Windows 7
Las 10 cosas que debe hacer primero para actualizar a Windows 7
Bill Boswell
Resumen:
- Introducción a Windows 7
- Administración de los últimos requisitos de activación del volumen
- Desarrollo de una guía
- Administración de características de seguridad distribuida
- Virtualización de escritorios e infraestructuras
- Eliminación de derechos de administración local de usuarios
Contenido
1. Familiarícese con Windows 7.
2. Obtenga información acerca de Windows PowerShell.
3. Ábrase paso entre las licencias.
4. Concéntrese en mejoras estratégicas.
5. Amplíe el alcance de la implementación.
6. Prepárese para la seguridad distribuida.
7. Virtualice sus equipos de escritorio.
8. Evalúe las características empresariales.
9. Cree redes de seguridad para compatibilidad.
10. Elimine los derechos de administración local de sus usuarios.
Puede ser un héroe… y no sólo por un día
Cuando dé un vistazo a la lista de nuevas características y mejoras en Windows 7 (ver el gráfico comparativo de características en tinyurl.com/win7featuregrid), sin duda terminará preguntándose cómo podrá abarcar toda esa nueva tecnología para poder entregarla a sus usuarios sin demasiados problemas.
A continuación presentamos 10 pasos que pueden ayudarlo a alcanzar ese objetivo.
1. Familiarícese con Windows 7
Obviamente, el primer paso es obtener experiencia personal. Y eso significa hacer algo más que pasar el día trabajando en el laboratorio. Instale Windows 7 en cada estación de trabajo de su organización y en el equipo que usa en casa para llamadas de acceso remoto ante problemas. Oblíguese a encontrar maneras de hacer que todo funcione.
La mayoría de las herramientas para administrar servidores Windows desde Windows 7 se incluyen en las Herramientas de administración remota del servidor (RSAT), las cuales se deben descargar en forma separada. En el momento en que escribo este artículo, el paquete final de RSAT aún no se termina. El candidato de versión comercial está disponible en tinyurl.com/win7rcrsat.
No se sorprenda si su carpeta de Herramientas no se rellena inmediatamente después de instalar el paquete de RSAT. Las herramientas RSAT vienen en la forma de un conjunto de características de Windows que debe activarse por separado mediante el applet de Programas y características en el Panel de control. Vea la figura 1 para obtener un ejemplo. Por un motivo desconocido (pero, de seguro, completamente válido), debe hacer clic por separado en cada característica para seleccionarla. Los bloques de comprobación principales no seleccionan a los secundarios de forma automática.
Figura 1 Lista de características de las RSAT de Windows 7 (haga clic en la imagen para aumentarla)
Las RSAT de Active Directory funcionarán con controladores de dominio de Windows 2003 y Windows 2008, aunque algunas características, como la Papelera de reciclaje de Active Directory, requieren el nivel de funcionalidad de Windows Server 2008 R2.
Administrar Exchange 2003 desde una estación de trabajo con Windows 7 no es muy sencillo: La consola del Administrador del sistema de Exchange (ESM) que viene con el CD de instalación de Exchange 2003 no se ejecuta en Windows 7. Hay una versión especial de ESM diseñada para Vista que puede descargar desde tinyurl.com/esmvista. Esta consola se ejecutará sin problemas en Windows 7, pero el instalador realiza una comprobación específica para Vista (Windows versión 6.0.0) que arroja error en Windows 7. Puede usar una herramienta gratuita de Microsoft denominada Orca para modificar el archivo MSI a fin de eliminar o modificar la comprobación de la versión. Orca viene como parte del SDK de Windows Installer; las instrucciones de descarga se encuentran en tinyurl.com/orcamsi. Sin embargo, creo que le será más sencillo cargar ESM en modo XP. Más adelante hablaremos sobre eso.
2. Obtenga información acerca de Windows PowerShell
Es certero decir que la habilidad única más importante que un administrador de Windows necesitará en los próximos años es contar con conocimientos sobre Windows PowerShell. Windows 7 y Windows Server 2008 R2 cuentan con la versión 2 de Windows PowerShell incluida en el sistema operativo y activada de manera predeterminada. Debe planear la instalación de Windows PowerShell v2 en sus servidores y escritorios restantes de manera que pueda usar una tecnología de script para administrar todos sus equipos. (Tenga en cuenta que no podrá instalar PowerShell v2 en servidores o estaciones de trabajo con Exchange 2007. Estos equipos requieren PowerShell v1.1. Pero incluso v1.1 le ofrece acceso a una amplia gama de funcionalidad).
Incluso si es un administrador de GUI obstinado que no ha abierto un símbolo del sistema desde Y2K, descubrirá que la mayoría de las nuevas herramientas de GUI de Microsoft ahora toman la forma de aplicaciones front-end gráficas sobre cmdlets de Windows PowerShell. Muchas de estas herramientas le darán a conocer la cadena de comando subyacente si sabe dónde buscar. Esa es una manera fácil de ver cómo funcionan los cmdlets.
Existen muchas referencias disponibles de Windows PowerShell, incluido el destacado libro "Windows PowerShell in Action" (Manning Publications, 2007), escrito por Bruce Payette, miembro del equipo de Microsoft Windows PowerShell. Se está preparando una nueva edición; puede pagar unos cuantos dólares para leer los primeros capítulos, reservar una copia cuando salga a la venta y obtener un libro electrónico de la primera edición en el sitio Web del editor: manning.com/payette2. Revise también "Windows PowerShell Pocket Reference" (O'Reilly Media Inc., 2009) por Lee Holmes, otro miembro del equipo de Windows PowerShell. Y visite el blog del equipo de Windows PowerShell en blogs.msdn.com/PowerShell. Allí, encontrará uno de los equipos de desarrolladores más interactivos del planeta. Vale la pena leer cada palabra de este blog. Dos veces.
Más buenas noticias: El conjunto de RSAT de Windows 7 contiene los mismos cmdlets de Windows PowerShell de Active Directory que vienen en Windows Server 2008 R2. Vea la figura 2 para obtener un ejemplo. La mejor fuente para obtener más información es el blog de PowerShell de Active Directory en tinyurl.com/psadblog.
Figure 2 cmdlets de ADPowerShell en acción. (Haga clic en la imagen para aumentarla)
Puede usar estos cmdlets de AD para administrar dominios que ejecutan Windows 2003 y Windows 2008, pero primero tendrá que instalar el servicio AD Management Gateway (también conocido como Servicios web de AD, o ADWS) al menos en un controlador de dominio. En este momento, ADWS está en versión beta; se puede descargar desde connect.microsoft.com.
El servicio ADWS requiere Windows Server 2003 SP2 (regular o R2) o Windows Server 2008 simple o SP2. Tendrá que instalar .NET Framework 3.5 SP1 (tinyurl.com/dotnet35sp1) y una revisión (support.microsoft.com/kb/969429) que permite compatibilidad para el marcador de servicio web en Netlogon. (La revisión viene incluida en Windows Server 2008 SP2).
Si trabaja en una de esas organizaciones en que obtener aprobación para los cambios de controladores de dominio demanda mucho tiempo y esfuerzo, y desea comenzar a usar Windows PowerShell para administrar Active Directory mientras aún es joven y tiene vitalidad, eche un vistazo a los cmdlets gratuitos de Active Directory de Quest enquest.com/PowerShell.
3. Ábrase paso entre las licencias
Si su organización no implementó Vista, es posible que no esté familiarizado con los últimos requisitos de activación del volumen en Windows. Si es un administrador en una empresa con más de 25 equipos de escritorio y/o cinco servidores, si su organización aprovecha un programa de licencias por volumen, como Enterprise Agreement o Select Agreement, y si adquiere Windows 7 Professional o Ultimate (o actualiza a esas versiones como parte de Software Assurance), debe hacer lo siguiente: imprima una pequeña pila de documentos de activación de licencias por volumen desde tinyurl.com/volact, sírvase un poco de buen vino toscano y comience a estudiar.
Cuando finalmente se declare completamente confundido, descargue una difusión por Web de la directora de productos Kim Griffiths, quien realiza una excelente labor explicando los matices del programa. La podrá encontrar en tinyurl.com/volactwebcastwin7.
En resumen, para implementar escritorios con Windows 7 mediante licencias por volumen, probablemente tendrá que instalar un servidor de administración de claves (KMS). Digo “probablemente”, porque es posible que no cuente con equipos suficientes en su organización para admitir la activación de KMS. Un KMS no comenzará a repartir aprobaciones de activación hasta que reciba solicitudes al menos de 25 equipos de escritorio y/o cinco servidores. Esto con la intención de evitar que proveedores inescrupulosos utilicen la misma clave de licencia por volumen para varios clientes pequeños. Una vez realizada la activación, un cliente debe reactivarla cada seis meses. A pesar de lo que pueda haber leído en otra parte, no hay una reducción en la funcionalidad de Windows 7. Si la clave de activación caduca, el fondo de escritorio simplemente se pone negro y un globo de notificación indica que el sistema operativo no es genuino.
Si posee menos del número requerido de dispositivos para un KMS, puede obtener una Clave de activación múltiple (MAK), que cuenta con asignaciones de activación basadas en el número de licencias por volumen que compra, además de un factor aglutinante que le permite agregar equipos entre “true-ups”. Un servicio hospedado de Microsoft autentica una clave MAK, de manera que necesitará acceso a Internet luego de la instalación del sistema operativo.
Un cambio incorporado con Windows 7, y Windows Server 2008 R2 ahora permite que las máquinas virtuales se consideren frente al mínimo de KMS para activación. Esto ayuda a estimular su conteo de dispositivos si se trata de una tienda pequeña que utiliza muchos escritorios y servidores virtuales.
Si ya tiene un KMS para Vista y Windows Server 2008, podrá descargar una actualización para activar equipos con Windows 7 y Windows Server 2008 R2.
4. Concéntrese en mejoras estratégicas
Después de familiarizarse con la administración del sistema mediante herramientas de Windows 7 y de configurar la tecnología para activar sus equipos de escritorio, es hora de comenzar a planear la implementación para usuarios finales. Lo más importante en este punto (y sé que no quiere oír esto) es llevar a cabo una reunión.
Tranquilo… tranquilo. Siga leyendo. Se trata de otro tipo de reunión. Va a reunir a toda su parentela de TI que ha estado trabajando con Windows 7. No sólo arquitectos. No sólo compañeros de escritorio. No sólo el equipo encargado de los servidores o los técnicos de soporte o desarrolladores internos o administradores de proyectos. Esta vez desea representantes de cada equipo. Considérelo como un consejo ecuménico. Organícelo de manera que dure todo el día. Diga a todos los asistentes que sólo los mejores se subirán a este tren, así que no querrán perderse este evento.
Hágase un favor antes de la reunión: ármese de números. Esto, porque, en algún momento, seguramente alguien dirá: “Realmente deberíamos elaborar un catálogo de aplicaciones empresariales que podamos usar para realizar nuestras pruebas de compatibilidad. ¿Y realmente todos nuestros equipos pueden ejecutar Windows 7?”. Luego el grupo pasará una hora o dos hablando acerca de cómo armar el catálogo o de por qué no se puede hacer o de cómo Juan del equipo de escritorios ya tiene una hoja de cálculo con esa información, pero que no ha actualizado durante mucho tiempo y no incluye los equipos de Europa, Medio Oriente y África, y así sucesivamente.
Puede cortocircuitar toda esa conversación con dos herramientas gratuitas de inventario y análisis. Primero, Microsoft Assessment and Planning Toolkit (MAP 4.0), disponible en tinyurl.com/map40. Esta herramienta sin agentes recopilará estadísticas sobre sus equipos de escritorio y le entregará un informe sobre cuáles están listos para Windows 7, cuáles necesitan actualizaciones de hardware y cuáles equipos nunca estarán listos (a pesar de todo el maquillaje con que los quiera retocar). MAP genera gráficos circulares estupendos para administración (ver Figura 3) y pilas de jugosos números para los técnicos (Figura 4).
Figura 3 Resumen de evaluación de Microsoft Assessment and Planning Toolkit 4.0 (Hacer clic en la imagen para ampliarla)
Figura 4 Detalles de evaluación de Microsoft Assessment and Planning Toolkit 4.0 (Hacer clic en la imagen para ampliarla)
Cuando ejecute la herramienta, no restrinja demasiado sus requisitos de hardware. El primer borrador de este artículo lo escribí ejecutando Windows 7 y Office 2007 en un equipo de escritorio Celeron de 1.6 GHz con 512 MB de RAM y un montón de aplicaciones de línea de negocio ejecutándose en segundo plano. El rendimiento fue perfectamente aceptable.
A continuación, cargue Microsoft Application Compatibility Toolkit (ACT) 5.5, disponible en tinyurl.com/appcompat55, y utilícelo para obtener estadísticas de software sobre equipos de escritorio seleccionados. La evaluación de ACT no sólo revisa la lista de Software instalado en el Registro; además examina en ranuras y escondrijos en busca de aplicaciones que todo tipo de instaladores heredados hayan apartado. Esta capacidad requiere un agente local, que se implementa a partir de un servidor de administración de ACT y que envía de vuelta informes periódicos durante varios días antes de desinstalarse.
Como puede ver en la Figura 5, ACT realiza un completo trabajo de recopilación de datos (muy completo), de manera que necesitará un servidor con una potencia moderadamente buena para ejecutarlo. Puede usar SQL Express para almacenar los datos, a menos que desee incluir miles de equipos en la muestra. Sin embargo, si tiene sus cargas de software divididas por departamento o grupo de trabajo funcional, puede seleccionar unos cuantos equipos representativos de cada grupo como muestra. Incluso con decenas de miles de equipos de escritorio, debe poder probar un 2 a 3 por ciento para tener una idea del trabajo que tiene por delante.
Figura 5 Informe de aplicación de Microsoft Application Compatibility Toolkit 5.5 (Hacer clic en la imagen para ampliarla)
Ahora bien, volvamos a esa importante reunión. Hágalo bien. Eche mano de los fondos del departamento para comprar suficientes donas y pizza para saciar a un tiranosaurio Rex de tamaño mediano. Busque una oficina con pizarras blancas de pared a pared. Si no puede conseguir que todos vuelen a una ubicación, tapice el perímetro de la sala de reuniones con grandes pantallas, inicie el software de reunión en red de su elección y asegúrese de que haya micrófonos y cámaras por todas partes.
En la primera mitad de la reunión, pregunte a los asistentes cómo usan Windows 7 para mejorar sus tareas diarias. Averigüe qué fue lo que más les costó aprender. Escuche sus problemas. Examine esas mentes en busca de una combinación de características que mejoren de forma tangible la productividad de sus usuarios y la seguridad, que estimulen la movilidad y simplifiquen los procesos de trabajo.
Dedique la segunda mitad del día a describir un plan de implementación. No pierda tiempo en tratar de resolver problemas de compatibilidad o interoperabilidad o de procesos de trabajo. Toda organización que haya ejecutado XP durante varios años está destinada a tener procedimientos evolucionados que comiencen a… mmm, desmoronarse. Identifique los problemas. Clasifíquelos. Siga adelante.
Imagínese que es un geólogo probando un nuevo yacimiento de petróleo. Concéntrese en localizar los grandes depósitos y piense más tarde en la extracción.
El resultado de esta reunión será una guía de quién-qué-cuándo-dónde-cómo. Abordará preguntas como: ¿Qué características implementará? ¿Quién se encargará del trabajo de preparación? ¿Cuánto tiempo llevará? ¿Qué usuarios serán los más afectados? ¿Cómo puede obtener la cooperación de esos usuarios? ¿Cuánto costará la implementación en dinero efectivo y créditos por comisiones? ¿Dónde se encuentran los posibles puntos de error? ¿Qué recursos se requieren para realizar pruebas? Y lo más importante, ¿cuándo puede comenzar el trabajo? Resúmalo en cinco diapositivas, véndalo a administración y luego ejecute, ejecute, ejecute.
5. Amplíe el alcance de la implementación
Es posible que algunas de las mejores características en Windows 7 requieran algunos cambios en su infraestructura. Por ejemplo: una de las principales características en mi lista de favoritos es la combinación de Búsqueda federada y Bibliotecas en el shell del Explorador. Ambas trabajan en conjunto para proporcionar una vista centralizada y flexible de datos distribuidos.
La clave para utilizar la Búsqueda federada es encontrar o crear conectores a repositorios de datos basados en la Web. Un conector es un conjunto de elementos de configuración al interior de un archivo .OSDX. Estos elementos apuntan a un sitio web y describen cómo administrar el contenido. A continuación se muestra un ejemplo de un conector Bing.
<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="https://schemas.microsoft.com/opensearchext/2009/">
<ShortName>Bing</ShortName>
<Description>Bing in Windows 7.</Description>
<Url type="application/rss+xml"
template="http://api.bing.com/rss.aspx?source=web&query=
{searchTerms}&format=rss"/>
<Url type="text/html" template="https://www.bing.com/search?q={searchTerms}"/>
</OpenSearchDescription>
Cuando hace clic con el botón secundario en un archivo .OSDX, el Explorador muestra la opción Crear conector de búsqueda en el menú de propiedades. Haga clic en esa opción y el conector se agregará a la lista de elementos en Favoritos. Inicie una búsqueda del conector resaltándolo y escribiendo términos en el campo de búsqueda en la esquina superior derecha de la ventana del Explorador. En unos pocos segundos, el Explorador llena el panel de resultados. Haga clic en Vista previa para ver el contenido de una página seleccionada. En la figura 6 se muestra un ejemplo.
Figura 6 Conector de búsqueda en el Explorador(Haga clic en la imagen para obtener una vista más grande)
Los conectores son fáciles de crear. Convenza a sus desarrolladores internos de juntar un par de servidores de intranet (portal de la empresa, granja de SharePoint y otros). Señáleles la larga lista de conectores de muestra en SevenForums (tinyurl.com/srchcon), un sitio independiente, increíblemente útil para todo lo relacionado con Windows 7. Distribuya estos conectores a sus usuarios mediante sus herramientas de implementación de paquete estándar. Luego puede usarlos para crear una vista estándar de sus datos web distribuidos.
Aunque la Búsqueda federada puede administrar contenido de sitios web lo bastante bien, las organizaciones tienden a complicarse cuando se trata de profundizar en los terabytes sobre terabytes de archivos que descansan en servidores de archivos. Esto significa que quizá los usuarios que poseen sólo las nociones más vagas sobre asignaciones de unidades y almacenamiento de datos en red tengan que pasar horas examinando las unidades de su disco duro, tratando de encontrar, por ejemplo, los informes que escribieron el mes pasado.
Aquí es donde entran en juego las Bibliotecas. Las bibliotecas agregan archivos desde una variedad de orígenes a objetos que se pueden buscar. Las bibliotecas predeterminadas en Windows 7 incluyen el surtido habitual de tipos y ubicaciones de datos personales (Documentos, Música, Imágenes y Vídeos) y es sencillo ampliar esta lista para incluir repositorios basados en un servidor. Simplemente haga clic con el botón secundario, seleccione Biblioteca nueva y agregue una ruta de UNC para una carpeta compartida.
Un truco: la carpeta de destino se debe indizar. En Windows Server 2008 y versiones posteriores, instale la función Servicios de archivo. A continuación, en Servicios de función, instale el servicio Windows Search. En los servidores con Windows Server 2003 SP2, instale Windows Search 4.0, una descarga gratuita de tinyurl.com/srch40dwnload. Además, debido a una limitación de la interfaz de búsqueda, no podrá especificar las rutas DFS aunque el destino final de una carpeta DFS sea un servidor de archivos indizados.
No hay ninguna utilidad de línea de comandos para crear bibliotecas y, en este momento, tampoco hay cmdlets de Windows PowerShell. El SDK de Windows 7 incluye herramientas para trabajar con bibliotecas de manera programática, así que no pasará mucho tiempo antes de que comiencen a aparecer pequeñas utilidades. Esté atento para percibirlas.
Una nota acerca de la acción predeterminada de las Bibliotecas: el Explorador muestra Bibliotecas en el Cuadro de diálogo de archivos comunes para permitir que los usuarios guarden archivos en una biblioteca al arrastrarlos y soltarlos. Si tiene varios vínculos en una biblioteca, uno de ellos debe configurarse como el destino predeterminado.
6. Prepárese para la seguridad distribuida
Durante su reunión inicial de estrategia, deje tiempo para comentar cómo desea administrar las características de seguridad distribuida en Windows 7. Querrá determinar un curso de acción tempranamente en el proyecto porque esas decisiones tendrán un impacto sustancial en su matriz de pruebas.
Primero, considere si desea activar el firewall del escritorio. Cuando los firewall de escritorio basados en sistema operativo se incorporaron por primera vez en XP SP1, muchas organizaciones los desactivaron con una directiva de grupo y listo. El firewall en Windows 7 es mucho más flexible y garantiza reconsideración. Puede desactivarlo mientras el equipo se conecta al dominio y activarlo cuando se conecta a una red del hogar/trabajo o a Internet. Además, puede definir exclusiones granulares. Pruebe con una mezcla de opciones con la primera ola de usuarios piloto; reúna sus comentarios, junto con opiniones de su equipo de seguridad, para tomar la decisión final sobre la configuración del firewall. Se puede configurar por completo mediante una directiva de grupo.
Segundo, ¿desea utilizar AppLocker para restringir aplicaciones con permiso para ejecutarse en sus equipos de escritorio? AppLocker le permite reunir una lista blanca de ejecutables aprobados que puede seleccionar individualmente por hash de archivo, en grupos por ubicación o en grupos por editor (es decir, firmados por el certificado del editor). Después de la configuración, estas reglas las descargan clientes de Windows 7 que ejecutan el servicio de Identidad de aplicaciones. De allí en adelante, sólo se podrán ejecutar las aplicaciones que aparecen en la lista blanca. Todos los demás ejecutables quedan obligadamente relegados, un poco lo que me pasaba a mí en mis tiempos de atleta en el colegio.
Dado que los permisos de AppLocker se aplican mediante directiva de grupo, puede centrarse estrictamente en las reglas para computadores basados en una unidad organizativa, pertenencia a grupo o filtros WMI.
Examinar una montaña de aplicaciones tratando de determinar cuál debe estar en la lista blanca de AppLocker no suena muy divertido, pero la situación no tiene por qué llegar a eso. La mayoría de los equipos de línea de negocio tienen un conjunto fijo y limitado de aplicaciones. Comience allí. Después de todo, si puede evitar que los turnos de noche conecten unidades flash en equipos quiosco de fábrica para ejecutar juegos en vez de crear widgets, ya tiene resueltos bastantes problemas operacionales. Encárguese de los equipos de oficina administrativa más tarde.
Por último, ¿piensa proteger sus equipos portátiles y unidades flash con cifrado? Si sus ejecutivos, administradores y profesionales deambulan con unidades de datos llenas de propiedad intelectual valiosa, entonces la respuesta debe ser un rotundo "sí". BitLocker le permite cifrar toda la unidad de disco duro y todos los datos allí contenidos. BitLocker To Go amplía este cifrado para cubrir unidades flash y otros medios portátiles. Realmente debe implementarlo.
Ahora bien, no estoy diciendo que simplemente deba asentar la directiva de BitLocker en directivas de grupo, cifrar un manojo de unidades e irse. Al igual que con cualquier otra tecnología basada en cifrado, debe meditar las opciones con cuidado. No sea el tipo de persona de quien los demás cuentan historias durante años, como "¿Recuerdan cuando a la directora general se le bloqueó el acceso a su equipo portátil una hora antes de la reunión anual y el pobre <inserte su nombre aquí> no había previsto una clave de recuperación empresarial?". Sería inteligente asesorarse con un consultor que cuente con experiencia en el cifrado de unidades a nivel empresarial e implementaciones de BitLocker. Lo principal es: no permita que la complejidad lo abrume. La alternativa es incluso más abrumadora. Después de todo, la historia que se cuente durante años después del hecho podría ser algo como “¿Recuerdan cuando solíamos tener una empresa antes de que el crimen organizado pusiera sus manos en el equipo portátil del director financiero?”.
7. Virtualice sus equipos de escritorio
Imagine lo siguiente: pasó un par de semanas o meses diseñando su imagen de escritorio de Windows 7 estándar. Se esforzó mucho para resolver problemas técnicos y encontró maneras de mover aplicaciones y datos de usuario rápidamente entre equipos, reduciendo así el impacto de la migración. (La Herramienta de migración de estado de usuario, parte del Kit de instalación automatizada, es un buen lugar para comenzar este tipo de trabajo. Para ver un tutorial de demostración, visite tinyurl.com/usmtwt). Sus técnicos de campo recibieron entrenamiento. El equipo de soporte técnico está bajo control con toda la orientación publicada en su sitio de SharePoint. Por fin está listo para comenzar la implementación.
Pero espere. En vez de colocar el sistema operativo directamente en el disco duro de cada equipo nuevo, Windows 7 hace posible instalarlo en un archivo de una Unidad de disco virtual (VHD) en el disco duro. El sistema operativo se inicia a partir del contenido de este VHD, que se transforma en la Unidad C, y luego considera al verdadero disco duro como Unidad D. Si se planea adecuadamente, un SO instalado de esta manera podría ser altamente portátil. Si John se muda de Cincinnati a Chicago, el técnico de campo en Cincinnati podría copiar el VHD por la red a un técnico de campo en Chicago, quien lo instalaría en un equipo para que John pudiera llegar al trabajo en su entorno de escritorio familiar apenas se baje de su camioneta U-Haul.
Si cree que de esta forma el rendimiento sería menos que estelar, piénselo otra vez. Revise las estadísticas de E/S de disco en el blog del equipo de virtualización, tinyurl.com/nativevhd.
Sin embargo, hay algunas advertencias. La primera tiene que ver con la hibernación, la cual no funciona en absoluto para equipos que arrancan con VHD. Eso significa que quizás no desee utilizar el arranque de VHD para equipos portátiles. Además, no puede arrancar desde un VHD en una unidad cifrada con BitLocker, lo cual además reduce su atractivo para equipos portátiles.
Podría ser que la complejidad de trabajar con implementaciones basadas en VHD sea mayor que los beneficios, pero al menos debe incluirlas en su plan de prueba. Los pasos para llevar a cabo todo esto son demasiado extensos para este artículo, pero hay algunos lugares en los que puede consultar las instrucciones: Puede utilizar el método de Max Knor, descrito en tinyurl.com/win7bootvhdnativinstall, que en esencia arranca al CD de instalación de Windows 7, afina un símbolo del sistema, crea el VHD y luego lo usa como el destino para el instalador, muy ingenioso. Puede seguir las instrucciones del tutorial sobre TechNet en tinyurl.com/win7bootvhdwt; o puede ver este vídeo de TechNet: tinyurl.com/win7bootvhdvid.
Después de aprender estas técnicas, eche un vistazo a lo que Kyle Rosenthal en el blog Vista PC Guy tiene para ofrecer en la forma de instrucciones para usar herramientas WinPE para crear imágenes. Por ejemplo, los pasos en vistapcguy.net/?p=71 muestran cómo crear una unidad flash de arranque con herramientas WinPE y una imagen de instalación en ella. Con esa herramienta, puede instalar rápidamente su imagen estándar en un equipo sin tocar una sola pieza de plástico.
8. Evalúe las características empresariales
El arranque de VHD, junto con BitLocker y AppLocker, cae dentro de una clase de características que requieren Windows 7 Enterprise o Ultimate. La SKU de Enterprise sólo se puede obtener a través de un contrato de licencia por volumen. Si posee una versión Enterprise o Ultimate, debe considerar implementar unas cuantas características adicionales para mejorar la seguridad y simplificar las operaciones.
BranchCache le permite almacenar en caché transferencias de archivos, ya sea en un servidor central de una sucursal o como parte de una red de sistemas del mismo nivel de equipos de escritorio. Cuando un cliente inicia una transferencia de archivos, primero comprueba si el archivo se encuentra en caché a nivel local y si el hash del archivo coincide con el hash en el origen de autoridad. Si es así, copia el archivo desde la memoria caché. Esto no sólo acelera las cosas para los usuarios, también reduce la carga de red en la WAN, un beneficio que de seguro dibujará una sonrisa en el rostro de los chicos de redes. (Se ha sabido que sonríen. Yo lo he visto). Lo insto a probar BranchCache en sus pruebas piloto para evaluar si su mezcla de aplicaciones y tráfico de archivos asociado se beneficiaría.
A continuación, podría llevar la cuasi virtualización basada en VHD que analicé en la última sección al siguiente nivel (verdadera virtualización) al implementar Infraestructura de escritorio virtual, o VDI, en servidores con Windows Server 2008 R2. En una VDI, cada sesión de escritorio existe como una máquina virtual aparte y los usuarios se conectan a través de RDP. Esta instalación contrasta con la manera más convencional de Terminal Services de publicar un escritorio, en que todos los usuarios comparten el mismo grupo de imágenes de aplicaciones. En Terminal Services, si alguien comete un error, todos los demás sufren las consecuencias. ¿Vio “El club de los chalados”? Suficiente. (También puede evitar interacciones desafortunadas en un servidor de terminal si virtualiza sus aplicaciones. Revise las herramientas de App-V de Microsoft Desktop Optimization Pack).
VDI puede ser algo costosa. El costo de admitir escritorios virtuales de usuario con un complemento integral de acceso a memoria y red en un servidor puede sobrepasar el costo de los equipos. Pero en el caso de una recuperación ante desastres en un entorno de escritorio distribuido, no podría pedir una mejor protección.
Otra característica de Enterprise, DirectAccess, permite que los usuarios se conecten a través de una puerta de enlace de Windows Server 2008 R2 a la red corporativa sin usar una VPN. Un usuario puede abrir su equipo portátil activado con EVDO mientras se sienta en un aeropuerto e inmediatamente comenzar a trabajar en documentos almacenados en servidores corporativos. Aunque vender esta característica a su equipo de seguridad podría llevar algún tiempo. (Ése sí es un grupo que nunca sonríe).
9. Cree redes de seguridad para compatibilidad
Un problema que sin duda debe pulir en su reunión con los especialistas es si su organización está lista para implementar escritorios de 64 bits. Es casi seguro que nuevos equipos implementados como parte de un ciclo de actualización contarán con la capacidad para 64 bits. Es posible que les agregue una RAM, al menos, de 2 GB a los precios de las RAM de hoy en día, o con mayor probabilidad de 4 GB, si puede convencer a Finanzas de que apruebe los costos por unidad un poco más altos. Es probable que los equipos cuenten con procesadores dual-core, posiblemente hasta quad-core, con suficiente memoria de vídeo para admitir Aero. Estos equipos funcionarán muy bien con un sistema operativo de 64 bits.
Incluso si todas sus aplicaciones de línea de negocio y comerciales siguen siendo de 32 bits, tiene sentido instalar la versión de 64 bits de Windows 7, aunque sólo fuera con el afán de ayudar a proteger su inversión a futuro. Está claro que el mundo avanza hacia un estándar de 64 bits y deseará estar preparado cuando los proveedores decidan comenzar a prescindir de compatibilidad con versiones anteriores.
Si decide implementar escritorios de 64 bits, realice pruebas exhaustivas en busca de problemas con controladores de dispositivos, conjuntos de antivirus, agentes de administración y así sucesivamente. Si actualmente posee servidores de impresión de 32 bits, tendrá que llevar las colas de impresión con controladores de 64 bits. Como alternativa, podría implementar nuevos servidores de impresión de 64 bits de Windows Server 2008 o R2 y llenar ambos conjuntos de controladores conforme crea las colas. El asistente de migración de impresoras de Windows Server 2008 R2 ayudará con esta tarea. Vale la pena el esfuerzo por implementar nuevos servidores de impresión R2, porque el modelo de impresión se ha mejorado para mantener los controladores en su propio espacio de memoria de manera que un controlador defectuoso no afecte la cola de impresión.
Posiblemente el aspecto más importante que podría complicar todo es la necesidad de ejecutar aplicaciones heredadas de 16 bits, las cuales no se ejecutarán en absoluto en un host de 64 bits. Su mejor alternativa en este caso es usar un truco que los granjeros de invernadero en Minnesota han utilizado durante generaciones para cultivar tomates: crear un entorno que engaña a las plantas y las hace creer que están en Dallas en vez de Duluth. Es decir: use el modo XP para colocar una instancia de x86 XP SP3 en su escritorio de 64 bits con Windows 7.
Las aplicaciones instaladas en la máquina virtual en modo XP se pueden iniciar desde el menú de Inicio de Windows 7 (Figura 7) igual que si estuvieran instaladas allí de verdad, de manera que sus usuarios no se confundirán al vivir en dos universos. (Este truco en realidad viene de una revisión RAIL, no directamente del modo XP, de manera que pueda hacer el truco del menú de inicio al instalar la revisión RAIL y ejecutar el equipo virtual con Vista o Windows 7 de 32 bits, si lo desea.)
Figura 7 Lista de aplicaciones de modo XP en menú de inicio
De manera predeterminada, la máquina virtual en modo XP se ejecuta en una cuenta local al interior de la máquina virtual. La cuenta se denomina Usuario. Configure la contraseña para esta cuenta durante el tiempo de instalación y la contraseña nunca caducará. De manera alternativa, puede iniciar la máquina virtual y unirla al dominio e inicio de sesión con sus credenciales de dominio. Puede cargar Exchange 2003 ESM en modo XP junto con las herramientas de administración más antiguas para contar con un entorno de administración totalmente compatible. ¿Y mencioné la acción sin problemas de cortar y pegar entre el host y las máquinas virtuales? Todo muy lindo.
El modo XP requiere virtualización basada en hardware, ya sea Intel VT o AMD-V. Steve Gibson de Gibson Research Corp. (famosa por su SpinRite y ShieldsUP!) con sede en Laguna Hills, California, ofrece una utilidad gratuita llamada SecurAble (grc.com/securable.htm), que le dirá rápidamente si un equipo cumple los criterios. Vea el ejemplo de la Figura 8 de un informe de SecurAble.
Figura 8 Informe de SecurAble de Gibson Research Corp.
Si tiene cientos o miles de equipos, necesitará un paquete de administración centralizada para administrar este entorno alternativo. Esto es Microsoft Enterprise Desktop Virtualization (MED-V), un elemento de Microsoft Desktop Optimization Pack. En el cliente, MED-V 2.0 funciona de manera similar al modo XP al instalar una máquina virtual que requiere compatibilidad de virtualización en hardware. En el fondo, MED-V ofrece una variedad de herramientas para crear e implementar paquetes en las máquinas virtuales. Para obtener más información, vea el blog de este equipo de Windows que publica en tinyurl.com/medvblog.
10. Elimine los derechos de administración local de sus usuarios
Si todavía no ha retirado los derechos de administración local de sus usuarios, ahora es el momento de hacerlo. Sí, ya sé que es difícil. En el caso de los usuarios de equipos portátiles es especialmente difícil, porque el soporte técnico no puede guiarlos para que realicen reparaciones complicadas por teléfono. Pero además está esa organización de TI en las sombras, gurús del departamento y aspirantes a administradores que encuentran aplicaciones que satisfacen ciertas necesidades tácticas y luego se pasean con unidades USB instalándolas sin considerar pruebas de interoperabilidad. Y no me hagan hablar del tipo de basura que los usuarios promedio instalan en sus equipos cuando poseen derechos de administración local. Es asombroso cómo el usuario menos sofisticado, incapaz de mucho más que restablecer una contraseña sin la ayuda del soporte técnico, puede encontrar la manera de instalar complejas aplicaciones cliente en varios niveles entre servidor y cliente si la recompensa implica compras o deportes.
Incluso si consigue el poder político necesario para negar derechos de administración local a la mayoría de los usuarios, tan pronto como los retire, las aplicaciones comenzarán a presentar errores. Un increíble número de aplicaciones insiste en la escritura para porciones protegidas del sistema de archivos y Registro.
Windows 7 simplifica el cambio a una operación de usuario estándar. Procesos en segundo plano redirigen lo cambios fuera de las áreas protegidas hacia áreas controladas por el usuario. Sólo eso ya debe solucionar muchos problemas que podría encontrar con una operación de usuario estándar con XP. También hay algunas mejoras simples, pero fundamentales que ayudan a los usuarios estándar, como la capacidad de cambiar zonas horarias, una tarea que requería derechos de administración local en XP y Vista. Lo mismo que para cambiar la resolución de pantalla, al hacer una ipconfig/actualización para obtener la dirección DHCP e instalar actualizaciones opcionales.
El kit de herramientas de compatibilidad de aplicaciones (ACT) contiene un Asistente de analizador de usuario estándar (SUA) como ayuda para examinar sus aplicaciones. SUA proporciona una plataforma de lanzamiento de privilegios elevados para una aplicación. Entonces, aunque la aplicación se instala y ejecuta, SUA da vueltas buscando problemas sutiles que podrían evitar que se ejecute como un usuario estándar. Cuando está listo, recibe una notificación limpia de estado para la aplicación o una lista de elementos que requieren corrección.
Cuando descargue ACT, le conviene además descargar el Comprobador de aplicación desde tinyurl.com/appverify. El asistente de SUA utiliza esta aplicación, que no se incluye en el paquete de ACT. Además, asegúrese de leer los documentos para ACT 5.5. Hay mucha información valiosa sobre problemas y reparaciones de compatibilidad. Además, el número de junio de 2009 de TechNet Magazine cubrió ampliamente la compatibilidad de aplicaciones.
¿Pero qué sucede con los usuarios que sí necesitan derechos de administración local, como administradores y desarrolladores y usuarios con bastante influencia para que se los coloque nuevamente en el grupo de administradores locales? ¿Realmente desea que estos usuarios estén husmeando todo el día con privilegios ampliados? Espero que su respuesta sea “no” y es por ello que el muy difamado Control de cuentas de usuario (UAC) debe ser su aliado. Mark Russinovich hace poco escribió un artículo sobre el tema ("Estudio del Control de cuentas de usuario de Windows 7," TechNet Magazine, julio de 2009). Antes de bajar el control deslizante de UAC para desactivarlo de su equipo, entre a Internet y lea el artículo.
Puede ser un héroe… y no sólo por un día
Va a requerir mucho trabajo prepararse para Windows 7 y para implementarlo, pero ayuda el hecho de que los usuarios realmente desean un nuevo sistema operativo. A aquellos que lo han probado les gusta la nueva interfaz. Agradecen el ajuste y la finalización, la capacidad de respuesta y las nuevas características.
La oportunidad de ser popular como administrador de sistemas no se presenta muy a menudo. Voy a disfrutarla mientras dura. Debería hacer lo mismo. Buena suerte con su implementación de Windows 7. Después me cuenta cómo le fue.
Bill Boswell (billb@microsoft.com) es consultor senior para Servicios de consultoría de Microsoft en la oficina de Phoenix, Arizona. Bill actualmente se desempeña como asesor de Arquitectura y planeación de TI (ITAP) para una importante aerolínea.