Windows 7
10 coisas a serem feitas primeiro no Windows 7
Bill Boswell
Visão geral:
- Conhecendo o Windows 7
- Lidando com os requisitos mais recentes da ativação de volume
- Desenvolvendo um roteiro
- Lidando com os novos recursos de segurança distribuída
- Virtualizando áreas de trabalho e infraestruturas
- Removendo direitos de administrador local dos usuários
Sumário
1. Familiarize-se com o Windows 7.
2. Saiba mais sobre o Windows PowerShell.
3. Desvende o licenciamento.
4. Concentre-se nas melhorias estratégicas.
5. Expanda o escopo da implantação.
6. Prepare-se para a segurança distribuída.
7. Virtualize suas áreas de trabalho.
8. Avalie os recursos empresariais.
9. Crie redes de segurança para compatibilidade.
10. Remova os direitos de administrador local dos usuários.
Você pode ser herói por mais de um dia
Ao percorrer a lista de novos recursos e melhorias do Windows 7 (consulte o gráfico de comparação de recursos em tinyurl.com/win7featuregrid), com certeza você irá se perguntar como é possível abordar toda essa nova tecnologia de maneira a entregá-la a seus usuários sem provocar muita interrupção.
As 10 etapas a seguir ajudam a realizar essa tarefa.
1. Familiarize-se com o Windows 7.
Obviamente, a primeira etapa é adquirir experiência pessoal. E isso significa mais do que simplesmente vagar pelo laboratório. Instale o Windows 7 em todas as estações de trabalho de sua organização e na máquina que você usa em casa para chamadas de problemas de acesso remoto. Esforce-se para encontrar maneiras de fazer tudo funcionar.
A maioria das ferramentas de gerenciamento de servidores Windows no Windows 7 estão incluídas nas Ferramentas de Administração de Servidor Remoto (RSAT) do Windows 7, que devem ser baixadas separadamente. No momento desta edição, o pacote final do RSAT ainda não estava finalizado. A versão Release Candidate está disponível em tinyurl.com/win7rcrsat.
Não se surpreenda quando sua pasta Ferramentas Administrativas não for populada imediatamente depois da instalação do pacote RSAT. As ferramentas do RSAT são fornecidas na forma de um Recurso do Windows que deve ser habilitado separadamente usando o applet Programas e Recursos no Painel de Controle. Consulte a Figura 1 para obter um exemplo. Por uma razão desconhecida (mas, com certeza, totalmente válida), você precisa clicar separadamente em cada recurso para selecioná-lo. Os blocos de seleção pai não selecionam os filhos automaticamente.
.gif)
Figura 1 Lista de recursos do RSAT do Windows 7 (clique na imagem para ampliá-la)
As ferramentas do RSAT do Active Directory funcionarão com controladores de domínio do Windows 2003 e do Windows 2008, embora alguns recursos, como a Lixeira do Active Directory, exijam o nível de funcionalidade do Windows Server 2008 R2.
O gerenciamento do Exchange 2003 em uma estação de trabalho com o Windows 7 não é muito simples: o console do Gerenciador do Sistema do Exchange (ESM) fornecido com o CD de instalação do Exchange 2003 não funciona no Windows 7. Há uma versão especial do ESM desenvolvida para o Vista que pode ser baixada em tinyurl.com/esmvista. Esse console funciona bem no Windows 7, mas o instalador faz uma verificação específica do Vista (Windows versão 6.0.0) que provoca falha no Windows 7. É possível usar uma ferramenta gratuita da Microsoft chamada Orca para modificar o arquivo MSI para remover ou modificar a verificação da versão. O Orca é fornecido como parte do SDK do Windows Installer; as instruções de download podem ser encontradas em tinyurl.com/orcamsi. No entanto, você descobrirá que é muito mais simples carregar o ESM no Modo XP. Falarei mais sobre esse assunto mais tarde.
2. Saiba mais sobre o Windows PowerShell.
É seguro dizer que a única habilidade mais importante que um administrador do Windows precisará nos próximos anos é ter proficiência no Windows PowerShell. O Windows 7 e o Windows Server 2008 R2 têm o Windows PowerShell versão 2 embutido no sistema operacional e, por padrão, ele está habilitado. Você deve planejar a instalação do Windows PowerShell v2 nos servidores e desktops restantes para poder usar uma única tecnologia de scripts para gerenciar toda a sua frota. (Observe que não será possível instalar o PowerShell v2 em servidores e estações de trabalho com o Exchange 2007. Essas máquinas exigem o PowerShell v1.1. Mas até a v1.1 fornece acesso a uma ampla variedade de funcionalidades.)
Mesmo que você seja um administrador obstinado pela interface gráfica do usuário que não tenha aberto um prompt de comando desde o ano 2000, você descobrirá que a maioria das novas ferramentas da interface gráfica do usuário da Microsoft agora estão tomando a forma de front-ends gráficos em lugar dos cmdlets do Windows PowerShell. Muitas dessas ferramentas indicarão a cadeia de caracteres do comando subjacente se você souber onde procurar. Essa é uma maneira fácil de ver como os cmdlets funcionam.
Muitas boas referências ao Windows PowerShell estão disponíveis, inclusive o excelente manual "Windows PowerShell em Ação" (Manning Publications, 2007), escrito por Bruce Payette, membro da equipe do Microsoft Windows PowerShell. Uma nova edição estará disponível em breve. Você pode pagar alguns dólares para ler os primeiros capítulos, reservar uma cópia quando ele for lançado e obter um livro eletrônico da primeira edição no site do editor, em manning.com/payette2. Consulte também o "Windows PowerShell Pocket Reference" (O'Reilly Media Inc., 2009) de Lee Holmes, outro membro da equipe do Windows PowerShell. E visite o blog da equipe do Windows PowerShell, em blogs.msdn.com/PowerShell. Lá, você encontrará uma das equipes de desenvolvedores mais interativos do planeta. Vale a pena ler cada palavra desse blog. Duas vezes.
Mais boas notícias: o pacote do RSAT do Windows 7 contém os mesmos cmdlets do Windows PowerShell do Active Directory que são fornecidos com o Windows Server 2008 R2. Consulte a Figura 2 para obter um exemplo. A melhor fonte de informações adicionais é o blog do Active Directory PowerShell, em tinyurl.com/psadblog.
.gif)
Figura 2 Cmdlets do ADPowerShell em ação (clique na imagem para ampliá-la)
Você pode usar esses cmdlets do AD para gerenciar domínios em execução no Windows 2003 e no Windows 2008, mas primeiro é necessário instalar o Serviço do Gateway de Gerenciamento do Active Directory (AD Management Gateway Service, também conhecido como Serviços Web do AD ou ADWS) em pelo menos um controlador de domínio. No momento desta edição, o ADWS está na versão beta e pode ser baixado no site connect.microsoft.com.
O serviço ADWS requer o Windows Server 2003 SP2 (normal ou R2) ou o Windows Server 2008 básico ou SP2. Será necessário instalar o .NET Framework 3.5 SP1 (tinyurl.com/dotnet35sp1) e um hotfix (support.microsoft.com/kb/969429) que habilita o suporte para o sinalizador do serviço Web no Netlogon. (O hotfix está embutido no Windows Server 2008 SP2.)
Se você trabalha em uma dessas organizações onde obter aprovação para mudanças de controladores de domínio exige muito tempo e esforço e deseja começar a usar o Windows PowerShell para gerenciar o Active Directory enquanto ainda é jovem e saudável, analise os cmdlets gratuitos do Active Directory no Quest, no endereço quest.com/PowerShell.
3. Desvende o licenciamento.
Se sua organização não implantou o Vista, talvez você não esteja familiarizado com os requisitos mais recentes da ativação de volume no Windows. Se você for um administrador em uma empresa com mais de 25 desktops e/ou cinco servidores, se sua organização obtém os benefícios de um programa de licença de volume, como o Enterprise Agreement ou o Select Agreement, e desejar adquirir o Windows 7 Professional ou Ultimate (ou se você atualizar para essas versões como parte do Software Assurance), deverá fazer o seguinte: imprima uma pequena pilha de documentos sobre o Volume Activation no site tinyurl.com/volact, abra uma garrafa de um bom vinho toscano e comece a estudar.
Quando, finalmente, você estiver totalmente confuso, baixe um excelente webcast do gerente de produto, Kim Griffiths, que dá uma ótima explicação das nuances do programa. O webcast pode ser encontrado em tinyurl.com/volactwebcastwin7.
Em resumo, para implantar o Windows 7 em desktops usando licenças de volume, você provavelmente precisará instalar um Servidor de Gerenciamento de Chaves (KMS). Eu digo "provavelmente" porque talvez você não tenha máquinas suficientes em sua organização para dar suporte à ativação do KMS. Um KMS não começará a distribuir aprovações de ativação até que tenha recebido solicitações de pelo menos 25 desktops e/ou cinco servidores. Isso serve para impedir que fornecedores inescrupulosos usem a mesma chave de licença de volume para vários clientes pequenos. Depois de ativado, um cliente deve reativar a cada seis meses. Apesar do que você deve ter lido em outros lugares, não há um modo com funcionalidade reduzida no Windows 7. Se a chave de ativação expirar, o plano de fundo do desktop simplesmente fica preto e uma notificação no formato de um balão declara que o sistema operacional não é original.
Se você tiver menos do que o número de dispositivos exigido para um KMS, poderá obter uma Chave de Ativação Múltipla (MAK), que é armazenada com as alocações de ativação com base no número de licenças de volume adquiridas, além de um fator de correção que permite adicionar máquinas entre adequações ("true-ups"). Uma chave MAK é autenticada por um serviço hospedado da Microsoft; portanto, você precisará de acesso à Internet após a instalação do sistema operacional.
Uma alteração introduzida com o Windows 7 e o Windows Server 2008 R2 agora permite que as máquinas virtuais sejam contadas em relação ao número mínimo para ativação do KMS. Isso ajuda a aumentar a contagem de dispositivos se você for um pequeno cliente que usa muitas áreas de trabalho virtuais e servidores.
Se você já tiver um KMS para o Vista e o Windows Server 2008, poderá baixar uma atualização para ativar máquinas do Windows 7 e do Windows Server 2008 R2.
4. Concentre-se nas melhorias estratégicas.
Depois que você já estiver familiarizado com a administração do sistema usando as ferramentas do Windows 7 e tiver configurado a tecnologia para ativar seus desktops, estará na hora de começar a planejar a implantação para os usuários finais. A coisa mais importante a ser feita neste ponto, e eu sei que você não vai gostar de ouvir isto, é fazer uma reunião.
Calma… calma! Siga meu raciocínio. Este será um tipo diferente de reunião. Você precisará reunir todos os seus conhecidos de TI que estão trabalhando com o Windows 7. Não só os arquitetos. Não só o pessoal que lida com desktops. Não só a equipe de servidor, nem os funcionários da assistência técnica ou os desenvolvedores internos ou gerentes de projeto. Você precisará de representantes de todas as equipes. Imagine a reunião como um conselho ecumênico. Ela precisará levar um dia inteiro. Diga aos participantes potenciais que só as pessoas legais estarão nessa, assim eles certamente não vão querer perder a reunião.
Faça um favor a si mesmo antes da reunião: arme-se com números. Porque, em algum ponto, certamente alguém vai dizer: "nós realmente precisamos montar um catálogo de aplicativos empresariais que possa ser usado para executar testes de compatibilidade. E todas as nossas máquinas realmente podem executar o Windows 7?" Em seguida, o grupo vai gastar uma ou duas horas falando sobre como montar o catálogo ou por que isso não pode ser feito ou como John da equipe de desktops já tem uma planilha com essas informações, mas que não foi atualizada há um tempo, e que a planilha não inclui as máquinas da Europa, do Oriente Médio e da África e assim por diante.
Você pode cortar toda essa conversa com duas ferramentas gratuitas de inventário e de análise. Primeiro, há o Microsoft Assessment and Planning Toolkit (MAP 4.0), disponível em tinyurl.com/map40. Essa ferramenta sem agente coletará estatísticas em seus desktops e fornecerá um relatório de quais desktops estão prontos para o Windows 7, quais precisam de atualização de hardware e quais nunca estarão prontos, independentemente de quanta maquiagem você aplicar neles. O MAP gera gráficos de pizza sofisticados para a gerência (consulte a Figura 3) e pilhas de números para os técnicos (Figura 4).
.gif)
Figura 3 Resumo da avaliação do Microsoft Assessment and Planning Toolkit 4.0 (clique na imagem para ampliá-la)
.gif)
Figura 4 Detalhes da avaliação do Microsoft Assessment and Planning Toolkit 4.0 (clique na imagem para ampliá-la)
Ao executar a ferramenta, não restrinja demais seus requisitos de hardware. Eu escrevi o primeiro rascunho deste artigo executando o Windows 7 e o Office 2007 em um desktop Celeron com 1,6 GHz, 512 MB de RAM e vários aplicativos de linha de negócios em execução em segundo plano. O desempenho foi perfeitamente aceitável.
Em seguida, carregue o Microsoft Application Compatibility Toolkit (ACT) 5.5, disponível em tinyurl.com/appcompat55, e use-o para obter estatísticas de software nos desktops selecionados. A avaliação do ACT não pesquisa só na lista de softwares instalados no Registro, ele procura em todos os cantos por aplicativos que foram escondidos por todos os tipos de instaladores herdados. Esse recurso requer um agente local, que é implantado a partir de um servidor de gerenciamento do ACT e envia relatórios periódicos por vários dias antes de se desinstalar.
Como você pode ver na Figura 5, o ACT faz um trabalho completo de coleta de dados, bastante profundo; portanto, você precisará de um servidor com uma potência razoavelmente boa para executá-lo. É possível usar o SQL Express para armazenar os dados, a menos que você queira incluir milhares de máquinas no exemplo. No entanto, se você tiver suas cargas de software distribuídas por departamento ou por grupo de trabalho funcional, poderá selecionar algumas máquinas representativas de cada grupo como um exemplo. Mesmo com dezenas de milhares de desktops, você deve ser capaz de amostrar de dois a três por cento para ter uma ideia do trabalho que terá à sua frente.
.gif)
Figura 5 Relatório de aplicativos do Microsoft Application Compatibility Toolkit 5.5 (clique na imagem para ampliá-la)
Agora, voltemos àquela grande reunião. Faça a coisa certa. Explore os cofres do departamento para comprar biscoitos e pizzas suficientes para encher um tiranossauro rex de tamanho médio. Encontre uma sala com quadros brancos de parede a parede. Se não for possível juntar todas as pessoas no mesmo local, instale grandes telas no perímetro da sala de reunião, ative o software de reunião pela Internet de sua preferência e verifique se há microfones e câmeras em todos os locais.
Na primeira metade da reunião, pergunte aos participantes como eles usam o Windows 7 para aprimorar suas tarefas diárias. Descubra o que demorou mais tempo para ser aprendido. Ouça suas reclamações. Vasculhe dentro desses cérebros para encontrar uma combinação de recursos que melhorará materialmente a produtividade de seu usuários, aumentará a segurança, encorajará a mobilidade e simplificará os processos de trabalho.
Passe a segunda metade do dia esboçando um plano de implantação. Não perca tempo tentando resolver problemas potenciais de compatibilidade, interoperabilidade ou de processos de trabalho. Qualquer organização que executa o XP há vários anos certamente tem procedimentos desenvolvidos que estão se tornando um pouco, digamos, decrépitos. Identifique os problemas. Categorize-os. Siga em frente.
Imagine que você é um geólogo que está testando um novo campo petrolífero. Concentre-se em descobrir os grandes poços e descubra como fazer a extração posteriormente.
O resultado dessa reunião será um roteiro incluindo quem, o que, quando, onde e como. Ele abordará perguntas como: Quais recursos vamos implantar? Quem fará o trabalho de preparação? Quanto tempo será necessário? Quais usuários serão mais afetados? Como obter a cooperação desses usuários? Qual será o custo da implantação em despesas diretas e indiretas? Quais são os pontos potenciais de falhas? Quais recursos são necessários para testes? E, o mais importante, quando o trabalho pode começar? Reduza tudo isso em cinco slides, venda para a gerência e, então, parta para a execução.
5. Expanda o escopo da implantação.
Alguns dos melhores recursos do Windows 7 podem exigir algumas alterações na sua infraestrutura. Por exemplo: o ponto alto da minha lista de recursos favoritos é a combinação de Pesquisa Federada e Bibliotecas no novo shell do Explorer. Esses recursos funcionam em conjunto para fornecer uma exibição centralizada e flexível dos dados distribuídos.
A chave para usar a Pesquisa Federada é localizar ou criar conectores com os repositórios de dados baseados na Web. Um conector é um conjunto de itens de configuração dentro de um arquivo .OSDX. Esses itens apontam para um site e descrevem como tratar o conteúdo. Vejamos um exemplo de um conector Bing:
<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="https://schemas.microsoft.com/opensearchext/2009/">
<ShortName>Bing</ShortName>
<Description>Bing in Windows 7.</Description>
<Url type="application/rss+xml"
template="http://api.bing.com/rss.aspx?source=web&query=
{searchTerms}&format=rss"/>
<Url type="text/html" template="https://www.bing.com/search?q={searchTerms}"/>
</OpenSearchDescription>
Quando você clica com o botão direito do mouse no arquivo .OSDX, o Explorer mostra uma opção Criar Conector de Pesquisa no menu de propriedades. Clique na opção, e o conector será adicionado à lista de itens em Favoritos. Inicie uma pesquisa do conector destacando-o e digitando termos no campo de pesquisa no canto superior direito da janela do Explorer. Em alguns segundos, o Explorer populará o painel de resultados. Clique em Visualizar para exibir o conteúdo de uma página selecionada. A Figura 6 mostra um exemplo.
.gif)
Figura 6 Conector de Pesquisa no Explorer (clique na imagem para ampliá-la)
A criação de conectores é simples. Convença seus desenvolvedores internos a reunir alguns para seus servidores da intranet (portal da empresa, farm do SharePoint, etc.). Indique para eles a longa lista de conectores de exemplo no SevenForums (tinyurl.com/srchcon), um site independente muito útil para todas as coisas relacionadas ao Windows 7. Distribua esses conectores aos usuários que estão usando seu pacote padrão de ferramentas de desenvolvimento. Você poderá então usá-los para criar uma exibição padrão de seus dados da Web distribuídos.
Embora a Pesquisa Federada possa tratar conteúdo de sites suficientemente bem, as organizações tendem a ter dificuldades para explorar terabytes de arquivos localizados nos servidores de arquivos. Isso significa que os usuários que têm apenas as mais vagas noções sobre mapeamentos de unidades e de armazenamento de dados na rede podem precisar de horas para explorar suas unidades W: tentando localizar, por exemplo, os relatórios que escreveram no mês anterior.
É aqui que entram as Bibliotecas. As Bibliotecas agregam arquivos de uma variedade de origens em objetos pesquisáveis. As bibliotecas padrão do Windows 7 incluem o sortimento normal de tipos de dados pessoais e locais (Documentos, Músicas, Imagens e Vídeos), e é fácil expandir essa lista para incluir repositórios baseados em servidor. Basta clicar com o botão direito do mouse, selecionar Nova Biblioteca e adicionar um caminho UNC para uma pasta compartilhada.
Uma armadilha: a pasta de destino deve ser indexada. No Windows Server 2008 e versões posteriores, instale a função Serviços de Arquivo. Em seguida, em Serviços de Função, instale o Serviço Windows Search. Em servidores com o Windows Server 2003 SP2, instale o Windows Search 4.0, um download gratuito em tinyurl.com/srch40dwnload. Além disso, devido a uma limitação na interface da Pesquisa, não será possível especificar caminhos DFS, mesmo que o destino final de uma pasta DFS seja um servidor de arquivos indexados.
Não existe um utilitário de linha de comando para criar bibliotecas e, até o momento da edição deste documento, nenhum cmdlet do Windows PowerShell. O Windows 7 SDK inclui ferramentas para trabalhar com bibliotecas programaticamente; portanto, não demorará até que pequenos utilitários comecem a aparecer. Fique atento a eles.
Uma observação sobre a ação padrão de Bibliotecas: o Explorer exibe Bibliotecas na caixa de diálogo Arquivos Comuns para permitir que os usuários salvem arquivos em uma Biblioteca arrastando e soltando. Se você tiver vários links sob uma biblioteca, um deles deverá ser configurado como o destino padrão.
6. Prepare-se para a segurança distribuída.
Durante a reunião estratégica inicial, reserve um tempo para discutir como lidar com os vários recursos da segurança distribuída no Windows 7. Você deverá determinar um curso de ação no início do projeto, porque essas decisões terão um impacto significativo em sua matriz de testes.
Em primeiro lugar, considere se você deseja ativar o firewall da área de trabalho. Quando os firewalls da área de trabalho baseados no sistema operacional foram introduzidos no XP SP1, muitas organizações os desativaram com uma Diretiva de Grupo e pronto. O firewall no Windows 7 é muito mais flexível e justifica uma reconsideração. É possível desativar o firewall enquanto a máquina está conectada ao domínio e ativá-lo quando a máquina está conectada a uma rede doméstica/de trabalho ou à Internet. Também é possível definir exclusões granulares. Tente uma mistura de opções com a primeira onda de usuários pilotos. Obtenha os comentários deles e a opinião da equipe de segurança para tomar uma decisão final sobre as configurações do firewall. Eles são totalmente configuráveis pela Diretiva de Grupo.
Em segundo lugar, você deseja usar o AppLocker para restringir a execução de aplicativos em seus desktops? O AppLocker permite que você monte uma lista branca de executáveis aprovados que podem ser selecionados individualmente por hash de arquivo, em grupos por local ou em grupos por editor (isto é, assinados pelo certificado do editor). Depois de configuradas, essas regras são baixadas pelos clientes do Windows 7 que executam o serviço de Identidade do Aplicativo. Deste ponto em diante, apenas os aplicativos da lista branca podem ser executados. Todos os outros executáveis são forçados a permanecer de lado, como eu durante minha carreira de atleta no ensino médio.
Como as permissões do AppLocker são aplicadas via Diretiva de Grupo, é possível direcionar rigidamente as regras aos computadores com base na unidade organizacional, na associação a um grupo ou em filtros do WMI.
Peneirar uma montanha de aplicativos para tentar determinar quais devem estar em uma lista branca do AppLocker não é uma coisa muito divertida, mas a situação não deve chegar a esse ponto. A maioria das máquinas de linha de negócios têm um conjunto fixo e limitado de aplicativos. Comece por aí. No final das contas, se você pode evitar que as equipes do turno da noite pluguem suas unidades flash em suas máquinas de quiosque de fábrica para executar jogos em vez de criar widgets, você já resolveu alguns problemas operacionais. Cuida das máquinas de back-office posteriormente.
Finalmente, você pretende proteger seus laptops e unidades flash com criptografia? Se seus executivos, gerentes e profissionais especializados estão lá fora andando com unidades de dados cheias de propriedade intelectual valiosa, a resposta será um ressonante sim. O BitLocker permite criptografar todo o disco rígido e todos os dados dentro dele. O BitLocker To Go estende essa criptografia para cobrir unidades flash e outras mídias portáteis. Você realmente precisa implantá-lo.
Agora, não estou dizendo que você deve simplesmente ativar a diretiva do BitLocker nas Diretivas de Grupo, criptografar uma porção de unidades e dar as costas. Como com qualquer outra tecnologia baseada em criptografia, você deve pesar muito bem as opções. Não seja aquela pessoa sobre quem os outros contam histórias anos a fio, como em "Lembra quando a CEO ficou com seu laptop bloqueado por uma hora antes da reunião anual e o pobre <insira seu nome aqui> não tinha preparado uma chave de recuperação empresarial?" Seria bom envolver um consultor com experiência em criptografia de unidade em nível empresarial e em implementações do BitLocker. O principal ponto é: não tenha medo da complexidade. A alternativa é ainda mais assustadora. Afinal de contas, a história contada pelas pessoas anos depois poderia ser algo como "Lembra quando tínhamos uma empresa antes do crime organizado por as mãos no laptop do CFO?"
7. Virtualize suas áreas de trabalho.
Imagine o seguinte: você gastou algumas semanas ou meses criando sua imagem de área de trabalho padrão do Windows 7. Você trabalhou muito para resolver problemas técnicos e descobriu maneiras de mover rapidamente aplicativos e dados de usuários entre máquinas, reduzindo o impacto da migração. (A Transferência do Windows, parte do Kit de Instalação Automatizada, é um bom lugar para começar esse tipo de trabalho. Para ver a uma demonstração passo a passo, visite tinyurl.com/usmtwt.) Seus técnicos de campo estão treinados. A equipe de assistência técnica está tranquila com toda a orientação que você postou no site do SharePoint. Você finalmente está pronto para iniciar a distribuição.
Mas espere! Em vez de colocar o sistema operacional diretamente no disco rígido de cada nova máquina, o Windows 7 permite instalar o sistema operacional em um arquivo VHD (disco rígido virtual) no disco rígido. O sistema operacional inicializa a partir do conteúdo desse VHD, que se torna a Unidade C, e vê o disco rígido real como a Unidade D. Com o planejamento correto, um sistema operacional instalado dessa maneira pode ser tornar altamente portável. Se John mudar de Cincinnati para Chicago, o técnico de campo em Cincinnati poderá copiar o VHD pela rede para um técnico de campo em Chicago, que o baixará em uma máquina para que John possa trabalhar em seu ambiente familiar de área de trabalho assim que o caminhão de mudança for descarregado.
Se você acha que o desempenho nesse arranjo seria menos do que fora de série, pense novamente. Verifique as estatísticas de E/S de disco no blog da equipe sobre virtualização, em tinyurl.com/nativevhd.
Há algumas limitações. A primeira está relacionada à hibernação, que simplesmente não funciona em máquinas inicializadas a partir do VHD. Isso significa que você pode não desejar usar inicialização no VHD para laptops. Além disso, você não pode inicializar no VHD em uma unidade criptografada com o BitLocker, o que também reduz sua atratividade para laptops.
Pode ser que a complexidade de lidar com implantações baseadas em VHD não compense os benefícios, mas você deve pelo menos incluí-las em seu plano de teste. As etapas para executar o truque são muito longas para este artigo, mas é possível obter instruções em alguns lugares: você pode usar o método de Max Knor, descrito em tinyurl.com/win7bootvhdnativinstall que, essencialmente, inicializa no CD de Instalação do Windows 7, sai para um prompt de comando, cria o VHD e, em seguida, usa-o como o destino do instalador — realmente brilhante. É possível seguir as instruções passo a passo no TechNet, em tinyurl.com/win7bootvhdwt, ou exibir este vídeo do TechNet: tinyurl.com/win7bootvhdvid.
Depois de se tornar proficiente nessas técnicas, dê uma olhada no que Kyle Rosenthal no blog Vista PC Guy tem a oferecer na forma de instruções para usar as ferramentas WinPE para criar imagens. Por exemplo, as etapas em vistapcguy.net/?p=71 mostram como criar uma unidade flash inicializável com as ferramentas WinPE e uma imagem de instalação nela. Com essa ferramenta em mãos, é possível instalar rapidamente sua imagem padrão em uma máquina sem tocar em uma única peça de plástico plano.
8. Avalie os recursos empresariais.
A inicialização no VHD, juntamente com o BitLocker e o AppLocker, caem em uma classe de recursos que exige o Windows 7 Enterprise ou Ultimate. O SKU do Enterprise só pode ser obtido através de um contrato de licenciamento por volume. Se você possuir o Enterprise ou o Ultimate, deverá considerar a implantação de alguns recursos adicionais para aumentar a segurança e simplificar as operações.
O BranchCache permite armazenar em cache transferências de arquivos em um servidor central de uma filial ou como parte de uma rede de mesmo nível de desktops. Quando um cliente inicia uma transferência de arquivos, ele primeiro verifica se o arquivo está armazenado em cache localmente e se o hash do arquivo corresponde ao hash na origem autoritativa. Em caso positivo, ele copia o arquivo do cache. Isso não só agiliza as coisas para os usuários, mas também reduz a carga da rede através da WAN, um benefício que, com certeza, coloca um sorriso na face dos responsáveis pela rede. (Eles riem. Eu já vi.) Recomendo testar o BranchCache em seu teste piloto para avaliar se sua mistura de aplicativos e tráfego de arquivos associado terá benefícios.
Em seguida, você pode usar a quase virtualização baseada em VHD discutida na última seção no próximo nível, a virtualização real, implantando uma Infraestrutura de Área de Trabalho Virtual, ou VDI, em servidores com o Windows Server 2008 R2. Em uma VDI, cada sessão da área de trabalho existe como uma máquina virtual separada, e os usuários se conectam via RDP. Essa configuração contrasta com a forma de publicação mais básica da área de trabalho dos Serviços de Terminal, em que todos os usuários nadam na mesma piscina de imagens de aplicativos. Nos Serviços de Terminal, se alguém cometer um erro, isso afetará a todos. Você assistiu o "Clube dos pilantras"? Já disse o suficiente. (Você também pode evitar interações infelizes em um servidor de terminal virtualizando seus aplicativos. Verifique as ferramentas App-V no Microsoft Desktop Optimization Pack.)
O VDI pode se tornar um pouco caro. O custo do suporte a áreas de trabalho virtuais de usuários com um complemento completo de memória e acesso à rede em um servidor pode exceder o custo dos PCs. Mas, para a recuperação de desastre em um ambiente de área de trabalho distribuído, não há proteção melhor.
Outro recurso do Enterprise, o DirectAccess, permite que os usuários se conectem através de um gateway do Windows Server 2008 R2 à rede corporativa sem o uso de uma VPN. Um usuário pode abrir seu netbook habilitado para EVDO sentado em um aeroporto e começar imediatamente a trabalhar em documentos armazenados em servidores corporativos. Mas a venda desse recurso para sua equipe de segurança pode levar algum tempo. (Agora, esse é um grupo que nunca sorri.)
9. Crie redes de segurança para compatibilidade.
Um problema que você definitivamente deve discutir em sua reunião com os grandes cérebros é se sua organização está pronta para implantar desktops de 64 bits. As novas máquinas implantadas como parte de um ciclo de atualização são, com certeza, habilitadas para 64 bits. Provavelmente, você está colocando pelo menos 2 GB de RAM nessas máquinas, aos preços atuais de RAM, mais provavelmente 4 GB, se você conseguir convencer a área de Finanças a aprovar os custos unitários um pouco mais altos. É provável que as máquinas tenham processadores de núcleo duplo, possivelmente até de núcleo quádruplo, com memória de vídeo suficiente para dar suporte ao Aero. Essas máquinas executarão muito bem com um sistema operacional de 64 bits.
Mesmo que seus aplicativos atuais de linha de negócios e comerciais ainda sejam de 32 bits, faz sentido instalar a versão de 64 bits do Windows 7 para, pelo menos, ajudar a garantir a durabilidade do seu investimento futuro. Claramente, o mundo está se movendo em direção ao padrão de 64 bits, e você deve estar pronto quando os fornecedores decidirem começar a descartar a compatibilidade com versões anteriores.
Se você decidir distribuir desktops de 64 bits, faça testes criteriosos para verificar se há problemas com drivers de dispositivos, conjuntos de antivírus, agentes de gerenciamento, etc. Se você tiver servidores de impressão de 32 bits, precisará popular as filas de impressão com drivers de 64 bits. Como alternativa, você pode implantar novos servidores de impressão x64 do Windows Server 2008 ou R2 e popular os dois conjuntos de drivers ao criar as filas. O assistente de migração de impressora do Windows Server 2008 R2 ajudará com essa tarefa. Vale a pena implantar novos servidores de impressão R2 porque o modelo de impressão foi aperfeiçoado para manter os drivers em seu próprio espaço de memória, de forma que um driver inadequado não derrube o spooler.
O risco mais significativo de interrupção do processo é a necessidade de executar aplicativos de 16 bits herdados que não executarão de jeito nenhum em um host de 64 bits. A melhor opção nesse caso é usar um truque que os fazendeiros de estufa de Minnesota empregam há gerações para cultivar tomates: crie um ambiente que faça as plantas pensarem que estão em Dallas e não em Duluth. Isto é: use o Modo XP para colocar uma instância do XP SP3 x86 em seu desktop com Windows 7 x64.
Os aplicativos instalados na máquina virtual em Modo XP podem ser iniciados a partir do menu Iniciar do Windows 7 (Figura 7) como se estivessem instalados nativamente para que seus usuários não fiquem confusos por viver em dois universos. (Esse truque, na verdade, é proveniente de um hotfix especial do RAIL, não diretamente do Modo XP; portanto, você pode fazer o mesmo truque do menu Iniciar instalando o hotfix do RAIL e executando o PC Virtual com o Vista de 32 bits ou com o Windows 7, se desejar.)
.gif)
Figura 7 Lista de aplicativos em Modo XP no menu Iniciar
Por padrão, a máquina virtual em Modo XP é executada sob uma conta local dentro da máquina virtual. A conta é chamada de Usuário. Você define a senha dessa conta durante a instalação, e a senha é definida para nunca expirar. Como alternativa, você pode iniciar a máquina virtual, ingressá-la no domínio e fazer logon com as credenciais do domínio. É possível carregar o ESM do Exchange 2003 no Modo XP junto com as ferramentas de administração mais antigas para ter um ambiente administrativo totalmente compatível. Eu já mencionei o recurso transparente de recortar e colar entre as máquinas host e virtual? Lindo.
O Modo XP exige virtualização baseada em hardware, Intel VT ou AMD-V. Steve Gibson de Laguna Hills, da Gibson Research Corp. baseada na Califórnia (famosa pelo SpinRite e pelo ShieldsUP!) oferece um utilitário gratuito chamado SecurAble (grc.com/securable.htm) que indicará rapidamente se uma máquina atende a todos os critérios. Consulte a Figura 8 para obter um exemplo de um relatório do SecurAble.
.gif)
Figura 8 Relatório do SecurAble da Gibson Research Corp.
Se você tiver centenas ou milhares de PCs, precisará de um pacote de gerenciamento centralizado para tratar desse ambiente alternativo. Esse pacote é o Microsoft Enterprise Desktop Virtualization (MED-V), um elemento do Microsoft Desktop Optimization Pack. No cliente, o MED-V 2.0 trabalha de maneira semelhante ao Modo XP instalando uma máquina virtual que exige suporte à virtualização no hardware. No back-end, o MED-V oferece uma variedade de ferramentas para criar e implantar pacotes nas máquinas virtuais. Para obter mais informações, consulte o blog dessa equipe do Windows em tinyurl.com/medvblog.
10. Remova os direitos de administrador local dos usuários.
Se você ainda não removeu os direitos de administrador local de seus usuários, faça isso agora. Sim, eu sei que é difícil. É difícil principalmente no caso de usuários de laptops que não querem perder os direitos porque a assistência técnica não pode lhes dar instruções para fazer correções complicadas pelo telefone. Mas há também aquela organização de TI "sombra", gurus e aspirantes a administrador departamentais que descobrem aplicativos que atendem a determinadas necessidades táticas e correm por aí com unidades flash instalando os aplicativos sem se preocupar com testes de interoperabilidade. Nem vou mencionar o tipo de lixo que os usuários médios instalam em suas máquinas quando têm direitos de administrador local. É surpreendente como o usuário menos sofisticado, incapaz de redefinir uma senha sem o suporte da assistência técnica, pode encontrar uma maneira de instalar aplicativos complexos de front-end de cliente-servidor de várias camadas quando a recompensa será compras ou esportes.
Mesmo que você reúna a força política para negar direitos de administrador local à maioria dos usuários, assim que você remove esses direitos, os aplicativos começam a apresentar falhas. Um número espantoso de aplicativos insiste em gravar em partes protegidas do sistema de arquivos e do Registro.
O Windows 7 simplifica a mudança para a operação de usuário padrão. Processos em segundo plano redirecionam as alterações para longe das áreas protegidas em direção às áreas controladas pelo usuário. Só isso deve resolver muitos dos problemas que podem ser encontrados com a operação de usuário padrão com o XP. Também há algumas melhorias simples, mas críticas, que ajudam os usuários padrão, como a habilidade de alterar os fusos horários, uma tarefa que exigia direitos de administrador local no XP e no Vista. Idem para a alteração da resolução da tela, a execução de um ipconfig /refresh para obter um novo endereço de DHCP e a instalação de atualizações opcionais.
O Application Compatibility Toolkit (ACT) contém um Assistente do Standard User Analyzer (SUA) para ajudar a analisar cuidadosamente seu aplicativos. O SUA fornece uma plataforma de lançamento para privilégios elevados de um aplicativo. Em seguida, enquanto o aplicativo é instalado e executado, o SUA vasculha internamente para procurar problemas súbitos que possam impedir que ele seja executado como um usuário padrão. Quando ele é concluído, você recebe um certificado de saúde do aplicativo ou uma lista de itens que precisam de correção.
Ao baixar o ACT, você também pode baixar o Application Verifier em tinyurl.com/appverify. Ele é usado pelo Assistente do SUA e não está incluído no pacote do ACT. Além disso, não deixe de ler os documentos do ACT 5.5. Eles são um verdadeiro tesouro de excelentes informações sobre problemas e correções de compatibilidade. E a edição de junho de 2009 da TechNet Magazine cobriu extensivamente a compatibilidade de aplicativos.
Mas e quanto aos usuários que realmente precisam de direitos de administrador local, como administradores e desenvolvedores, e os usuários com respaldo suficiente para entrar novamente no grupo de Administradores locais? Você realmente quer esses usuários bisbilhotando o dia inteiro com privilégios elevados? Espero que sua resposta seja "não", e é por isso que o tão maldito Controle de Conta de Usuário (UAC) deve ser seu amigo. Mark Russinovich recentemente escreveu um artigo detalhado sobre o tópico ("Por dentro do Controle de Conta de Usuário do Windows 7", TechNet Magazine de julho de 2009). Antes de empurrar o novo controle deslizante do UAC para baixo para desabilitá-lo em suas máquinas, visite o site e leia o artigo.
Você pode ser herói por mais de um dia
Será necessário muito trabalho para preparar e implantar o Windows 7, mas o fato de os usuários realmente desejarem o novo sistema operacional ajuda. Os usuários que o testaram gostaram da nova interface. Eles gostaram dos ajustes e do acabamento, da capacidade de resposta e dos novos recursos.
Uma oportunidade de ser popular como um administrador de sistema é muito rara. Eu pretendo aproveitá-la enquanto dura. Você também deveria. Boa sorte com a implantação do Windows 7. Conte-me como se saiu.
Bill Boswell (billb@microsoft.com) é um consultor sênior dos Serviços de Consultoria Microsoft no escritório de Phoenix, Arizona. Atualmente, Bill está trabalhando como consultor de Arquitetura e Planejamento de TI (ITAP) de uma importante empresa aérea.