Windows 7

10 operazioni da eseguire prima di distribuire Windows 7

Bill Boswell

Panoramica:

Informazioni su Windows 7
Gestione dei pi recenti requisiti di attivazione dei contratti multilicenza
Sviluppo di una guida di riferimento
Gestione delle nuove funzionalit di sicurezza distribuite
Virtualizzazione di desktop e infrastrutture
Rimozione dei diritti amministrativi locali degli utenti

Sommario

1. Familiarizzare con il funzionamento di Windows 7.

2. Apprendere i concetti fondamentali di Windows PowerShell.
3. Comprendere i meccanismi di licensing.
4. Concentrarsi sui miglioramenti strategici.
5. Espandere l'ambito di distribuzione.
6. Preparare le basi per la sicurezza distribuita.
7. Virtualizzare i desktop.
8. Valutare le funzionalit aziendali.
9. Creare reti sicure per garantire la compatibilit.
10. Rimuovere i diritti amministrativi locali degli utenti.
Eroi per pi di un giorno
Scorrendo l'elenco delle nuove funzionalit e dei miglioramenti introdotti in Windows 7 (vedere la tabella di confronto
delle funzionalit all'indirizzo tinyurl.com/win7featuregrid), inevitabile chiedersi come sar possibile riuscire a
padroneggiare tutte queste nuove tecnologie in modo da poterle distribuire agli utenti senza eccessiva fatica.
In questo articolo sono illustrate 10 operazioni che possibile eseguire per raggiungere questo obiettivo.

1. Familiarizzare con il funzionamento di Windows 7.

Il primo passo consiste naturalmente nell'acquisire un'esperienza personale. Questa esperienza non pu esaurirsi in un
laboratorio. invece necessario installare Windows 7 in ogni workstation dell'organizzazione e nel computer utilizzato a
casa per le chiamate relative ai problemi di accesso remoto, quindi impegnarsi affinch ogni componente
dell'installazione funzioni nel modo previsto.
La maggior parte degli strumenti per la gestione dei server Windows tramite Windows 7 inclusa in Strumenti di
amministrazione remota del server (RSAT), scaricabile separatamente. Al momento della stesura di questo articolo, la
versione finale del pacchetto RSAT non ancora stata finalizzata. La versione Release Candidate disponibile all'indirizzo
tinyurl.com/win7rcrsat.
Dopo l'installazione, il pacchetto RSAT non viene visualizzato immediatamente nella cartella Strumenti di
amministrazione. Gli strumenti RSAT costituiscono infatti un set di funzionalit di Windows che necessario attivare
separatamente utilizzando l'applet Programmi e funzionalit del Pannello di controllo (per un esempio, vedere la Figura
1). Per un motivo sconosciuto, ma sicuramente valido, le funzionalit devono essere selezionate separatamente facendo
clic su ognuna di esse. Non sufficiente selezionare una voce principale per selezionare automaticamente anche le voci
sottostanti.
Figura 1 Elenco delle funzionalit RSAT per Windows 7 (fare clic sull'immagine per ingrandirla)
Gli strumenti RSAT per Active Directory sono compatibili con i controller di dominio Windows 2003 e Windows 2008,
bench alcune funzionalit, come il Cestino di Active Directory, richiedano Windows Server 2008 R2.
La gestione di Exchange 2003 da una workstation Windows 7 tutt'altro che semplice: la console Gestore di sistema di
Exchange inclusa nel CD di installazione di Exchange 2003 non infatti compatibile con Windows 7. tuttavia disponibile
una versione speciale della console progettata per Vista, che pu essere scaricata all'indirizzo tinyurl.com/esmvista.
Questa console viene eseguita in Windows 7, ma un controllo specifico per Vista (Windows versione 6.0.0) eseguito dal
programma di installazione genera un errore. possibile risolvere il problema utilizzando uno strumento Microsoft
gratuito denominato Orca per modificare il file MSI in modo da rimuovere o modificare il controllo della versione. Orca
un componente di Windows Installer SDK. Le istruzioni per il download sono disponibili all'indirizzo tinyurl.com/orcamsi.
Tuttavia, molto pi semplice caricare la console Gestore di sistema di Exchange in modalit XP. Questo argomento verr
approfondito pi avanti.

2. Apprendere i concetti fondamentali di Windows PowerShell.

Uno degli aspetti pi importanti che gli amministratori di Windows dovranno sviluppare nei prossimi anni senza dubbio
la conoscenza di Windows PowerShell. Windows PowerShell versione 2 integrato nei sistemi operativi Windows 7 e
Windows Server 2008 R2 ed attivato per impostazione predefinita. opportuno pianificare l'installazione di Windows
PowerShell 2 in tutti i server e i desktop dell'organizzazione in modo che sia possibile utilizzare un'unica tecnologia di
script per gestire tutti i computer. Tenere presente che non possibile installare PowerShell v2 su server o workstation
Exchange 2007. Questi sistemi richiedono infatti PowerShell v1.1, che offre ugualmente un'ampia gamma di funzionalit.
Anche gli amministratori GUI pi irriducibili che non aprono un prompt dei comandi da anni si accorgeranno che i nuovi
strumenti GUI Microsoft stanno assumendo la forma di front-end grafici basati su cmdlet Windows PowerShell. Molti di
questi strumenti indicano la stringa di comando sottostante, se si sa dove cercarla. un modo semplice per verificare il
funzionamento dei cmdlet.
Sono disponibili numerosi materiali di riferimento su Windows PowerShell, tra cui spicca il libro "Windows PowerShell in
Action" (Manning Publications, 2007) di Bruce Payette, membro del team Microsoft Windows PowerShell. L'autore sta
preparando una nuova edizione. Con pochi dollari possibile leggere i primi capitoli, prenotare una copia prima della
pubblicazione e scaricare un e-book della prima edizione dal sito Web dell'autore all'indirizzo manning.com/payette2. Un
altro libro interessante "Windows PowerShell Pocket Reference" (O'Reilly Media Inc., 2009) di Lee Holmes, un altro
membro del team Windows PowerShell. Infine, all'indirizzo blogs.msdn.com/PowerShell disponibile il blog del team
Windows PowerShell, dove possibile entrare in contatto con i team di sviluppatori pi interattivi di tutto il pianeta. Vale
la pena di leggere ogni singola parola di questo blog. E non una volta sola.
Un'altra buona notizia che il pacchetto RSAT di Windows 7 contiene gli stessi cmdlet Active Directory PowerShell inclusi
in Windows Server 2008 R2. Ne illustrato un esempio nella Figura 2. Per chi desidera approfondire questo argomento,
la migliore fonte di informazioni il blog su Active Directory PowerShell all'indirizzo tinyurl.com/psadblog.
Figura 2 Cmdlet Active Directory PowerShell in azione (fare clic sull'immagine per ingrandirla)
Questi cmdlet possono essere utilizzati per gestire domini che eseguono Windows 2003 e Windows 2008, ma non prima
di avere installato il servizio AD Management Gateway (noto anche come Servizi Web Active Directory o ADWS) in
almeno un controller di dominio. Al momento della stesura di questo articolo, ADWS disponibile nella versione Beta e
pu essere scaricato all'indirizzo connect.microsoft.com.
Il servizio ADWS richiede Windows Server 2003 SP2 (versione normale o R2) o Windows Server 2008 con o senza SP2.
Sar necessario installare .NET Framework 3.5 SP1 (tinyurl.com/dotnet35sp1) e un hotfix (support.microsoft.com/kb
/969429) che abilita il supporto del flag del servizio Web in Netlogon. Questo hotfix incorporato in Windows Server
2008 SP2.
Per chi lavora in un'organizzazione in cui il processo di approvazione delle modifiche ai controller di dominio
particolarmente lungo e complesso, ma desidera iniziare a utilizzare Windows PowerShell per la gestione di Active
Directory senza attendere oltre, Quest mette a disposizione alcuni cmdlet Active Directory scaricabili gratuitamente
all'indirizzo quest.com/PowerShell.

3. Comprendere i meccanismi di licensing.

Gli amministratori IT delle organizzazioni in cui il sistema operativo Vista non stato distribuito potrebbero non
conoscere i pi recenti requisiti di attivazione dei contratti multilicenza in Windows. Se l'azienda conta pi di 25 desktop
e/o cinque server, ha sottoscritto un programma Volume Licensing quale Enterprise Agreement o Select Agreement e ha
acquistato Windows 7 Professional o Ultimate (o ha eseguito l'aggiornamento a tali versioni nell'ambito di Software
Assurance), l'amministratore dovr scaricare dal sito Web tinyurl.com/volact i documenti relativi a Volume Activation e
studiarne il contenuto.
Se la lettura di questi documenti dovesse creare confusione, possibile scaricare un webcast creato dal product manager
Kim Griffiths, che spiega in maniera eccellente le caratteristiche del programma. Il webcast disponibile all'indirizzo
tinyurl.com/volactwebcastwin7.
In breve, per la distribuzione di desktop Windows 7 tramite un programma Volume Licensing, sar probabilmente
necessario installare un server di gestione delle chiavi (KMS). L'uso dell'avverbio "probabilmente" d'obbligo in quanto
l'organizzazione potrebbe non disporre di un numero di computer sufficiente a supportare l'attivazione KMS. Il server
KMS avvia infatti il processo di approvazione dell'attivazione solo dopo avere ricevuto richieste da almeno 25 desktop e/o
cinque server. Questa condizione ha lo scopo di impedire a fornitori senza scrupoli di utilizzare lo stesso codice per
contratti multilicenza per pi aziende di piccole dimensioni. Una volta eseguita l'attivazione, sar necessario rinnovarla
ogni sei mesi. Sebbene qualcuno possa affermare il contrario, non esiste una modalit con funzionalit ridotte in
Windows 7. Se si lascia scadere il codice di attivazione, lo sfondo del desktop diventer nero e un fumetto di notifica
indicher che il sistema operativo non originale.
Se il numero di dispositivi in azienda non consente l'utilizzo di un server KMS, possibile ottenere un codice "Product
Key" ad attivazione multipla (MAK) che consente di eseguire un numero di attivazioni corrispondente al numero di
contratti multilicenza acquistati e offre la possibilit di aggiungere ulteriori computer fra un true-up e l'altro. I codici MAK
sono autenticati da un servizio Microsoft in hosting, pertanto richiedono l'accesso a Internet successivamente
all'installazione del sistema operativo.
Una modifica introdotta in Windows 7 e Windows Server 2008 R2 consente ora di sottrarre le macchine virtuali dal
conteggio delle attivazioni KMS. Ci agevola il conteggio dei dispositivi alle piccole aziende che utilizzano numerosi
desktop e server virtuali.
Le aziende che dispongono gi di un KMS per Vista e Windows Server 2008 potranno scaricare un aggiornamento per
l'attivazione di computer Windows 7 e Windows Server 2008 R2.
4. Concentrarsi sui miglioramenti strategici.
Dopo avere familiarizzato con l'amministrazione del sistema mediante gli strumenti di Windows 7 e avere implementato
la tecnologia per l'attivazione dei desktop, possibile iniziare a pianificare la distribuzione agli utenti finali. La prima cosa
da fare indire una riunione.
Niente paura. Questa non sar la solita riunione. Servir invece a raccogliere nella stessa stanza tutte le persone che
utilizzano Windows 7. Non solo i progettisti. Non solo gli utenti desktop. E non solo il team dei prodotti server, i tecnici
dell'helpdesk, gli sviluppatori interni e i project manager. Dovranno partecipare rappresentanti di ogni singolo team.
Volendo esagerare, possiamo pensare a questa riunione come a un concilio ecumenico. La riunione dovr durare l'intera
giornata e dovr essere presentata ai potenziali partecipanti come un evento a cui non mancare.
Prima di iniziare la riunione consigliabile armarsi di numeri. infatti inevitabile che a un certo punto qualcuno
proponga, ad esempio, di creare un catalogo delle applicazioni aziendali da utilizzare per i test di compatibilit, o che
sollevi il dubbio che non tutti i computer dell'organizzazione supportino Windows 7. Il gruppo quindi si perder in una
serie di disquisizioni su come creare il catalogo o su altri aspetti che esulano dal vero scopo della riunione.
Per evitare queste perdite di tempo, sono disponibili due strumenti gratuiti di inventario e analisi. Il primo Microsoft
Assessment and Planning Toolkit (MAP 4.0), disponibile all'indirizzo tinyurl.com/map40. Questo strumento gestito senza
agente raccoglie le statistiche sui desktop e produce un report in cui sono elencati i desktop pronti per Windows 7, quelli
che necessitano di aggiornamenti hardware e quelli in cui l'esecuzione di Windows 7 non sar mai possibile. MAP genera
grafici a torta utili per la gestione (vedere la Figura 3) e una gran quantit di numeri utili ai tecnici (Figura 4).

Figura 3 Microsoft Assessment and Planning Toolkit 4.0 - riepilogo valutazione (fare clic sull'immagine per
ingrandirla)

Figura 4 Microsoft Assessment and Planning Toolkit 4.0 - dettagli valutazione (fare clic sull'immagine per ingrandirla)
L'esecuzione di questo strumento non impone requisiti hardware particolarmente restrittivi. L'autore di questo articolo ha
utilizzato Windows 7 e Office 2007 su un computer desktop Celeron da 1,6 GHz con 512 MB di RAM e alcune applicazioni
line-of-business in esecuzione in background, ottenendo prestazioni perfettamente accettabili.
Il secondo strumento Microsoft Application Compatibility Toolkit (ACT) 5.5, disponibile all'indirizzo
tinyurl.com/appcompat55. Consente di ottenere statistiche software su un gruppo di desktop selezionati. Questo
strumento non si limita a scorrere l'elenco del software installato nel Registro di sistema, bens cerca in ogni meandro del
sistema applicazioni che sono rimaste sepolte dai vari programmi di installazione eseguiti in passato. Questa funzionalit
richiede un agente locale, che viene distribuito tramite un server di gestione ACT e restituisce report periodici per diversi
giorni prima di disinstallarsi automaticamente.
Come si evince dalla Figura 5, ACT esegue un processo di raccolta dei dati estremamente approfondito e accurato e
richiede pertanto un server con una discreta potenza di elaborazione. Per archiviare i dati, purch non riguardino migliaia
di computer, possibile utilizzare SQL Express. Se tuttavia i carichi software sono suddivisi per reparto o gruppo di lavoro
funzionale, possibile selezionare un numero ridotto di computer che rappresentino i singoli gruppi. Anche in presenza
di decine di migliaia di desktop, dovrebbe essere sufficiente campionarne dal 2 al 3% per ottenere un'idea delle azioni
future.
Figura 5 Microsoft Application Compatibility Toolkit 5.5 - report applicazioni (fare clic sull'immagine per ingrandirla)
Torniamo ora alla riunione. importante pianificarla in ogni minimo dettaglio, dal rifornimento di vettovaglie
all'individuazione di una stanza con lavagne che occupino un'intera parete. Se non possibile riunire tutti nella stessa
stanza, delimitare il perimetro della sala riunioni con grandi schermi, avviare un programma per l'esecuzione di riunioni in
rete e disporre microfoni e videocamere ovunque.
Dedicare la prima met della riunione a interrogare i partecipanti su come utilizzano Windows 7 per migliorare le attivit
quotidiane, individuando le funzionalit il cui apprendimento ha richiesto pi tempo e ascoltando le lamentele, per
raccogliere infine dall'esperienza di ciascuno una combinazione di funzionalit che saranno in grado di migliorare
materialmente la produttivit degli utenti, aumentare il livello di sicurezza, incoraggiare la mobilit e semplificare i
processi operativi.
La seconda met della riunione servir a delineare un piano di distribuzione. inutile tentare di risolvere in questa sede
potenziali problemi di compatibilit o interoperabilit. Qualsiasi organizzazione che utilizzi XP da diversi anni ha
sviluppato procedure che oggi stanno iniziando inevitabilmente a scricchiolare. Quello che occorre fare identificare i
problemi, classificarli e procedere oltre.
Si pu pensare a se stessi come a un geologo che debba testare un nuovo bacino petrolifero. Il bravo geologo si
concentrer sull'individuazione dei giacimenti pi grossi, e solo dopo penser a come effettuare l'estrazione.
Il risultato di questa riunione sar una guida di orientamento completa che stabilir quali funzionalit verranno distribuite,
chi si occuper delle attivit di preparazione, quanto tempo sar necessario, quali utenti saranno maggiormente coinvolti,
come sar possibile ottenere la cooperazione di tali utenti, quanto coster la distribuzione in termini di hardware e
software, dove sono i potenziali punti deboli, quali sono le risorse necessarie per il testing e, soprattutto, quando potr
iniziare l'intero processo. Questa guida, nella forma di una presentazione con cinque diapositive, dovr essere distribuita
a tutti i responsabili gestionali in modo da poter essere messa in pratica al pi presto.

5. Espandere l'ambito di distribuzione.

Alcune delle pi avanzate funzionalit di Windows 7 potrebbero richiedere alcune modifiche dell'infrastruttura. Ad
esempio, una delle funzionalit pi interessanti la combinazione delle raccolte con le caratteristiche di ricerca federata
nella nuova shell di Esplora risorse. Il risultato una visualizzazione centralizzata e flessibile dei dati distribuiti.
Per utilizzare la ricerca federata necessario individuare o creare connettori a repository di dati basati sul Web. Un
connettore un set di elementi di configurazione inclusi in un file OSDX. Questi elementi puntano a un sito Web e
descrivono come gestire il contenuto. Di seguito riportato un esempio di un connettore Bing:

<?xmlversion="1.0"encoding="UTF8"?>
<OpenSearchDescriptionxmlns="http://a9.com//spec/opensearch/1.1/"
xmlns:msose="http://schemas.microsoft.com/opensearchext/2009/">

<ShortName>Bing</ShortName>

<Description>BinginWindows7.</Description>

<Urltype="application/rss+xml"
template="http://api.bing.com/rss.aspx?source=web&amp;query=
{searchTerms}&amp;format=rss"/>

<Urltype="text/html"template="http://www.bing.com/search?q={searchTerms}"/>
 </OpenSearchDescription>

Quando si fa clic su un file OSDX con il pulsante destro del mouse, in Esplora risorse viene visualizzato il menu delle
propriet con l'opzione Crea connettore di ricerca. Fare clic su tale opzione per aggiungere il connettore ai Preferiti.
Iniziare una ricerca selezionando il connettore e digitando i termini desiderati nel campo di ricerca nell'angolo superiore
destro della finestra di Esplora risorse. Il riquadro dei risultati verr popolato in pochi secondi. Fare clic su Anteprima per
visualizzare il contenuto della pagina selezionata. Nella Figura 6 viene illustrato un esempio.

Figura 6 Connettore di ricerca in Esplora risorse (fare clic sull'immagine per ingrandirla)
I connettori sono semplici da creare. Convincere quindi gli sviluppatori interni a crearne alcuni per i server della rete
Intranet (portale aziendale, farm di SharePoint e cos via). Per aiutarli possibile indirizzarli al lungo elenco di connettori
di esempio disponibile su SevenForums (tinyurl.com/srchcon), un sito indipendente estremamente utile per tutto ci che
riguarda Windows 7. Distribuire quindi questi connettori agli utenti aziendali utilizzando gli strumenti standard per la
distribuzione dei pacchetti. A questo punto sar possibile utilizzarli per creare una visualizzazione standard dei dati Web
distribuiti.
Bench la funzionalit di ricerca federata sia in grado di gestire i contenuti dei siti Web in modo abbastanza
soddisfacente, le organizzazioni si trovano poi in difficolt quando si tratta di eseguire ricerche nei terabyte di file
archiviati nei file server. Ci significa che gli utenti che possiedono solo vaghe nozioni sul mapping delle unit e
l'archiviazione dei dati in rete potrebbero sprecare ore nella ricerca, ad esempio, dei report scritti lo scorso mese.
qui che entrano in gioco le raccolte. Le raccolte consentono di aggregare file provenienti da una variet di fonti in
oggetti in cui possibile eseguire ricerche. Le librerie predefinite disponibili in Windows 7 includono l'assortimento
standard di percorsi e tipi di dati personali, quali Documenti, Musica, Immagini e Video, ma questo elenco pu essere
esteso facilmente fino a includere repository basati su server. sufficiente fare clic con il pulsante destro del mouse,
scegliere Nuova raccolta e aggiungere il percorso UNC di una cartella condivisa.
Tenere presente che la cartella di destinazione deve essere indicizzata. In Windows Server 2008 e versioni successive
installare il ruolo Servizi file, quindi in Servizi ruolo installare il servizio Windows Search. Nei server Windows Server 2003
SP2 installare Windows Search 4.0, scaricabile gratuitamente dall'indirizzo tinyurl.com/srch40dwnload. Inoltre, a causa di
una limitazione nell'interfaccia del servizio Windows Search, non possibile specificare percorsi DFS anche se la
destinazione di una cartella DFS un file server indicizzato.
Non esistono utilit da riga di comando per la creazione di raccolte e, al momento della stesura di questo articolo,
nemmeno cmdlet Windows PowerShell. In Windows 7 SDK, tuttavia, sono inclusi strumenti per l'utilizzo di librerie a livello
di programmazione, quindi non passer molto tempo prima che inizino a comparire alcune utilit con questa funzione.
Un'ultima nota sull'azione predefinita delle raccolte: in Esplora risorse le raccolte vengono visualizzate nella finestra di
dialogo File comuni per consentire agli utenti di salvare file in una raccolta tramite trascinamento. Se in una raccolta sono
presenti pi collegamenti, uno di essi deve essere configurato come destinazione predefinita.

6. Preparare le basi per la sicurezza distribuita.

Nel corso della riunione per la definizione della strategia iniziale, importante dedicare parte del tempo a stabilire le
modalit di gestione delle numerose funzionalit di sicurezza distribuite offerte da Windows 7. opportuno determinare
un piano d'azione fin dalle prime fasi del progetto, poich le decisioni prese avranno un impatto sostanziale sulla matrice
del test.
Stabilire innanzitutto se si desidera attivare il firewall desktop. Quando i firewall desktop sono stati introdotti per la prima
volta in Windows XP SP1, molte organizzazioni li hanno disattivati tramite i Criteri di gruppo e non ci hanno pi pensato.
Il firewall incluso in Windows 7 molto pi flessibile e merita di essere ripreso in considerazione. possibile disattivare il
firewall quando il computer connesso al dominio e attivarlo quando il computer connesso a una rete domestica o
aziendale oppure a Internet. Possono anche essere impostate delle esclusioni specifiche. Provare un mix di opzioni con un
primo gruppo di utenti pilota e raccoglierne il feedback, che, insieme alle opinioni del team dedicato alla sicurezza, servir
a prendere una decisione finale sulle impostazioni del firewall. Queste potranno quindi essere completamente configurate
tramite i Criteri di gruppo.
In secondo luogo, stabilire se si desidera utilizzare AppLocker per limitare il numero di applicazioni di cui consentire
l'esecuzione nei desktop. AppLocker permette di creare un elenco di eseguibili approvati che possibile selezionare
singolarmente in base all'hash del file, in gruppi per posizione o in gruppi per autore (ovvero firmati dal certificato
dell'autore). Una volta configurate, queste regole vengono scaricate dai client Windows 7 che eseguono il servizio Identit
applicazione. Da quel punto in avanti, potranno essere eseguite solo le applicazioni incluse nell'elenco. L'esecuzione di
tutti gli altri eseguibili non verr autorizzata.
Poich le autorizzazioni di AppLocker vengono applicate tramite i Criteri di gruppo, possibile definire un criterio di
applicazione delle regole ai computer in base all'unit organizzativa, all'appartenenza ai gruppi o a filtri WMI.
Setacciare una montagna di applicazioni per determinare quali debbano essere incluse in un elenco AppLocker non
un'attivit divertente, ma fortunatamente non affatto necessaria. Nella maggior parte dei computer line-of-business
installato un gruppo di applicazioni ben definito e limitato. possibile partire da queste. Dopo tutto, se si riesce a evitare
che gli utenti, invece di lavorare, colleghino ai computer aziendali unit flash per giocare, alcuni dei problemi operativi
sono gi risolti. La gestione dei PC back-office potr essere affrontata in seguito.
Infine, occorre stabilire se si intende proteggere i computer portatili e le unit flash tramite crittografia. Se i dirigenti e i
knowledge worker dell'azienda viaggiano frequentemente con dispositivi portatili pieni di dati di propriet intellettuale,
tale protezione senza dubbio necessaria. BitLocker consente di crittografare l'intera unit disco rigido e tutti i dati che
contiene. BitLocker To Go estende questa funzionalit alle unit flash e ad altri supporti portatili. L'implementazione di
questo strumento fortemente consigliata.
Questo non significa che sia sufficiente attivare BitLocker nei Criteri di gruppo e crittografare alcune unit. Come avviene
con qualsiasi altra tecnologia di crittografia, necessario impostarne le opzioni in modo oculato. A tale scopo
consigliabile ingaggiare un consulente esperto in crittografia delle unit e implementazioni di BitLocker a livello
aziendale. La chiave non lasciarsi spaventare dalla complessit. L'alternativa ancora pi spaventosa. Senza un
adeguato sistema di protezione dei dati tramite crittografia, le informazioni aziendali pi riservate potrebbero infatti finire
nelle mani di individui senza scrupoli.

7. Virtualizzare i desktop.
Si immagini una situazione in cui la creazione dell'immagine desktop standard di Windows 7 sia stata eseguita, i problemi
tecnici siano stati risolti e siano state individuate modalit semplici per spostare applicazioni e dati utente tra i computer,
riducendo l'impatto della migrazione. Utilit di migrazione stato utente, disponibile in Windows Automated Installation
Kit, rappresenta uno strumento utile per eseguire queste attivit. Per una dimostrazione dettagliata, visitare il sito Web
all'indirizzo tinyurl.com/usmtwt. Dopo che i tecnici sono stati formati e al personale del supporto tecnico sono state
fornite le indicazioni necessarie nel relativo sito di SharePoint, possibile iniziare l'implementazione.
opportuno tenere presente, tuttavia, che Windows 7 consente di eseguire l'installazione in file di unit disco rigido
virtuale (VHD, Virtual Hard Drive) nell'unit disco rigido anzich installare il sistema operativo direttamente nell'unit
disco rigido di ogni nuovo computer. Il sistema operativo viene avviato dal contenuto di tale file VHD, che diventa l'unit
C, mentre l'unit disco rigido effettiva viene vista come unit D. Con una pianificazione appropriata, un sistema operativi
installato in questo modo pu essere caratterizzato da un'elevata portabilit. Se un utente si sposta da Roma a Milano, il
tecnico di Roma pu copiare il file VHD nella rete per il tecnico di Milano, che a sua volta lo copia in un computer in
modo che l'utente sia in grado di lavorare nel proprio ambiente desktop nel minor tempo possibile.
Anche in una situazione di questo tipo le prestazioni si mantengono comunque molto elevate. Verificare i dati di
input/output relativi al disco sul sito del blog del team di virtualizzazione all'indirizzo tinyurl.com/nativevhd.
opportuno prestare attenzione ad alcuni aspetti. Il primo aspetto riguarda l'ibernazione, che non funziona nei computer
con avvio da file VHD e comporta pertanto l'impossibilit di utilizzare l'avvio da file VHD nei computer portatili.
necessario inoltre tenere presente che non possibile utilizzare tale tipo di avvio in un'unit crittografata con BitLocker,
aspetto che contribuisce a ridurne ulteriormente l'opportunit di impiego nei computer portatili.
Sebbene sembri che i vantaggi delle distribuzioni basate su file VHD non compensino la complessit di gestione,
comunque opportuno includerle nei piani di test. I passaggi per eseguire questa operazione sono troppo lunghi per
essere descritti in questo articolo, ma sono comunque disponibili alcuni siti in cui vengono fornite le istruzioni necessarie.
possibile utilizzare il semplice metodo di Max Knor, descritto nel sito Web all'indirizzo
tinyurl.com/win7bootvhdnativinstall, che essenzialmente prevede l'avvio dal CD di installazione di Windows 7, la gestione
dal prompt dei comandi, la creazione del file VHD e infine l'utilizzo di tale file come destinazione per l'installazione.
possibile seguire le istruzioni dettagliate sul sito TechNet all'indirizzo tinyurl.com/win7bootvhdwt o visualizzare il video di
TechNet all'indirizzo tinyurl.com/win7bootvhdvid.
Dopo avere acquisito familiarit con queste tecniche, visitare il blog Vista PC Guy di Kyle Rosenthal in cui sono disponibili
istruzioni per l'utilizzo degli strumenti di Ambiente preinstallazione di Windows per la creazione di immagini. Le
operazioni descritte in vistapcguy.net/?p=71 illustrano le modalit di creazione di un'unit flash USB di avvio mediante gli
strumenti di Ambiente preinstallazione di Windows e di un'immagine dell'installazione nell'unit stessa. Grazie a questo
strumento, possibile installare rapidamente l'immagine standard in un computer senza dover utilizzare alcun pezzo
fisico.

8. Valutare le funzionalit aziendali.

L'avvio da file VHD e le funzionalit BitLocker e AppLocker appartengono a una classe di funzionalit per il cui utilizzo
necessario Windows 7 Enterprise o Ultimate. Il codice SKU Enterprise pu essere ottenuto esclusivamente tramite un
contratto multilicenza. Se si dispone di una versione Enterprise o Ultimate, necessario prendere in considerazione la
distribuzione di alcune funzionalit aggiuntive per migliorare la sicurezza e semplificare le operazioni.
BranchCache consente di memorizzare nella cache trasferimenti di file sia in un server centrale di una succursale che
come parte di una rete peer di computer desktop. Quando in un client viene avviato un trasferimento di file, viene
innanzitutto verificato se il file memorizzato nella cache locale e se l'hash del file corrisponde a quello dell'origine
autorevole. In tal caso, il file viene copiato dalla cache. In questo modo non solo vengono velocizzate le operazioni per gli
utenti, ma viene anche ridotto il carico sulla rete WAN, vantaggio sicuramente apprezzato dagli utenti di rete. Si consiglia
di provare BranchCache nei test del progetto pilota per valutare gli eventuali benefici sul traffico generato dall'insieme di
applicazioni e file associati.
Successivamente, possibile rendere pi effettiva la virtualizzazione basata su file VHD discussa nella sezione precedente
distribuendo un'infrastruttura desktop virtuale (VDI, Virtual Desktop Infrastructure) in server Windows Server 2008 R2.
In'infrastruttura di questo tipo ogni sessione desktop esiste come computer virtuale distinto cui gli utenti si connettono
mediante RDP. Questa impostazione contrasta con le pi tradizionali modalit di pubblicazione di un desktop di Servizi
terminal, che prevedono l'utilizzo dello stesso insieme di immagini dell'applicazione da parte di tutti gli utenti. Se in
Servizi terminal un utente commette un errore, quest'ultimo si ripercuote sulle attivit di tutti gli altri. Per evitare
interazioni non desiderate in un server terminal, inoltre possibile virtualizzare le applicazioni. A tale scopo, utilizzare gli
strumenti Application Virtualization disponibili in Microsoft Desktop Optimization Pack.
L'infrastruttura desktop virtuale pu risultare dispendiosa, poich il costo relativo al supporto di desktop virtuali degli
utenti con la possibilit completa di accedere alla memoria e alla rete pu superare il costo dei computer. Per un
ripristino di emergenza in un ambiente desktop distribuito, tuttavia, non possibile chiedere una protezione migliore.
Un'altra funzionalit della versione Enterprise, ovvero DirectAccess, consente agli utenti di connettersi mediante un
gateway di Windows Server 2008 R2 alla rete aziendale senza la necessit di utilizzare una rete VPN. Grazie a questa
funzionalit, un utente che dispone di un computer dotato di tecnologia EVDO in grado di lavorare su documenti
archiviati nei server aziendali anche se si trova in viaggio. opportuno tenere presente che l'utilizzo di questa funzionalit
potrebbe provocare problemi di sicurezza.

9. Creare reti sicure per garantire la compatibilit.

Un argomento da discutere in modo definitivo con i collaboratori riguarda la predisposizione dell'organizzazione alla
distribuzione di computer desktop a 64 bit. I nuovi computer distribuiti nell'ambito di un ciclo di aggiornamento sono
virtualmente in grado di supportare l'ambiente a 64 bit. Valutati i prezzi vantaggiosi delle memorie RAM oggi disponibili,
in ogni computer possibile installare almeno 2 GB di RAM e, qualora venga approvata una spesa leggermente pi alta,
sar possibile installarne addirittura 4 GB. probabile che i computer dispongano di processori dual core o addirittura
quad core, con una quantit di memoria video sufficiente per supportare la funzionalit Aero. Le prestazioni di computer
di questo tipo sono pi elevate se si utilizza un sistema operativo a 64 bit.
Anche se tutte le applicazioni commerciali e line-of-business utilizzate sono ancora a 32 bit, comunque logico installare
la versione a 64 bit di Windows 7, soprattutto in previsione degli investimenti futuri. Poich la tendenza quella di
utilizzare lo standard a 64 bit, necessario essere pronti nel momento in cui i fornitori decideranno di non rispettare pi
la compatibilit con le versioni precedenti.
Se si decide di implementare computer desktop a 64 bit, necessario eseguire test approfonditi su eventuali problemi di
driver di dispositivo, programmi antivirus, agenti di gestione e cos via. Se attualmente nell'organizzazione sono presenti
server di stampa a 32 bit, sar necessario popolare le code di stampa con driver a 64 bit. In alternativa, possibile
distribuire i nuovi server di stampa Windows Server 2008 o Windows Server 2008 R2 con architettura x64 e popolare
entrambi i set di driver nel momento in cui si creano le code. A tale scopo, possibile utilizzare il modulo di migrazione
stampanti disponibile in Windows Server 2008 R2. Poich il modello di stampa stato migliorato per mantenere i driver
nel proprio spazio di memoria in modo che un driver non appropriato non danneggi lo spooler, la distribuzione dei nuovi
server di stampa Windows Server 2008 R2 risulta senz'altro vantaggiosa.
Il vantaggio potenziale pi significativo la possibilit di eseguire applicazioni legacy a 16 bit, che non potrebbero
altrimenti essere eseguite in un host a 64 bit. L'opzione migliore in questo caso quella di creare un ambiente simulato,
ovvero utilizzare la modalit XP per installare un'istanza di XP SP3 x86 in un computer desktop che esegue Windows 7
x64.
Le applicazioni installate in una macchina virtuale in modalit XP possono essere avviate dal menu Start di Windows 7
(Figura 7) esattamente come se fossero installate in tale sistema operativo, consentendo in questo modo agli utenti di
eseguire le operazioni come se l'ambiente fosse unico. Questo stratagemma non deriva direttamente dalla modalit XP,
ma da un aggiornamento rapido RAIL. infatti possibile utilizzare il menu Start nel modo descritto in precedenza
installando l'aggiornamento rapido RAIL ed eseguendo successivamente Virtual PC con Vista o Windows 7 a 32 bit.

Figura 7 Elenco di applicazioni in modalit XP nel menu Start

Per impostazione predefinita, la macchina virtuale in modalit XP viene eseguita con un account locale interno alla
macchina stessa denominato User. La password per questo account viene impostata durante la fase di installazione e
viene inoltre specificato che la password non ha scadenza. In alternativa, possibile avviare la macchina virtuale e
aggiungerla al dominio, quindi eseguire l'accesso con le credenziali di dominio di cui si dispone. possibile caricare
Exchange 2003 ESM in modalit XP con gli strumenti di amministrazione precedenti in modo da disporre di un ambiente
amministrativo completamente compatibile. opportuno ricordare, inoltre, la presenza di un'ulteriore funzionalit che
consente di eseguire le operazioni di copia e incolla tra l'host e le macchine virtuali in modo estremamente semplice.
Per applicare la modalit XP, necessaria una virtualizzazione basata su hardware, ad esempio Intel VT o AMD-V. Steve
Gibson, titolare di Gibson Research Corporation, a Laguna Hills, in California (famoso per i prodotti SpinRite e ShieldsUP)
ha messo a punto un'utilit gratuita denominata SecurAble (grc.com/securable.htm) che consente di rilevare rapidamente
se il computer soddisfa i criteri. Per un esempio di un report SecurAble, vedere la Figura 8.

Figura 8 Report SecurAble di Gibson Research Corporation

Se nell'organizzazione sono presenti centinaia o migliaia di computer, sar necessario un pacchetto di gestione
centralizzata per gestire un ambiente alternativo di questo tipo. Tale strumento rappresentato da Microsoft Enterprise
Desktop Virtualization (MED-V), un componente di Microsoft Desktop Optimization Pack. In un computer client MED-V
2.0 funziona in modo analogo alla modalit XP poich esegue l'installazione di una macchina virtuale per cui necessario
un supporto hardware per la virtualizzazione, mentre in un computer back end MED-V offre un'ampia gamma di
strumenti per la creazione e la distribuzione di pacchetti nelle macchine virtuali. Per ulteriori informazioni, vedere il blog
del team di Windows all'indirizzo tinyurl.com/medvblog.

10. Rimuovere i diritti amministrativi locali degli utenti.

Se i diritti amministrativi locali degli utenti non sono stati ancora eliminati, a questo punto necessario eseguire questa
operazione. La decisione non semplice poich particolarmente difficile disabituare gli utenti dei computer portatili,
dato che il personale del supporto tecnico non pu risolvere problemi complessi telefonicamente. Esiste tuttavia
un'organizzazione IT "ombra", ad esempio capi di reparti e amministratori non autorizzati, che, una volta individuate
applicazioni che soddisfano esigenze specifiche, utilizzano driver improvvisati per installarle senza alcun riguardo nei
confronti dei test di interoperabilit. opportuno inoltre tenere presente che la maggior parte degli utenti non esperti
che dispongono dei diritti amministrativi locali pu installare nei propri computer applicazioni e programmi
assolutamente non necessari. Non infatti una caso isolato che anche gli utenti meno esperti, che non sono in grado di
ripristinare una password senza il supporto del personale tecnico, siano comunque in grado di installare applicazioni
front-end estremamente complesse in sistemi client-server a pi livelli se tali applicazioni sono motivo di svago.
Anche se si decide di negare i diritti amministrativi locali alla maggior parte degli utenti, non appena tali diritti vengono
eliminati le applicazioni iniziano a funzionare in modo non corretto. Un numero molto elevato di applicazioni persiste
infatti nella scrittura in parti protette del file system e del Registro di sistema.
In Windows 7 il passaggio alle operazioni dell'utente standard notevolmente semplificato poich processi eseguiti in
background reindirizzano le modifiche dalle aree protette in aree controllate dall'utente. Questa funzionalit dovrebbe da
sola risolvere numerosi problemi che potrebbero essersi verificati durante l'esecuzione di operazioni da parte di un utente
standard in Windows XP. Sono disponibili inoltre altri semplici, ma significativi miglioramenti a favore degli utenti
standard, ad esempio la possibilit di modificare il fuso orario, attivit che richiede i diritti amministrativi locali in
Windows XP e Vista. In modo analogo, sar possibile modificare la risoluzione dello schermo, eseguire operazioni di
configurazione dell'indirizzo IP e di aggiornamento per ottenere un nuovo indirizzo DHCP nonch installare
aggiornamenti facoltativi.
Nello strumento Application Compatibility Toolkit (ACT) disponibile la procedura guidata Analizzatore utente standard
(SUA, Standard User Analyzer) che consente di esaminare le applicazioni utilizzate. In Analizzatore utente standard
disponibile una piattaforma di avvio con elevati privilegi per un'applicazione. Durante l'installazione e l'esecuzione
dell'applicazione, lo strumento esegue la ricerca di eventuali problemi che potrebbero impedire a un utente standard di
eseguire l'applicazione. Al termine dell'analisi, viene restituito lo stato positivo dell'applicazione oppure un elenco di
elementi per cui necessario ricercare una soluzione.
Quando si scarica Application Compatibility Toolkit, consigliabile scaricare anche Application Verifier dal sito Web
all'indirizzo tinyurl.com/appverify. Tale strumento viene utilizzato dalla procedura guidata di Analizzatore utente
standard e non incluso nel pacchetto di Application Compatibility Toolkit. necessario inoltre leggere la
documentazione di Application Compatibility Toolkit 5.5 che contiene numerose informazioni sui problemi di
compatibilit e sulle correzioni da applicare. La compatibilit tra applicazioni descritta in modo approfondito anche
negli articoli del giugno 2009 di TechNet Magazine.
In relazione agli utenti che devono disporre dei diritti amministrativi locali, ad esempio amministratori, sviluppatori e
utenti con potere sufficiente per appartenere al gruppo Administrator locale, non opportuno che tali utenti siano in
grado di eseguire un'escalation dei privilegi. A questo proposito, opportuno utilizzare la funzionalit Controllo account
utente descritta in modo dettagliato da Mark Russinovich nell'articolo "Controllo account utente in Windows 7" in
TechNet Magazine, luglio 2009. Prima di spostare il nuovo dispositivo di scorrimento relativo a Controllo account utente
verso il valore minimo per disabilitare la funzionalit nel computer, consigliabile leggere l'articolo.

Eroi per pi di un giorno

La preparazione e la distribuzione di Windows 7 sono operazioni che richiedono tempo, ma gli sforzi sono premiati
dall'interesse degli utenti nei confronti del nuovo sistema operativo. Coloro che hanno provato ad esempio la nuova
interfaccia e che ne apprezzano l'aspetto, la velocit di risposta e le nuove funzionalit.
L'opportunit di essere un amministratore di sistema tenuto in considerazione non molto comune e vale la pena di
sfruttarla fino in fondo. Qualsiasi commento sulla distribuzione di Windows 7 sar apprezzato.

Bill Boswell (billb@microsoft.com) consulente senior per Microsoft Consulting Services a Phoenix, Arizona. Attualmente
Bill consulente per l'architettura e la pianificazione IT per un'importante compagnia aerea.

2017 Microsoft