站、SharePoint 伺服陣列等等) 建立幾個連接器。將這些連接器指向 SevenForums (tinyurl.com/srchcon) 冗長的範例連接器清單,這個非常有用的獨立網站是針對所有與 Windows 7 有關的資訊而建立。使用標準套件部署工具,將這些連接器散發給使用者。接著可以用它們為散佈各處的 Web 資料建立標準的檢視。
雖然同盟搜尋可以把網站內容處理得相當好,但在面對檔案伺服器上高達數 TB 的檔案時,卻無法有效地進行搜尋。這表示不了解磁碟機對應和網路資料儲存的使用者,可能需要花數小時篩檢 W:磁碟機,才能找到上個月所寫的報告 (舉例而言)。
而這正是媒體櫃派上用場的地方。媒體櫃會將各種來源的檔案彙整為可搜尋的物件。Windows 7 中的預設媒體櫃包含常見的個人資料類型及位置,包括文件、音樂、圖片和視訊等,這個清單也可以輕鬆擴充以包含伺服器架構的儲存機制。只需用滑鼠右鍵按一下、選取 [新增媒體櫃],然後新增共用資料夾的 UNC 路徑。
附帶條件:目標資料夾必須有編製索引。在 Windows Server 2008 及更新版本上,安裝檔案服務角色。然後在角色服務下,安裝 Windows Search 服務。在 Windows Server 2003 SP2 伺服器上安裝 Windows Search 4.0,這個免費下載程式可從 tinyurl.com/srch40dwnload 取得。此外,由於 Search 介面的限制,即使 DFS 資料夾的最終目標為已編製索引的檔案伺服器,您也無法指定 DFS 路徑。
您無法使用命令列公用程式建立媒體櫃,而在本文撰寫之時,也尚無 Windows PowerShell Cmdlet 可用。Windows 7 SDK 包含以程式設計方法操作媒體櫃的工具,所以可能很快就有小型的公用程式出現。請注意這些程式的動態。
關於媒體櫃預設動作的注意事項:檔案總管會將媒體櫃顯示在 [通用檔案] 對話方塊中,這樣使用者就可以藉由拖放動作將檔案儲存到媒體櫃。如果在媒體櫃下有多個連結,則必須將其中一個設定為預設目標。
6. 準備分散式安全性。
在首次的策略會議中,請特別花時間討論要以什麼方式處理 Windows 7 中許多的分散式安全性功能。您會想要及早在專案中決定所要採取的動作途徑,因為這些決策將對測試表有相當顯著的影響。
首先,請考量您是否要開啟桌面防火牆。當 OS 架構的桌面防火牆在 XP SP1 中首次引進時,許多組織都用群組原則加以關閉,所以才需要考慮這點。Windows 7 中的防火牆更加靈活,所以需要重新考量。您可在電腦與網域連接時關閉防火牆,而在電腦與家用/工作網路或與網際網路連接時加以開啟。您也可以定義更細部的排除條件。請對頭一波的試驗使用者嘗試多種選項,取得其意見反應,及安全性小組的看法,然後再進行關於防火牆設定的最後決策。這些設定可完全藉由群組原則來進行。
其次,您要使用 AppLocker 來限制可在您桌面上執行的應用程式嗎?AppLocker 讓您列出受核准可執行檔的允許清單,您可以依檔案雜湊個別選取、依位置整組選取,或依發行者整組選取 (以發行者的憑證為準)。這些規則在設定後,就可由執行應用程式識別服務的 Windows 7 用戶端下載。從這個時候開始,就只能執行允許清單上的應用程式。所有其他的可執行檔都只能閃邊站,這種情況有點像我高中時在體育場上的表現。
因為 AppLocker 權限是透過群組原則來套用,所以您可以根據 OU、群組成員資格或 WMI 篩選來嚴格控制套用規則的目標電腦。
為了決定列入 AppLocker 允許清單的應用程式而篩檢成堆的應用程式,聽起來一點都不有趣,但情況應該不會這麼糟。大多數的企業營運電腦都有固定而有限的應用程式套件。就從這裡開始吧!畢竟,如果您可以讓晚班人員專心建立 Widget,而不是在公司的 Kiosk 機器上插上快閃磁碟打電玩,就可能已解決不少的營運問題了。稍後再來處理後端辦公室的機器。
最後,您要使用加密來保護膝上型電腦和快閃磁碟機嗎?如果您的主管、經理及知識工作者會出外四處走動,而且攜帶著裝滿了寶貴智慧財產的資料磁碟,則答案應該是無庸置疑的「是」。BitLocker 可以讓您加密整個硬碟及其上的所有資料。BitLocker To Go 則可將這項加密功能擴充到快閃磁碟機和其他可攜的媒體。您真的需要部署這項技術。
聽著,我可不是說您只需要在群組原則中開啟 BitLocker 原則,加密一大堆磁碟機,然後就可以走人。就像使用其他加密架構的技術一樣,您必須仔細考量各選項。可不要成了那個讓其他員工傳頌多年的憋腳人物,想想看:「還記得那次在開年度大會前一小時,執行長的筆電被鎖住?可憐的<在這裡輸入您的姓名>老兄,居然忘了設定企業修復金鑰?」最好雇用有企業等級的磁碟機加密經驗,也熟悉 BitLocker 實作的顧問。重點是:別給這種複雜情況嚇到了,因為其他後果可能更悽慘。畢竟,人們傳頌多年的故事有可能是:「還記得財務長的筆電還沒被犯罪組織侵入的時候嗎?就是我們公司還在的時候?」
7. 虛擬化桌面。
試想以下情景:您花了好幾個星期或好幾個月,設計標準的 Windows 7 桌面映像。您勤奮地工作,解決了不少技術問題,也找出方法可以將應用程式和使用者資料在電腦之間快速地移動,以降低移轉作業的影響 (Windows 自動化安裝套件一部分的使用者狀態移轉工具,是進行此類工作的絕佳起點。如需逐步解說的示範,請造訪 tinyurl.com/usmtwt)。您的現場技術人員已受過訓練。支援小組也因您在 SharePoint 網站上張貼了各種指引而感到安心。您終於準備好開始進行導入。
可是,等一下,Windows 7 提供在硬碟的虛擬硬碟 (VHD) 檔中安裝作業系統的選項,所以您不必將作業系統直接安裝到各個新電腦的硬碟。OS 會從這個 VHD 的內容開機,成為磁碟機 C,然後將實際的硬碟辨識為磁碟機 D。只要有適當的規劃,以這種方式安裝的 OS 可攜性可能會變得很高。如果小史從新竹搬到台北,則新竹的現場技術人員可以將 VHD 透過網路複製給台北的技術人員,後者只需將其安裝到一台電腦上,然後等小史一出現,就可以立即以他熟悉的桌面環境作業。
如果您覺得這種應急方法所提供的效能一定不高,可別太肯定。請看虛擬化團隊部落格上的磁碟 I/O 統計資料:tinyurl.com/nativevhd。
有一些需要注意的事項。第一點與休眠相關,VHD 開機的電腦無法使用休眠功能。這表示您也許不想在膝上型電腦上使用 VHD 開機。此外,您不能在使用 BitLocker 加密的磁碟機上進行 VHD 開機,這點也會削弱在膝上型電腦使用 VHD 開機的誘因。
VHD 架構部署的效益,可能並不值得如此複雜的處理作業,但您應至少將其納入測試計畫。本文將不詳述完整的作業步驟,但您可利用以下資源取得說明:您可以使用 Max Knor 的方法 (說明請見 tinyurl.com/win7bootvhdnativinstall),該方法基本上是以 Windows 7 安裝 CD 開機、再巧妙地切換成命令提示字元、建立 VHD,然後再用它做為安裝程式的目標,很聰明吧!您可以依照 TechNet 的逐步解說:tinyurl.com/win7bootvhdwt;或者觀看下列 TechNet 影片:tinyurl.com/win7bootvhdvid。
一旦熟悉這些技巧後,可以看看 Kyle Rosenthal 在 Vista PC Guy 部落格中,針對使用 WinPE 工具建置映像所發表的說明。例如,vistapcguy.net/?p=71 的步驟說明如何使用 WinPE 工具建立可開機的快閃磁碟機,並在其上建立安裝映像。有了該工具,您就可以在電腦上快速地安裝標準映像,而不必觸及任何光碟。
8. 評估企業功能。
VHD 開機 (和 BitLocker 和 AppLocker 一樣),是屬於必須使用 Windows 7 企業版或旗艦的功能類別。Enterprise SKU 只能藉由大量授權合約取得。如果您擁有 Enterprise 或 Ultimate,則應該考量部署一些額外的功能,以改善安全性並簡化作業。
BranchCache 可用來將檔案傳輸快取在分公司的中央伺服器,或快取為桌上型電腦對等網路的一部分。當用戶端啟動檔案傳輸時,會先檢查檔案是否快取在本機,以及檔案雜湊是否符合授權來源的雜湊。如果是,便會從快取複製檔案。這不只會加快使用者的作業速度,也會降低 WAN 的網路負載,光是這項優點,就一定會讓網路人員面露微笑 (他們曾經笑過,相信我)。我強烈建議您在測試中試用 BranchCache,以評估您的各項應用程式及相關的檔案流量是否可以獲益。
接下來,您可以將我在前一章節中討論的 VHD 架構的半虛擬化作業,往前更推進一步,也就是進行真正的虛擬化作業,方法是在 Windows Server 2008 R2 伺服器上部署虛擬桌面基礎結構 (也稱為 VDI)。在 VDI 中,每個桌面工作階段都以個別的虛擬機器形式存在,使用者是透過 RDP 進行連線。這項安裝與使用終端機服務來發行桌面的較主流方式有很大的差異,在終端機服務方法中,所有的使用者都使用相同的應用程式映像。在終端機服務中,如果有人搗亂,每個人都倒楣。您看過「瘋狂高爾夫」(Caddyshack) 這部片嗎?不必多說,您看了就知道 (您也可以將應用程式虛擬化,以避免終端機伺服器中發生不好的互動。請試用 Microsoft Desktop Optimization Pack 中的 App-V 工具)。
VDI 可能會有些昂貴。您必須藉由伺服器為使用者的虛擬桌面提供完整的補充記憶體及網路存取,其成本可能會超過 PC 的成本。但對分散式桌面環境的災害復原來說,沒有其他方法能提供更好的保護。
另一項 Enterprise 功能 DirectAccess 則讓使用者可以透過 Windows Server 2008 R2 閘道連接到企業網路,而不需使用 VPN。使用者可在機場打開具有 EVDO 功能的迷你筆電,即可立即存取儲存在企業伺服器上的文件並開始作業。但要您的安全性小組接受這項功能可能得花些功夫 (這些人就真的從沒微笑過)。
9. 建置相容性安全網。
在這個大頭會議中一個絕對要取得結論的問題,是您的組織是否已準備好部署 64 位元的桌上型電腦。在更新週期中所部署的新電腦幾乎都一定是 64 位元的。以今天的 RAM 價格來說,您可能至少要在電腦中安裝 2 GB 的 RAM,如果您可以說服財務部門核准稍微高一點的單價,最好安裝 4 GB。這些電腦應該具備雙核心的處理器,或甚至是四核心的,並且具有足夠的視訊記憶體以支援 Aero。這些電腦執行 64 位元 OS 時的效能都非常好。
即使您目前所有的企業營運和商務應用程式都還是 32 位元的,安裝 64 位元版本的 Windows 7 仍然合理,單就可以確保投資在未來的使用期限,就值得這麼做。目前的趨勢明顯地走向 64 位元的標準,所以最好在廠商決定棄守回溯相容性之前預作準備。
如果您決定導入 64 位元的桌上型電腦,請徹底地測試裝置驅動程式、防毒套件、管理代理程式等等問題。如果目前擁有 32 位元的列印伺服器,則需要在列印佇列中填入 64 位元驅動程式。您也可以選擇部署新的 x64 Windows Server 2008 或 R2 列印伺服器,並在建立佇列時填入這兩組驅動程式。Windows Server 2008 R2 中的印表機移轉精靈可協助這項工作的進行。最好能部署新的 R2 列印伺服器,因為該列印模型已經過改良,可以將驅動程式保留在其本身的記憶體空間中,如此損毀的驅動程式就不會使多工緩衝處理程式失敗。
最可能使電腦當機的情況,就是需要執行舊有的 16 位元應用程式時,這些程式在 64 位元的主機上完全無法執行。這種情況下,您最好的選擇,就是效法美國北方的溫室農夫數代相傳的種番茄秘訣:建立一個讓植物誤以為它們在熱帶而非北極圈的環境。以電腦話來說,就是:使用 XP 模式,在 x64 的 Windows 7 桌面上建置 x86 XP SP3 的執行個體。
您可以從 Windows 7 [開始] 功能表 (圖 7) 啟動以 XP 模式虛擬機器所安裝的應用程式,就好像這些應用程式原來就安裝在 Windows 7 中一樣,這樣使用者就不會有身處兩個世界的精神分裂危險 (這個秘訣其實是來自一個特殊的 RAIL Hotfix,而不是由 XP 模式直接提供,所以您可以透過安裝 RAIL Hotfix,然後以 32 位元的 Vista 或者 Windows 7 執行 Virtual PC,就可以展示同樣的 [開始] 功能表密技)。
.gif)
圖 7 開始功能表中的 XP 模式應用程式清單
根據預設,XP 模式的虛擬機器會在虛擬機器內以本機帳戶執行。該帳戶稱為 User。您是在安裝時設定此帳戶的密碼,而密碼會設為永不過期。或者您也可以啟動虛擬機器,然後將其連結到網域,並使用您的網域認證登入。您可以將 Exchange 2003 ESM 載入至 XP 模式,使用舊版的系統管理工具,而獲得完全相容的系統管理環境。還有,我有沒有提到在主機和虛擬機器之間可以順暢無礙地進行剪貼作業?多美哪!
XP 模式需要使用硬體架構的虛擬化,Intel VT 或 AMD-V 都可以。任職於 Gibson Research Corp. (位於加州 Laguna Hills,以 SpinRite 和 ShieldsUP! 等軟體聞名) 的 Steve Gibson 提供一個稱為 SecurAble 的免費公用程式 (grc.com/securable.htm),這個程式可以快速地告訴您電腦是否符合該標準。如需 SecurAble 報告的範例,請參閱圖 8。
.gif)
圖 8 Gibson Research Corp. 所提供的 SecurAble 報告
如果您有幾百或幾千台 PC,則需要集中的管理套件來處理這個替代環境。這個套件就是 Microsoft Enterprise Desktop Virtualization (MED-V),為 Microsoft Desktop Optimization Pack 的一個元件。MED-V 2.0 在用戶端上的作業方式與 XP 模式類似,都是透過安裝需要硬體虛擬化支援的虛擬機器來作業。MED-V 在後端則提供多種工具,可用來建置套件並將其部署到虛擬機器。如需詳細資訊,請參閱張貼於 tinyurl.com/medvblog 的這個 Windows 小組部落格。
10. 移除使用者的本機管理員權利。
如果您尚未廢除使用者的本機管理員權限,現在是時候了。沒錯,我知道很難。膝上型電腦的使用者特別難以放棄,因為支援人員無法在電話裡逐步教他們進行複雜的修復作業。還有那些由部門的精神領袖及自命為系統管理員的人所組成的 IT 地下組織,這些人會尋找符合特定策略需求的應用程式,然後不管有沒有進行互通性測試,就急匆匆地用隨身碟安裝這些應用程式。那些具有本機管理員權利的一般使用者在電腦上安裝的垃圾,就更不用提了。您真的會嚇到,因為就算那些最沒系統管理經驗的,連密碼重設之類的小事都得煩擾支援人員的使用者,都可以在涉及購物或運動等獎賞時,找到方法來安裝多層式用戶端-伺服器等複雜的前端應用程式。
就算您召集了政治力量,不讓大多數使用者擁有本機管理員權利,應用程式也會在您剝奪這些權利時,就開始發生狀況。有驚人比例的應用程式會持續寫入檔案系統和登錄受保護的部分。
Windows 7 可簡化切換為標準使用者的作業。背景程序會將變更從受保護的區域,重新導向至使用者控制的區域。單單這點,就可以解決許多在使用 XP 進行標準使用者作業時,所可能遭遇的問題。同時還有一些簡單但重要的改良,會對標準使用者有所幫助,例如變更時區的能力,這項工作在 XP 和 Vista 中都需要本機管理員權利才能進行。變更螢幕解析度、執行 ipconfig /refresh 以取得新的 DHCP 位址,及安裝選用更新等,都在此列。
應用程式相容性工具組 (ACT) 包含標準使用者分析器 (SUA) 精靈,有助於檢查應用程式。SUA 為應用程式提供提高權限的啟動平台。然後,當應用程式安裝及執行時,SUA 就會在其中四處搜尋,尋找可能防止該應用程式以標準使用者身分執行的小問題。在此作業完成後,您就可以針對應用程式取得全部項目都通過的健康檢查表,或是需要修補的項目清單。
當您下載 ACT 時,也可以順便從下列網址下載應用程式驗證工具:tinyurl.com/appverify。這是由 SUA 精靈所使用的工具,並未包含在 ACT 套件中。此外,也請務必閱讀 ACT 5.5 的文件。這些文件是相容性問題和修正方法的絕佳資訊寶藏。2009 年 6 月號的 TechNet Magazine 也詳細報導了應用程式相容性主題。
但一定需要本機管理員權利的使用者怎麼辦?例如該如何處理那些具有足夠影響力,可以將自己放回本機管理員群組的系統管理員、開發人員和使用者?您真的想讓這些使用者利用提升的權限,整天四處閒晃嗎?我希望您的答案是「不」,這也正是為什麼您該把遭人中傷的使用者帳戶控制 (UAC) 當做朋友。Mark Russinovich 最近在 2009 年 7 月的 TechNet Magazine 中寫了一篇有關該主題的詳細文章 (<Inside Windows 7 User Access Control>)。在您將新的 UAC 滑桿推到最底下而在電腦上停用該功能之前,建議您上網看看該文章。
不只風光一時
準備及部署 Windows 7 要花很多工夫,但對真的想要新 OS 的使用者很有幫助。這是指那些試用過新介面的使用者,這些人很喜歡它的合用度及完備度、回應能力和新功能。
系統管理員可不是常有搶鏡頭的機會。我會趁現在多多享受。您也該這麼做!祝您 Windows 7 部署順利。可別忘了告訴我結果。
Bill Boswell (billb@microsoft.com) 是美國亞利桑那州鳳凰城分公司的 Microsoft Consulting Services 資深顧問。Bill 的最新任務是出任一家重要航空公司的 IT 架構與規劃 (ITAP) 顧問。