Você está na página 1de 13

10 coisas a serem feitas primeiro no Windows 7

Viso geral:
Conhecendo o Windows 7
Lidando com os requisitos mais recentes da ativao de volume

Desenvolvendo um roteiro

Lidando com os novos recursos de segurana distribuda

Virtualizando reas de trabalho e infraestruturas

Removendo direitos de administrador local dos usurios

Sumrio
Ao percorrer a lista de novos recursos e melhorias do Windows 7 (consulte o grfico de
comparao de recursos em tinyurl.com/win7featuregrid), com certeza voc ir se
perguntar como possvel abordar toda essa nova tecnologia de maneira a entreg-la a
seus usurios sem provocar muita interrupo.
As 10 etapas a seguir ajudam a realizar essa tarefa.
1. Familiarize-se com o Windows 7.
Obviamente, a primeira etapa adquirir experincia pessoal. E isso significa mais do
que simplesmente vagar pelo laboratrio. Instale o Windows 7 em todas as estaes de
trabalho de sua organizao e na mquina que voc usa em casa para chamadas de
problemas de acesso remoto. Esforce-se para encontrar maneiras de fazer tudo
funcionar.
A maioria das ferramentas de gerenciamento de servidores Windows no Windows 7
esto includas nas Ferramentas de Administrao de Servidor Remoto (RSAT) do
Windows 7, que devem ser baixadas separadamente. No momento desta edio, o
pacote final do RSAT ainda no estava finalizado. A verso Release Candidate est
disponvel em tinyurl.com/win7rcrsat.
No se surpreenda quando sua pasta Ferramentas Administrativas no for populada
imediatamente depois da instalao do pacote RSAT. As ferramentas do RSAT so
fornecidas na forma de um Recurso do Windows que deve ser habilitado separadamente
usando o applet Programas e Recursos no Painel de Controle. Consulte a Figura 1 para
obter um exemplo. Por uma razo desconhecida (mas, com certeza, totalmente vlida),
voc precisa clicar separadamente em cada recurso para selecion-lo. Os blocos de
seleo pai no selecionam os filhos automaticamente.

Figura 1 Lista de recursos do RSAT do Windows 7 (clique na imagem para ampli-la)


As ferramentas do RSAT do Active Directory funcionaro com controladores de
domnio do Windows 2003 e do Windows 2008, embora alguns recursos, como a
Lixeira do Active Directory, exijam o nvel de funcionalidade do Windows Server 2008
R2.
O gerenciamento do Exchange 2003 em uma estao de trabalho com o Windows 7 no
muito simples: o console do Gerenciador do Sistema do Exchange (ESM) fornecido
com o CD de instalao do Exchange 2003 no funciona no Windows 7. H uma verso
especial do ESM desenvolvida para o Vista que pode ser baixada em
tinyurl.com/esmvista. Esse console funciona bem no Windows 7, mas o instalador faz
uma verificao especfica do Vista (Windows verso 6.0.0) que provoca falha no
Windows 7. possvel usar uma ferramenta gratuita da Microsoft chamada Orca para
modificar o arquivo MSI para remover ou modificar a verificao da verso. O Orca
fornecido como parte do SDK do Windows Installer; as instrues de download podem
ser encontradas em tinyurl.com/orcamsi. No entanto, voc descobrir que muito mais
simples carregar o ESM no Modo XP. Falarei mais sobre esse assunto mais tarde.
2. Saiba mais sobre o Windows PowerShell.
seguro dizer que a nica habilidade mais importante que um administrador do
Windows precisar nos prximos anos ter proficincia no Windows PowerShell. O
Windows 7 e o Windows Server 2008 R2 tm o Windows PowerShell verso 2
embutido no sistema operacional e, por padro, ele est habilitado. Voc deve planejar a
instalao do Windows PowerShell v2 nos servidores e desktops restantes para poder
usar uma nica tecnologia de scripts para gerenciar toda a sua frota. (Observe que no
ser possvel instalar o PowerShell v2 em servidores e estaes de trabalho com o
Exchange 2007. Essas mquinas exigem o PowerShell v1.1. Mas at a v1.1 fornece
acesso a uma ampla variedade de funcionalidades.)
Mesmo que voc seja um administrador obstinado pela interface grfica do usurio que
no tenha aberto um prompt de comando desde o ano 2000, voc descobrir que a
maioria das novas ferramentas da interface grfica do usurio da Microsoft agora esto
tomando a forma de front-ends grficos em lugar dos cmdlets do Windows PowerShell.

Muitas dessas ferramentas indicaro a cadeia de caracteres do comando subjacente se


voc souber onde procurar. Essa uma maneira fcil de ver como os cmdlets
funcionam.
Muitas boas referncias ao Windows PowerShell esto disponveis, inclusive o
excelente manual "Windows PowerShell em Ao" (Manning Publications, 2007),
escrito por Bruce Payette, membro da equipe do Microsoft Windows PowerShell. Uma
nova edio estar disponvel em breve. Voc pode pagar alguns dlares para ler os
primeiros captulos, reservar uma cpia quando ele for lanado e obter um livro
eletrnico da primeira edio no site do editor, em manning.com/payette2. Consulte
tambm o "Windows PowerShell Pocket Reference" (O'Reilly Media Inc., 2009) de Lee
Holmes, outro membro da equipe do Windows PowerShell. E visite o blog da equipe do
Windows PowerShell, em blogs.msdn.com/PowerShell. L, voc encontrar uma das
equipes de desenvolvedores mais interativos do planeta. Vale a pena ler cada palavra
desse blog. Duas vezes.
Mais boas notcias: o pacote do RSAT do Windows 7 contm os mesmos cmdlets do
Windows PowerShell do Active Directory que so fornecidos com o Windows Server
2008 R2. Consulte a Figura 2 para obter um exemplo. A melhor fonte de informaes
adicionais o blog do Active Directory PowerShell, em tinyurl.com/psadblog.

Figura 2 Cmdlets do ADPowerShell em ao (clique na imagem para ampli-la)


Voc pode usar esses cmdlets do AD para gerenciar domnios em execuo no Windows
2003 e no Windows 2008, mas primeiro necessrio instalar o Servio do Gateway de
Gerenciamento do Active Directory (AD Management Gateway Service, tambm
conhecido como Servios Web do AD ou ADWS) em pelo menos um controlador de
domnio. No momento desta edio, o ADWS est na verso beta e pode ser baixado no
site connect.microsoft.com.
O servio ADWS requer o Windows Server 2003 SP2 (normal ou R2) ou o Windows
Server 2008 bsico ou SP2. Ser necessrio instalar o .NET Framework 3.5 SP1
(tinyurl.com/dotnet35sp1) e um hotfix (support.microsoft.com/kb/969429) que habilita
o suporte para o sinalizador do servio Web no Netlogon. (O hotfix est embutido no
Windows Server 2008 SP2.)
Se voc trabalha em uma dessas organizaes onde obter aprovao para mudanas de
controladores de domnio exige muito tempo e esforo e deseja comear a usar o
Windows PowerShell para gerenciar o Active Directory enquanto ainda jovem e
saudvel, analise os cmdlets gratuitos do Active Directory no Quest, no endereo
quest.com/PowerShell.
3. Desvende o licenciamento.

Se sua organizao no implantou o Vista, talvez voc no esteja familiarizado com os


requisitos mais recentes da ativao de volume no Windows. Se voc for um
administrador em uma empresa com mais de 25 desktops e/ou cinco servidores, se sua
organizao obtm os benefcios de um programa de licena de volume, como o
Enterprise Agreement ou o Select Agreement, e desejar adquirir o Windows 7
Professional ou Ultimate (ou se voc atualizar para essas verses como parte do
Software Assurance), dever fazer o seguinte: imprima uma pequena pilha de
documentos sobre o Volume Activation no site tinyurl.com/volact, abra uma garrafa de
um bom vinho toscano e comece a estudar.
Quando, finalmente, voc estiver totalmente confuso, baixe um excelente webcast do
gerente de produto, Kim Griffiths, que d uma tima explicao das nuances do
programa. O webcast pode ser encontrado em tinyurl.com/volactwebcastwin7.
Em resumo, para implantar o Windows 7 em desktops usando licenas de volume, voc
provavelmente precisar instalar um Servidor de Gerenciamento de Chaves (KMS). Eu
digo "provavelmente" porque talvez voc no tenha mquinas suficientes em sua
organizao para dar suporte ativao do KMS. Um KMS no comear a distribuir
aprovaes de ativao at que tenha recebido solicitaes de pelo menos 25 desktops
e/ou cinco servidores. Isso serve para impedir que fornecedores inescrupulosos usem a
mesma chave de licena de volume para vrios clientes pequenos. Depois de ativado,
um cliente deve reativar a cada seis meses. Apesar do que voc deve ter lido em outros
lugares, no h um modo com funcionalidade reduzida no Windows 7. Se a chave de
ativao expirar, o plano de fundo do desktop simplesmente fica preto e uma notificao
no formato de um balo declara que o sistema operacional no original.
Se voc tiver menos do que o nmero de dispositivos exigido para um KMS, poder
obter uma Chave de Ativao Mltipla (MAK), que armazenada com as alocaes de
ativao com base no nmero de licenas de volume adquiridas, alm de um fator de
correo que permite adicionar mquinas entre adequaes ("true-ups"). Uma chave
MAK autenticada por um servio hospedado da Microsoft; portanto, voc precisar de
acesso Internet aps a instalao do sistema operacional.
Uma alterao introduzida com o Windows 7 e o Windows Server 2008 R2 agora
permite que as mquinas virtuais sejam contadas em relao ao nmero mnimo para
ativao do KMS. Isso ajuda a aumentar a contagem de dispositivos se voc for um
pequeno cliente que usa muitas reas de trabalho virtuais e servidores.
Se voc j tiver um KMS para o Vista e o Windows Server 2008, poder baixar uma
atualizao para ativar mquinas do Windows 7 e do Windows Server 2008 R2.
4. Concentre-se nas melhorias estratgicas.
Depois que voc j estiver familiarizado com a administrao do sistema usando as
ferramentas do Windows 7 e tiver configurado a tecnologia para ativar seus desktops,
estar na hora de comear a planejar a implantao para os usurios finais. A coisa mais
importante a ser feita neste ponto, e eu sei que voc no vai gostar de ouvir isto, fazer
uma reunio.
Calma calma! Siga meu raciocnio. Este ser um tipo diferente de reunio. Voc
precisar reunir todos os seus conhecidos de TI que esto trabalhando com o Windows
7. No s os arquitetos. No s o pessoal que lida com desktops. No s a equipe de
servidor, nem os funcionrios da assistncia tcnica ou os desenvolvedores internos ou
gerentes de projeto. Voc precisar de representantes de todas as equipes. Imagine a
reunio como um conselho ecumnico. Ela precisar levar um dia inteiro. Diga aos
participantes potenciais que s as pessoas legais estaro nessa, assim eles certamente
no vo querer perder a reunio.

Faa um favor a si mesmo antes da reunio: arme-se com nmeros. Porque, em algum
ponto, certamente algum vai dizer: "ns realmente precisamos montar um catlogo de
aplicativos empresariais que possa ser usado para executar testes de compatibilidade. E
todas as nossas mquinas realmente podem executar o Windows 7?" Em seguida, o
grupo vai gastar uma ou duas horas falando sobre como montar o catlogo ou por que
isso no pode ser feito ou como John da equipe de desktops j tem uma planilha com
essas informaes, mas que no foi atualizada h um tempo, e que a planilha no inclui
as mquinas da Europa, do Oriente Mdio e da frica e assim por diante.
Voc pode cortar toda essa conversa com duas ferramentas gratuitas de inventrio e de
anlise. Primeiro, h o Microsoft Assessment and Planning Toolkit (MAP 4.0),
disponvel em tinyurl.com/map40. Essa ferramenta sem agente coletar estatsticas em
seus desktops e fornecer um relatrio de quais desktops esto prontos para o Windows
7, quais precisam de atualizao de hardware e quais nunca estaro prontos,
independentemente de quanta maquiagem voc aplicar neles. O MAP gera grficos de
pizza sofisticados para a gerncia (consulte a Figura 3) e pilhas de nmeros para os
tcnicos (Figura 4).

Figura 3 Resumo da avaliao do Microsoft Assessment and Planning Toolkit 4.0


(clique na imagem para ampli-la)

Figura 4 Detalhes da avaliao do Microsoft Assessment and Planning Toolkit 4.0


(clique na imagem para ampli-la)
Ao executar a ferramenta, no restrinja demais seus requisitos de hardware. Eu escrevi o
primeiro rascunho deste artigo executando o Windows 7 e o Office 2007 em um desktop
Celeron com 1,6 GHz, 512 MB de RAM e vrios aplicativos de linha de negcios em
execuo em segundo plano. O desempenho foi perfeitamente aceitvel.
Em seguida, carregue o Microsoft Application Compatibility Toolkit (ACT) 5.5,
disponvel em tinyurl.com/appcompat55, e use-o para obter estatsticas de software nos
desktops selecionados. A avaliao do ACT no pesquisa s na lista de softwares
instalados no Registro, ele procura em todos os cantos por aplicativos que foram
escondidos por todos os tipos de instaladores herdados. Esse recurso requer um agente
local, que implantado a partir de um servidor de gerenciamento do ACT e envia
relatrios peridicos por vrios dias antes de se desinstalar.
Como voc pode ver na Figura 5, o ACT faz um trabalho completo de coleta de dados,
bastante profundo; portanto, voc precisar de um servidor com uma potncia

razoavelmente boa para execut-lo. possvel usar o SQL Express para armazenar os
dados, a menos que voc queira incluir milhares de mquinas no exemplo. No entanto,
se voc tiver suas cargas de software distribudas por departamento ou por grupo de
trabalho funcional, poder selecionar algumas mquinas representativas de cada grupo
como um exemplo. Mesmo com dezenas de milhares de desktops, voc deve ser capaz
de amostrar de dois a trs por cento para ter uma ideia do trabalho que ter sua frente.

Figura 5 Relatrio de aplicativos do Microsoft Application Compatibility Toolkit


5.5 (clique na imagem para ampli-la)
Agora, voltemos quela grande reunio. Faa a coisa certa. Explore os cofres do
departamento para comprar biscoitos e pizzas suficientes para encher um tiranossauro
rex de tamanho mdio. Encontre uma sala com quadros brancos de parede a parede. Se
no for possvel juntar todas as pessoas no mesmo local, instale grandes telas no
permetro da sala de reunio, ative o software de reunio pela Internet de sua
preferncia e verifique se h microfones e cmeras em todos os locais.
Na primeira metade da reunio, pergunte aos participantes como eles usam o Windows
7 para aprimorar suas tarefas dirias. Descubra o que demorou mais tempo para ser
aprendido. Oua suas reclamaes. Vasculhe dentro desses crebros para encontrar uma
combinao de recursos que melhorar materialmente a produtividade de seu usurios,
aumentar a segurana, encorajar a mobilidade e simplificar os processos de trabalho.
Passe a segunda metade do dia esboando um plano de implantao. No perca tempo
tentando resolver problemas potenciais de compatibilidade, interoperabilidade ou de
processos de trabalho. Qualquer organizao que executa o XP h vrios anos
certamente tem procedimentos desenvolvidos que esto se tornando um pouco,
digamos, decrpitos. Identifique os problemas. Categorize-os. Siga em frente.
Imagine que voc um gelogo que est testando um novo campo petrolfero.
Concentre-se em descobrir os grandes poos e descubra como fazer a extrao
posteriormente.
O resultado dessa reunio ser um roteiro incluindo quem, o que, quando, onde e como.
Ele abordar perguntas como: Quais recursos vamos implantar? Quem far o trabalho
de preparao? Quanto tempo ser necessrio? Quais usurios sero mais afetados?
Como obter a cooperao desses usurios? Qual ser o custo da implantao em
despesas diretas e indiretas? Quais so os pontos potenciais de falhas? Quais recursos
so necessrios para testes? E, o mais importante, quando o trabalho pode comear?
Reduza tudo isso em cinco slides, venda para a gerncia e, ento, parta para a execuo.
5. Expanda o escopo da implantao.
Alguns dos melhores recursos do Windows 7 podem exigir algumas alteraes na sua
infraestrutura. Por exemplo: o ponto alto da minha lista de recursos favoritos a
combinao de Pesquisa Federada e Bibliotecas no novo shell do Explorer. Esses

recursos funcionam em conjunto para fornecer uma exibio centralizada e flexvel dos
dados distribudos.
A chave para usar a Pesquisa Federada localizar ou criar conectores com os
repositrios de dados baseados na Web. Um conector um conjunto de itens de
configurao dentro de um arquivo .OSDX. Esses itens apontam para um site e
descrevem como tratar o contedo. Vejamos um exemplo de um conector Bing:
<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="http://schemas.microsoft.com/opensearchext/2009/">
<ShortName>Bing</ShortName>
<Description>Bing in Windows 7.</Description>
<Url type="application/rss+xml"
template="http://api.bing.com/rss.aspx?source=web&amp;query=
{searchTerms}&amp;format=rss"/>
<Url type="text/html" template="http://www.bing.com/search?
q={searchTerms}"/>
</OpenSearchDescription>

Quando voc clica com o boto direito do mouse no arquivo .OSDX, o Explorer mostra
uma opo Criar Conector de Pesquisa no menu de propriedades. Clique na opo, e o
conector ser adicionado lista de itens em Favoritos. Inicie uma pesquisa do conector
destacando-o e digitando termos no campo de pesquisa no canto superior direito da
janela do Explorer. Em alguns segundos, o Explorer popular o painel de resultados.
Clique em Visualizar para exibir o contedo de uma pgina selecionada. A Figura 6
mostra um exemplo.

Figura 6 Conector de Pesquisa no Explorer (clique na imagem para ampli-la)


A criao de conectores simples. Convena seus desenvolvedores internos a reunir
alguns para seus servidores da intranet (portal da empresa, farm do SharePoint, etc.).
Indique para eles a longa lista de conectores de exemplo no SevenForums
(tinyurl.com/srchcon), um site independente muito til para todas as coisas relacionadas
ao Windows 7. Distribua esses conectores aos usurios que esto usando seu pacote
padro de ferramentas de desenvolvimento. Voc poder ento us-los para criar uma
exibio padro de seus dados da Web distribudos.
Embora a Pesquisa Federada possa tratar contedo de sites suficientemente bem, as
organizaes tendem a ter dificuldades para explorar terabytes de arquivos localizados
nos servidores de arquivos. Isso significa que os usurios que tm apenas as mais vagas
noes sobre mapeamentos de unidades e de armazenamento de dados na rede podem
precisar de horas para explorar suas unidades W: tentando localizar, por exemplo, os
relatrios que escreveram no ms anterior.
aqui que entram as Bibliotecas. As Bibliotecas agregam arquivos de uma variedade de
origens em objetos pesquisveis. As bibliotecas padro do Windows 7 incluem o

sortimento normal de tipos de dados pessoais e locais (Documentos, Msicas, Imagens e


Vdeos), e fcil expandir essa lista para incluir repositrios baseados em servidor.
Basta clicar com o boto direito do mouse, selecionar Nova Biblioteca e adicionar um
caminho UNC para uma pasta compartilhada.
Uma armadilha: a pasta de destino deve ser indexada. No Windows Server 2008 e
verses posteriores, instale a funo Servios de Arquivo. Em seguida, em Servios de
Funo, instale o Servio Windows Search. Em servidores com o Windows Server 2003
SP2, instale o Windows Search 4.0, um download gratuito em
tinyurl.com/srch40dwnload. Alm disso, devido a uma limitao na interface da
Pesquisa, no ser possvel especificar caminhos DFS, mesmo que o destino final de
uma pasta DFS seja um servidor de arquivos indexados.
No existe um utilitrio de linha de comando para criar bibliotecas e, at o momento da
edio deste documento, nenhum cmdlet do Windows PowerShell. O Windows 7 SDK
inclui ferramentas para trabalhar com bibliotecas programaticamente; portanto, no
demorar at que pequenos utilitrios comecem a aparecer. Fique atento a eles.
Uma observao sobre a ao padro de Bibliotecas: o Explorer exibe Bibliotecas na
caixa de dilogo Arquivos Comuns para permitir que os usurios salvem arquivos em
uma Biblioteca arrastando e soltando. Se voc tiver vrios links sob uma biblioteca, um
deles dever ser configurado como o destino padro.
6. Prepare-se para a segurana distribuda.
Durante a reunio estratgica inicial, reserve um tempo para discutir como lidar com os
vrios recursos da segurana distribuda no Windows 7. Voc dever determinar um
curso de ao no incio do projeto, porque essas decises tero um impacto significativo
em sua matriz de testes.
Em primeiro lugar, considere se voc deseja ativar o firewall da rea de trabalho.
Quando os firewalls da rea de trabalho baseados no sistema operacional foram
introduzidos no XP SP1, muitas organizaes os desativaram com uma Diretiva de
Grupo e pronto. O firewall no Windows 7 muito mais flexvel e justifica uma
reconsiderao. possvel desativar o firewall enquanto a mquina est conectada ao
domnio e ativ-lo quando a mquina est conectada a uma rede domstica/de trabalho
ou Internet. Tambm possvel definir excluses granulares. Tente uma mistura de
opes com a primeira onda de usurios pilotos. Obtenha os comentrios deles e a
opinio da equipe de segurana para tomar uma deciso final sobre as configuraes do
firewall. Eles so totalmente configurveis pela Diretiva de Grupo.
Em segundo lugar, voc deseja usar o AppLocker para restringir a execuo de
aplicativos em seus desktops? O AppLocker permite que voc monte uma lista branca
de executveis aprovados que podem ser selecionados individualmente por hash de
arquivo, em grupos por local ou em grupos por editor (isto , assinados pelo certificado
do editor). Depois de configuradas, essas regras so baixadas pelos clientes do Windows
7 que executam o servio de Identidade do Aplicativo. Deste ponto em diante, apenas os
aplicativos da lista branca podem ser executados. Todos os outros executveis so
forados a permanecer de lado, como eu durante minha carreira de atleta no ensino
mdio.
Como as permisses do AppLocker so aplicadas via Diretiva de Grupo, possvel
direcionar rigidamente as regras aos computadores com base na unidade organizacional,
na associao a um grupo ou em filtros do WMI.
Peneirar uma montanha de aplicativos para tentar determinar quais devem estar em uma
lista branca do AppLocker no uma coisa muito divertida, mas a situao no deve
chegar a esse ponto. A maioria das mquinas de linha de negcios tm um conjunto fixo

e limitado de aplicativos. Comece por a. No final das contas, se voc pode evitar que as
equipes do turno da noite pluguem suas unidades flash em suas mquinas de quiosque
de fbrica para executar jogos em vez de criar widgets, voc j resolveu alguns
problemas operacionais. Cuida das mquinas de back-office posteriormente.
Finalmente, voc pretende proteger seus laptops e unidades flash com criptografia? Se
seus executivos, gerentes e profissionais especializados esto l fora andando com
unidades de dados cheias de propriedade intelectual valiosa, a resposta ser um
ressonante sim. O BitLocker permite criptografar todo o disco rgido e todos os dados
dentro dele. O BitLocker To Go estende essa criptografia para cobrir unidades flash e
outras mdias portteis. Voc realmente precisa implant-lo.
Agora, no estou dizendo que voc deve simplesmente ativar a diretiva do BitLocker
nas Diretivas de Grupo, criptografar uma poro de unidades e dar as costas. Como com
qualquer outra tecnologia baseada em criptografia, voc deve pesar muito bem as
opes. No seja aquela pessoa sobre quem os outros contam histrias anos a fio, como
em "Lembra quando a CEO ficou com seu laptop bloqueado por uma hora antes da
reunio anual e o pobre <insira seu nome aqui> no tinha preparado uma chave de
recuperao empresarial?" Seria bom envolver um consultor com experincia em
criptografia de unidade em nvel empresarial e em implementaes do BitLocker. O
principal ponto : no tenha medo da complexidade. A alternativa ainda mais
assustadora. Afinal de contas, a histria contada pelas pessoas anos depois poderia ser
algo como "Lembra quando tnhamos uma empresa antes do crime organizado por as
mos no laptop do CFO?"
7. Virtualize suas reas de trabalho.
Imagine o seguinte: voc gastou algumas semanas ou meses criando sua imagem de
rea de trabalho padro do Windows 7. Voc trabalhou muito para resolver problemas
tcnicos e descobriu maneiras de mover rapidamente aplicativos e dados de usurios
entre mquinas, reduzindo o impacto da migrao. (A Transferncia do Windows, parte
do Kit de Instalao Automatizada, um bom lugar para comear esse tipo de trabalho.
Para ver a uma demonstrao passo a passo, visite tinyurl.com/usmtwt.) Seus tcnicos
de campo esto treinados. A equipe de assistncia tcnica est tranquila com toda a
orientao que voc postou no site do SharePoint. Voc finalmente est pronto para
iniciar a distribuio.
Mas espere! Em vez de colocar o sistema operacional diretamente no disco rgido de
cada nova mquina, o Windows 7 permite instalar o sistema operacional em um arquivo
VHD (disco rgido virtual) no disco rgido. O sistema operacional inicializa a partir do
contedo desse VHD, que se torna a Unidade C, e v o disco rgido real como a
Unidade D. Com o planejamento correto, um sistema operacional instalado dessa
maneira pode ser tornar altamente portvel. Se John mudar de Cincinnati para Chicago,
o tcnico de campo em Cincinnati poder copiar o VHD pela rede para um tcnico de
campo em Chicago, que o baixar em uma mquina para que John possa trabalhar em
seu ambiente familiar de rea de trabalho assim que o caminho de mudana for
descarregado.
Se voc acha que o desempenho nesse arranjo seria menos do que fora de srie, pense
novamente. Verifique as estatsticas de E/S de disco no blog da equipe sobre
virtualizao, em tinyurl.com/nativevhd.
H algumas limitaes. A primeira est relacionada hibernao, que simplesmente no
funciona em mquinas inicializadas a partir do VHD. Isso significa que voc pode no
desejar usar inicializao no VHD para laptops. Alm disso, voc no pode inicializar

no VHD em uma unidade criptografada com o BitLocker, o que tambm reduz sua
atratividade para laptops.
Pode ser que a complexidade de lidar com implantaes baseadas em VHD no
compense os benefcios, mas voc deve pelo menos inclu-las em seu plano de teste. As
etapas para executar o truque so muito longas para este artigo, mas possvel obter
instrues em alguns lugares: voc pode usar o mtodo de Max Knor, descrito em
tinyurl.com/win7bootvhdnativinstall que, essencialmente, inicializa no CD de Instalao
do Windows 7, sai para um prompt de comando, cria o VHD e, em seguida, usa-o como
o destino do instalador realmente brilhante. possvel seguir as instrues passo a
passo no TechNet, em tinyurl.com/win7bootvhdwt, ou exibir este vdeo do TechNet:
tinyurl.com/win7bootvhdvid.
Depois de se tornar proficiente nessas tcnicas, d uma olhada no que Kyle Rosenthal
no blog Vista PC Guy tem a oferecer na forma de instrues para usar as ferramentas
WinPE para criar imagens. Por exemplo, as etapas em vistapcguy.net/?p=71 mostram
como criar uma unidade flash inicializvel com as ferramentas WinPE e uma imagem
de instalao nela. Com essa ferramenta em mos, possvel instalar rapidamente sua
imagem padro em uma mquina sem tocar em uma nica pea de plstico plano.
8. Avalie os recursos empresariais.
A inicializao no VHD, juntamente com o BitLocker e o AppLocker, caem em uma
classe de recursos que exige o Windows 7 Enterprise ou Ultimate. O SKU do Enterprise
s pode ser obtido atravs de um contrato de licenciamento por volume. Se voc possuir
o Enterprise ou o Ultimate, dever considerar a implantao de alguns recursos
adicionais para aumentar a segurana e simplificar as operaes.
O BranchCache permite armazenar em cache transferncias de arquivos em um servidor
central de uma filial ou como parte de uma rede de mesmo nvel de desktops. Quando
um cliente inicia uma transferncia de arquivos, ele primeiro verifica se o arquivo est
armazenado em cache localmente e se o hash do arquivo corresponde ao hash na origem
autoritativa. Em caso positivo, ele copia o arquivo do cache. Isso no s agiliza as
coisas para os usurios, mas tambm reduz a carga da rede atravs da WAN, um
benefcio que, com certeza, coloca um sorriso na face dos responsveis pela rede. (Eles
riem. Eu j vi.) Recomendo testar o BranchCache em seu teste piloto para avaliar se sua
mistura de aplicativos e trfego de arquivos associado ter benefcios.
Em seguida, voc pode usar a quase virtualizao baseada em VHD discutida na ltima
seo no prximo nvel, a virtualizao real, implantando uma Infraestrutura de rea de
Trabalho Virtual, ou VDI, em servidores com o Windows Server 2008 R2. Em uma
VDI, cada sesso da rea de trabalho existe como uma mquina virtual separada, e os
usurios se conectam via RDP. Essa configurao contrasta com a forma de publicao
mais bsica da rea de trabalho dos Servios de Terminal, em que todos os usurios
nadam na mesma piscina de imagens de aplicativos. Nos Servios de Terminal, se
algum cometer um erro, isso afetar a todos. Voc assistiu o "Clube dos pilantras"? J
disse o suficiente. (Voc tambm pode evitar interaes infelizes em um servidor de
terminal virtualizando seus aplicativos. Verifique as ferramentas App-V no Microsoft
Desktop Optimization Pack.)
O VDI pode se tornar um pouco caro. O custo do suporte a reas de trabalho virtuais de
usurios com um complemento completo de memria e acesso rede em um servidor
pode exceder o custo dos PCs. Mas, para a recuperao de desastre em um ambiente de
rea de trabalho distribudo, no h proteo melhor.
Outro recurso do Enterprise, o DirectAccess, permite que os usurios se conectem
atravs de um gateway do Windows Server 2008 R2 rede corporativa sem o uso de

uma VPN. Um usurio pode abrir seu netbook habilitado para EVDO sentado em um
aeroporto e comear imediatamente a trabalhar em documentos armazenados em
servidores corporativos. Mas a venda desse recurso para sua equipe de segurana pode
levar algum tempo. (Agora, esse um grupo que nunca sorri.)
9. Crie redes de segurana para compatibilidade.
Um problema que voc definitivamente deve discutir em sua reunio com os grandes
crebros se sua organizao est pronta para implantar desktops de 64 bits. As novas
mquinas implantadas como parte de um ciclo de atualizao so, com certeza,
habilitadas para 64 bits. Provavelmente, voc est colocando pelo menos 2 GB de RAM
nessas mquinas, aos preos atuais de RAM, mais provavelmente 4 GB, se voc
conseguir convencer a rea de Finanas a aprovar os custos unitrios um pouco mais
altos. provvel que as mquinas tenham processadores de ncleo duplo,
possivelmente at de ncleo qudruplo, com memria de vdeo suficiente para dar
suporte ao Aero. Essas mquinas executaro muito bem com um sistema operacional de
64 bits.
Mesmo que seus aplicativos atuais de linha de negcios e comerciais ainda sejam de 32
bits, faz sentido instalar a verso de 64 bits do Windows 7 para, pelo menos, ajudar a
garantir a durabilidade do seu investimento futuro. Claramente, o mundo est se
movendo em direo ao padro de 64 bits, e voc deve estar pronto quando os
fornecedores decidirem comear a descartar a compatibilidade com verses anteriores.
Se voc decidir distribuir desktops de 64 bits, faa testes criteriosos para verificar se h
problemas com drivers de dispositivos, conjuntos de antivrus, agentes de
gerenciamento, etc. Se voc tiver servidores de impresso de 32 bits, precisar popular
as filas de impresso com drivers de 64 bits. Como alternativa, voc pode implantar
novos servidores de impresso x64 do Windows Server 2008 ou R2 e popular os dois
conjuntos de drivers ao criar as filas. O assistente de migrao de impressora do
Windows Server 2008 R2 ajudar com essa tarefa. Vale a pena implantar novos
servidores de impresso R2 porque o modelo de impresso foi aperfeioado para manter
os drivers em seu prprio espao de memria, de forma que um driver inadequado no
derrube o spooler.
O risco mais significativo de interrupo do processo a necessidade de executar
aplicativos de 16 bits herdados que no executaro de jeito nenhum em um host de 64
bits. A melhor opo nesse caso usar um truque que os fazendeiros de estufa de
Minnesota empregam h geraes para cultivar tomates: crie um ambiente que faa as
plantas pensarem que esto em Dallas e no em Duluth. Isto : use o Modo XP para
colocar uma instncia do XP SP3 x86 em seu desktop com Windows 7 x64.
Os aplicativos instalados na mquina virtual em Modo XP podem ser iniciados a partir
do menu Iniciar do Windows 7 (Figura 7) como se estivessem instalados nativamente
para que seus usurios no fiquem confusos por viver em dois universos. (Esse truque,
na verdade, proveniente de um hotfix especial do RAIL, no diretamente do Modo
XP; portanto, voc pode fazer o mesmo truque do menu Iniciar instalando o hotfix do
RAIL e executando o PC Virtual com o Vista de 32 bits ou com o Windows 7, se
desejar.)

Figura 7 Lista de aplicativos em Modo XP no menu Iniciar


Por padro, a mquina virtual em Modo XP executada sob uma conta local dentro da
mquina virtual. A conta chamada de Usurio. Voc define a senha dessa conta
durante a instalao, e a senha definida para nunca expirar. Como alternativa, voc
pode iniciar a mquina virtual, ingress-la no domnio e fazer logon com as credenciais
do domnio. possvel carregar o ESM do Exchange 2003 no Modo XP junto com as
ferramentas de administrao mais antigas para ter um ambiente administrativo
totalmente compatvel. Eu j mencionei o recurso transparente de recortar e colar entre
as mquinas host e virtual? Lindo.
O Modo XP exige virtualizao baseada em hardware, Intel VT ou AMD-V. Steve
Gibson de Laguna Hills, da Gibson Research Corp. baseada na Califrnia (famosa pelo
SpinRite e pelo ShieldsUP!) oferece um utilitrio gratuito chamado SecurAble
(grc.com/securable.htm) que indicar rapidamente se uma mquina atende a todos os
critrios. Consulte a Figura 8 para obter um exemplo de um relatrio do SecurAble.

Figura 8 Relatrio do SecurAble da Gibson Research Corp.


Se voc tiver centenas ou milhares de PCs, precisar de um pacote de gerenciamento
centralizado para tratar desse ambiente alternativo. Esse pacote o Microsoft Enterprise
Desktop Virtualization (MED-V), um elemento do Microsoft Desktop Optimization
Pack. No cliente, o MED-V 2.0 trabalha de maneira semelhante ao Modo XP instalando
uma mquina virtual que exige suporte virtualizao no hardware. No back-end, o
MED-V oferece uma variedade de ferramentas para criar e implantar pacotes nas

mquinas virtuais. Para obter mais informaes, consulte o blog dessa equipe do
Windows em tinyurl.com/medvblog.
10. Remova os direitos de administrador local dos usurios.
Se voc ainda no removeu os direitos de administrador local de seus usurios, faa isso
agora. Sim, eu sei que difcil. difcil principalmente no caso de usurios de laptops
que no querem perder os direitos porque a assistncia tcnica no pode lhes dar
instrues para fazer correes complicadas pelo telefone. Mas h tambm aquela
organizao de TI "sombra", gurus e aspirantes a administrador departamentais que
descobrem aplicativos que atendem a determinadas necessidades tticas e correm por a
com unidades flash instalando os aplicativos sem se preocupar com testes de
interoperabilidade. Nem vou mencionar o tipo de lixo que os usurios mdios instalam
em suas mquinas quando tm direitos de administrador local. surpreendente como o
usurio menos sofisticado, incapaz de redefinir uma senha sem o suporte da assistncia
tcnica, pode encontrar uma maneira de instalar aplicativos complexos de front-end de
cliente-servidor de vrias camadas quando a recompensa ser compras ou esportes.
Mesmo que voc rena a fora poltica para negar direitos de administrador local
maioria dos usurios, assim que voc remove esses direitos, os aplicativos comeam a
apresentar falhas. Um nmero espantoso de aplicativos insiste em gravar em partes
protegidas do sistema de arquivos e do Registro.
O Windows 7 simplifica a mudana para a operao de usurio padro. Processos em
segundo plano redirecionam as alteraes para longe das reas protegidas em direo s
reas controladas pelo usurio. S isso deve resolver muitos dos problemas que podem
ser encontrados com a operao de usurio padro com o XP. Tambm h algumas
melhorias simples, mas crticas, que ajudam os usurios padro, como a habilidade de
alterar os fusos horrios, uma tarefa que exigia direitos de administrador local no XP e
no Vista. Idem para a alterao da resoluo da tela, a execuo de um ipconfig /refresh
para obter um novo endereo de DHCP e a instalao de atualizaes opcionais.
O Application Compatibility Toolkit (ACT) contm um Assistente do Standard User
Analyzer (SUA) para ajudar a analisar cuidadosamente seu aplicativos. O SUA fornece
uma plataforma de lanamento para privilgios elevados de um aplicativo. Em seguida,
enquanto o aplicativo instalado e executado, o SUA vasculha internamente para
procurar problemas sbitos que possam impedir que ele seja executado como um
usurio padro. Quando ele concludo, voc recebe um certificado de sade do
aplicativo ou uma lista de itens que precisam de correo.
Ao baixar o ACT, voc tambm pode baixar o Application Verifier em
tinyurl.com/appverify. Ele usado pelo Assistente do SUA e no est includo no pacote
do ACT. Alm disso, no deixe de ler os documentos do ACT 5.5. Eles so um
verdadeiro tesouro de excelentes informaes sobre problemas e correes de
compatibilidade. E a edio de junho de 2009 da TechNet Magazine cobriu
extensivamente a compatibilidade de aplicativos.
Mas e quanto aos usurios que realmente precisam de direitos de administrador local,
como administradores e desenvolvedores, e os usurios com respaldo suficiente para
entrar novamente no grupo de Administradores locais? Voc realmente quer esses
usurios bisbilhotando o dia inteiro com privilgios elevados? Espero que sua resposta
seja "no", e por isso que o to maldito Controle de Conta de Usurio (UAC) deve ser
seu amigo. Mark Russinovich recentemente escreveu um artigo detalhado sobre o tpico
("Por dentro do Controle de Conta de Usurio do Windows 7", TechNet Magazine de
julho de 2009). Antes de empurrar o novo controle deslizante do UAC para baixo para
desabilit-lo em suas mquinas, visite o site e leia o artigo.