Windows 7

掌握 Windows 7 首先要做的 10 件事

Bill Boswell

 

概览:

  • 了解 Windows 7
  • 处理最新的批量激活要求。
  • 制订路线图
  • 处理新增的分布式安全功能
  • 虚拟化桌面和基础结构
  • 删除用户的本地管理权限

目录

1. 初步了解 Windows 7。
2. 学习 Windows PowerShell。
3. 研究授权。
4. 关注战略性改进。
5. 扩展部署范围。
6. 准备分布式安全。
7. 虚拟化桌面。
8. 评估企业功能。
9. 构建兼容性安全网。
10. 删除用户的本地管理权限。
您可以成为英雄人物 — 但非一时英雄

当您查看 Windows 7 中新增功能和改进的列表时(请参见 tinyurl.com/win7featuregrid 的功能比较图),您一定想知道如何才能掌握所有这些新技术,以便顺利地提供给用户。

下面这 10 个步骤可以帮助您实现这个目标。

1. 初步了解 Windows 7。

显然,第一步是获得个人体验。这意味着不仅仅是在实验室中随便试试。将 Windows 7 安装在组织中的每台工作站上以及您在家中用于通过远程访问寻求技术支持的计算机上。迫使您自己找到使一切正常工作的方式。

Windows 7 远程服务器管理工具 (RSAT) 提供大多数用于从 Windows 7 管理 Windows 服务器的工具,RSAT 必须单独下载。在撰写本文时,最终版本的 RSAT 程序包尚未完成。tinyurl.com/win7rcrsat 上提供了候选发布版。

在安装 RSAT 程序包后,如果没有立即填充“管理工具”文件夹,请不要感到惊讶。RSAT 工具的形式为 Windows 功能集,必须使用“控制面板”中的“程序和功能”小程序单独启用。有关示例,请参见图 1。出于未知(但是我确定完全有效)原因,您必须分别单击每个功能才能将其选中。选中父级块不会自动选中其子级。

boswell.fig1.rsattools.gif

图 1 Windows 7 RSAT 功能列表(单击图像可查看大图)

Active Directory RSAT 工具可与 Windows 2003 和 Windows 2008 域控制器一起使用,虽然某些功能(如 Active Directory 回收站)需要 Windows Server 2008 R2 功能级别。

从 Windows 7 工作站管理 Exchange 2003 并非如此简单:Exchange 2003 安装 CD 中随附的 Exchange 系统管理器 (ESM) 控制台无法在 Windows 7 上运行。您可以从 tinyurl.com/esmvista 下载为 Vista 设计的 ESM 特别版。此控制台在 Windows 7 下可正常运行,但是安装程序会针对 Vista(Windows 6.0.0 版)进行特定检查,而该检查在 Windows 7 上会失败。您可以使用一种免费的 Microsoft 工具(称为 Orca)修改 MSI 文件,以删除或修改此版本检查。Orca 是 Windows Installer SDK 的一部分;tinyurl.com/orcamsi 上提供了下载说明。不过,我认为您会发现在 XP 模式下加载 ESM 要简单得多。稍后将对此进行详细介绍。

2. 学习 Windows PowerShell。

可以肯定地说,在未来几年,Windows 管理员需要的一项最重要的技能是精通 Windows PowerShell。Windows 7 和 Windows Server 2008 R2 都将 Windows PowerShell 版本 2 包含在操作系统中,并在默认情况下启用。您应对在其余服务器和桌面上安装 Windows PowerShell v2 进行规划,以便使用一种脚本技术管理所有计算机(请注意,您不能在 Exchange 2007 服务器或工作站上安装 PowerShell v2。这些计算机需要 PowerShell v1.1。不过即便是 v1.1,也可以为您提供大量功能)。

即使您是自 2000 年以后就从未打开过命令提示符的顽固的 GUI 管理员,也会发现 Microsoft 的大多数新 GUI 工具现在采用的是构建于 Windows PowerShell cmdlet 之上的图形前端形式。其中许多工具可为您提供底层命令字符串(如果您知道在何处进行查找)。这是了解 cmdlet 工作原理的简单方式。

有许多很好的 Windows PowerShell 参考可供使用,包括由 Microsoft Windows PowerShell 团队成员 Bruce Payette 编著的优秀书籍《Windows PowerShell in Action》(Manning Publications, 2007)。新版本即将发行;您只需支付少量费用便可以阅读前面的章节,在发行时预订一册,还可以在出版商的网站 manning.com/payette2 上获得第一版的电子书。此外,还可参考由另一位 Windows PowerShell 团队成员 Lee Holmes 编著的《Windows PowerShell Pocket Reference》(O'Reilly Media Inc., 2009)。您还可以访问 blogs.msdn.com/PowerShell 上的 Windows PowerShell 团队博客。在这里,您能找到世界上交流最活跃的开发人员团队之一。此博客中的随处是真知灼见,值得一读,甚至反复研读。

下面是更多好消息:Windows 7 RSAT 套件包含的 Active Directory Windows PowerShell cmdlet 与 Windows Server 2008 R2 中包含的相同。有关示例,请参见图 2。要了解更多信息,最好访问 tinyurl.com/psadblog 上的 Active Directory PowerShell 博客。

boswell.fig2.ad powershell.gif

图 2 运行中的 ADPowerShell cmdlet。(单击图像可查看大图)

您可以使用这些 AD cmdlet 管理运行 Windows 2003 和 Windows 2008 的域,但是您需要在至少一个域控制器上安装 AD 管理网关服务(也称为 AD Web 服务,或 ADWS)。在撰写本文时,ADWS 仍处于测试阶段;可以从 connect.microsoft.com 下载。

ADWS 服务需要 Windows Server 2003 SP2 或 Windows Server 2003 SP2 R2,或者 Windows Server 2008 或 Windows Server 2008 SP2。您需要安装 .NET Framework 3.5 SP1 (tinyurl.com/dotnet35sp1) 和一个用于支持 Netlogon 中的 Web 服务标志的修补程序 (support.microsoft.com/kb/969429)。(Windows Server 2008 SP2 中已包含该修补程序)。

如果您的组织在批准针对域控制器的更改时需要花费大量时间和精力,而您希望开始使用 Windows PowerShell 管理 Active Directory,同时仍保持您的青春和活力,您可以在 quest.com/PowerShell 上了解一下 Quest 提供的免费 Active Directory cmdlet。

3. 研究授权。

如果您的组织未部署 Vista,您可能并不熟悉 Windows 中最新的批量激活要求。如果您就任管理员的企业中有多于 25 个桌面和/或 5 个服务器,如果您的组织利用批量许可证程序(如企业协议或选择协议),并且如果您购买 Windows 7 Professional 或 Ultimate(或升级为软件保障中包含的相应版本),则应执行以下操作:从 tinyurl.com/volact 打印一些批量激活文档,给自己倒上香浓的托斯卡纳葡萄酒,然后开始学习。

如果您最后发现自己一头雾水,请下载由产品经理 Kim Griffiths 提供的优秀网络广播,他在说明程序的精微之处做了了不起的工作。tinyurl.com/volactwebcastwin7 提供该网络广播。

简而言之,若要使用批量许可证部署 Windows 7 桌面,您可能需要安装密钥管理服务器 (KMS)。我说“可能”是因为您的组织中可能没有足够的计算机来支持 KMS 激活。除非接收到至少 25 个桌面和/或 5 个服务器的请求,否则 KMS 不会开始发放激活批准。这是为了防止不择手段的供应商将同一批量许可证密钥用于多个小型客户端。激活后,客户端必须每六个月重新激活一次。Windows 7 中不存在简化功能模式,这可能与您从别处获得的信息不一样。如果激活密钥到期,则桌面背景只变为黑色,并显示一个通知气球,说明操作系统不是正版。

如果您拥有的设备数量少于 KMS 要求的数量,则可以获取多次激活密钥 (MAK),该密钥具有按所购买的批量许可证数量确定的激活分配,以及一个可在调整范围内增加计算机的调整因子。MAK 密钥通过 Microsoft 托管服务进行身份验证,因此您需要在安装操作系统后能够访问 Internet。

Windows 7 和 Windows Server 2008 R2 引入了一项更改,现在,允许 KMS 最小激活将虚拟机计算在内。如果您的小型商店使用许多虚拟桌面和服务器,这可帮助增加您的设备计数。

如果您已拥有 Vista 和 Windows Server 2008 的 KMS,则可以下载用于激活 Windows 7 和 Windows Server 2008 R2 计算机的更新。

4. 关注战略性改进。

只要熟悉使用 Windows 7 工具进行系统管理,并设置了用于激活桌面的技术,即可开始规划部署到最终用户。此时最重要的事(我知道您不愿看到这样的字眼)是召开一次会议。

请冷静,再冷静。听我说。这不是一般意义上的会议。您将召集所有使用过 Windows 7 的 IT 同事,而不仅仅是架构师、桌面工作人员,也不仅仅是服务器团队、技术支持人员、内部开发人员或项目经理。您需要召集所有团队的代表。将它当作一次大公会议。安排一整天的会议时间。告诉所有可能的与会者,只有出色的人才有资格参加会议,因此他们一定不希望错过机会。

会议开始前做一点准备工作:准备好各种数字。这是因为,在某些时候,一定有人会说:“我们真的应该编制一个企业应用程序目录,我们可以用它进行兼容性测试。我们的所有计算机都真的可以运行 Windows 7 吗?”然后,人们会花一两个小时来讨论如何编制目录,或为何无法完成这项工作,或者桌面团队的 John 已有包含该信息的电子表格,但因为他未常常刷新,该表格不包括欧洲、中东和非洲的计算机 — 等等问题。

通过两个免费的清单和分析工具,可以缩短整个讨论。首先是 tinyurl.com/map40 提供的 Microsoft 评估和规划工具包 (MAP 4.0)。此无代理工具可收集桌面的统计信息,提供有关哪些桌面已准备就绪可以使用 Windows 7、哪些需要硬件升级以及哪些无法使用(无论采取何种措施)Windows 7 的报告。MAP 生成漂亮的饼图供管理之用(请参见图 3),并为技术人员生成各种他们关注的数字(图 4)。

boswell.fig3.mapexampleresult.gif

图 3 Microsoft 评估和规划工具包 4.0 评估摘要(单击图像可查看大图)

boswell.fig4.mapspreadsheet.gif

图 4 Microsoft 评估和规划工具包 4.0 评估详细信息(单击图像可查看大图)

在运行该工具时,请不要太局限于硬件要求。我撰写本文初稿时,使用的是运行 Windows 7 和 Office 2007 的 1.6GHz Celeron 桌面,RAM 为 512MB,后台还运行着不少业务线应用程序。性能完全可以接受。

接下来,请加载 tinyurl.com/appcompat55 提供的 Microsoft 应用程序兼容性工具包 (ACT) 5.5,使用该工具包获取所选桌面的软件统计数据。ACT 评估不仅在注册表中检查已安装软件列表;还仔细查看由各种旧式安装程序安装的应用程序。此功能需要本地代理,该代理从 ACT 管理服务器部署,在卸载自身之前,每隔几天就发送回定期报告。

图 5 中可以看到,ACT 执行细致的数据收集工作(非常细致),因此,您需要有性能相当好的服务器才能运行该工具包。您可以使用 SQL Express 存储数据,除非您的样本是成千上万台计算机。不过,如果按部门或职能工作组划分软件负载,则可以从每个组中选择一些代表计算机作为样本。即使有成千上万个桌面,抽样 2% 至 3% 也可以对未来的工作有足够的认识。

boswell.fig5.act_analyze.gif

图 5 Microsoft 应用程序兼容性工具包 5.5 应用程序报告(单击图像可查看大图)

现在,让我们回头讨论那个大型会议。开好这次会议。由部门出资,购买足够的面包圈和披萨,为与会者准备好食品。找一个配备有多个白板的房间。如果无法将所有人集中到一处,请在会议室之外布置一些大屏幕,启动您选择的网络会议软件,并确保各处都有麦克风和摄像机。

在会议前半程,询问与会者他们如何使用 Windows 7 来改进其日常任务。找出他们学习费力的原因。倾听他们的牢骚。研究他们的想法,寻找可大幅提高用户生产效率、增强安全性、促进移动性和简化工作流程的功能组合。

在会议后半程,制订部署计划。不要把时间浪费在试图解决潜在的兼容性、互操作性或工作流程问题上。任何运行了几年 XP 的组织都一定需要对老旧的设备进行更新换代。确定这些问题。对其进行分类。然后继续。

假定您是勘探新油田的地质学家。集中精力发现大型油田并规划以后如何开采。

这次会议的成果将是一个“人员-内容-时间-地点-方法”路线图。该路线图解决如下问题:您要部署哪些功能?谁来执行准备工作?需要花费多长时间?哪些用户受到的影响最大?如何获得这些用户的合作?在硬件和软件方面的部署成本是多少?在哪些方面可能失败?测试需要哪些资源?最重要的是,何时可以开始工作?把这些内容归纳为五张幻灯片,提交给管理层,然后执行、执行、再执行。

5. 扩展部署范围。

要使用 Windows 7 中的某些最佳功能,可能需要对您的基础结构进行一些更改。例如,在我喜欢的功能中,排在前面的是新增的资源管理器 Shell 中的联合搜索和库的组合。这些功能协同工作,可为分布式数据提供集中而灵活的视图。

使用联合搜索的关键在于,查找或构建到基于 Web 的数据存储库的连接器。连接器是 .OSDX 文件中的一组配置项。这些项指向某个网站并描述如何处理内容。下面是 Bing 连接器的示例:

<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="https://schemas.microsoft.com/opensearchext/2009/">

<ShortName>Bing</ShortName>

<Description>Bing in Windows 7.</Description>

<Url type="application/rss+xml" 
template="http://api.bing.com/rss.aspx?source=web&amp;query=
{searchTerms}&amp;format=rss"/>

<Url type="text/html" template="https://www.bing.com/search?q={searchTerms}"/>

</OpenSearchDescription>

右键单击 .OSDX 文件时,资源管理器会在属性菜单中显示“创建搜索连接器”选项。单击该选项,搜索连接器便会添加到“收藏夹”下的项列表中。通过在资源管理器窗口的右上角处突出显示该连接器并在搜索字段中键入搜索词,可启动连接器的搜索。几秒钟后,资源管理器会填充结果窗格。单击“预览”可查看所选页面的内容。图 6 显示了一个示例。

boswell.fig6.searchbing.gif

图 6 资源管理器中的搜索连接器(单击图像可查看大图)

构建连接器十分简单。说服内部开发人员组合几个连接器,用于 Intranet 服务器(公司门户、SharePoint 场等)。指引他们查看 SevenForums(tinyurl.com/srchcon 上提供的诸多示例连接器,这是一个独立网站,提供各种适用于 Windows 7 的组件,内容十分丰富。使用标准程序包部署工具将这些连接器分发给用户。然后,即可使用这些连接器构建分布式 Web 数据的标准视图。

尽管联合搜索已能很好地处理网站内容,在搜索文件服务器上以 TB 计的文件时,组织仍然感到困难。这意味着,对驱动器映射和网络数据存储没有多少概念的用户可能需要花费数小时在其 W:驱动器中进行筛选,举例来说,试图找到上个月撰写的报告。

这就是库产生的原因。库将各种来源的文件聚合到可搜索的对象中。Windows 7 中的默认库包括常用类别的个人数据类型和位置(文档、音乐、图片和视频),可以十分容易地扩展此列表,以包括基于服务器的存储库。右键单击,即可选择“新建库”,将 UNC 路径添加到共享文件夹。

注意:必须为目标文件夹编制索引。在 Windows Server 2008 及更高版本上,请安装“文件服务”角色。然后,在“角色服务”下,安装 Windows 搜索服务。在 Windows Server 2003 SP2 服务器上,安装 Windows Search 4.0(可从 tinyurl.com/srch40dwnload 免费下载。此外,由于搜索界面中的限制,您不能指定 DFS 路径,即使 DFS 文件夹的最终目标是具有索引的文件服务器也是如此。

在撰写本文时,没有用于创建库的命令行实用工具,也没有 Windows PowerShell cmdlet。Windows 7 SDK 提供以编程方式处理库的工具,因此,不久后就会出现这类小型实用程序。请密切关注。

有关库的默认操作的注意事项:资源管理器在公共文件对话框中显示库,使用户可以通过拖放操作将文件保存到库中。如果在一个库下有多个链接,则必须将其中一个链接配置为默认目标。

6. 准备分布式安全。

刚开始召开策略会议时,要留出时间讨论如何处理 Windows 7 中的诸多分布式安全功能。您需要在项目早期确定操作过程,因为这些决策将对测试矩阵产生重大影响。

首先,考虑是否启用桌面防火墙。XP SP1 最先引入基于操作系统的桌面防火墙时,许多组织都通过组策略将其禁用,而这已成为历史了。Windows 7 中的防火墙更为灵活,可根据情况进行调整。您可以在计算机连接到域时禁用防火墙,在计算机连接到家庭/工作网络或 Internet 时启用防火墙。您还可以详细定义例外。让第一批试验用户尝试各种选项;获得他们的反馈以及安全团队的意见,做出有关防火墙设置的最终决策。这些防火墙设置完全可通过组策略进行配置。

第二,您是否要使用 AppLocker 限制在您的桌面上运行的应用程序?通过 AppLocker,可将已批准的可执行文件集中在一个白清单中,您可以按文件哈希单独选择,也可以按位置或发行者(即文件经过发行者证书签名)成组选择。配置完成后,运行应用程序标识服务的 Windows 7 客户端将下载这些规则。从此时起,只有白名单中列出的应用程序才可以执行。其他所有可执行文件都只能闲置不用,就像我的中学体育生涯只能旁观一样。

因为 AppLocker 权限是通过组策略应用的,所以根据 OU、组成员资格或 WMI 筛选器可以将规则准确地应用于计算机。

从大量应用程序中进行筛选并确定 AppLocker 白清单中应包括哪些应用程序并不像听起来那么有趣,但情况不应该是这样。大多数业务线计算机都使用一组固定、有限的应用程序。从这里开始。别忘了,如果可以防止夜间加班的员工将闪存驱动器插入工厂的网亭计算机来运行游戏而不是构建小组件,就已经解决了许多操作问题。以后再处理后台计算机。

最后,是否要通过加密来保护便携式计算机和闪存驱动器?如果高级管理人员、经理和知识工作者出外散步,而数据驱动器中满是有价值的知识产权,那么毫无疑问,我们会回答“是”。使用 BitLocker 可对整个硬盘驱动器以及其中的数据进行加密。BitLocker To Go 对此加密进行了扩展,可涵盖闪存驱动器和其他便携式媒体。您真的需要部署该产品。

现在,并不是说您在组策略中设置了 BitLocker 策略、对一组驱动器加密之后就可以置之不理。与其他所有基于加密的技术一样,您必须仔细思考各种情况。不要成为多年来广为流传的“记得吗?CEO 在年度会议开始前一小时无法进入她的便携式计算机,可怜的老 <在此插入您的姓名> 竟然未安排好企业恢复密钥!”之类故事的主角。明智的做法是,聘请一位在企业级驱动器加密和 BitLocker 实施方面经验丰富的顾问。重要的是:不要畏惧有多复杂。其他方法复杂得多。毕竟,人们讲述了多年的故事的真实情况可能是“记得吗?我们曾经有一个公司,直到有一天,有组织的犯罪向 CFO 的便携式计算机下了手!”

7. 虚拟化桌面。

设想一下:您花费了数周或数月的时间来设计标准的 Windows 7 桌面映像。您为了解决技术问题而努力工作,并且已经找到在计算机之间快速移动应用程序和用户数据的方法,从而减小了迁移的影响。(要开始这类工作,适合选择用户状态迁移工具,它是自动安装工具包的一部分。有关演练演示,请访问 tinyurl.com/usmtwt。)您的现场技术人员已经过培训。在技术支持团队的 SharePoint 网站上,您也能发表操作指导了,技术支持团队深感欣慰。最后,您做好了开始实施的准备。

但是,请等一等。对于 Windows 7 而言,操作系统可安装到硬盘驱动器上的虚拟硬盘驱动器 (VHD) 文件中,而无需将操作系统直接放在每台新机器的硬盘驱动器中。操作系统将从此 VHD 的内容进行引导,该驱动器即成为驱动器 C,而实际硬盘驱动器则成为驱动器 D。经过正确规划,以这种方式安装的操作系统具有高度的可移植性。如果 John 从辛辛那提搬到芝加哥,辛辛那提的现场技术人员可以通过网络将 VHD 复制给芝加哥的现场技术人员,后者将其下载到计算机中,这样 John 走出 U-Haul 卡车就可以在他熟悉的桌面环境中开始工作了。

如果您认为此方案的性能比星状结构差,请您再想想是否真是这样。有关磁盘 I/O 统计数据,请访问虚拟化团队博客 tinyurl.com/nativevhd

有一些需要注意的问题。第一个是有关休眠的问题,休眠对于 VHD 引导的计算机根本不起作用。这意味着,不宜在便携式计算机中使用 VHD 引导。此外,不能引导到用 BitLocker 加密的驱动器上的 VHD,这一点也减少了它对便携式计算机的吸引力。

基于 VHD 的部署的优点可能无法抵消处理此类部署所面临的复杂性,但至少,您应将其包括在测试计划中。篇幅所限,本文不能详细介绍如何巧妙地实现部署步骤,若要了解相关说明,请参考以下资源:Max Knor 的方法,在 tinyurl.com/win7bootvhdnativinstall 中对此进行了介绍,该方法实际引导到 Windows 7 安装 CD、对命令提示符进行技术上的处理、创建 VHD,然后使用它作为安装程序的目标,整个方法非常巧妙。您可以遵循 tinyurl.com/win7bootvhdwt 上的 TechNet 演练说明,也可以观看以下 TechNet 视频:tinyurl.com/win7bootvhdvid

熟练上述方法后,您可以看一看 Kyle Rosenthal 在 Vista PC Guy 博客中提供的有关如何使用 WinPE 工具创建映像的说明。例如,vistapcguy.net/?p=71 中的步骤演示如何使用 WinPE 工具创建可引导的闪存驱动器,以及如何在其中创建安装映像。有了该工具,不使用任何其他介质,即可在计算机中快速安装标准映像。

8. 评估企业功能。

VHD 引导以及 BitLocker 和 AppLocker 这类功能,都需要 Windows 7 Enterprise 或 Ultimate。企业版 SKU 只能通过批量许可协议获得。如果拥有 Enterprise 或 Ultimate,则应该考虑部署一些附加功能来增强安全和优化操作。

BranchCache 用于在分支办公室的中央服务器或桌面对等网络中缓存文件传输。当客户端启动文件传输时,它首先检查文件是否在本地缓存以及文件哈希是否与权威来源中的哈希匹配。如果匹配,它将从缓存中复制文件。这样不仅可以加快用户的速度,还可降低 WAN 中的网络负载,这一优点无疑是网络管理人员乐于见到的。(他们露出了笑容,我已经看到了。)强烈建议您在试验测试中使用 BranchCache,以评估将应用程序与关联文件通信混合是否有好处。

接下来,通过在 Windows Server 2008 R2 服务器上部署虚拟桌面基础结构 (VDI),将上面最后一节中讨论的基于 VHD 的准虚拟化应用到更高一级 — 真正的虚拟化。在 VDI 中,每个桌面会话都作为单独的虚拟机存在,用户通过 RDP 进行连接。此设置与更主流的终端服务桌面发布方式形成了对比,后一种方式下,所有用户都使用同一个应用程序映像池。在终端服务中,如果有人出现错误,其他人都会受到影响。您看过电影“疯狂高尔夫”吗?那还用说。(通过虚拟化应用程序,也可以避免终端服务器中出现不当交互。请查看 Microsoft 桌面优化软件包中的 App-V 工具。)

VDI 可能有些昂贵。通过完全在服务器上实施内存和网络访问来支持用户虚拟桌面的成本会超过 PC 的成本。但对于分布式桌面环境中的灾难恢复而言,这种方式可以提供最好的保护。

DirectAccess 是另一项企业功能,它允许用户通过 Windows Server 2008 R2 网关连接到公司网络,而不需要使用 VPN。在机场闲坐时,用户打开支持 EVDO 功能的上网本,即可开始处理存储在公司服务器上的文档。不过,向安全团队推荐这一功能可能需要一点时间。(现在可以看到,有一个团队从来没笑过。)

9. 构建兼容性安全网。

在领导会议上,一定要讨论解决的一个问题是,您的组织是否准备好了部署 64 位桌面。在更新周期中部署的新计算机几乎都支持 64 位系统。根据目前的 RAM 价格,您可能至少会在新计算机中配置 2GB RAM,如果能说服财务部门批准略高的单位成本,更可能配置 4GB RAM。这些计算机很可能配置双核处理器,甚至可能配置四核处理器,这些处理器可提供足够的视频内存来支持 Aero。这些计算机在 64 位操作系统环境下的性能很好。

除非出于长久投资的考虑,否则即使当前所有的业务线和商业应用程序都还是 32 位的,安装 64 位版本 Windows 7 也是明智的。显然,当今世界正向 64 位标准发展,您需要做好准备,应对供应商决定放弃提供向后兼容性。

如果决定采用 64 位桌面,请针对设备驱动程序、防病毒套件、管理代理等进行全面测试。如果现在使用的是 32 位打印服务器,则需要通过 64 位驱动程序填充打印队列。此外,也可以部署新的 x64 Windows Server 2008 或 R2 打印服务器,并在构建队列时同时填充两组驱动程序。Windows Server 2008 R2 中的打印机迁移向导将帮助您完成此任务。部署新的 R2 打印服务器将物有所值,因为打印模型进行了改进,可使驱动程序保留在自己的内存空间中,这样有问题的驱动程序不会影响后台打印程序。

可能存在的最严重的问题是需要运行传统的 16 位应用程序,这些应用程序在 64 位主机上根本不可能运行。这种情况下,最好借鉴明尼苏达州温室农夫的祖传番茄种植方法:创造一个环境,让植物以为是在达拉斯而不是德卢斯。也就是说:使用 XP 模式将 x86 XP SP3 的实例放置在 x64 Windows 7 桌面上。

在 XP 模式虚拟机上安装的应用程序就像在本地安装一样,可从 Windows 7“开始”菜单(图 7)中启动,这样用户不会因为处于两个系统中而感到混乱。(这种技巧实际上来自一个特殊的 RAIL 修补程序,而不是直接来自 XP 模式,因此,如果愿意,您也可以实现同样的“开始”菜单技巧,具体做法是安装 RAIL 修补程序,然后用 32 位 Vista 或 Windows 7 运行 Virtual PC。)

boswell.fig7.virtualpcmenu.gif

图 7 “开始”菜单中的 XP 模式应用程序列表

默认情况下,XP 模式虚拟机在虚拟机内的本地帐户下运行。该帐户名为“User”。您可在安装时设置此帐户的密码,并将密码设置为永不过期。或者,也可以启动虚拟机并将其加入域,然后用您的域凭据登录。您可以将 Exchange 2003 ESM 与较早的管理工具一起加载到 XP 模式中,从而形成完全兼容的管理环境。我是否提及过在主机和虚拟机之间可以进行无缝的剪切和粘贴操作?美事一件。

XP 模式需要基于硬件的虚拟化,Intel VT 或 AMD-V。Steve Gibson 在总部位于加利福尼亚州拉古纳山的 Gibson Research Corp(因 SpinRite 和 ShieldsUP 闻名!)工作,他提供了一个名为 SecurAble (grc.com/securable.htm) 的免费实用工具,该工具可快速指出计算机是否满足标准。有关 SecurAble 报告的示例,请参见图 8

boswell.fig8.securable report.gif

图 8 Gibson Research Corp 的 SecurAble 报告

如果有数百或数千台 PC,则需要集中式管理软件包来处理这种环境。Microsoft Enterprise Desktop Virtualization (MED-V)(Microsoft 桌面优化软件包的组成部分)就是这样的软件包。在客户端中,MED-V 2.0 的工作方式与 XP 模式相似,即在硬件中安装需要虚拟化支持的虚拟机。在后端,MED-V 提供了多种工具,可用于构建程序包并部署到虚拟机。有关更多信息,请参见在 tinyurl.com/medvblog 中发布的 Windows 团队博客。

10. 删除用户的本地管理权限。

如果还没有取消用户的本地管理权限,那么现在是时候了。我知道这确实很难。便携式计算机用户特别难以放弃本地管理权限,因为技术支持通过电话无法指导其完成复杂的修复过程。不过,还有影响 IT 组织的人,部门里的行家和愿意当管理员的人,他们发现满足特定策略需要的应用程序,然后用 U 盘四处安装这些应用程序,丝毫不考虑互操作性测试。更不用说那些普通用户在拥有本地管理权限的计算机上安装的垃圾了。令人惊讶的是,如果提供购物或运动的奖励,那些不依靠技术支持连密码重置这样简单的任务都无法完成的用户,也能够设法安装复杂的多层客户端-服务器前端应用程序。

即使征得领导的支持,否决大多数用户的本地管理权限,只要取消这些权限,应用程序就开始崩溃。相当多应用程序坚持向文件系统和注册表中受保护的部分写入内容。

Windows 7 简化了到标准用户操作的切换。后台进程将更改由受保护的区域重定向到用户控制的区域。仅这一项功能就可以解决在 XP 标准用户操作中遇到的许多问题。还有许多简单但很关键的改进可以帮助标准用户,例如更改时区功能,在 XP 和 Vista 中执行这项任务时需要具有本地管理权限。此外,还可以更改屏幕分辨率,执行 ipconfig/刷新以获得新 DHCP 地址,以及安装可选更新。

应用程序兼容性工具包 (ACT) 包含一个标准用户分析器 (SUA) 向导,可帮助分析应用程序。SUA 为应用程序提供一个提升了权限的启动平台。然后,当应用程序安装和运行时,SUA 在内部搜寻可能导致应用程序无法以标准用户运行的细微问题。搜寻完成后,您将得到应用程序运行状况良好的清单或需要补救的项目的列表。

下载 ACT 时,您可能还会从 tinyurl.com/appverify 中下载应用程序验证程序。该验证程序是供 SUA 向导使用的,未包括在 ACT 程序包中。另外,请务必阅读 ACT 5.5 的相关文档。这些文档是有关兼容性问题和解决方法的巨大信息宝库。2009 年 6 月的 TechNet 杂志详细介绍了应用程序兼容性。

但有的用户真正需要本地管理权限(比如管理员和开发人员),也有用户有足够的权力可使自己重回本地管理员组,对于这些用户该怎么办呢?您真的希望看到这些用户整日带着提升的特权四处闲逛吗?我希望得到您否定的回答,正因如此,您应当将饱受非议的用户帐户控制 (UAC) 功能视为朋友。Mark Russinovich 近期写了一篇详细讨论此主题的文章(深入了解 Windows 7 用户访问控制,发表于 2009 年 7 月的 TechNet 杂志)。在您将新 UAC 滑动条推至底部以在计算机中将其禁用之前,请上线阅读本文。

您可以成为英雄人物 — 但非一时英雄

准备和部署 Windows 7 需要做大量工作,但这可以帮助真正期待这一新操作系统的用户。试过该操作系统的用户都很喜欢它的新界面。他们欣赏它的适用性和外观、响应性和新功能。

成为受欢迎的系统管理员的机会并不常有。现在机会来了,我就要好好享受这一刻。您也应该和我一样。祝您在部署 Windows 7 时一切顺利。结果怎么样,请与我分享。

Bill Boswell (billb@microsoft.com) 是 Microsoft 咨询服务亚利桑那州菲尼克斯办公室的一名高级顾问。Bill 现任职某主要航空公司 IT 体系结构和规划 (ITAP) 顾问。