Windows 7

10 operazioni da eseguire prima di distribuire Windows 7

Bill Boswell

 

Panoramica:

  • Informazioni su Windows 7
  • Gestione dei più recenti requisiti di attivazione dei contratti multilicenza
  • Sviluppo di una guida di riferimento
  • Gestione delle nuove funzionalità di sicurezza distribuite
  • Virtualizzazione di desktop e infrastrutture
  • Rimozione dei diritti amministrativi locali degli utenti

Sommario

1. Familiarizzare con il funzionamento di Windows 7.
2. Apprendere i concetti fondamentali di Windows PowerShell.
3. Comprendere i meccanismi di licensing.
4. Concentrarsi sui miglioramenti strategici.
5. Espandere l'ambito di distribuzione.
6. Preparare le basi per la sicurezza distribuita.
7. Virtualizzare i desktop.
8. Valutare le funzionalità aziendali.
9. Creare reti sicure per garantire la compatibilità.
10. Rimuovere i diritti amministrativi locali degli utenti.
Eroi per più di un giorno

Scorrendo l'elenco delle nuove funzionalità e dei miglioramenti introdotti in Windows 7 (vedere la tabella di confronto delle funzionalità all'indirizzo tinyurl.com/win7featuregrid), è inevitabile chiedersi come sarà possibile riuscire a padroneggiare tutte queste nuove tecnologie in modo da poterle distribuire agli utenti senza eccessiva fatica.

In questo articolo sono illustrate 10 operazioni che è possibile eseguire per raggiungere questo obiettivo.

1. Familiarizzare con il funzionamento di Windows 7.

Il primo passo consiste naturalmente nell'acquisire un'esperienza personale. Questa esperienza non può esaurirsi in un laboratorio. È invece necessario installare Windows 7 in ogni workstation dell'organizzazione e nel computer utilizzato a casa per le chiamate relative ai problemi di accesso remoto, quindi impegnarsi affinché ogni componente dell'installazione funzioni nel modo previsto.

La maggior parte degli strumenti per la gestione dei server Windows tramite Windows 7 è inclusa in Strumenti di amministrazione remota del server (RSAT), scaricabile separatamente. Al momento della stesura di questo articolo, la versione finale del pacchetto RSAT non è ancora stata finalizzata. La versione Release Candidate è disponibile all'indirizzo tinyurl.com/win7rcrsat.

Dopo l'installazione, il pacchetto RSAT non viene visualizzato immediatamente nella cartella Strumenti di amministrazione. Gli strumenti RSAT costituiscono infatti un set di funzionalità di Windows che è necessario attivare separatamente utilizzando l'applet Programmi e funzionalità del Pannello di controllo (per un esempio, vedere la Figura 1). Per un motivo sconosciuto, ma sicuramente valido, le funzionalità devono essere selezionate separatamente facendo clic su ognuna di esse. Non è sufficiente selezionare una voce principale per selezionare automaticamente anche le voci sottostanti.

boswell.fig1.rsattools.gif

Figura 1 Elenco delle funzionalità RSAT per Windows 7 (fare clic sull'immagine per ingrandirla)

Gli strumenti RSAT per Active Directory sono compatibili con i controller di dominio Windows 2003 e Windows 2008, benché alcune funzionalità, come il Cestino di Active Directory, richiedano Windows Server 2008 R2.

La gestione di Exchange 2003 da una workstation Windows 7 è tutt'altro che semplice: la console Gestore di sistema di Exchange inclusa nel CD di installazione di Exchange 2003 non è infatti compatibile con Windows 7. È tuttavia disponibile una versione speciale della console progettata per Vista, che può essere scaricata all'indirizzo tinyurl.com/esmvista. Questa console viene eseguita in Windows 7, ma un controllo specifico per Vista (Windows versione 6.0.0) eseguito dal programma di installazione genera un errore. È possibile risolvere il problema utilizzando uno strumento Microsoft gratuito denominato Orca per modificare il file MSI in modo da rimuovere o modificare il controllo della versione. Orca è un componente di Windows Installer SDK. Le istruzioni per il download sono disponibili all'indirizzo tinyurl.com/orcamsi. Tuttavia, è molto più semplice caricare la console Gestore di sistema di Exchange in modalità XP. Questo argomento verrà approfondito più avanti.

2. Apprendere i concetti fondamentali di Windows PowerShell.

Uno degli aspetti più importanti che gli amministratori di Windows dovranno sviluppare nei prossimi anni è senza dubbio la conoscenza di Windows PowerShell. Windows PowerShell versione 2 è integrato nei sistemi operativi Windows 7 e Windows Server 2008 R2 ed è attivato per impostazione predefinita. È opportuno pianificare l'installazione di Windows PowerShell 2 in tutti i server e i desktop dell'organizzazione in modo che sia possibile utilizzare un'unica tecnologia di script per gestire tutti i computer. Tenere presente che non è possibile installare PowerShell v2 su server o workstation Exchange 2007. Questi sistemi richiedono infatti PowerShell v1.1, che offre ugualmente un'ampia gamma di funzionalità.

Anche gli amministratori GUI più irriducibili che non aprono un prompt dei comandi da anni si accorgeranno che i nuovi strumenti GUI Microsoft stanno assumendo la forma di front-end grafici basati su cmdlet Windows PowerShell. Molti di questi strumenti indicano la stringa di comando sottostante, se si sa dove cercarla. È un modo semplice per verificare il funzionamento dei cmdlet.

Sono disponibili numerosi materiali di riferimento su Windows PowerShell, tra cui spicca il libro "Windows PowerShell in Action" (Manning Publications, 2007) di Bruce Payette, membro del team Microsoft Windows PowerShell. L'autore sta preparando una nuova edizione. Con pochi dollari è possibile leggere i primi capitoli, prenotare una copia prima della pubblicazione e scaricare un e-book della prima edizione dal sito Web dell'autore all'indirizzo manning.com/payette2. Un altro libro interessante è "Windows PowerShell Pocket Reference" (O'Reilly Media Inc., 2009) di Lee Holmes, un altro membro del team Windows PowerShell. Infine, all'indirizzo blogs.msdn.com/PowerShell è disponibile il blog del team Windows PowerShell, dove è possibile entrare in contatto con i team di sviluppatori più interattivi di tutto il pianeta. Vale la pena di leggere ogni singola parola di questo blog. E non una volta sola.

Un'altra buona notizia è che il pacchetto RSAT di Windows 7 contiene gli stessi cmdlet Active Directory PowerShell inclusi in Windows Server 2008 R2. Ne è illustrato un esempio nella Figura 2. Per chi desidera approfondire questo argomento, la migliore fonte di informazioni è il blog su Active Directory PowerShell all'indirizzo tinyurl.com/psadblog.

boswell.fig2.ad powershell.gif

Figura 2 Cmdlet Active Directory PowerShell in azione (fare clic sull'immagine per ingrandirla)

Questi cmdlet possono essere utilizzati per gestire domini che eseguono Windows 2003 e Windows 2008, ma non prima di avere installato il servizio AD Management Gateway (noto anche come Servizi Web Active Directory o ADWS) in almeno un controller di dominio. Al momento della stesura di questo articolo, ADWS è disponibile nella versione Beta e può essere scaricato all'indirizzo connect.microsoft.com.

Il servizio ADWS richiede Windows Server 2003 SP2 (versione normale o R2) o Windows Server 2008 con o senza SP2. Sarà necessario installare .NET Framework 3.5 SP1 (tinyurl.com/dotnet35sp1) e un hotfix (support.microsoft.com/kb/969429) che abilita il supporto del flag del servizio Web in Netlogon. Questo hotfix è incorporato in Windows Server 2008 SP2.

Per chi lavora in un'organizzazione in cui il processo di approvazione delle modifiche ai controller di dominio è particolarmente lungo e complesso, ma desidera iniziare a utilizzare Windows PowerShell per la gestione di Active Directory senza attendere oltre, Quest mette a disposizione alcuni cmdlet Active Directory scaricabili gratuitamente all'indirizzo quest.com/PowerShell.

3. Comprendere i meccanismi di licensing.

Gli amministratori IT delle organizzazioni in cui il sistema operativo Vista non è stato distribuito potrebbero non conoscere i più recenti requisiti di attivazione dei contratti multilicenza in Windows. Se l'azienda conta più di 25 desktop e/o cinque server, ha sottoscritto un programma Volume Licensing quale Enterprise Agreement o Select Agreement e ha acquistato Windows 7 Professional o Ultimate (o ha eseguito l'aggiornamento a tali versioni nell'ambito di Software Assurance), l'amministratore dovrà scaricare dal sito Web tinyurl.com/volact i documenti relativi a Volume Activation e studiarne il contenuto.

Se la lettura di questi documenti dovesse creare confusione, è possibile scaricare un webcast creato dal product manager Kim Griffiths, che spiega in maniera eccellente le caratteristiche del programma. Il webcast è disponibile all'indirizzo tinyurl.com/volactwebcastwin7.

In breve, per la distribuzione di desktop Windows 7 tramite un programma Volume Licensing, sarà probabilmente necessario installare un server di gestione delle chiavi (KMS). L'uso dell'avverbio "probabilmente" è d'obbligo in quanto l'organizzazione potrebbe non disporre di un numero di computer sufficiente a supportare l'attivazione KMS. Il server KMS avvia infatti il processo di approvazione dell'attivazione solo dopo avere ricevuto richieste da almeno 25 desktop e/o cinque server. Questa condizione ha lo scopo di impedire a fornitori senza scrupoli di utilizzare lo stesso codice per contratti multilicenza per più aziende di piccole dimensioni. Una volta eseguita l'attivazione, sarà necessario rinnovarla ogni sei mesi. Sebbene qualcuno possa affermare il contrario, non esiste una modalità con funzionalità ridotte in Windows 7. Se si lascia scadere il codice di attivazione, lo sfondo del desktop diventerà nero e un fumetto di notifica indicherà che il sistema operativo non è originale.

Se il numero di dispositivi in azienda non consente l'utilizzo di un server KMS, è possibile ottenere un codice "Product Key" ad attivazione multipla (MAK) che consente di eseguire un numero di attivazioni corrispondente al numero di contratti multilicenza acquistati e offre la possibilità di aggiungere ulteriori computer fra un true-up e l'altro. I codici MAK sono autenticati da un servizio Microsoft in hosting, pertanto richiedono l'accesso a Internet successivamente all'installazione del sistema operativo.

Una modifica introdotta in Windows 7 e Windows Server 2008 R2 consente ora di sottrarre le macchine virtuali dal conteggio delle attivazioni KMS. Ciò agevola il conteggio dei dispositivi alle piccole aziende che utilizzano numerosi desktop e server virtuali.

Le aziende che dispongono già di un KMS per Vista e Windows Server 2008 potranno scaricare un aggiornamento per l'attivazione di computer Windows 7 e Windows Server 2008 R2.

4. Concentrarsi sui miglioramenti strategici.

Dopo avere familiarizzato con l'amministrazione del sistema mediante gli strumenti di Windows 7 e avere implementato la tecnologia per l'attivazione dei desktop, è possibile iniziare a pianificare la distribuzione agli utenti finali. La prima cosa da fare è indire una riunione.

Niente paura. Questa non sarà la solita riunione. Servirà invece a raccogliere nella stessa stanza tutte le persone che utilizzano Windows 7. Non solo i progettisti. Non solo gli utenti desktop. E non solo il team dei prodotti server, i tecnici dell'helpdesk, gli sviluppatori interni e i project manager. Dovranno partecipare rappresentanti di ogni singolo team. Volendo esagerare, possiamo pensare a questa riunione come a un concilio ecumenico. La riunione dovrà durare l'intera giornata e dovrà essere presentata ai potenziali partecipanti come un evento a cui non mancare.

Prima di iniziare la riunione è consigliabile armarsi di numeri. È infatti inevitabile che a un certo punto qualcuno proponga, ad esempio, di creare un catalogo delle applicazioni aziendali da utilizzare per i test di compatibilità, o che sollevi il dubbio che non tutti i computer dell'organizzazione supportino Windows 7. Il gruppo quindi si perderà in una serie di disquisizioni su come creare il catalogo o su altri aspetti che esulano dal vero scopo della riunione.

Per evitare queste perdite di tempo, sono disponibili due strumenti gratuiti di inventario e analisi. Il primo è Microsoft Assessment and Planning Toolkit (MAP 4.0), disponibile all'indirizzo tinyurl.com/map40. Questo strumento gestito senza agente raccoglie le statistiche sui desktop e produce un report in cui sono elencati i desktop pronti per Windows 7, quelli che necessitano di aggiornamenti hardware e quelli in cui l'esecuzione di Windows 7 non sarà mai possibile. MAP genera grafici a torta utili per la gestione (vedere la Figura 3) e una gran quantità di numeri utili ai tecnici (Figura 4).

boswell.fig3.mapexampleresult.gif

Figura 3 Microsoft Assessment and Planning Toolkit 4.0 - riepilogo valutazione (fare clic sull'immagine per ingrandirla)

boswell.fig4.mapspreadsheet.gif

Figura 4 Microsoft Assessment and Planning Toolkit 4.0 - dettagli valutazione (fare clic sull'immagine per ingrandirla)

L'esecuzione di questo strumento non impone requisiti hardware particolarmente restrittivi. L'autore di questo articolo ha utilizzato Windows 7 e Office 2007 su un computer desktop Celeron da 1,6 GHz con 512 MB di RAM e alcune applicazioni line-of-business in esecuzione in background, ottenendo prestazioni perfettamente accettabili.

Il secondo strumento è Microsoft Application Compatibility Toolkit (ACT) 5.5, disponibile all'indirizzo tinyurl.com/appcompat55. Consente di ottenere statistiche software su un gruppo di desktop selezionati. Questo strumento non si limita a scorrere l'elenco del software installato nel Registro di sistema, bensì cerca in ogni meandro del sistema applicazioni che sono rimaste sepolte dai vari programmi di installazione eseguiti in passato. Questa funzionalità richiede un agente locale, che viene distribuito tramite un server di gestione ACT e restituisce report periodici per diversi giorni prima di disinstallarsi automaticamente.

Come si evince dalla Figura 5, ACT esegue un processo di raccolta dei dati estremamente approfondito e accurato e richiede pertanto un server con una discreta potenza di elaborazione. Per archiviare i dati, purché non riguardino migliaia di computer, è possibile utilizzare SQL Express. Se tuttavia i carichi software sono suddivisi per reparto o gruppo di lavoro funzionale, è possibile selezionare un numero ridotto di computer che rappresentino i singoli gruppi. Anche in presenza di decine di migliaia di desktop, dovrebbe essere sufficiente campionarne dal 2 al 3% per ottenere un'idea delle azioni future.

boswell.fig5.act_analyze.gif

Figura 5 Microsoft Application Compatibility Toolkit 5.5 - report applicazioni (fare clic sull'immagine per ingrandirla)

Torniamo ora alla riunione. È importante pianificarla in ogni minimo dettaglio, dal rifornimento di vettovaglie all'individuazione di una stanza con lavagne che occupino un'intera parete. Se non è possibile riunire tutti nella stessa stanza, delimitare il perimetro della sala riunioni con grandi schermi, avviare un programma per l'esecuzione di riunioni in rete e disporre microfoni e videocamere ovunque.

Dedicare la prima metà della riunione a interrogare i partecipanti su come utilizzano Windows 7 per migliorare le attività quotidiane, individuando le funzionalità il cui apprendimento ha richiesto più tempo e ascoltando le lamentele, per raccogliere infine dall'esperienza di ciascuno una combinazione di funzionalità che saranno in grado di migliorare materialmente la produttività degli utenti, aumentare il livello di sicurezza, incoraggiare la mobilità e semplificare i processi operativi.

La seconda metà della riunione servirà a delineare un piano di distribuzione. È inutile tentare di risolvere in questa sede potenziali problemi di compatibilità o interoperabilità. Qualsiasi organizzazione che utilizzi XP da diversi anni ha sviluppato procedure che oggi stanno iniziando inevitabilmente a scricchiolare. Quello che occorre fare è identificare i problemi, classificarli e procedere oltre.

Si può pensare a se stessi come a un geologo che debba testare un nuovo bacino petrolifero. Il bravo geologo si concentrerà sull'individuazione dei giacimenti più grossi, e solo dopo penserà a come effettuare l'estrazione.

Il risultato di questa riunione sarà una guida di orientamento completa che stabilirà quali funzionalità verranno distribuite, chi si occuperà delle attività di preparazione, quanto tempo sarà necessario, quali utenti saranno maggiormente coinvolti, come sarà possibile ottenere la cooperazione di tali utenti, quanto costerà la distribuzione in termini di hardware e software, dove sono i potenziali punti deboli, quali sono le risorse necessarie per il testing e, soprattutto, quando potrà iniziare l'intero processo. Questa guida, nella forma di una presentazione con cinque diapositive, dovrà essere distribuita a tutti i responsabili gestionali in modo da poter essere messa in pratica al più presto.

5. Espandere l'ambito di distribuzione.

Alcune delle più avanzate funzionalità di Windows 7 potrebbero richiedere alcune modifiche dell'infrastruttura. Ad esempio, una delle funzionalità più interessanti è la combinazione delle raccolte con le caratteristiche di ricerca federata nella nuova shell di Esplora risorse. Il risultato è una visualizzazione centralizzata e flessibile dei dati distribuiti.

Per utilizzare la ricerca federata è necessario individuare o creare connettori a repository di dati basati sul Web. Un connettore è un set di elementi di configurazione inclusi in un file OSDX. Questi elementi puntano a un sito Web e descrivono come gestire il contenuto. Di seguito è riportato un esempio di un connettore Bing:

<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="https://schemas.microsoft.com/opensearchext/2009/">

<ShortName>Bing</ShortName>

<Description>Bing in Windows 7.</Description>

<Url type="application/rss+xml" 
template="http://api.bing.com/rss.aspx?source=web&amp;query=
{searchTerms}&amp;format=rss"/>

<Url type="text/html" template="https://www.bing.com/search?q={searchTerms}"/>

</OpenSearchDescription>

Quando si fa clic su un file OSDX con il pulsante destro del mouse, in Esplora risorse viene visualizzato il menu delle proprietà con l'opzione Crea connettore di ricerca. Fare clic su tale opzione per aggiungere il connettore ai Preferiti. Iniziare una ricerca selezionando il connettore e digitando i termini desiderati nel campo di ricerca nell'angolo superiore destro della finestra di Esplora risorse. Il riquadro dei risultati verrà popolato in pochi secondi. Fare clic su Anteprima per visualizzare il contenuto della pagina selezionata. Nella Figura 6 viene illustrato un esempio.

boswell.fig6.searchbing.gif

Figura 6 Connettore di ricerca in Esplora risorse (fare clic sull'immagine per ingrandirla)

I connettori sono semplici da creare. Convincere quindi gli sviluppatori interni a crearne alcuni per i server della rete Intranet (portale aziendale, farm di SharePoint e così via). Per aiutarli è possibile indirizzarli al lungo elenco di connettori di esempio disponibile su SevenForums (tinyurl.com/srchcon), un sito indipendente estremamente utile per tutto ciò che riguarda Windows 7. Distribuire quindi questi connettori agli utenti aziendali utilizzando gli strumenti standard per la distribuzione dei pacchetti. A questo punto sarà possibile utilizzarli per creare una visualizzazione standard dei dati Web distribuiti.

Benché la funzionalità di ricerca federata sia in grado di gestire i contenuti dei siti Web in modo abbastanza soddisfacente, le organizzazioni si trovano poi in difficoltà quando si tratta di eseguire ricerche nei terabyte di file archiviati nei file server. Ciò significa che gli utenti che possiedono solo vaghe nozioni sul mapping delle unità e l'archiviazione dei dati in rete potrebbero sprecare ore nella ricerca, ad esempio, dei report scritti lo scorso mese.

È qui che entrano in gioco le raccolte. Le raccolte consentono di aggregare file provenienti da una varietà di fonti in oggetti in cui è possibile eseguire ricerche. Le librerie predefinite disponibili in Windows 7 includono l'assortimento standard di percorsi e tipi di dati personali, quali Documenti, Musica, Immagini e Video, ma questo elenco può essere esteso facilmente fino a includere repository basati su server. È sufficiente fare clic con il pulsante destro del mouse, scegliere Nuova raccolta e aggiungere il percorso UNC di una cartella condivisa.

Tenere presente che la cartella di destinazione deve essere indicizzata. In Windows Server 2008 e versioni successive installare il ruolo Servizi file, quindi in Servizi ruolo installare il servizio Windows Search. Nei server Windows Server 2003 SP2 installare Windows Search 4.0, scaricabile gratuitamente dall'indirizzo tinyurl.com/srch40dwnload. Inoltre, a causa di una limitazione nell'interfaccia del servizio Windows Search, non è possibile specificare percorsi DFS anche se la destinazione di una cartella DFS è un file server indicizzato.

Non esistono utilità da riga di comando per la creazione di raccolte e, al momento della stesura di questo articolo, nemmeno cmdlet Windows PowerShell. In Windows 7 SDK, tuttavia, sono inclusi strumenti per l'utilizzo di librerie a livello di programmazione, quindi non passerà molto tempo prima che inizino a comparire alcune utilità con questa funzione.

Un'ultima nota sull'azione predefinita delle raccolte: in Esplora risorse le raccolte vengono visualizzate nella finestra di dialogo File comuni per consentire agli utenti di salvare file in una raccolta tramite trascinamento. Se in una raccolta sono presenti più collegamenti, uno di essi deve essere configurato come destinazione predefinita.

6. Preparare le basi per la sicurezza distribuita.

Nel corso della riunione per la definizione della strategia iniziale, è importante dedicare parte del tempo a stabilire le modalità di gestione delle numerose funzionalità di sicurezza distribuite offerte da Windows 7. È opportuno determinare un piano d'azione fin dalle prime fasi del progetto, poiché le decisioni prese avranno un impatto sostanziale sulla matrice del test.

Stabilire innanzitutto se si desidera attivare il firewall desktop. Quando i firewall desktop sono stati introdotti per la prima volta in Windows XP SP1, molte organizzazioni li hanno disattivati tramite i Criteri di gruppo e non ci hanno più pensato. Il firewall incluso in Windows 7 è molto più flessibile e merita di essere ripreso in considerazione. È possibile disattivare il firewall quando il computer è connesso al dominio e attivarlo quando il computer è connesso a una rete domestica o aziendale oppure a Internet. Possono anche essere impostate delle esclusioni specifiche. Provare un mix di opzioni con un primo gruppo di utenti pilota e raccoglierne il feedback, che, insieme alle opinioni del team dedicato alla sicurezza, servirà a prendere una decisione finale sulle impostazioni del firewall. Queste potranno quindi essere completamente configurate tramite i Criteri di gruppo.

In secondo luogo, stabilire se si desidera utilizzare AppLocker per limitare il numero di applicazioni di cui consentire l'esecuzione nei desktop. AppLocker permette di creare un elenco di eseguibili approvati che è possibile selezionare singolarmente in base all'hash del file, in gruppi per posizione o in gruppi per autore (ovvero firmati dal certificato dell'autore). Una volta configurate, queste regole vengono scaricate dai client Windows 7 che eseguono il servizio Identità applicazione. Da quel punto in avanti, potranno essere eseguite solo le applicazioni incluse nell'elenco. L'esecuzione di tutti gli altri eseguibili non verrà autorizzata.

Poiché le autorizzazioni di AppLocker vengono applicate tramite i Criteri di gruppo, è possibile definire un criterio di applicazione delle regole ai computer in base all'unità organizzativa, all'appartenenza ai gruppi o a filtri WMI.

Setacciare una montagna di applicazioni per determinare quali debbano essere incluse in un elenco AppLocker non è un'attività divertente, ma fortunatamente non è affatto necessaria. Nella maggior parte dei computer line-of-business è installato un gruppo di applicazioni ben definito e limitato. È possibile partire da queste. Dopo tutto, se si riesce a evitare che gli utenti, invece di lavorare, colleghino ai computer aziendali unità flash per giocare, alcuni dei problemi operativi sono già risolti. La gestione dei PC back-office potrà essere affrontata in seguito.

Infine, occorre stabilire se si intende proteggere i computer portatili e le unità flash tramite crittografia. Se i dirigenti e i knowledge worker dell'azienda viaggiano frequentemente con dispositivi portatili pieni di dati di proprietà intellettuale, tale protezione è senza dubbio necessaria. BitLocker consente di crittografare l'intera unità disco rigido e tutti i dati che contiene. BitLocker To Go estende questa funzionalità alle unità flash e ad altri supporti portatili. L'implementazione di questo strumento è fortemente consigliata.

Questo non significa che sia sufficiente attivare BitLocker nei Criteri di gruppo e crittografare alcune unità. Come avviene con qualsiasi altra tecnologia di crittografia, è necessario impostarne le opzioni in modo oculato. A tale scopo è consigliabile ingaggiare un consulente esperto in crittografia delle unità e implementazioni di BitLocker a livello aziendale. La chiave è non lasciarsi spaventare dalla complessità. L'alternativa è ancora più spaventosa. Senza un adeguato sistema di protezione dei dati tramite crittografia, le informazioni aziendali più riservate potrebbero infatti finire nelle mani di individui senza scrupoli.

7. Virtualizzare i desktop.

Si immagini una situazione in cui la creazione dell'immagine desktop standard di Windows 7 sia stata eseguita, i problemi tecnici siano stati risolti e siano state individuate modalità semplici per spostare applicazioni e dati utente tra i computer, riducendo l'impatto della migrazione. Utilità di migrazione stato utente, disponibile in Windows Automated Installation Kit, rappresenta uno strumento utile per eseguire queste attività. Per una dimostrazione dettagliata, visitare il sito Web all'indirizzo tinyurl.com/usmtwt. Dopo che i tecnici sono stati formati e al personale del supporto tecnico sono state fornite le indicazioni necessarie nel relativo sito di SharePoint, è possibile iniziare l'implementazione.

È opportuno tenere presente, tuttavia, che Windows 7 consente di eseguire l'installazione in file di unità disco rigido virtuale (VHD, Virtual Hard Drive) nell'unità disco rigido anziché installare il sistema operativo direttamente nell'unità disco rigido di ogni nuovo computer. Il sistema operativo viene avviato dal contenuto di tale file VHD, che diventa l'unità C, mentre l'unità disco rigido effettiva viene vista come unità D. Con una pianificazione appropriata, un sistema operativi installato in questo modo può essere caratterizzato da un'elevata portabilità. Se un utente si sposta da Roma a Milano, il tecnico di Roma può copiare il file VHD nella rete per il tecnico di Milano, che a sua volta lo copia in un computer in modo che l'utente sia in grado di lavorare nel proprio ambiente desktop nel minor tempo possibile.

Anche in una situazione di questo tipo le prestazioni si mantengono comunque molto elevate. Verificare i dati di input/output relativi al disco sul sito del blog del team di virtualizzazione all'indirizzo tinyurl.com/nativevhd.

È opportuno prestare attenzione ad alcuni aspetti. Il primo aspetto riguarda l'ibernazione, che non funziona nei computer con avvio da file VHD e comporta pertanto l'impossibilità di utilizzare l'avvio da file VHD nei computer portatili. È necessario inoltre tenere presente che non è possibile utilizzare tale tipo di avvio in un'unità crittografata con BitLocker, aspetto che contribuisce a ridurne ulteriormente l'opportunità di impiego nei computer portatili.

Sebbene sembri che i vantaggi delle distribuzioni basate su file VHD non compensino la complessità di gestione, è comunque opportuno includerle nei piani di test. I passaggi per eseguire questa operazione sono troppo lunghi per essere descritti in questo articolo, ma sono comunque disponibili alcuni siti in cui vengono fornite le istruzioni necessarie. È possibile utilizzare il semplice metodo di Max Knor, descritto nel sito Web all'indirizzo tinyurl.com/win7bootvhdnativinstall, che essenzialmente prevede l'avvio dal CD di installazione di Windows 7, la gestione dal prompt dei comandi, la creazione del file VHD e infine l'utilizzo di tale file come destinazione per l'installazione. È possibile seguire le istruzioni dettagliate sul sito TechNet all'indirizzo tinyurl.com/win7bootvhdwt o visualizzare il video di TechNet all'indirizzo tinyurl.com/win7bootvhdvid.

Dopo avere acquisito familiarità con queste tecniche, visitare il blog Vista PC Guy di Kyle Rosenthal in cui sono disponibili istruzioni per l'utilizzo degli strumenti di Ambiente preinstallazione di Windows per la creazione di immagini. Le operazioni descritte in vistapcguy.net/?p=71 illustrano le modalità di creazione di un'unità flash USB di avvio mediante gli strumenti di Ambiente preinstallazione di Windows e di un'immagine dell'installazione nell'unità stessa. Grazie a questo strumento, è possibile installare rapidamente l'immagine standard in un computer senza dover utilizzare alcun pezzo fisico.

8. Valutare le funzionalità aziendali.

L'avvio da file VHD e le funzionalità BitLocker e AppLocker appartengono a una classe di funzionalità per il cui utilizzo è necessario Windows 7 Enterprise o Ultimate. Il codice SKU Enterprise può essere ottenuto esclusivamente tramite un contratto multilicenza. Se si dispone di una versione Enterprise o Ultimate, è necessario prendere in considerazione la distribuzione di alcune funzionalità aggiuntive per migliorare la sicurezza e semplificare le operazioni.

BranchCache consente di memorizzare nella cache trasferimenti di file sia in un server centrale di una succursale che come parte di una rete peer di computer desktop. Quando in un client viene avviato un trasferimento di file, viene innanzitutto verificato se il file è memorizzato nella cache locale e se l'hash del file corrisponde a quello dell'origine autorevole. In tal caso, il file viene copiato dalla cache. In questo modo non solo vengono velocizzate le operazioni per gli utenti, ma viene anche ridotto il carico sulla rete WAN, vantaggio sicuramente apprezzato dagli utenti di rete. Si consiglia di provare BranchCache nei test del progetto pilota per valutare gli eventuali benefici sul traffico generato dall'insieme di applicazioni e file associati.

Successivamente, è possibile rendere più effettiva la virtualizzazione basata su file VHD discussa nella sezione precedente distribuendo un'infrastruttura desktop virtuale (VDI, Virtual Desktop Infrastructure) in server Windows Server 2008 R2. In'infrastruttura di questo tipo ogni sessione desktop esiste come computer virtuale distinto cui gli utenti si connettono mediante RDP. Questa impostazione contrasta con le più tradizionali modalità di pubblicazione di un desktop di Servizi terminal, che prevedono l'utilizzo dello stesso insieme di immagini dell'applicazione da parte di tutti gli utenti. Se in Servizi terminal un utente commette un errore, quest'ultimo si ripercuote sulle attività di tutti gli altri. Per evitare interazioni non desiderate in un server terminal, è inoltre possibile virtualizzare le applicazioni. A tale scopo, utilizzare gli strumenti Application Virtualization disponibili in Microsoft Desktop Optimization Pack.

L'infrastruttura desktop virtuale può risultare dispendiosa, poiché il costo relativo al supporto di desktop virtuali degli utenti con la possibilità completa di accedere alla memoria e alla rete può superare il costo dei computer. Per un ripristino di emergenza in un ambiente desktop distribuito, tuttavia, non è possibile chiedere una protezione migliore.

Un'altra funzionalità della versione Enterprise, ovvero DirectAccess, consente agli utenti di connettersi mediante un gateway di Windows Server 2008 R2 alla rete aziendale senza la necessità di utilizzare una rete VPN. Grazie a questa funzionalità, un utente che dispone di un computer dotato di tecnologia EVDO è in grado di lavorare su documenti archiviati nei server aziendali anche se si trova in viaggio. È opportuno tenere presente che l'utilizzo di questa funzionalità potrebbe provocare problemi di sicurezza.

9. Creare reti sicure per garantire la compatibilità.

Un argomento da discutere in modo definitivo con i collaboratori riguarda la predisposizione dell'organizzazione alla distribuzione di computer desktop a 64 bit. I nuovi computer distribuiti nell'ambito di un ciclo di aggiornamento sono virtualmente in grado di supportare l'ambiente a 64 bit. Valutati i prezzi vantaggiosi delle memorie RAM oggi disponibili, in ogni computer è possibile installare almeno 2 GB di RAM e, qualora venga approvata una spesa leggermente più alta, sarà possibile installarne addirittura 4 GB. È probabile che i computer dispongano di processori dual core o addirittura quad core, con una quantità di memoria video sufficiente per supportare la funzionalità Aero. Le prestazioni di computer di questo tipo sono più elevate se si utilizza un sistema operativo a 64 bit.

Anche se tutte le applicazioni commerciali e line-of-business utilizzate sono ancora a 32 bit, è comunque logico installare la versione a 64 bit di Windows 7, soprattutto in previsione degli investimenti futuri. Poiché la tendenza è quella di utilizzare lo standard a 64 bit, è necessario essere pronti nel momento in cui i fornitori decideranno di non rispettare più la compatibilità con le versioni precedenti.

Se si decide di implementare computer desktop a 64 bit, è necessario eseguire test approfonditi su eventuali problemi di driver di dispositivo, programmi antivirus, agenti di gestione e così via. Se attualmente nell'organizzazione sono presenti server di stampa a 32 bit, sarà necessario popolare le code di stampa con driver a 64 bit. In alternativa, è possibile distribuire i nuovi server di stampa Windows Server 2008 o Windows Server 2008 R2 con architettura x64 e popolare entrambi i set di driver nel momento in cui si creano le code. A tale scopo, è possibile utilizzare il modulo di migrazione stampanti disponibile in Windows Server 2008 R2. Poiché il modello di stampa è stato migliorato per mantenere i driver nel proprio spazio di memoria in modo che un driver non appropriato non danneggi lo spooler, la distribuzione dei nuovi server di stampa Windows Server 2008 R2 risulta senz'altro vantaggiosa.

Il vantaggio potenziale più significativo è la possibilità di eseguire applicazioni legacy a 16 bit, che non potrebbero altrimenti essere eseguite in un host a 64 bit. L'opzione migliore in questo caso è quella di creare un ambiente simulato, ovvero utilizzare la modalità XP per installare un'istanza di XP SP3 x86 in un computer desktop che esegue Windows 7 x64.

Le applicazioni installate in una macchina virtuale in modalità XP possono essere avviate dal menu Start di Windows 7 (Figura 7) esattamente come se fossero installate in tale sistema operativo, consentendo in questo modo agli utenti di eseguire le operazioni come se l'ambiente fosse unico. Questo stratagemma non deriva direttamente dalla modalità XP, ma da un aggiornamento rapido RAIL. È infatti possibile utilizzare il menu Start nel modo descritto in precedenza installando l'aggiornamento rapido RAIL ed eseguendo successivamente Virtual PC con Vista o Windows 7 a 32 bit.

boswell.fig7.virtualpcmenu.gif

Figura 7 Elenco di applicazioni in modalità XP nel menu Start

Per impostazione predefinita, la macchina virtuale in modalità XP viene eseguita con un account locale interno alla macchina stessa denominato User. La password per questo account viene impostata durante la fase di installazione e viene inoltre specificato che la password non ha scadenza. In alternativa, è possibile avviare la macchina virtuale e aggiungerla al dominio, quindi eseguire l'accesso con le credenziali di dominio di cui si dispone. È possibile caricare Exchange 2003 ESM in modalità XP con gli strumenti di amministrazione precedenti in modo da disporre di un ambiente amministrativo completamente compatibile. È opportuno ricordare, inoltre, la presenza di un'ulteriore funzionalità che consente di eseguire le operazioni di copia e incolla tra l'host e le macchine virtuali in modo estremamente semplice.

Per applicare la modalità XP, è necessaria una virtualizzazione basata su hardware, ad esempio Intel VT o AMD-V. Steve Gibson, titolare di Gibson Research Corporation, a Laguna Hills, in California (famoso per i prodotti SpinRite e ShieldsUP) ha messo a punto un'utilità gratuita denominata SecurAble (grc.com/securable.htm) che consente di rilevare rapidamente se il computer soddisfa i criteri. Per un esempio di un report SecurAble, vedere la Figura 8.

boswell.fig8.securable report.gif

Figura 8 Report SecurAble di Gibson Research Corporation

Se nell'organizzazione sono presenti centinaia o migliaia di computer, sarà necessario un pacchetto di gestione centralizzata per gestire un ambiente alternativo di questo tipo. Tale strumento è rappresentato da Microsoft Enterprise Desktop Virtualization (MED-V), un componente di Microsoft Desktop Optimization Pack. In un computer client MED-V 2.0 funziona in modo analogo alla modalità XP poiché esegue l'installazione di una macchina virtuale per cui è necessario un supporto hardware per la virtualizzazione, mentre in un computer back end MED-V offre un'ampia gamma di strumenti per la creazione e la distribuzione di pacchetti nelle macchine virtuali. Per ulteriori informazioni, vedere il blog del team di Windows all'indirizzo tinyurl.com/medvblog.

10. Rimuovere i diritti amministrativi locali degli utenti.

Se i diritti amministrativi locali degli utenti non sono stati ancora eliminati, a questo punto è necessario eseguire questa operazione. La decisione non è semplice poiché è particolarmente difficile disabituare gli utenti dei computer portatili, dato che il personale del supporto tecnico non può risolvere problemi complessi telefonicamente. Esiste tuttavia un'organizzazione IT "ombra", ad esempio capi di reparti e amministratori non autorizzati, che, una volta individuate applicazioni che soddisfano esigenze specifiche, utilizzano driver improvvisati per installarle senza alcun riguardo nei confronti dei test di interoperabilità. È opportuno inoltre tenere presente che la maggior parte degli utenti non esperti che dispongono dei diritti amministrativi locali può installare nei propri computer applicazioni e programmi assolutamente non necessari. Non è infatti una caso isolato che anche gli utenti meno esperti, che non sono in grado di ripristinare una password senza il supporto del personale tecnico, siano comunque in grado di installare applicazioni front-end estremamente complesse in sistemi client-server a più livelli se tali applicazioni sono motivo di svago.

Anche se si decide di negare i diritti amministrativi locali alla maggior parte degli utenti, non appena tali diritti vengono eliminati le applicazioni iniziano a funzionare in modo non corretto. Un numero molto elevato di applicazioni persiste infatti nella scrittura in parti protette del file system e del Registro di sistema.

In Windows 7 il passaggio alle operazioni dell'utente standard è notevolmente semplificato poiché processi eseguiti in background reindirizzano le modifiche dalle aree protette in aree controllate dall'utente. Questa funzionalità dovrebbe da sola risolvere numerosi problemi che potrebbero essersi verificati durante l'esecuzione di operazioni da parte di un utente standard in Windows XP. Sono disponibili inoltre altri semplici, ma significativi miglioramenti a favore degli utenti standard, ad esempio la possibilità di modificare il fuso orario, attività che richiede i diritti amministrativi locali in Windows XP e Vista. In modo analogo, sarà possibile modificare la risoluzione dello schermo, eseguire operazioni di configurazione dell'indirizzo IP e di aggiornamento per ottenere un nuovo indirizzo DHCP nonché installare aggiornamenti facoltativi.

Nello strumento Application Compatibility Toolkit (ACT) è disponibile la procedura guidata Analizzatore utente standard (SUA, Standard User Analyzer) che consente di esaminare le applicazioni utilizzate. In Analizzatore utente standard è disponibile una piattaforma di avvio con elevati privilegi per un'applicazione. Durante l'installazione e l'esecuzione dell'applicazione, lo strumento esegue la ricerca di eventuali problemi che potrebbero impedire a un utente standard di eseguire l'applicazione. Al termine dell'analisi, viene restituito lo stato positivo dell'applicazione oppure un elenco di elementi per cui è necessario ricercare una soluzione.

Quando si scarica Application Compatibility Toolkit, è consigliabile scaricare anche Application Verifier dal sito Web all'indirizzo  tinyurl.com/appverify. Tale strumento viene utilizzato dalla procedura guidata di Analizzatore utente standard e non è incluso nel pacchetto di Application Compatibility Toolkit. È necessario inoltre leggere la documentazione di Application Compatibility Toolkit 5.5 che contiene numerose informazioni sui problemi di compatibilità e sulle correzioni da applicare. La compatibilità tra applicazioni è descritta in modo approfondito anche negli articoli del giugno 2009 di TechNet Magazine.

In relazione agli utenti che devono disporre dei diritti amministrativi locali, ad esempio amministratori, sviluppatori e utenti con potere sufficiente per appartenere al gruppo Administrator locale, non è opportuno che tali utenti siano in grado di eseguire un'escalation dei privilegi. A questo proposito, è opportuno utilizzare la funzionalità Controllo account utente descritta in modo dettagliato da Mark Russinovich nell'articolo "Controllo account utente in Windows 7" in TechNet Magazine, luglio 2009. Prima di spostare il nuovo dispositivo di scorrimento relativo a Controllo account utente verso il valore minimo per disabilitare la funzionalità nel computer, è consigliabile leggere l'articolo.

Eroi per più di un giorno

La preparazione e la distribuzione di Windows 7 sono operazioni che richiedono tempo, ma gli sforzi sono premiati dall'interesse degli utenti nei confronti del nuovo sistema operativo. Coloro che hanno provato ad esempio la nuova interfaccia e che ne apprezzano l'aspetto, la velocità di risposta e le nuove funzionalità.

L'opportunità di essere un amministratore di sistema tenuto in considerazione non è molto comune e vale la pena di sfruttarla fino in fondo. Qualsiasi commento sulla distribuzione di Windows 7 sarà apprezzato.

Bill Boswell (billb@microsoft.com) è consulente senior per Microsoft Consulting Services a Phoenix, Arizona. Attualmente Bill è consulente per l'architettura e la pianificazione IT per un'importante compagnia aerea.